Gouvernance des identités et des accès : SailPoint prend de l’avance (Gartner)

Début octobre, en publiant l’édition 2019 de son quadrant magique sur la gouvernance des identités et des accès, Gartner a levé le voile sur une petite surprise que nombre d’acteurs du marché n’ont probablement pas pleinement goûtée. Ainsi, dans l’édition 2018 de ce même quadrant figuraient, parmi les leaders, SailPoint, Oracle, IBM, One Identity, CA Technologies et Saviynt, quasiment dans un mouchoir de poche – les deux derniers s’inscrivant légèrement en retrait. Mais pour l’édition 2019, le classement a bougé significativement.

Saviynt s’est ainsi détaché du peloton, vers le haut, mais toujours derrière un SailPoint qui apparaît caracoler seul en tête. IBM et One Identity ressortent en retrait, avec Omada sorti du carré des challengers… où Oracle rejoint Micro Focus et Hitachi ID Systems. Quant à CA, passé dans le giron de Broadcom, il atterrit dans le carré des acteurs de niche, entouré d’Atos (Evidian) et de SAP.

 Les analystes de Gartner estiment que SailPoint constitue l’un des acteurs du marché les plus innovants. Ils soulignent notamment l’ajout d’un moteur de recommandations de gouvernance, des capacités renforcées dans ce domaine pour les environnements AWS, avec IdentityIQ, ou encore un nouveau moteur de découverte dynamique pour IdentityNow. Mais aussi le support des identités non humaines – à l’instar des comptes de service – dans IdentityIQ, à des fins d’automatisation robotique de processus (RPA). Et de souligner au passage la vaste étendue des connecteurs de provisionnement fournis avec la licence de base : plus d’une centaine. D’autres sont proposés en supplément, pour l’infrastructure, les ressources de stockage ou encore les ERP.

S’il apparaît dominer la concurrence de la tête et des épaules, SailPoint n’en fournit pas pour autant un portefeuille exempt de critiques. Gartner souligne ainsi les difficultés de personnalisation d’IdentityIQ : « il fonctionne mieux lorsque les organisations peuvent déployer la solution en s’adaptant à la manière dont elle est conçue, plutôt qu’en essayant de la personnaliser en profondeur ». Les analystes déplorent également un modèle de données « inefficace qui nécessite que tout le traitement soit réalisé sur le serveur applicatif ». Et c’est sans compter avec une politique tarifaire « au-dessus de la moyenne, et souvent bien au-dessus de la moyenne ».

Le Danois Omada doit quant à lui son entrée dans le carré des leaders à l’évolution de sa stratégie commerciale, dont Gartner la juge propice à une belle progression. Mais il faut aussi ajouter à cela des capacités d’intégration avec des outils de gestion des services IT (ITSM) pour la réalisation des requêtes – notamment avec ServiceNow –, ou encore un nouveau kit de développement pour l’importation de données d’identités, ainsi qu’un modèle d’identité permettant la définition de plusieurs sources.

Mais Gartner souligne toutefois l’éventail limité de connecteurs pour le provisionnement, avec la licence de base. Microsoft Identity Manager est proposé en bundle pour aller au-delà. Des connecteurs supplémentaires peuvent être achetés pour SAP, Linux, Unix, ou z/OS. À noter que la solution d’Omada peut être consommée en SaaS, y compris dans un environnement de cloud privé.

De son côté, IBM profite notamment d’une tarification agressive. Mais ce n’est pas le seul atout dans sa manche. Gartner relève aussi les capacités d’intégration de données structurées et non structurées. Et de souligner au passage l’apport récent d’un nouvel écosystème à base de conteneurs et de microservices pour ces intégrations, ainsi que le lancement d’un nouveau broker d’identités pour industrialiser l’ingestion de données d’identité, et enfin un nouveau framework visant à simplifier le développement, le déploiement et la configuration des connecteurs. Mais les analystes soulignent que les capacités analytiques s’inscrivent juste dans la moyenne.

Enfin, Identity Manager est distingué pour ses capacités d’intégration poussées avec les applications complexes. Gartner relève également l’ajout de capacités d’intégration avec les systèmes de gestion des comptes à privilèges – y compris de tiers – et de nouvelles API d’administration. Nativement, la solution sait identifier les comptes dupliqués, inutilisés ou orphelins.

Mais le cabinet d’analyste déplore des capacités analytiques « moyennes », et explique qu’il est nécessaire d’affecter une valeur de risque à chaque ressource avant de pouvoir obtenir une note de risque par utilisateur. Gartner relève également des reproches de clients, que ce soit pour la disponibilité de consultants ou pour la documentation des API.