Protection des terminaux : on-prem et legacy deviennent vraiment l’exception
La Magic Quadrant des plates-formes de protection des terminaux (EPP) illustre la difficulté à trouver chaussure à son pied quand on souhaite sécuriser des infrastructures héritées et/ou déployer sur site.
On ne se refait pas ? D’un Magic Quadrant à l’autre, certains fournisseurs de plates-formes de protection des terminaux (EPP) ont en tout cas droit aux mêmes reproches.
En tête de liste, CrowdStrike et Microsoft, qui gardent une longueur d’avance sur la concurrence. Le premier reste pointé du doigt pour sa tarification publique plus élevée que la moyenne. Ainsi que le manque d’options de déploiement sur site et de support des OS hérités. Deux points qui concernent aussi le second… comme bien d’autres offreurs*.
Les critères d’inclusion au Quadrant, eux, ont changé. Pas tant dans le fond que dans la forme. En particulier sur le volet fonctionnel. Gartner les a condensés en huit éléments (il fallait en couvrir au moins sept) :
– Protection basée sur un agent et associant plusieurs techniques (analyse statique, analyse comportementale, réduction de la surface d’attaque…)
– Un seul agent pour la prévention, la détection et la réponse
– Capacité à enclencher une réponse native face aux malwares
– Évaluation de criticité, arbre de processus, mapping des événements et des alertes avec le framework MITRE ATT&CK
– Prise en charge des nouvelles versions d’OS majeurs (Windows, Mac, Linux) dans les 90 jours après leur sortie
– Console de gestion cloud multilocataire
– Stockage de la télémétrie et des événements pour au moins 30 jours
– Intégration de contrôles de sécurité natifs ou tiers (protection des identités, sécurité des e-mails, SSE…)
L’IA générative n’est pas entrée en compte, faute de suffisamment de retours (Gartner a arrêté son évaluation au 15 juin 2023).
En matière d’empreinte, il s’agissait, d’une part, de couvrir au moins 7,5 millions de terminaux. Et de l’autre, de pouvoir revendiquer au minimum 500 000 installations actives d’au moins 500 sièges.
Seize fournisseurs, six « leaders »
Le positionnement au sein du Quadrant résulte d’une évaluation sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
La situation sur l’axe « vision » :
| Fournisseur | Évolution annuelle | |
| 1 | CrowdStrike | = |
| 2 | Microsoft | = |
| 3 | SentinelOne | = |
| 4 | Palo Alto Networks | + 3 |
| 5 | Trend Micro | + 1 |
| 6 | Sophos | – 1 |
| 7 | Check Point Software Technologies | + 6 |
| 8 | Cybereason | – 4 |
| 9 | Bitdefender | + 3 |
| 10 | Fortinet | – 2 |
| 11 | Cisco | – 2 |
| 12 | Trellix | + 4 |
| 13 | Broadcom (VMware) | – 3 |
| 14 | Broadcom | – 3 |
| 15 | ESET | + 3 |
| 16 | WithSecure | – 1 |
Sur l’axe « exécution » :
| Fournisseur | Évolution annuelle | |
| 1 | CrowdStrike | + 1 |
| 2 | Microsoft | – 1 |
| 3 | Trend Micro | + 2 |
| 4 | SentinelOne | – 1 |
| 5 | Palo Alto Networks | + 5 |
| 6 | Sophos | = |
| 7 | Trellix | + 2 |
| 8 | Bitdefender | + 9 |
| 9 | ESET | – 2 |
| 10 | Fortinet | + 3 |
| 11 | Check Point Software Technologies | + 7 |
| 12 | Cybereason | – 8 |
| 13 | Cisco | – 5 |
| 14 | Broadcom (VMware) | – 2 |
| 15 | WithSecure | – 1 |
| 16 | Broadcom | – 5 |
CrowdStrike, pas le mieux placé sur la dimension digital worplace
Outre les éléments sus-évoqués, CrowdStrike a un support linguistique limité à l’anglais et au japonais. Ses capacités natives de sécurisation de la digital workplace sont par ailleurs moins « complètes » que chez les autres « leaders ». Gartner note aussi une durée par défaut de conservation des données de télémétrie plus basse que la moyenne.
Pointé il y a un an pour son approche encore « immature » du XDR, CrowdStrike ne l’est plus. Au rang de ses points forts, il y a l’innovation sur plusieurs aspects, dont sécurité du cloud, gestion de la surface d’attaque et ITDR (détection et réponse aux menaces sur les identités). Gartner salue aussi la maturité et les capacités de personnalisation de la fonctionnalité EDR, ainsi que la légèreté de l’agent. Bon point également pour la brique MDR.
Microsoft : tendance au packaging… et à la redondance
Sous le prisme de ce Quadrant, l’innovation est aussi un point fort de Microsoft. Elle se reflète dans la profondeur de son offre de sécurisation de la digital workplace et dans les liens noués avec le SIEM Sentinel. Contrairement à CrowdStrike, la conservation de la télémétrie est « généreuse » par défaut. Microsoft se distingue aussi sur les possibilités de gestion des configurations de sécurité.
Côté OS, outre le support limité du legacy, la prise en charge est inégale hors de l’écosystème Windows. Pour ce qui est de la console de gestion, l’UX est « sous la moyenne ». Microsoft a par ailleurs tendance à axer ses ventes sur des packs, au risque de créer des dépenses redondantes.
Palo Alto Networks, plus cher que la moyenne
Nouvel entrant dans le carré des « leaders », Palo Alto Networks a pour lui les efforts d’intégration de sa composante « sécurisation de la digital workplace ». Le possibilités de personnalisation, l’interopérabilité et l’automatisationsont d’autres points forts, tout comme son reach global (nombre de langues prises en charge et de points de présence cloud).
La part de marché de Palo Alto Networks reste nettement inférieure à celle des autres « leaders », constate Gartner. S’y ajoutent le manque de support des déploiements on-prem (malgré une option hybride via une VM intermédiaire), une UX console « sous la moyenne »… et des prix, au contraire, « au-dessus de la moyenne ».
SentinelOne peut aussi progresser sur la digital workplace
SentinelOne a quant à lui trouvé un bon équilibre entre fonctionnalité et intuitivité de sa console, affirme Gartner. Il est rapide pour livrer de nouvelles capacités (ITDR, protection en temps réel du noyau Windows…) et prend en charge un large éventail d’OS (legacy avec Windows XP et Server 2003, Linux via eBPF, NetApp ONTAP depuis 2023…).
Comme chez CrowdStrike, la prise en charge linguistique se limite officiellement à l’anglais et au japonais. Et il existe une marge de progression sur la composante digital workplace. À noter également l’absence de support du mode managé pour le XDR et la protection des identités.
Sophos : de la cohérence à trouver sur le XDR
Concernant Sophos, Gartner vante le périmètre des offres endpoint, digital workplace, réseau et XDR. Remarques positives également à l’égard des intégrations tierces dans la brique MDR, ainsi que des outils Account Health Check (identification et remédiation des mauvaises configurations) et Active Advanced Protection (renforcement de la protection en cas de détection d’attaque sévère).
On n’en dira pas autant de l’EDR. Aussi bien de par son adoption lente que le manque de fonctionnalités avancées (personnalisation des niveaux de criticité, classification MITRE ATT&CK…). Sur la partie XDR, les workflows peuvent gagner en cohérence (nécessité de couper-coller et de naviguer entre de multiples onglets).
Trend Micro et les angles morts de la télémétrie
Salué il y a un an pour la profondeur de son offre, Trend Micro l’est cette fois-ci plus précisément pour la partie digital workplace. Ses capacités de gestion des configurations et de la surface d’attaque lui valent aussi un bon point, comme ses avancées sur le XDR. Idem pour la flexibilité des licences (systèmes de crédits), doublée de prix généralement plus bas que chez les autres « leaders ». Autre avantage : le support d’OS tels qu’AIX et Solaris.
Trend Micro reste en déficit de notoriété par rapport à ses principaux concurrents. Il existe par ailleurs des angles morts dans sa télémétrie et son agent reste plus lourd que la moyenne. Gartner note aussi le manque, dans la console MSSP, de capacités centralisées de gestion des configurations et des politiques de sécurité entre locataires.
* Les organisations qui continuent à sécuriser des infrastructures héritées ou qui nécessitent des déploiement sur site pour des questions de résidence des données ont souvent de la peine à trouver chaussure à leur pied, résume Gartner.
Illustration © Emanuel Corso – Adobe Stock
