Protection des terminaux : l’écart se resserre sur la voie du XDR
Le Magic Quadrant donne toujours une longueur d’avance à Crowdstrike et Microsoft sur le marché des EPP (plates-formes de protection des terminaux). Mais l’écart avec la concurrence diminue.
La sécurisation amont, grand chantier des fournisseurs d’EPP (plates-formes de protection des terminaux) ? Gartner s’attend à des améliorations sur ce point. D’une part au vu des récentes attaques ayant exploité la mauvaise configuration de ces solutions. De l’autre, parce que l’écart entre les offres se réduit sur la phase post-incident.
L’écart s’est aussi réduit entre le duo Microsoft-Crowdstrike et le reste des « leaders » du marché. En tout cas si on compare les deux dernières éditions du Magic Quadrant. Elles reflètent respectivement la situation en mai 2021 et en octobre 2022.
De l’une à l’autre, les conditions d’inclusion ont peu évolué.
Sur la partie fonctionnelle, les quinze critères de premier rang sont tous reconduits, sauf un : un seul agent/capteur ou une intégration à l’OS. Il est remplacé par la capacité à détecter l’usage abusif d’identités et de jetons, ainsi que la latéralisation consécutive.
Il y a aussi un peu de changement sur les critères de second rang. Exit l’élément « sandbox cloud ou réseau », auquel Gartner substitue « prise en charge des workloads cloud, serverless compris ».
Les critères éliminatoires relatifs à la clientèle demeurent, mais revus à la hausse pour l’un d’entre eux. Dans l’édition précédente, il fallait pouvoir revendiquer au minimum 250 000 installations actives d’au moins 500 sièges. On est passé à 500 000.
Dix-huit fournisseurs, six « leaders »
Le positionnement dans le Quadrant se fonde sur deux dimensions. D’un côté, un axe « vision ». Il est centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). De l’autre, un axe « exécution » qui reflète la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « vision », les fournisseurs classés se placent dans cet ordre :
| Fournisseur | |
| 1 | Crowdstrike |
| 2 | Microsoft |
| 3 | SentinelOne |
| 4 | Cybereason |
| 5 | Sophos |
| 6 | Trend Micro |
| 7 | Palo Alto Networks |
| 8 | Fortinet |
| 9 | Cisco |
| 10 | VMware |
| 11 | Broadcom (Symantec) |
| 12 | Bitdefender |
| 13 | Check Point Software Technologies |
| 14 | WithSecure |
| 15 | Trellix |
| 16 | BlackBerry (Cylance) |
| 17 | Deep Instinct |
| 18 | ESET |
Sur l’axe « exécution » :
| Fournisseur | |
| 1 | Microsoft |
| 2 | Crowdstrike |
| 3 | SentinelOne |
| 4 | Cybereason |
| 5 | Trend Micro |
| 6 | Sophos |
| 7 | ESET |
| 8 | Cisco |
| 9 | Trellix |
| 10 | Palo Alto Networks |
| 11 | Broadcom (Symantec) |
| 12 | VMware |
| 13 | Fortinet |
| 14 | WithSecure |
| 15 | Deep Instinct |
| 16 | BlackBerry (Cylance) |
| 17 | Bitdefender |
| 18 | Check Point Software Technologies |
Crowdstrike encore « immature » sur le XDR
Crowdstrike a pour lui sa compréhension du marché, reflétée dans la couverture de son offre, qui s’est étendue en particulier au monitoring des conteneurs. Autres éléments que salue Gartner : la satisfaction client, l’adoption de son offre MDR et l’acquisition de Humio qui fournit une base XDR.
Appréciation moins positive sur le pricing : tarification publique plus élevée que la moyenne, remises moins généreuses. Gartner regrette aussi l’absence d’option de gestion on-prem et de prise en charge de Windows XP / Server 2003. Tout en signalant une approche encore « immature » du XDR en comparaison aux autres « leaders » du Quadrant.
Cybereason : au-delà des endpoints, un manque
Bon point pour Cybereason sur la présentation des données relative aux menaces. Même chose pour la compatibilité OS, la protection des conteneurs, les capacités d’analyse du trafic réseau et les options de remédiation.
On ne peut pas en dire autant sur le support linguistique, limité à l’anglais et au japonais. Tout comme sur l’empreinte de l’agent. Gartner pointe aussi le manque d’outils au-delà de ceux axés sur les endpoints. Et note, en parallèle, les réductions d’effectifs qui ont eu lieu à l’automne 2022.
Microsoft : un MDR incomplet
La compréhension du marché est aussi un point fort chez Microsoft. Elle se reflète notamment dans l’intégration entre Defender et ses autres produits. Gartner salue aussi les capacités de gestion de la surface d’attaque externe et des logs. Ainsi que l’inclusion, en standard, de contrôle de la navigation web et du réseau.
Le jugement est moins positif concernant l’offre Defender Experts, un service MDR « pas encore complet ». Attention aussi à la complexité de la recherche de menaces pour qui n’a pas les ressources adéquates. Comme chez Crowdstrike, le support des OS legacy est limité. Il n’y a par ailleurs pas d’option on-prem.
SentinelOne : une approche XDR à mûrir
SentinelOne se distingue par ses résultats « dans la pratique », sur la détection d’attaques. Gartner relève aussi l’extension de son réseau de partenaires MDR et la croissance de l’adoption de ses propres services managés. Ainsi que le niveau de prise en charge des systèmes d’exploitation, en particulier Linux.
Par rapport aux autres « leaders », SentinelOne ne rivalise pas en matière de notoriété de marque et son XDR reste « en évolution ». Sa prise en charge des déploiements on-prem et des systèmes non connectés directement à Internet reste en outre partielle.
Sophos : des menaces passées sous les radars
Sophos, lui, s’est positionné tôt sur l’aspect XDR. La profondeur de son catalogue le distingue aussi. Tout comme son service MDR, son intégration avec l’API Microsoft Graph Security et sa capacité de rollback.
Le fournisseur britannique ne propose pas d’options de déploiement on-prem ou en cloud privé. Surtout, il ne brille pas par ses résultats en détection, entre éléments passés sous les radars et télémétrie difficile à interpréter.
Trend Micro : un « petit » sur le segment EDR
La profondeur de l’offre est aussi un point fort chez Trend Micro (prise en charge des systèmes industriels, DLP, sandbox réseau…). Le support OS l’est aussi (Linux, plates-formes serveur legacy), comme la gestion de la surface d’attaque externe.
Son agent reste plus consommateur que la moyenne ; son MDR, moins adopté. Sa part de marché sur les EDR est globalement plus faible que celle de ses principaux concurrents. Et les intégrations XDR tierces manquent encore à l’appel.
Photo d’illustration © Emanuel Corso – Adobe Stock
