Gestion du risque IT : le top 10 des fournisseurs
Qui sont les têtes d’affiche de l’ITRM (gestion du risque IT) et comment leurs offres se distinguent-elles ? Éléments de réponse sur la base du Magic Quadrant.
Du SaaS sinon rien ? Cette situation n’est plus si rare sur le marché de l’ITRM (gestion du risque IT). Tout du moins chez les principaux fournisseurs. C’est le cas pour près de la moitié de ceux classés au Magic Quadrant. Six sur quatorze en l’occurrence.
Deux d’entre eux font partie des « leaders » au sens de Gartner : Diligent et NAVEX Global. L’un et l’autre proposent des capacités ITRM dans le cadre d’une plate-forme plus vaste de type GRC (gouvernance, gestion du risque et conformité).
Le positionnement des fournisseurs dans le « carré magique » repose sur deux axes : « vision » et « exécution ». En fonction de celui auquel on donne la priorité, la hiérarchie varie. Aussi, le tableau qui suit n’est pas à prendre comme un classement. Il reprend toutefois l’ordre dans lequel sont placées les quatre typologies d’offreurs : « leaders » (de ServiceNow à NAVEX Global), « challengers » (de LogicManager à SureCloud), « visionnaires » (ici, aucun) et « acteurs de niche » (Allgress, TechDemocracy, Riskonnect).
Le top 10 :
| Fournisseur | Date de création | Siège social | |
| 1 | ServiceNow | 2004 | États-Unis |
| 2 | Diligent | 2001 | États-Unis |
| 3 | Archer (ex-RSA Archer) | 2000 | États-Unis |
| 4 | MetricStream | 1999 | États-Unis |
| 5 | IBM | 1911 | États-Unis |
| 6 | SAI360 (ex-SAI Global) | 2008 | États-Unis |
| 7 | NAVEX Global | 1998 | États-Unis |
| 8 | LogicManager | 2005 | États-Unis |
| 9 | OneTrust | 2016 | États-Unis |
| 10 | Reciprocity | 2009 | États-Unis |
La suite du classement :
| Fournisseur | Date de création | Siège social | |
| 11 | SureCloud | 2006 | États-Unis |
| 12 | Allgress | 2006 | États-Unis |
| 13 | TechDemocracy | 2000 | États-Unis |
| 14 | Riskonnect | 2007 | États-Unis |
Cap sur la quantification des risques
Du côté de Diligent, on se distingue sur les aspects reporting et certifications. Moins sur l’innovation : en 2021, l’intégration technologique de Galvanize (ancien « leader » du Quadrant) a consommé une bonne partie des dépenses R&D. Gartner regrette aussi l’absence de modes de déploiement hors SaaS (une localisation en Europe : l’Allemagne), malgré quelques capacités offline.
NAVEX Global a le droit à la même remarque sur le volet SaaS (AWS et cloud NAVEX). Et à un autre mauvais point, sur sa couverture géographique. 85 % de sa clientèle se trouve en Amérique du Nord, et cela se ressent sur la qualité du support hors de cette zone. Points positifs : la stratégie commerciale et le pricing, « simple et adapté à toute taille d’organisation ».
Chez Archer, le SaaS inquiète sur un autre point : le manque de clarté de la roadmap de migration pour les 80 % de clients qui sont encore sur de l’on-prem. C’est plus positif, en revanche, sur la feuille de route technologique, entre réduction du temps de déploiement et intégration d’un outil natif de quantification du risque. L’entreprise américaine a aussi pour elle la qualité de son approche low code pour la conception de processus.
Autre fournisseur à se distinguer sur la roadmap techno : SAI360. Avec dans les cartons, entre autres, un hub d’intégrations et des améliorations sur l’arborescence des actifs IT. Gartner souligne aussi la qualité des services d’implémentation. L’avis n’est pas aussi favorable sur le pricing comme sur la connexion avec les outils de gestion des incidents.
ServiceNow a pour lui un des plus gros budgets R&D du Quadrant, une série d’acquisitions récentes et une vaste présence commerciale. Sa tarification manque toutefois de flexibilité et il peut être difficile de tirer une valeur ajoutée de l’ITRM sans avoir un déploiement ITSM en parallèle sur la plate-forme Now.
ITRM vs ERM : un « marché dans le marché »
MetricStream aussi se distingue sur la stratégie commerciale. Ainsi que sur la roadmap techno ; là aussi avec, entre autres, un moteur de quantification du risque. Cependant, l’éditeur américain ayant un focus plus large (ERM = management du risque en entreprise), certaines composantes ITRM sont passées à la trappe. Ou ont été développées sous un angle plus business qu’IT. La plate-forme demande, en outre, beaucoup de support une fois déployée. D’autant que les capacités low code sont relativement difficiles à prendre en main.
Comme ServiceNow, IBM a pour lui une couverture géographique mondiale, avec un support de qualité et un ITRM localisé en une dizaine de langues dont le français. Il en gère davantage « à la volée », à renfort de NLP. L’IA est plus globalement un point fort de son offre, jusqu’à la jonction avec Watson Studio pour gérer les modèles. Le groupe américain affiche toutefois la dynamique la moins favorable chez les « leaders » du Quadrant. Et son produit a quelques vides. D’un côté, pas de marketplace de produits ITRM tiers. De l’autre, pas de connecteurs en standard pour les outils les plus communs de threat intelligence et de gestion d’incidents.
Photo d’illustration © alice_photo – Adobe Stock
