Thales au Magic Quadrant de l’AM (gestion des accès) ? C’était le cas l’an dernier. Le groupe français figurait dans la catégorie des « fournisseurs de niche ». Comme l’entreprise indienne Ilantus.

Cette année, ni l’un ni l’autre n’est de la partie. Ilantus, du fait de son positionnement limité à la gestion des identités internes. Thales, à défaut de satisfaire aux exigences technologiques de Gartner. Ou plus précisément parce qu’il ne remplissait pas les critères au 6 juin 2022, date à laquelle le cabinet américain a arrêté son analyse. Quelques semaines plus tard, Thales bouclait l’acquisition de OneWelcome… qui lui aurait valu une place au Quadrant.

Gartner juge les offreurs sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

Sur l’axe « vision », les fournisseurs classés au Quadrant se placent dans cet ordre :

Fournisseur Date de création 1 Ping Identity 2002 2 Microsoft 1975 3 ForgeRock 2010 4 Okta 2009 5 CyberArk 1999 6 IBM 1911 7 One Identity 2016 8 Micro Focus 1976 9 Oracle 1977

Sur l’axe « exécution » :

Fournisseur 1 Okta 2 Microsoft 3 ForgeRock 4 Ping Identity 5 One Identity 6 CyberArk 7 IBM 8 Oracle 9 Micro Focus

Les cinq « leaders » de l’édition 2021 le restent. Nommément, CyberArk, ForgeRock, Microsoft, Okta et Ping Identity.

CyberArk peut s’appuyer sur son PAM

CyberArk est passé entièrement au SaaS pour ses briques AM, proposées individuellement ainsi qu’à travers plusieurs packs. Parmi les derniers ajouts à son catalogue figure un gestionnaire de mots de passe, fondé sur le coffre-fort qui alimente son offre PAM (gestion des accès à privilèges). L’enregistrement des sessions avec isolation des processus fait également partie des nouveautés. Sur la roadmap, il y a notamment l’intégration de fonctionnalités touchant à l’IAM (gestion des identités) et à l’ITDR (détection et réponse aux menaces sur les identités).

CyberArk se distingue par sa capacité de livraison des fonctionnalités se trouvant sur sa feuille de route. Il fait par ailleurs « mieux que la moyenne » sur l’intégration d’applications « modernes » (prenant en charge les protocoles récents) et les fonctionnalités d’authentification. Bon point également sur la stratégie commerciale ; en tête de liste, les jonctions avec l’offre PAM et sa base de clientèle.

Le pricing n’est pas un point fort de CyberArk. Il est en tout cas « bien plus élevé que la moyenne » sur l’essentiel des scénarios que Gartner a étudiés. L’offre du fournisseur américain manque en outre de traction autant sur la gestion des identités externes que sur les usages axés développeurs. La facilité de déploiement laisse aussi à désirer, en tout cas par rapport à la moyenne. L’usage aussi, en tout cas sur l’administration des identités externes : API exigées, même pour des cas basiques.

ForgeRock : le SaaS encore minoritaire

En plus de son SaaS Identity Cloud, ForgeRock propose une option de déploiement sur site (Identity Platform). C’est celle qu’ont choisie la plupart de ses clients. Ceux qui ont opté pour le SaaS gèrent généralement des identités externes. Parmi les derniers ajouts : délégation d’administration avancée sur cette partie identités externes, intégration d’ITDR dans l’outil d’orchestration et amélioration de la résilience SaaS. Comme chez CyberArk, la convergence avec l’IAM est sur la roadmap. Aux côtés, notamment, d’une marketplace d’intégrations.

Cette roadmap vaut à ForgeRock le plus haut score du Quadrant en matière de stratégie produit. L’entreprise américaine est, en parallèle, dans le haut du panier sur la partie fonctionnelle : prise en charge des conteneurs, API et documentation solides, etc. Son marketing des fonctionnalités UEBA (analyse comportementale) et du « sans mot de passe » lui vaut aussi un bon point.

ForgeRock est, au contraire, crédité du score le plus bas sur la stratégie géographique. En plus d’être la moins importante parmi tous les « leaders », la base installée est très concentrée sur les plaques États-Unis et Europe. Le pricing, quant à lui, est au-dessus de la moyenne sur l’essentiel des scénarios. Le reporting, à l’inverse, est en dessous de la moyenne. Gartner attire par ailleurs l’attention sur le partenariat fort de ForgeRock avec Accenture : attention si vous vous appuyez sur d’autres MSSP…

Microsoft : un « effet Office 365 » pour Azure AD

Chez Microsoft, la solution AM s’appelle… Azure Active Directory. Elle s’inscrit dans une plate-forme IAM plus large : Entra, qui inclut aussi CIEM (gestion des droits de l’infrastructure cloud) et DCI (identités décentralisées). La plupart des clients en ont un usage axé identités internes. De l’ITDR s’est récemment greffée à l’offre, tout comme la délégation d’administration et l’évaluation continue des accès pour les applications Microsoft.

Microsoft obtient le plus haut score sur plusieurs critères, dont l’exécution commerciale, le pricing et la viabilité : il est le « leader » de la gestion des identités internes (plus de 500 000 clients payants). Son business model, comme sur bien d’autres segments IT, est nettement porté par l’écosystème Office 365. Sa gestion des identités décentralisées lui vaut un autre bon point.

Gartner a un avis moins favorable sur la partie technique : Microsoft est en retard sur les autres « leaders ». Entre autres sur la gestion des identités externes. Mais aussi les outils développeurs, avec des SDK plus limités que chez la concurrence. La résilience d’Azure Active Directory est un autre point faible, pas aidé par la non-prise en charge des déploiements hybrides.

Okta: les pour et les contre de l’absorption d’Auth0

Okta a deux gammes de produits : son SaaS et celui d’Auth0, dont il a bouclé l’acquisition en début d’année. Lui aussi a récemment ajouté de l’ITDR à son catalogue. Plus précisément sur l’offre Auth0, également dotée d’une option cloud privé (Azure) et d’une jonction avec Ethereum. Du côté de l’offre Okta, le « sans mot de passe » est arrivé, en parallèle de fonctionnalités de gouvernance des identités (IGA).

Okta se positionne comme le leader sur la gestion des identités externes. Il obtient le meilleur score du Quadrant sur la partie fonctionnelle. En particulier pour les briques SSO, analytics et outils développeurs. Même chose sur le volet expérience client, notamment pour la facilité d’usage.

Le pricing n’est pas non plus un point fort d’Okta (il est « bien plus haut que la moyenne »). Le rapprochement avec Auth0 entraîne par ailleurs des doublons et certains retards sur la roadmap. Gartner relève aussi la gestion peu efficace de l’incident de sécurité majeur survenu en début d’année.

Ping Identity : on évite pour les développeurs ?

Chez Ping Identity, trois options de déploiement : SaaS multilocataire, cloud privé et sur site. L’offre s’est dernièrement ouverte aux identités décentralisées et à la détection des fraudes. Des options multiclouds sont sur la roadmap, au même titre que la résilience actif-actif et une marketplace d’intégrations avec l’orchestrateur DaVinci.

L’exhaustivité de la roadmap vaut à Ping Identity un bon point. Le volet opérationnel aussi, avec une capacité à couvrir le segment des grandes entreprises et les environnements complexes. Gartner salue aussi les fonctionnalités du produit, seul au Quadrant à associer preuve d’identité, orchestration, identités décentralisées et détection de fraude. Le score est également « plus haut que la moyenne » sur le contrôle des accès aux API et sur la granularité des autorisations.

Ping Identity ne fait pas exception sur le pricing, en tout cas pour la gestion des identités externes. La facilité d’usage de ses produits n’est pas non plus son fort, en tout cas au niveau du mid-market. Gartner signale aussi l’absence de PAM et d’IGA embarqués. Et constate que la qualité des outils développeurs est « sous la moyenne ».

