Protection des terminaux : qui sont les principaux fournisseurs ?

Magic Quadrant protection terminaux fournisseurs

Qui sont les têtes d’affiche de la protection des terminaux et qu’attendre de leurs offres ? Éléments de réponse sur la base du Magic Quadrant.

Qui n’était pas né en l’an 2000 ? Au Magic Quadrant de la protection des terminaux (EPP  ou Endpoint Protection Platform ), pas grand monde. En l’occurrence, 5 fournisseurs sur les 19 classés. Autre élément remarquable au-delà de la moyenne d’âge : la part d’entreprises européennes (géographiquement parlant, elles sont 6).

Pour positionner l’ensemble dans son « carré magique », Gartner prend deux axes en considération : « vision » et « exécution ». En fonction de celui auquel on donne la priorité, la hiérarchie varie. Aussi, le tableau qui suit n’est pas à prendre comme un classement. Il reprend toutefois l’ordre dans lequel sont placées les quatre catégories de fournisseurs : « leaders », « challengers », « visionnaires » et « acteurs de niche ».

  Fournisseur Date de création Siège social
1 Microsoft 1975 États-Unis
2 CrowdStrike 2011 États-Unis
3 Trend Micro 1988 Japon
4 SentinelOne 2013 États-Unis
5 McAfee 1987 États-Unis
6 Sophos 1985 Royaume-Uni
7 ESET 1987 Slovaquie
8 VMware (Carbon Black) 1998 (2002) États-Unis
9 Cisco 1984 États-Unis
10 Broadcom (Symantec) 1991 (1982) États-Unis
11 Cybereason 2012 États-Unis
12 Kaspersky 1997 Russie
13 FireEye 2004 États-Unis
14 Bitdefender 2001 Roumanie
15 F-Secure 1988 Finlande
16 BlackBerry (Cylance) 1984 (2012) Canada (USA)
17 Fortinet 1976 Royaume-Uni
18 Check Point 1993 Israël
19 Panda Security 1990 Espagne

 

Convergence avec l’EDR

Qu’attendre d’un EPP ? La liste des critères d’inclusion au Magic Quadrant donne une idée. Il fallait principalement en remplir, au 1er avril 2020, au moins 12 des 15 suivants :

  • Protection qui ne requiert pas une mise à jour quotidienne d’agent et/ou de définitions
  • Analyse comportementale des processus
  • Stockage centralisé des indicateurs de compromis (IoC) et d’attaque (IoA)
  • Détection et blocage des attaques sans fichier
  • Suppression automatique des malwares (y compris par quarantaine ou en stoppant des processus)
  • Possibilité d’éliminer ou d’ignorer les faux positifs sans affaiblir la protection
  • Console principale en SaaS
  • Affichage de l’arborescence complète des processus
  • Recherche de menaces, y compris sur des terminaux non connectés
  • Identification des changements qu’effectuent les malwares, puis fourniture d’une assistance ou d’une option de rollback
  • Possibilité d’intégrer des services de renseignement sur les menaces
  • Protection contre les failles logicielles et de mémoire communes
  • Collecte d’informations sur des terminaux hors du réseau d’entreprise
  • Analyse statique de dossiers et de lecteurs
  • Un seul agent/capteur ou une intégration à l’OS

L’argument des services managés

Il y avait une autre série de 15 critères, de « second rang », avec au moins 4 à satisfaire :

  • Patching virtuel
  • Priorisation des vulnérabilités en fonction du risque
  • Liste noire configurable activée par défaut
  • Isolation des applications
  • Sandbox cloud ou réseau
  • Possibilité d’utiliser des leurres
  • Services gérés de monitoring et d’alerte
  • Services gérés de recherche de menaces et de réponse à distance
  • Support des requêtes « avancées » sur la base de données, avec opérateurs et paliers (par exemple, « afficher toutes les machines sur lesquelles se trouve un exécutable portable vieux de moins d’une semaine et soit inconnu, soit présent sur moins de 2 % du parc »)
  • Aide à l’analyse et à la réponse en fonction de renseignements collectés par le fournisseur
  • Capacités d’attribution des attaques et d’évaluation des motivations potentielles
  • Équivalence fonctionnelle pour les systèmes non connectés à Internet
  • Consolidation automatique d’alertes multisources
  • Corrélation et enrichissement de signaux faibles
  • Coordination de la réponse entre solutions de sécurité

En parallèle, il y a quelques critères éliminatoires. Dont un relatif à la clientèle. Il implique deux choses. D’une part, avoir au moins 7 millions de sièges actifs sur des installations dont on est le seul fournisseur EPP. De l’autre, avoir au moins 250 000 installations actives d’au moins 500 sièges. Il a coûté à Malwarebytes une place au Magic Quadrant.

Photo d’illustration © Sikov – Adobe Stock