Gestion des accès : une timide convergence IAM
Les solutions de gestion des accès tendent à intégrer des briques IGA et/ou PAM de manière complémentaire plutôt que convergente.
Quel niveau de SLA peut-on attendre d’une solution de gestion des accès ? Au moins 99,99 %, estime Gartner.
Dans son dernier Magic Quadrant dédié à ce marché, le cabinet américain signale en tout cas, sur le ton de l’avertissement, les fournisseurs ne garantissant pas un tel seuil de disponibilité.
Il pointe d’autres axes d’amélioration. Notamment en matière de détection des menaces sur les identités. Elle s’incarne chez la majorité des offreurs (63 %), mais souvent sous une forme basique (logs et rapports personnalisés). Peu vont plus loin, en particulier pour aider à repérer les erreurs de configuration et les vulnérabilités sur les outils (18 % proposent un moteur de recommandation remplissant cette fonction).
La délégation de l’enrôlement d’utilisateurs externes n’est pas encore majoritaire (45 %) au sein des offres étudiées. La délégation des rôles administrateurs l’est encore moins (36 %). Même chose pour la prise en charge des passkeys. En tout cas à juin 2023 (arrêt des relevés de Gartner pour ce Quadrant) : 18 % des fournisseurs en avaient intégré la prise en charge et 27 % les avaient sur la feuille de route.
On attendra également pour voir émerger, autour du socle de gestion des accès, de véritables plates-formes IAM convergentes. En effet, si la plupart des vendeurs (73 %) proposent des capacités IGA et/ou PAM adjacentes, c’est généralement sous la forme de produits autonomes complémentaires.
Le SaaS, critère désormais obligatoire
D’une année sur l’autre, les critères d’inclusion au Quadrant ont peu évolué. Principal changement : la disponibilité d’une version SaaS est devenue obligatoire.
Il fallait, une fois de plus, couvrir à la fois les identités internes (B2E, business-to-employee) et les identités externes (CIAM, customer identity access management). En couvrant cinq grands segments fonctionnels : services d’annuaire, administration des identités, SSO et gestion des sesisons, authentification et autorisation.
Placés l’an dernier dans le carré des « leaders », Microsoft et Okta. Leurs positionnement respectifs ont peu évolué. Le mouvement est plus net pour ForgeRock et Ping Identity. Le premier a progressé sur l’axe « vision », centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). Le second, sur l’axe « exécution », censé refléter la capacité à répondre effectivement à la demande. Tous deux figurent au Quadrant malgré leur fusion, car celle-ci a eu lieu en août, donc après la date butoir.
De « challenger », IBM est passé « leader ». CyberArk a fait le chemin inverse. Tombé dans l’escarcelle d’OpenText en janvier 2023, Micro Focus est sorti du Quadrant. Son acquéreur, au contraire, a fait son entrée. Même chose pour Entrust… et pour Thales, en catégorie « visionnaire ».
Parmi les fournisseurs ne couvrant que la partie CIAM, Akamai, SAP et Transmit Security ont droit à une « mention honorable ». Idem, dans la catégorie CSP, pour Alibaba Cloud, AWS et Google.
Onze fournisseurs, cinq « leaders »
La situation sur l’axe « vision » :
| Fournisseur | Évolution annuelle | |
| 1 | Ping Identity | = |
| 2 | Microsoft | = |
| 3 | Okta | + 1 |
| 4 | IBM | + 2 |
| 5 | ForgeRock | – 2 |
| 6 | Thales | nouvel entrant |
| 7 | CyberArk | – 2 |
| 8 | Entrust | nouvel entrant |
| 9 | OpenText | nouvel entrant |
| 10 | One Identity (OneLogin) | – 3 |
| 11 | Oracle | – 2 |
Sur l’axe « exécution » :
| Fournisseur | Évolution annuelle | |
| 1 | Okta | = |
| 2 | Microsoft | = |
| 3 | Ping Identity | + 1 |
| 4 | ForgeRock | – 1 |
| 5 | CyberArk | + 1 |
| 6 | IBM | + 1 |
| 7 | Entrust | nouvel entrant |
| 8 | One Identity (OneLogin) | – 3 |
| 9 | Thales | nouvel entrant |
| 10 | Oracle | – 2 |
| 11 | OpenText | nouvel entrant |
L’adoption du SaaS à la traîne chez ForgeRock
ForgeRock obtient le plus haut score sur le critère des fonctionnalités produit. En point d’orgue le CIAM, l’autorisation et l’accès adaptatif. Il est l’un des seuls à fournir un outil d’orchestration avec concepteur visuel de flux. Gartner lui donne aussi des bons points sur l’extensibilité et le modèle économique (vision « alignée sur les tendances du secteur »).
On ne peut pas en dire autant des prix, au-dessus de la moyenne pour l’essentiel des scénarios évalués. ForgeRock a par ailleurs du retard sur l’adoption du SaaS (tous les autres « leaders » ont réuni davantage de clients). Le déploiement peut, en outre, se révéler complexe. Et l’offre est sous la moyenne du marché pour la détection des menaces.
IBM salué sur les prix…
IBM se distingue au contraire positivement sur les prix. Il obtient un des plus hauts scores pour sa feuille de route, sa brique de gestion du consentement et sa stratégie géographique (ouverture de régions cloud). Bons points également sur la personnalisation, l’authentification et l’intégration avec l’écosystème Red Hat (SSO, OpenShift).
Le portefeuille d’intégrations reste limité par rapport à la concurrence ; comme la notoriété de marque et la popularité chez les PME. Quant au CIAM B2B, l’offre d’IBM n’est pas la plus mature.
… comme Microsoft
Microsoft obtient des scores inégalés sur la fiabilité. Même chose sur la tarification (en particulier pour le CIAM). Gartner salue aussi sa compréhension du marché, pour son positionnement anticipé sur les identités machine et les identités décentralisées. L’appréciation est également favorable sur la détection des menaces.
Comme chez IBM, le CIAM manque de maturité, estime Gartner. Autre point de vigilance : la nécessité de licences additionnelles pour des fonctionnalités au public potentiellement large. L’extensibilité n’est pas le fort de Microsoft ; tout du moins, Entra ID (ex-Azure Active Directory) peut nécessiter beaucoup de travail pour intégrer des flux, des méthodes MFA alternatives ou des outils d’autres écosystèmes.
Okta : deux plates-formes peu intégrées
Chez Okta, on se distingue sur l’intégration des identités tierces, l’authentification et la détection des menaces. Même constat pour la fiabilité et les fonctionnalités produit. La croissance sur la partie CIAM est sans égale parmi les fournisseurs classés. Gartner apprécie aussi la roadmap, entre autorisation fine, gestion de la posture de sécurité et intégration desktop pour la composante MFA.
Les prix sont « largement au-dessus de la moyenne » et l’accès adaptatif exige une licence supplémentaire. La gestion du consentement fait défaut, tout comme l’orchestration. Les plates-formes B2E et CIAM ne sont pas à parité fonctionnelle. La première, par exemple, ne supporte pas le SCIM. Et la seconde n’a pas les mêmes possibilités de détection des menaces.
Ping Identity : innovant, mais complexe
Ping Identity emporte la palme sur le critère « innovation ». Sa roadmap inclut notamment une marketplace pour l’orchestrateur et des solutions packagées axées sur des cas d’usage. La capacité de réponse au marché est un autre point fort (autorisation fine sur les API, détection d’anomalies dans les tokens OAuth…). Gartner relève aussi la maturité de l’offre B2E – Ping Identity fut l’un des premiers à y introduire un orchestrateur et la prise en charge des identités décentralisées.
En prenant l’exemple de l’accès adaptatif, Gartner regrette que les solutions de Ping Identity puissent être complexes à implémenter. Le pricing, lui, est « supérieur à la moyenne » sur beaucoup de use cases CIAM. Attention, notamment, aux coûts supplémentaires pour le contrôle d’accès sur les API, l’autorisation avancée et le moteur d’évaluation de risque.
