Protection des terminaux : pourquoi Gartner distingue CrowdStrike et Microsoft

Clément Bohic,

CrowdStrike et Microsoft se détachent parmi les six « leaders » du Magic Quadrant consacré à la protection des terminaux. À quels titres ?

Les périodes de rétention des données sont-elles suffisamment longues sur les EDR ? Gartner ne l’affirme pas, mais invite les éditeurs de ces solutions à « anticiper les attaques qui s’étalent sur plusieurs semaines ». Sa référence : l’épisode SolarWinds.

Le cabinet américain mentionne cette campagne d’espionnage à de nombreuses reprises dans son Magic Quadrant dédié à la protection des terminaux (EPP). Il y classe six fournisseurs au rang des « leaders ». Avec, en combinant les axes « stratégie » et « innovation », une hiérarchie assez clairement établie. Sauf entre les deux premiers de classe : Microsoft et Crowdstrike.

Gartner Magic Quadrant protection terminaux 2021

Chez Microsoft, on marque des points sur la cohérence de l’offre : une console cloud, un data lake et une API pour l’ensemble des produits Defender. Gartner salue aussi, entre autres, l’étendue des systèmes d’exploitation pris en charge. Mais pas le fait que Windows 7 soit passé à la trappe. Autre point de vigilance : la gestion plus délicate des appareils non connectés directement au réseau internet. Même chose pour le service de recherche de menaces géré, « pas au niveau » des concurrents.

Conteneurs, serverless… Le défi de la couverture fonctionnelle

Du côté de CrowdStrike (plate-forme Falcon), on est crédité de bons points pour :

  • L’agent, qui consomme peu de ressources
  • Le déploiement et l’utilisation de la console de gestion
  • La notoriété de marque et la réputation de ses services professionnels, notamment OverWatch (recherche de menaces)
  • La capacité à s’adapter aux attaques, conséquence d’une clientèle fortement ciblée

L’avis de Gartner n’est pas aussi favorable sur :

  • Les coûts supplémentaires auxquels il faut s’attendre
  • La rétention des données limitée à une semaine sur la version standard de l’outil de visualisation des menaces (et des options pas aussi étendues que chez les concurrents)
  • Un retard dans la prise en charge des conteneurs et du serverless
  • En dépit de partenariats (Netskope, Okta, Proofpoint…), une faiblesse sur le segment du XDR

Par XDR (« détection et réponse étendues »), Gartner entend l’unification de plusieurs solutions en un « système » : pare-feu, bacs à sable, passerelles e-mail, gestion des identités, etc.

En la matière, Sophos se distingue comme l’un des premiers à avoir proposé une telle approche. Gartner souligne aussi la confiance que les clients affichent vis-à-vis des capacités de défense contre les ransomwares. Il déplore au contraire le « retard technologique » de la version on-prem par rapport à la version SaaS. Ainsi que la lourdeur de l’agent Intercept X.

XDR : des « leaders » en retrait

Avec sa plate-forme Singularity, SentinelOne n’a pas droit aux mêmes louanges sur la partie XDR. Ses capacités ne sont « pas aussi exhaustives » que chez les concurrents, explique Gartner. Tout en déplorant le manque de certaines extensions comme le DLP pour les clients qui arrivent de la concurrence.

Chez Trend Micro aussi, Gartner donne un mauvais point sur le XDR. Plus précisément de par le fait que l’interface n’est pas la même que celle de la console principale – et que les périodes de rétention diffèrent aussi. L’agent n’a pas non plus droit à un bon point, comme l’automatisation, « moins avancée » que chez les autres leaders du Magic Quadrant.
C’est positif, en revanche, sur la gestion des vulnérabilités ; entre autres grâce à la fonctionnalité d’application « virtuelle » de correctifs. Idem pour le développement de l’offre cloud et les capacités de contrôle des applications.

Particularité de ce Magic Quadrant : l’étendue des critères à remplir pour y figurer. Gartner les a divisés en deux listes. La première comprend des fonctionnalités typiques de ces solutions. Par exemple, la détection statique, la centralisation des indicateurs de compromis et la possibilité d’intégrer des services de renseignement sur les menaces. La seconde inclut des capacités plus avancées. Parmi elles, l’isolation d’applications et la détection des techniques d’évasion.

Gartner estime qu’à l’heure actuelle, environ 60 % des déploiements de ces solutions sont dans le cloud. Le cap des 95 % devrait être dépassé d’ici à fin 2023. À l’horizon 2025, la moitié des utilisateurs d’EDR exploiteront des services managés.

Illustration principale © Rawpixel.com – Adobe Stock