Gestion des comptes à privilèges : un marché dominé par trois poids lourds

Habitué à la première marche du podium

Pour CyberArk, c’est presque une habitude. Il faut dire que son offre est particulièrement complète. Les analystes ne manquent pas de le souligner : on trouve dans son portefeuille produits une solution de gestion des accès avec enregistrement de sessions, à déployer en local comme en SaaS. S’ajoute à cela une solution de gestion de privilèges locaux pour Windows et macOS, ainsi qu’un outil de gestion des privilèges à la demande pour systèmes Unix et Linux, ou encore un autre pour la gestion des secrets applicatifs. Et au printemps, l’éditeur s’est offert Idaptive – une spin-off de son concurrent Centrify – pour s’inviter sur le marché plus général de la gestion des identités et des accès.

Mais Gartner ne manque pas d’évoquer quelques bémols, soulignant notamment une solution puissante de gestion des sessions à privilèges, mais fortement consommatrice de ressources. Sans compter une version en local de la solution qui n’est « pas facile à installer ou à être mise à jour sans l’aide des services professionnels de CyberArk ».

Un challenger sérieux

L’offre de BeyondTrust apparaît bien dotée pour rivaliser. Et cela même si l’intégration entre les produits de cette marque et celles de Bomgar ne semble toujours pas finie. Pour mémoire, en septembre 2018, le fonds d’investissement détenteur de BeyondTrust a cédé celui-ci au fonds qui avait racheté Bomgar plus tôt la même année, et qui a rebaptisé l’ensemble du nom du premier.

Parmi les bémols, Gartner relève l’absence d’offre PAM pleinement fonctionnelle en mode SaaS, et surtout celle de kit de développement pour l’outil de gestion des secrets applicatifs. Un manque pour gérer plus simplement la rotation des mots de passe lorsqu’aucun connecteur natif n’est proposé.

Recentré sur le PAM

Pour Centrify, le recentrage avait une ambition : proposer une architecture de type zero trust pensée pour le cloud.

Centrify n’est pas à la traîne. Il faut dire que l’éditeur a, fin 2018, décidé justement de se recentrer sur la gestion des comptes à privilèges. Pour cela, il a filialisé son activité de gestion des identités et des accès en mode service au sein d’une entité dédiée, Idaptive. Laquelle a donc été par la suite rachetée par Cyberark.

Pour Centrify, le recentrage avait une ambition : proposer une architecture de type zero trust pensée pour le cloud « afin de sécuriser les accès à l’infrastructure, aux DevOps, au cloud, aux conteneurs, et autres cas d’usage de l’entreprise moderne ».

De son côté, Gartner souligne que l’éditeur propose une solution de PAM pleinement SaaS, ne nécessitant ni VPN ni déploiement de client. Celle-ci assure en outre le lien entre annuaire AD et systèmes Unix/Linux dans le cadre du service d’élévation de privilèges de la plateforme. Et les analystes ne manquent pas de remarquer de solides projets d’évolution de l’offre ainsi que des options de déploiement et de licence flexibles.

Mais les analystes déplorent toutefois une tarification supérieure – « et dans de nombreux cas, bien supérieure » – à ce que le marché peut, en moyenne, proposer, « pour la plupart des scénarios de PAM évalués ». Enfin, très critiques, ils estiment que les capacités de gestion de comptes de services et d’identifiants « sont moyennes, au mieux ».

De visionnaire à leader

Thycotic fait cette année son entrée dans le quadrant magique. Dans son portefeuille, tout est là pour gérer les comptes à privilèges, avec Secret Server, déployable en local ou consommable en mode SaaS, et les droits administratifs sur les hôtes, Windows et macOS, avec Privilege Manager.

En outre, Thycotic s’est offert, début juin 2020, Onion ID, pour s’attaquer au PAM dans les applications Web et les bases de données. Et de s’offrir en prime de quoi offrir une solution d’accès distant pour les télétravailleurs et les tiers, notamment de maintenance.

Dans le courant du mois d’août, Thycotic a, par ailleurs, annoncé la disponibilité générale de son Identity Bridge, qui promet de permettre d’industrialiser la gestion des authentifications et des autorisations entre systèmes d’exploitation et plateformes diverses, à partir d’un unique référentiel d’identités. 

Les analystes de Gartner apprécient la stratégie produits de Thycotic et font état de bons retours pour l’expérience client, tout en saluant les capacités de gestion du cycle de vie des comptes à privilèges et leur simplicité de mise en œuvre. Mais il n’en faut pas moins compter avec quelques bémols, comme le fait que beaucoup de fonctionnalités ne soient accessibles que par scripting, ou que Thycotic mise sur l’intégration avec des outils de RPA pour automatiser certaines tâches répétitives.

Des leaders en devenir

Classé parmi les visionnaires, One Identity continue de retirer les profits du rachat de Balabit en 2018. En fait, il en exploitait déjà la technologie ; la solution One Identity Safeguard était historiquement basée sur les outils de gestion des sessions utilisateurs de Balabit, dans le cadre d’un accord OEM. En poussant plus loin le rapprochement, One Identity s’est donné les moyens d’accéder à plus, et en particulier à des capacités de détection des comportements anormaux, comme le permet Blindspotter (Priviled Account Analytics), lancé en 2015 par Balabit. Et Gartner ne manque pas d’en souligner le caractère différenciant.

Le Français Wallix continue quant à lui d’être vu par Gartner comme un acteur de niche. Mais pas sans lui trouver de véritables points forts, à commencer par les capacités de reconnaissance de caractères pour les enregistrements de sessions graphiques, ou encore des investissements dans le développement d’une offre en mode SaaS et de capacités de juste-à-temps. Le fruit, notamment, du rachat de la jeune pousse espagnole Simarks à l’été 2019.