Gestion des accès à privilèges (PAM) : le marché croît et WALLIX avec
WALLIX se hisse chez les « leaders » au Magic Quadrant du PAM. Comment se caractérise le marché et vers quoi évolue-t-il ?
Pas d’agent PEDM ? Cela n’empêchait pas, jusqu’en 2020, de figurer au Magic Quadrant du PAM (gestion des accès à privilèges). Avec l’édition 2021, les choses avaient changé : c’était devenu un critère obligatoire. Il avait coûté leur place à ManageEngine et Hitachi ID.
L’un et l’autre font leur retour cette année. Dans l’absolu, le premier dispose désormais d’un PEDM, pour le moment sur Windows (Linux est sur sa feuille de route). Le second, en revanche, n’en a toujours pas à son catalogue. S’il retrouve une place au Quadrant, c’est que ce critère technologique est redevenu facultatif.
La gestion des secrets reste quant à elle optionnelle. Le CIEM (gestion des droits d’accès à l’infrastructure cloud, que Gartner inclut pour la première fois formellement dans son évaluation) l’est aussi.
Le cabinet américain distingue deux dynamiques de convergence. Une qu’il qualifie de « macro », entre les segments de l’IAM, avec, par exemple, One Identity qui intègre de l’IGA (gouvernance des identités) à son PAM. L’autre « micro », à travers laquelle les offreurs touchent, d’un point de vue fonctionnel, aux catégories d’outils adjacentes que sont le CIEM et la gestion des secrets.
Sur les 11 fournisseurs classés, 6 disposent d’une brique CIEM et 4 l’ont sur leur feuille de route (Wallix fait exception). Ils sont 7 à proposer de la gestion des secrets et 3 à l’avoir planifiée (exception : Broadcom).
WALLIX : de « challenger » à « leader » du PAM…
Gartner juge les fournisseurs sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « vision », les fournisseurs classés au Quadrant se placent dans cet ordre :
| Fournisseur | Date de création | |
| 1 | CyberArk | 1999 |
| 2 | One Identity | 2016 |
| 3 | Delinea | 2004 |
| 4 | WALLIX | 2003 |
| 5 | BeyondTrust | 1985 |
| 6 | ARCON | 2006 |
| 7 | Saviynt | 2010 |
| 8 | Broadcom (Symantec) | 1991 (1982) |
| 9 | ManageEngine | 1996 |
| 10 | Hitachi ID | 1992 |
| 11 | Netwrix | 2006 |
Sur l’axe « exécution » :
| Fournisseur | |
| 1 | CyberArk |
| 2 | ARCON |
| 3 | Delinea |
| 4 | One Identity |
| 5 | BeyondTrust |
| 6 | WALLIX |
| 7 | Broadcom |
| 8 | ManageEngine |
| 9 | Saviynt |
| 10 | Hitachi ID |
| 11 | Netwrix |
Six fournisseurs se trouvent dans la catégorie des « leaders ». Quatre y étaient déjà l’an dernier : ARCON, BeyondTrust, CyberArk et One Identity. Centrify et Thycotic s’y trouvaient également… et leur fusion a donné Delinea. Le français WALLIX est le seul « promu », lui qui se positionnait chez les « challengers » (plus fort sur l’axe « exécution ») en 2021.
… et parmi les moins chers
Hormis ARCON et WALLIX, tous les « leaders » ont droit à un bon point concernant leur viabilité, sur la foi de différents indicateurs dont la croissance des revenus et de la clientèle.
Sur la question du pricing, les appréciations sont plus diverses. Elles sont positives pour ARCON (compétitif, en particulier sur le PASM), One Identity (prix parfois « très en dessous du marché ») et WALLIX (« très compétitif »). C’est le contraire pour BeyondTrust (les prix ont augmenté et sont désormais au-dessus de la moyenne pour la plupart des scénarios étudiés), CyberArk (« parmi les plus chers ») et Delinea (en particulier de par la limite à 10 000 secrets pour la version cloud du PASM Secret Server).
Gartner salue les avancées technologiques d’ARCON, qui s’est notamment doté d’une brique de gestion des secrets et d’un CIEM. Il lui accord aussi un bon point pour l’expérience client. C’est moins positif concernant la présence géographique hors EMEA/APAC, la roadmap (qui consiste essentiellement en des « rattrapages ») et le catalogue d’intégrations limité.
Du côté de BeyondTrust, on se distingue sur l’exhaustivité et les performances du PEDM, comme sur l’expérience client. On ne peut en dire autant sur la gestion des sessions à privilèges et des secrets, ainsi que sur la roadmap (même remarque que pour ARCON).
Centrify-Thycotic : fusion réussie dans le PAM ?
CyberArk a pour lui un large éventail de connecteurs et des capacités « parmi les plus matures du marché », surtout pour le PASM et la gestion des secrets. Il reste, plus globalement, le leader du PAM, avec une feuille de route qui contient des mises à jour significative, en particulier sur le JIT. Reste que certaines fonctions sont difficiles à paramétrer et à exploiter. Comme la récupération après sinistre, qui s’appuie sur des processus manuels. Ou les mises à jour logicielles et les intégrations de plug-in, qui peuvent exiger des services professionnels.
Chez Delinea, Gartner reconnaît la complémentarité Centrify-Thycotic. Le premier apportant PEDM et passerelle Active Directory, en nourrissant son PASM avec le coffre-fort du second. Autres points positifs : les progrès su la gestion des secrets (intégrations tierces), la gestion des comptes de services et les accès à privilèges aux bases de données.
Des progrès, il en reste à faire sur l’enregistrement natif des sessions RDP. Idem sur la prise de distance vis-à-vis de PowerShell, encore souvent requis.
One Identity se distingue plutôt sur le PEDM et la gestion des sessions à privilèges. Tout comme sur l’expérience client. Moins sur le JIT – qui dépend de produits externes – et la gestion des secrets. Son offre SaaS ne bénéficie pas ailleurs pas de la certification SOC 2.
WALLIX fait moins bien que la moyenne sur la gouvernance des accès et la découverte des comptes à privilèges. Au contraire, son offre se distingue sur la gestion des sessions. Et c’est l’une des seules à cibler l’OT.
Photo d’illustration © Ruslan Gramble – Shutterstock
