Alors que les produits PAM de base continuent d'être des outils de sécurité importants, l'évolution de la demande sur le marché a mis l'accent sur le cloud, de la livraison SaaS d'outils PAM à l'extension des fonctionnalités de sécurité cloud dans les outils PAM, y compris la gestion des secrets et le CIEM.
Définition/Description du marché
Un outil de gestion des accès privilégiés (PAM) est utilisé pour atténuer le risque d'accès privilégié. En d'autres termes, les comptes , les informations d'identification et les opérations qui offrent un niveau d'accès élevé (ou "privilégié"). Les outils PAM sont utilisés par les machines (logiciels) et par les personnes qui administrent ou configurent l'infrastructure informatique . Une solution PAM peut être déployée sous forme de logiciel sur site, de SaaS ou d'appliance matérielle.
Les principales fonctionnalités de PAM incluent :
• Découverte de comptes privilégiés sur plusieurs systèmes, infrastructures et applications
• Gestion des informations d'identification pour les comptes privilégiés
• C redential v aulting et contrôle d'accès aux comptes privilégiés
• Établissement, gestion, surveillance et enregistrement de session pour un accès privilégié interactif
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilèges (1) (1).pdf
1. Magic Quadrant pour la gestion des
accès à privilèges
Lecture minimale publiée 19 juillet 2022 - ID G00 756201 - 57
Par et 2 de plus Michael Kelley , James Hoover ,
Alors que les produits PAM de base continuent d'être des outils de
sécurité importants, l'évolution de la demande sur le marché a mis
l'accent sur le cloud, de la livraison SaaS d'outils PAM à l'extension des
fonctionnalités de sécurité cloud dans les outils PAM, y compris la gestion
des secrets et le CIEM.
Définition/Description du marché
Un outil de gestion des accès privilégiés (PAM) est utilisé pour atténuer le risque d'accès
privilégié. En d'autres termes, les comptes , les informations d'identification et les
opérations qui offrent un niveau d'accès élevé (ou "privilégié"). Les outils PAM sont utilisés
par les machines (logiciels) et par les personnes qui administrent ou
configurent l'infrastructure informatique . Une solution PAM peut être déployée sous forme
de logiciel sur site, de SaaS ou d'appliance matérielle.
Les principales fonctionnalités de PAM incluent :
Découverte de comptes privilégiés sur plusieurs systèmes, infrastructures et
applications
Gestion des informations d'identification pour les comptes privilégiés
C redential v aulting et contrôle d'accès aux comptes privilégiés
Établissement, gestion, surveillance et enregistrement de session pour un accès
privilégié interactif
Les fonctionnalités optionnelles de PAM incluent :
Délégation d'accès aux comptes privilégiés
Élévation contrôlée des commandes
Gestion des secrets pour les applications, les services et les appareils
Automatisation des tâches privilégiées (PTA)
Accès privilégié à distance pour le personnel et les utilisateurs externes
Gestion des droits à l'infrastructure cloud ( CIEM )
Gartner définit quatre catégories d'outils distinctes pour les outils PAM :
1. Gestion des comptes et des sessions privilégiés (PASM) : les comptes privilégiés
sont protégés en sauvegardant leurs informations d'identification. L'accès à ces
2. comptes est ensuite négocié pour les utilisateurs humains, les services et les
applications via l'outil PAM. Les fonctions de gestion de session privilégiée (PSM)
établissent des sessions, généralement avec injection d'informations
d'identification et enregistrement de session complète. Les mots de passe et
autres informations d'identification comme les certificats et les jetons pour les
comptes privilégiés sont activement gérés (par exemple, en rotation à des
intervalles définissables ou lors de l'occurrence d'événements spécifiques). Les
solutions PASM peuvent également fournir en option une gestion des mots de
passe d'application à application (AAPM) et/ou une installation
zérofonctionnalités d'accès privilégié à distance pour le personnel informatique
externe et les tiers qui n'ont pas besoin d'un VPN.
2. Gestion de l'élévation et de la délégation des privilèges (PEDM) : les agents basés
sur l'hôte sur le système géré accordent des privilèges spécifiques aux utilisateurs
connectés . Les outils PEDM fournissent un contrôle de commande basé sur l'hôte
(filtrage), des contrôles d'autorisation/de refus/d'isolement des applications et/ou
une élévation des privilèges, ce qui permet d'exécuter des processus particuliers
avec un niveau de privilèges plus élevé. Les outils PEDM doivent s'exécuter sur le
système d'exploitation réel (au niveau du noyau ou du processus). Le contrôle de
commande par filtrage de protocole est explicitement exclu de cette définition
car le point de contrôle est moins fiable. Les outils PEDM peuvent également
fournir en option des contrôles d'application et des fonctionnalités de surveillance
de l'intégrité des fichiers . Les outils PEDM sont souvent une exigence obligatoire
pour les industries réglementées et où la conformité aux normes PCI-DSS, SOX et
autres contrôles réglementaires et financiers est stipulée. Les environnements de
la défense et du gouvernement imposent également souvent la suppression des
privilèges d'administrateur local.
3. Gestion des secrets : les informations d'identification (telles que les mots de
passe, les jetons OAuth et les clés SSH ) et les secrets des logiciels et des
machines sont gérés, stockés et récupérés par programmation via des API et des
SDK. La confiance est établie et négociée dans le but d'échanger des secrets et de
gérer les autorisations et les fonctions connexes entre différentes entités non
humaines telles que des machines, des conteneurs, des applications, des services,
des scripts, des processus et des pipelines DevSecOps. La gestion des secrets est
souvent utilisée dans des environnements dynamiques et agiles tels que IaaS,
PaaS et les plateformes de gestion de conteneurs. Les produits de gestion des
secrets peuvent également fournir AAPM.
4. CIEM : les offres CIEM sont des solutions SaaS spécialisées et centrées sur
l'identité qui se concentrent sur la gestion des risques d'accès au cloud via des
contrôles de temps d'administration régissant les droits dans l'IaaS hybride et
multicloud. Ils utilisent généralement l'analyse, l'apprentissage automatique (ML)
ou d'autres méthodes pour détecter les anomalies dans les droits de compte,
comme l'accumulation de privilèges ou les droits dormants et inutiles. CIEM
fournit idéalement la correction des autorisations excessives et l'application des
approches de moindre privilège dans les infrastructures cloud.
Quadrant magique
Figure 1 : Magic Quadrant pour la gestion des accès à privilèges
3. Source : Gartner (juillet 2022)
Points forts et mises en garde du fournisseur
ARCON
ARCON est un leader dans ce Magic Quadrant, ARCON a été créé en 2006 à Londres et est
maintenant basé à Mumbai, en Inde. La fonctionnalité PASM d'ARCON est fournie par le
produit ARCON/PAM (entreprise) et la fonctionnalité PEDM par le produit
ARCON/EPM. ARCON offre des fonctionnalités de base de gestion des secrets avec son
outil PAM d'application à application, des interfaces avec les outils d'infrastructure Dev-Ops
et CIEM. ARCON peut fournir la fonctionnalité PASM, via une appliance, un logiciel
(autogéré) ou SaaS. ARCON se concentre principalement sur les clients de l'APAC et de
l'EMEA. ARCON est l'un des rares fournisseurs de PAM à se concentrer sur les technologies
opérationnelles (OT). Cette année, il a ajouté une fonctionnalité de coffre-fort hors ligne
pour traiter les cas d'utilisation d'infrastructures critiques isolées.
Forces
4. Produit/Innovation : ARCON a fait d'importants progrès dans l'ajout de
fonctionnalités de produits au cours de la dernière année, en particulier dans la
gestion des secrets, le CIEM et la fonctionnalité juste-à-temps.
Prix : les prix d'ARCON sont compétitifs. La plupart des scénarios de tarification, en
particulier ceux du PASM, sont inférieurs à la moyenne des fournisseurs de cette
recherche, tandis que les scénarios AAPM et PEDM sont autour de la moyenne et
parfois supérieurs au prix moyen des fournisseurs de cette recherche.
Expérience client : ARCON dispose d'une équipe de gestion de la relation client avec
des responsables de la réussite client pour chaque client. Des gestionnaires de
comptes techniques sont disponibles pour les grands comptes.
Réactivité du marché : ARCON a reconnu le besoin croissant du marché en matière
d'accès à distance sécurisé, mais également de nouveaux contrôles de sécurité basés
sur le cloud, tels que le CIEM et la gestion des secrets.
Précautions
Produit : ARCON s'appuie sur des agents et des outils clients pour la meilleure
expérience utilisateur. L'alternative consiste à utiliser un plugin de navigateur, mais
la fonctionnalité n'est alors pas aussi transparente que celle des autres solutions. De
plus, Arcon dispose d'un nombre limité d'intégrations prédéfinies pour les
technologies adjacentes.
Viabilité : ARCON est à la traîne par rapport aux autres leaders du Magic Quadrant
pour gagner de nouveaux clients. La majorité de ses ventes en 2021 ont été des
accords d'expansion pour des clients existants.
Stratégie géographique : L'empreinte d'ARCON en dehors de l'Asie/Pacifique et de
la région EMEA est minime, avec peu de déploiements en Amérique du Nord.
Stratégie produit : la feuille de route d'ARCON se compose principalement
d'améliorations et de rattrapages (ajout de nouvelles fonctionnalités qui existent
déjà en grande partie dans les produits concurrents).
Au-delà de la confiance
BeyondTrust est un leader dans ce Magic Quadrant. En 2018, quatre sociétés PAM
complémentaires ont été combinées afin d'établir une suite complète de fonctionnalités
PAM, y compris un produit d'accès à distance mature appelé Bomgar. Les services PASM
sont fournis par Password Safe, (SaaS ou logiciel) avec la fonctionnalité PEDM fournie par
ses outils de gestion des privilèges et de pontage AD. La gestion des secrets est assurée par
DevOps Secret Safe et BeyondTrust propose également la fonctionnalité CIEM avec son
outil Cloud Privilege Broker. Les clients de BeyondTrust sont largement concentrés en
Amérique du Nord et en Europe, avec une certaine présence en APAC, en EMEA et en
Amérique du Sud. L'année dernière, BeyondTrust a introduit une plate-forme SaaS
améliorée et consolidée et une fonctionnalité CIEM.
Forces
Produit : BeyondTrust offre un PEDM complet basé sur un
agent Windows/Linux/UNIX/macOS , une journalisation des accès privilégiés, des
rapports et un audit, des analyses et une réponse. Il est fort pour ses performances et
ses capacités d'évolutivité, de disponibilité et de récupération.
5. Expérience client : BeyondTrust est très engagé avec les clients de BeyondTrust,
avec plusieurs équipes allant de la réussite client au support technique.
Stratégie marketing : BeyondTrust a développé un certain nombre de campagnes
pour la cybersécurité, avec une utilisation intensive des médias sociaux et un
ensemble solide de mesures pour évaluer le succès des campagnes.
Viabilité globale : BeyondTrust a enregistré une forte croissance à la fois pour son
offre SaaS et pour son nombre de clients au cours de l'année écoulée.
Précautions
Produit : Pour la gestion des secrets, BeyondTrust a obtenu le score le plus bas en
termes de fonctionnalités globales de tous les fournisseurs qui proposent un produit
distinct pour la gestion des secrets, manquant de prise en charge des mécanismes
d'authentification natifs et d'intégration avec les technologies DevOps. Les scores de
gestion des sessions privilégiées étaient également faibles.
Tarification : BeyondTrust a augmenté les prix de ses principaux produits PAM par
rapport à l'année dernière. Cela a entraîné des prix plus élevés que la moyenne de
l'industrie pour la plupart des scénarios estimés. De plus, plusieurs cas d'utilisation
de la gestion de session nécessitent l'achat séparé d'un accès à distance privilégié, ce
qui augmenterait encore les coûts globaux de la solution.
Stratégie d'offre : les éléments de la feuille de route à venir pour PAM se limitent
principalement aux améliorations de produit pour les agents et l'architecture SaaS.
Stratégie de marché géographique : bien qu'une certaine croissance soit constatée
dans d'autres régions du monde, les clients de BeyondTrust sont principalement
concentrés en Amérique du Nord et dans certaines régions d'Europe.
Broadcom (Symantec)
Broadcom (Symantec) est un acteur de niche dans ce Magic Quadrant, Symantec est une
grande société de logiciels, offrant un produit PAM qui a été renommé plusieurs fois et est
maintenant proposé sous la marque Symantec. Son produit PAM n'est disponible que dans
les options de livraison logicielle et matérielle . Symantec propose les fonctionnalités PASM
et PEDM dans le cadre d'un produit appelé Symantec Privileged Access Management. Il
propose également un gestionnaire d'application à application et un outil d'analyse, mais
rien pour la gestion des secrets ou CIEM, bien que la gestion des secrets soit
tracée. Symantec a des populations de clients importantes en NA, EMEA et APAC, et
l'année dernière, elle a introduit une nouvelle appliance utilitaire, une appliance virtuelle
pour son produit PAM .
Forces
Produit : Symantec propose un produit PEDM très compétitif pour les clients
Windows, Linux/UNIX et mainframe. Ses performances et ses capacités
d'évolutivité, de disponibilité et de récupération sont fortes pour PASM, y compris
d'excellentes fonctionnalités de clustering et de haute disponibilité qui prennent en
charge l'ajout de nœuds sans avoir à supprimer un cluster. Pour l'automatisation et
l'intégration de systèmes adjacents, bien que prêt à l'emploi, Symantec ne prend en
charge que SiteMinder pour les intégrations prédéfinies pour SSO, il prend en charge
SSO basé sur des normes et offre un bon ensemble d'intégrations avec des
6. technologies adjacentes comme IGA et ITSM, ainsi comme des intégrations basées
sur API, CLI et Java.
Tarification : L'offre PAM de Symantec est proposée à un prix compétitif, avec
presque tous les scénarios de tarification inférieurs — et parfois bien inférieurs — à la
moyenne du marché dans son ensemble. Dans le cas de Symantec, Gartner a évalué
les tarifs de liste et de rue pour les clients sans contrat de licence de portefeuille.
Stratégie sectorielle verticale : Symantec prend en charge un ensemble très
diversifié de marchés verticaux, y compris le secteur public avec son outil PAM.
Stratégie géographique : la clientèle de Symantec est très diversifiée en termes de
régions, avec NA, EMEA, APAC et une pincée d'autres régions comme l'APAC.
Précautions
Produit : pour la gestion complexe des informations d'identification des comptes de
service, Symantec s'appuie sur son infrastructure de connecteurs personnalisés, mais
cela signifie que les clients doivent parfois développer des connecteurs
personnalisés, alors que d'autres fournisseurs proposent des connecteurs prêts à
l'emploi. La gestion des informations d'identification à privilèges et JIT PAM étaient
également moins matures par rapport au marché.
Innovation : Bien que l'innovation de Symantec se soit concentrée sur la
simplification du déploiement de ses produits, dans l'ensemble, le fournisseur a pris
du retard sur la plupart des autres dans ce Magic Quadrant en termes d'innovations
différenciantes, la plus notable étant l'introduction d'un nouvel appareil utilitaire, un
appareil virtuel.
Opérations : Broadcom ne partage pas les chiffres exacts, mais il semble que la base
globale d'employés diminue. Nous pensons que cette tendance représente le
potentiel d'impact sur le support à long terme du produit PAM
Stratégie produit : bien que chaque fournisseur de ce Magic Quadrant possède (ou
développe) des capacités SaaS, Broadcom n'a pas défini de feuille de route d'offre
SaaS pour son produit PAM, et en dehors d'une nouvelle approche JIT, d'autres
éléments de la feuille de route étaient des améliorations progressives.
CyberArk
CyberArk est un leader dans ce Magic Quadrant. CyberArk a breveté la technologie de
coffre-fort il y a plus de 22 ans et a été le premier fournisseur PAM à introduire à la fois la
gestion des secrets et la fonctionnalité CIEM dans son produit. CyberArk offre la
fonctionnalité PASM avec Privileged Access Manager, la fonctionnalité PEDM (SaaS ou
logiciel) avec son outil Endpoint Privileged Manager, la gestion des secrets et la gestion des
applications avec Secrets Manager et la fonctionnalité CIEM avec Cloud Entitlements
Manager. Il propose également un outil PAM distant appelé Vendor Privileged Access
Manager. CyberArk a une clientèle importante dans toutes les principales régions du
marché et a introduit cette année l'accès au coffre-fort hors ligne pour les environnements
isolés.
Forces
Produit : CyberArk dispose d'un vaste écosystème de partenaires et a fourni de
nombreux connecteurs et intégrations avec des technologies adjacentes, telles que
7. l'ITSM et les outils de gouvernance et d'administration des identités (IGA). L'offre
PAM de CyberArk est très compétitive, offrant certaines des fonctionnalités les plus
matures du marché, en particulier PASM et ses fonctionnalités de gestion des
secrets, ainsi que la gouvernance des accès privilégiés, la gestion des informations
d'identification, la journalisation et la création de rapports, les intégrations et
l'automatisation des technologies adjacentes et le CIEM.
Compréhension du marché : CyberArk reste la plus grande marque PAM, avec une
longue histoire dans ce secteur et une large portée géographique.
Viabilité globale : CyberArk continue de détenir la plus grande part du marché
PAM. La croissance de la clientèle et des revenus a continué d'être forte au cours de
l'année écoulée.
Innovation : CyberArk a obtenu de bons résultats en matière de stratégie produit,
prévoyant un certain nombre de mises à jour importantes pour la gestion des secrets
et la fonctionnalité JIT.
Précautions
Produit : les fonctionnalités de gestion de la continuité et de haute disponibilité de
CyberArk pour ses logiciels, les outils PASM livrés (autogérés) restent complexes à
configurer et à exploiter. La reprise après sinistre, en particulier la prise en charge du
rétablissement, est fragile, repose sur des processus manuels et est depuis
longtemps une source de plaintes des clients.
Prix : Les produits de CyberArk sont parmi les plus chers du marché.
Exécution des ventes : CyberArk a largement abandonné le modèle de licence
perpétuelle pour son produit logiciel, obligeant la plupart des clients à payer plus
pour un modèle d'abonnement. En outre, Gartner a constaté que les ventes de
CyberArk utilisent des augmentations obligatoires dans des contrats pluriannuels qui
obligent les clients à consommer davantage de produits au fil du temps.
Expérience client : les clients de CyberArk ont fait part à Gartner de leurs
préoccupations concernant la faible facilité d'utilisation et la difficulté à déployer la
version logicielle du produit, au point de signaler que même les mises à niveau
logicielles et l'installation de plug-ins nécessitent souvent des services
professionnels.
Délinéa
Delinea est un leader dans ce Magic Quadrant. Delinea est une nouvelle société,
représentant la combinaison de deux anciennes sociétés (Centrify et Thycotic) qui étaient
leaders dans le PAM Magic Quadrant de l'année dernière. La fonctionnalité PASM est
désormais couverte par le produit Secret Server de Thycotic. PEDM est couvert par Privilege
Manager de Thycotic. Server PAM, les produits de service d'authentification et les outils de
pontage AD proviennent de Centrify. Ces deux produits sont disponibles sous forme de
logiciel ou de SaaS. DevOps Secrets Vault est le produit de gestion des secrets. Il n'y a pas
de fonctionnalités CIEM actuellement proposées, mais elles font l'objet d'une feuille de
route. Delinea a publié une fonctionnalité mise à jour pour un service SaaS
consolidé. Delinea est vendue principalement en Amérique du Nord et en Europe, mais a
des clients sur tous les principaux marchés.
Forces
8. Produit : Delinea a fait progresser ses capacités de gestion des secrets grâce
à l'intégration d'outils de développement supplémentaires. Delinea a également
obtenu d'excellents résultats dans la gestion du cycle de vie des comptes de service
(bien que cela nécessite l'achat d'un outil séparé) et dans la gestion des accès
privilégiés aux bases de données. Delinea a obtenu de bons résultats pour la
découverte et l'intégration des comptes, pour la fonctionnalité PEDM pour Windows
et UNIX/Linux/macOS (ancien Centrify) et pour les approches JIT.
Stratégie marketing : Delinea a obtenu des scores élevés pour un certain nombre de
campagnes marketing complètes, des mesures efficaces et une présence très
complète sur les réseaux sociaux.
Viabilité globale : M algré la fusion de l'année dernière, la croissance des revenus et
de la clientèle continue d'être forte de l'année dernière à cette année.
Réactivité du marché : La fusion de Thycotic et Centrify a comblé un certain nombre
de lacunes dans les gammes de produits respectives. Thycotic a bénéficié de la
fonctionnalité de pontage PEDM et AD plus puissante de Centrify, et Centrify et
Thycotic sont en mesure de solidifier la fonctionnalité PASM avec le coffre-fort
Thycotic.
Précautions
Produit : La gestion de session RDP de Delinea manque d'enregistrement natif sans
agent, une fonctionnalité assez courante chez la plupart de ses concurrents. Secret
Server est à la traîne dans la gestion des comptes de service et des informations
d'identification, et est particulièrement fragile sur les systèmes locaux qui ne sont
pas connectés en permanence.
Tarification : Il existe une limite de 10 000 secrets (quel que soit le nombre
d'utilisateurs sous licence) pour Secret Server Cloud (mais pas pour la version sur
site). Une capacité supplémentaire pour les secrets nécessite un paiement
supplémentaire.
Stratégie produit : Delinea a pour stratégie de présenter Secret Server comme une
solution « simple à déployer et à utiliser ». Cependant, plusieurs exigences assez
courantes nécessitent une personnalisation via PowerShell, ce qui impose une
charge supplémentaire aux clients. La plupart des éléments de la feuille de route se
limitent aux améliorations des produits actuels.
Opérations : Delinea semble avoir légèrement diminué en termes de nombre
d'employés, ce qui pourrait être le résultat de la fusion. Un peu moins de 20 % de
cette population d'employés est consacrée à la R&D PAM.
ID Hitachi
Hitachi ID est un acteur de niche dans ce Magic Quadrant. Hitachi ID a son siège social au
Canada et est basé sur un logiciel produit à l'origine par M-Tech Information Technology en
1992. Hitachi ID offre la fonctionnalité PASM via le produit Bravura Privilege, un outil PAM
fourni par logiciel. Hitachi ID n'offre pas la fonctionnalité PEDM (bien que PEDM soit sur sa
feuille de route), ni la fonctionnalité CIEM. Hitachi ID est vendu en Amérique du Nord et en
Europe, mais il a une petite présence en Asie. Cette année, Hitachi ID a introduit
principalement des améliorations de l'expérience utilisateur, notamment une fonction de
sauvegarde des sessions pour les administrateurs.
9. Forces
Produit : Bravura Privilege possède de solides capacités de détection et de gestion
des informations d'identification, notamment des connecteurs prêts à l'emploi pour
les comptes de service, et d'excellentes capacités de gestion des informations
d'identification sur les terminaux qui ne sont pas connectés en permanence.
Continuité d'activité : Bravura Privilege dispose d'excellentes capacités prêtes à
l'emploi pour la reprise après sinistre et le basculement qui sont bien testées et
simples à configurer.
Intégrations : Hitachi ID possède de nombreuses intégrations avec des technologies
adjacentes utilisées avec PAM, telles que la gestion des services informatiques, RPA
et CMDB.
Automatisation : Hitachi ID dispose de fonctionnalités d'automatisation hautement
performantes et personnalisables dans son offre PAM qui sont bien testées et
robustes.
Précautions
Produit : Hitachi ID offre une gestion des mots de passe d'application à application
basée sur un agent avec plusieurs approches uniques pour éviter de stocker des
secrets au repos, mais ne dispose pas de capacités de gestion des secrets
comparables pour le moment. De plus, Bravura Privilege ne prend en charge que
l'enregistrement de session locale et ne fournit pas de manière native des proxys de
session ou des capacités de filtrage.
Prix : L'offre PAM d'Hitachi ID est proposée à un prix supérieur aux moyennes du
marché, avec presque tous les scénarios de prix au-dessus - et parfois bien au-dessus
- de la moyenne du marché dans son ensemble. Dans le cas d'Hitachi, Gartner a
évalué les tarifs de liste et de rue pour les clients uniquement pour le produit Bravura
Privilege.
Stratégie de vente : Hitachi ID compte très peu de représentants commerciaux
directs dans le monde et affiche le taux de conclusion de transactions le plus bas
parmi les fournisseurs évalués dans cette étude.
Stratégie produit : Alors qu'Hitachi ID positionne la structure de sécurité Bravura
comme une plate-forme convergée, les clients qui ont besoin de capacités de
gouvernance privilégiées devront également payer pour le produit IGA.
Gérer le moteur
ManageEngine est un acteur de niche dans ce Magic Quadrant. ManageEngine est une
division de Zoho Corporation, qui existe depuis 1996. ManageEngine produit un certain
nombre d'outils logiciels de gestion d'entreprise, y compris son produit PAM, PAM360. La
fonctionnalité PASM et Windows PEDM (Linux est tracé) est fournie par le produit PAM360
(logiciel uniquement) ainsi que par le produit Password Manager Pro. La fonctionnalité de
base de gestion des secrets fait également partie du produit PAM360, mais elle n'offre pas
actuellement la fonctionnalité CIEM, bien que cela figure sur sa feuille de route. Les
populations de clients de ManageEngine sont concentrées en Amérique du Nord et dans
l'UE, mais ManageEngine prend en charge les clients de la plupart des autres marchés
10. régionaux du monde. ManageEngine a ajouté des améliorations à ses capacités de gestion
des certificats SSH cette année.
Forces
Produit : les capacités de découverte de PAM360 sont étendues, offrant une large
gamme d'outils d'analyse pour trouver des comptes privilégiés sur les systèmes, les
bases de données, l'infrastructure et les réseaux, et la facilité de déploiement,
d'administration et de maintenance sont des domaines dans lesquels ManageEngine
est fort.
Stratégie produit : ManageEngine vend une version fournisseur de services gérés de
PAM360 à utiliser avec les fournisseurs de services gérés qui nécessitent la gestion
d'un accès privilégié à plusieurs clients.
Stratégie de marché géographique : ManageEngine est bien représenté dans le
monde entier, avec des concentrations de clients dans NA, APAC, LATAM et EMEA .
Exécution marketing : ManageEngine a mené des campagnes marketing complètes
pour la gestion PAM et informatique et a une bonne stratégie autour des métriques
pour mesurer les efforts marketing.
Précautions
Produit : PAM360 prend uniquement en charge la gestion de session via une
émulation de session de navigateur HTML5, qui est limitée en ressources et moins
évolutive que les approches basées sur proxy d'autres fournisseurs.
Innovation : Les lancements de nouveaux produits au cours de la dernière année se
sont limités à des améliorations de fonctionnalités et à des rattrapages sur le
marché.
Prix : Le prix de ManageEngine est dans la moyenne du marché ; cependant, il a
moins de fonctionnalités et de fonctionnalités que les outils PAM similaires, ce qui se
traduit par un prix global plus élevé par fonctionnalité.
Stratégie produit : PAM360 était l'un des produits les moins matures dans les
catégories de produits suivantes ; gouvernance et administration des accès
privilégiés, gestion des informations d'identification privilégiées et fonctionnalité JIT
PAM.
Netwrix
Netwrix est un acteur de niche dans ce Magic Quadrant. Netwrix a été fondée en 2006 et est
connue pour ses produits logiciels d'audit et de conformité. En 2021, Netwrix a fusionné
avec Stealthbits, un producteur de solutions de sécurité et de confidentialité des
données. La plupart des fonctionnalités PASM sont fournies par le produit Netwrix SbPAM,
et PEDM est fourni par PolicyPak pour Windows. Linux PEDM n'est pas pris en charge. Dans
cette recherche, nous avons uniquement évalué les capacités fournies par SbPAM et
PolicyPak. SbPAM est un produit fourni par logiciel, mais une offre SaaS est définie. La
gestion des secrets et la fonctionnalité CIEM ne sont pas prises en charge. Les clients de
Netwrix sont principalement concentrés en Amérique du Nord et en Europe avec une
certaine exposition au Japon et en Amérique latine. Cette année, Netwrix a introduit un
nouveau courtier de connexion pour le routage dynamique du trafic.
Forces
11. Produit : Bien que des outils Netwrix supplémentaires soient disponibles, les
capacités natives de gouvernance et d'administration des accès privilégiés sont
matures. Le produit Windows PEDM est également compétitif.
Réactivité du marché : Capitalisant sur la popularité d'Azure AD et de son produit
Microsoft PIM associé, Netwrix a développé des améliorations pour PIM avec son
produit SbPAM, en ajoutant l'enregistrement de session et en simplifiant le
provisionnement.
Compréhension marketing : Netwrix adopte une approche unique du marché PAM
avec une approche "apportez votre propre coffre-fort", permettant à l'entreprise de
se positionner comme une amélioration des outils PAM existants, par opposition à
un simple remplacement de ces outils.
Viabilité globale : bien que la majorité des clients de Netwrixs soient originaires de la
région NA, ils continuent d'augmenter leurs revenus et leur nombre de clients.
Précautions
Produit : L'offre de produits Netwrix PAM (SbPAM et PolicyPak) n'est pas aussi
complète que la plupart des fournisseurs, manquant UNIX/Linux PEDM et la
fonctionnalité de gestion des secrets. Netwrix était également parmi les moins
matures pour la découverte et l'intégration des comptes, la gestion des informations
d'identification et la fonctionnalité de gestion des sessions privilégiées.
Stratégie de produit : Afin de disposer d'un outil PAM entièrement riche en
fonctionnalités, un certain nombre de produits Netwrix supplémentaires doivent
être achetés pour remplir des fonctionnalités telles que la découverte de compte,
notamment Netwrix Auditor, StealthAUDIT et StealthDEFEND.
Tarification : La tarification de Netwrix pour SbPAM est à peu près moyenne par
rapport au marché, sur plusieurs scénarios de tarification. Cela ne prend pas en
compte les produits supplémentaires que certains clients devraient acquérir pour
répondre à toutes les fonctionnalités PAM.
Opérations : Netwrix n'a obtenu aucune certification industrielle ou de sécurité (par
exemple, SOC2, FIPS ou EAL) pour ses produits.
Une Identité
One Identity est un leader dans ce Magic Quadrant. One Identity fait partie de Quest,
initialement cédé à Dell et récemment acquis par ClearLake Capital. One Identity fournit la
fonctionnalité PASM avec son produit Safeguard, disponible via logiciel, matériel ou SaaS,
fonctionnalité PEDM logicielle avec Privilege Manager pour Windows/UNIX /Linux/macOS
et les services d'authentification Safeguard pour la fonctionnalité de pontage AD. Il propose
également un outil de gestion des secrets appelé Safeguard Secrets Vault/Broker. One
Identity ne propose pas de produit CIEM, mais peut fournir certaines fonctionnalités CIEM
avec son outil IGA en option. La majorité des clients One Identity se trouvent en NA et en
EMEA avec une bonne représentation en APAC. Cette année, One Identity a introduit un
outil PAM à distance, SafeGuard Remote Access, pour les fournisseurs et les partenaires
commerciaux.
Forces
12. Produit : One Identity a reçu certaines des notes les plus élevées du marché pour la
gestion des sessions privilégiées et pour le PEDM pour les fonctionnalités PEDM
Windows et Linux/UNIX/ macOS .
Tarification : L'offre PAM de One Identity est proposée à un prix compétitif, avec
presque tous les scénarios de tarification inférieurs - et parfois bien inférieurs - à la
moyenne du marché dans son ensemble.
Viabilité globale : Alors que la taille globale des transactions pour le SaaS a été
légèrement réduite pour 2021, le nombre de clients et les transactions conclues ont
considérablement augmenté au cours de l'année écoulée.
Expérience client : One Identity a obtenu de bons résultats en matière d'expérience
client, affectant à la fois un gestionnaire de compte et des gestionnaires de réussite
à chaque compte One Identity.
Précautions
Produit : bien que One Identity propose un outil IGA à prix séparé qui peut fournir
des fonctionnalités supplémentaires, les scores pour la gouvernance native des accès
privilégiés pour SafeGuard étaient faibles, tout comme les scores pour les stratégies
JIT. One Identity n'offre que des capacités rudimentaires de gestion des secrets
autonomes.
Opérations : One Identity ne dispose pas de la certification SOC 2 critique pour son
offre SaaS.
Stratégie produit : en termes d'amélioration de l'outil PAM principal, la plupart des
éléments de la feuille de route font référence à des améliorations et des
rattrapages , une grande partie de la feuille de route étant axée sur les intégrations
avec d'autres produits One Identity.
Stratégie marketing : les clients à la recherche d'un outil unique pour une
fonctionnalité PAM complète peuvent trouver la stratégie de One Identity
déroutante. L'outil PAM principal de One Identity dépend de produits One Identity
supplémentaires pour étendre les fonctionnalités. Par exemple, l'exigence de rôles
actifs pour les stratégies JIT et l'exigence de l'outil One Identity IGA pour étendre la
gouvernance et l'audit.
Saviynt
Saviynt est un visionnaire dans ce Magic Quadrant. Saviynt a été créé en 2015 pour mettre
sur le marché un outil IGA basé sur SaaS et, en 2019, la gestion des accès privilégiés au cloud
CPAM a été lancée. La fonctionnalité PASM est fournie par le produit CPAM, disponible
uniquement en tant qu'offre SaaS, ou gérée de manière privée sur des plateformes IaaS
comme AWS, Microsoft Azure et GCP . La gestion des secrets et la fonctionnalité CIEM sont
également disponibles uniquement en tant qu'option SaaS (notez que, bien
que Saviynt CPAM ne soit disponible qu'en tant que SaaS, le produit CPAM est autorisé par
FedRAMP). La fonctionnalité PEDM n'est pas disponible actuellement. Les clients de
Saviynt sont concentrés en NA, en Europe et en APAC. Cette année, Saviynt a introduit une
nouvelle fonctionnalité apportez votre propre coffre-fort.
Forces
13. Produit : Saviynt a obtenu de bons résultats pour la gouvernance et l'administration
des accès privilégiés, la découverte et l'intégration des comptes, la facilité de
déploiement, l'administration et la maintenance, et la fonctionnalité CIEM. Unique à
Saviynt, les utilisateurs CPAM bénéficient de la fonctionnalité Saviynt IGA sans frais
supplémentaires.
Réactivité du marché : avec Netwrix, Saviynt a noté qu'il y avait des lacunes dans la
fonctionnalité AD PIM de Microsoft Azure et a créé des fonctionnalités pour
améliorer les capacités de PIM, y compris l'enregistrement et l'exécution des
sessions.
Modèle d'entreprise : Saviynt a obtenu de bons résultats pour son modèle
d'entreprise, décrochant de nouveaux financements au cours de l'année écoulée et
obtenant l'autorisation FedRAMP (modérée) pour la CPAM. Il aspire également à
étendre son empreinte mondiale.
Stratégie marketing : Saviy nt a obtenu de bons résultats en matière de stratégie
marketing en élaborant des messages marketing conçus pour répondre aux défis de
sécurité cloud et multicloud d'aujourd'hui. Il utilise également un ensemble complet
de mesures pour connecter la valeur commerciale à ses campagnes marketing.
Précautions
Produit : les capacités de gestion de session de Saviynt sont inférieures à la
moyenne, manquant de contrôles spécialisés pour les bases de données et les
transferts de fichiers , et son produit CPAM exploite une version open source
intégrée de Hashicorp's Vault, ce qui impose une charge supplémentaire à son
fonctionnement lorsque la solution est privée. géré.
Prix : les prix de Saviynt sont systématiquement parmi les plus élevés des
fournisseurs de ce Magic Quadrant, dans plusieurs scénarios de prix.
Stratégie de marché géographique : Saviynt s'est classé dans la partie inférieure du
marché avec sa stratégie géographique, avec des clients entièrement concentrés en
Amérique du Nord, en Europe et en APAC.
Stratégie de marché : le produit de Saviynt est moins complet que d'autres sur le
marché, en particulier pour un fournisseur axé sur le cloud, dépourvu de capacités de
gestion secrètes.
WALLIX
WALLIX est leader dans ce Magic Quadrant. Fondée en France en 2003, en 2007, WALLIX
lance son produit PAM. La fonctionnalité PASM est fournie par WALLIX Bastion, un outil
fourni par logiciel, avec la fonctionnalité PEDM fournie par WALLIX BestSafe, également un
service fourni par logiciel. Il fournit également un service géré pour les clients appelé
Bastion Managed Services et propose un service basé sur SaaS pour l'accès à distance
PAM. WALLIX ne propose pas de fonctionnalité CIEM, et ne l'a pas prévue dans sa feuille de
route. Les clients se trouvent principalement dans la région EMEA , avec quelques-uns
situés en Amérique du Nord. Cette année, la société a continué d'investir dans PAM pour
OT, notamment en ajoutant la prise en charge d'applications OT propriétaires avec son
produit d'intégration d'applications.
Forces
14. Produit : WALLIX propose un produit de gestion de session mature et riche en
fonctionnalités et dispose de capacités étendues pour filtrer les contrôles de session,
l'enregistrement et l'audit de session en direct. Il a également obtenu de bons
résultats pour l'intégration de systèmes adjacents et, en outre, dispose de
fonctionnalités avancées pour la gestion des transferts de fichiers, notamment la
possibilité d'autoriser les transferts entrants et sortants via des workflows et
l'analyse automatique des fichiers.
Tarification : La tarification est très compétitive, avec des devis pour les scénarios de
tarification inférieurs à la moyenne pour tous les scénarios évalués.
Stratégie marketing : WALLIX a obtenu de bons résultats par rapport au marché
avec un ensemble très diversifié de campagnes marketing conçues pour mettre en
évidence le rôle de PAM en tant que solutionneur de problèmes, par opposition à
une simple atténuation des risques. C'est l'un des rares fournisseurs à souligner ses
efforts dans les campagnes régionales sur les réseaux sociaux.
Stratégie verticale : WALLIX est l'un des rares fournisseurs à consacrer beaucoup de
temps à résoudre PAM pour l'environnement OT, offrant une variété de
fonctionnalités pour gérer PAM pour OT, y compris le tunneling universel, qui
exploite les protocoles OT propriétaires pour se connecter aux appareils OT.
Précautions
Produit : WALLIX a obtenu un score inférieur à la plupart du marché pour la
gouvernance et l'administration des accès privilégiés , sans fonctionnalités natives
pour cela. Il a également obtenu un score inférieur pour la découverte de compte et
la gestion des informations d'identification, pour des fonctionnalités de découverte
de compte limitées axées principalement sur l'analyse AD.
Opérations : Alors que le nombre d'employés est resté essentiellement le même,
Gartner a noté une réduction du nombre d'employés consacrés à la recherche et au
développement par rapport à l'année dernière.
Stratégie produit : les versions SaaS des produits Bastion et BestSafe sont sur la
feuille de route depuis plusieurs années maintenant, et WALLIX ne poursuit pas une
capacité CIEM pour le moment, mais investit plutôt dans des intégrations avec
d'autres produits CIEM.
Stratégie géographique : bien que WALLIX soit populaire dans la région EMEA, son
empreinte dans les autres régions est faible.
Fournisseurs ajoutés et supprimés
Nous révisons et ajustons nos critères d'inclusion pour les Magic Quadrants à mesure que les
marchés évoluent. À la suite de ces ajustements, la composition des fournisseurs dans
n'importe quel Magic Quadrant peut changer au fil du temps. L'apparition d'un fournisseur
dans un Magic Quadrant une année et non la suivante n'indique pas nécessairement que
nous avons changé d'avis sur ce fournisseur. Cela peut être le reflet d'un changement sur le
marché et, par conséquent, d'un changement des critères d'évaluation, ou d'un changement
d'orientation de la part de ce fournisseur.
Ajoutée
15. Delinea (une fusion de Thycotic et Centrify, qui ont tous deux participé au Magic
Quadrant de l'année dernière)
ID Hitachi
Gérer le moteur
Netwrix
Saviynt
Abandonné
Krontech a été abandonné après ne pas avoir satisfait aux critères d'inclusion de 15
millions de dollars de revenus annuels
s enhasegura a été abandonné après ne pas avoir satisfait aux critères d'inclusion de
15 millions de dollars de revenus annuels
Critères d'inclusion et d'exclusion
Les critères d'inclusion représentent les attributs spécifiques que les analystes jugent
nécessaires pour être inclus dans ce Magic Quadrant. Pour être éligibles à l'inclusion, les
fournisseurs doivent fournir une solution qui satisfait aux critères techniques suivants :
Obligatoire : gestion des comptes et des sessions privilégiés (PASM), fonctionnalité
PAM de base, coffre-fort de compte, extraction/archivage, enregistrement de
session, automatisation des tâches de privilège, rotations des informations
d'identification, déploiement et évolutivité, journalisation et rapports et approches
JIT PAM. Les fournisseurs qui ne fournissent pas ces fonctions ne seront pas inclus
dans le Magic Quadrant for Privileged Access Management.
Facultatif : Un fournisseur peut également proposer la gestion des secrets, la gestion
de l'infrastructure et des droits d'accès au cloud (CIEM) et la gestion de l'élévation et
de la délégation des privilèges ( PEDM ) par des agents basés sur l'hôte pour les
systèmes d'exploitation UNIX/Linux, macOS ou Windows.
La solution du fournisseur doit répondre aux fonctionnalités minimales suivantes au
21 février 2022 :
Un coffre-fort sécurisé, renforcé et hautement disponible pour stocker les
informations d'identification et les secrets.
Outils pour découvrir, cartographier et signaler les comptes privilégiés sur plusieurs
systèmes, applications et appareils.
Outils pour randomiser, faire pivoter et gérer automatiquement les informations
d'identification des comptes système, administratifs, de service, de base de
données, d'appareil et d'application.
Outils pour gérer le processus de bout en bout de demande d'accès via des interfaces
utilisateur par des utilisateurs privilégiés avec des workflows d'approbation.
Interfaces utilisateur pour vérifier les informations d'identification privilégiées.
Outils permettant d'établir automatiquement une session privilégiée à l'aide de
protocoles tels que SSH, RDP ou HTTPS sans révéler les informations d'identification
à l'utilisateur.
16. Des fonctionnalités doivent exister pour enregistrer et réviser entièrement les
sessions, ainsi que pour gérer les sessions en direct en leur permettant d'être
accompagnées ou terminées.
Outils qui négocient les informations d'identification au logiciel, permettant ainsi
l'élimination des informations d'identification en texte clair dans les fichiers de
configuration ou les scripts.
Prise en charge de l'administration basée sur les rôles, y compris la gestion
centralisée des politiques pour contrôler l'accès aux informations d'identification et
aux actions privilégiées.
Analyses et rapports sur les comptes privilégiés et leur utilisation (par exemple,
découverte d'une utilisation non autorisée d'informations d'identification
privilégiées ou signalement d'activités inhabituelles).
Architecture sous-jacente pour ce qui précède, y compris l'architecture du
connecteur.
Les produits doivent être commercialisés, vendus et déployés pour être utilisés avec
les environnements de production du client à des fins conformes aux objectifs de
PAM.
Tous les outils et fonctionnalités doivent être entièrement documentés, y compris la
documentation de la configuration (le cas échéant), ainsi que l'utilisation de la
fonctionnalité. Les fonctionnalités qui ne sont pas documentées, ou qui sont
simplement listées, ou référencées au passage mais non documentées, ne peuvent
pas être prises en compte.
Pour être éligibles à l'inclusion dans le Magic Quadrant 2021 pour la gestion des accès à
privilèges, les fournisseurs respectifs doivent répondre aux critères suivants :
Revenu:
o Avoir réservé un revenu total d'au moins 15 millions de dollars pour les
produits et abonnements PAM (y compris les revenus de maintenance, mais
à l'exclusion des revenus des services professionnels) pour toute période de
12 mois consécutifs (année fiscale) entre le 1er mars 2020 et le 31 décembre
2021, ou
o Avoir 500 clients payants distincts utilisant ses outils PAM
Géographie : les fournisseurs doivent être en concurrence sur au moins deux des cinq
principaux marchés régionaux (Amérique du Nord ; Amérique latine [y compris le
Mexique] ; Europe, Moyen-Orient et Afrique ; Asie/Pacifique, y compris ANZ). Cette
condition serait remplie si un fournisseur n'avait pas plus de 90 % de sa clientèle dans
une région donnée.
Propriété intellectuelle : vendre et prendre en charge son propre produit ou service
PAM développé en interne, plutôt que de l'offrir en tant que revendeur ou
fournisseur tiers.
Secteurs verticaux : ont vendu des produits ou des services PAM à des clients dans
différents secteurs verticaux ou secteurs.
Positionnement : commercialiser des produits pour une utilisation conforme au
PAM.
17. Par rapport au Magic Quadrant de l'année précédente, le chiffre d'affaires minimum et le
nombre de clients à inclure ont été augmentés conformément aux prévisions du marché.
Mentions honorables
Fudo Security vend Fudo Privileged Access Management (PAM), un produit PASM avec des
capacités avancées de gestion de session, y compris l'analyse comportementale basée sur
l'IA. Fudo Security n'est pas inclus dans ce Magic Quadrant car il ne répondait pas aux
critères d'inclusion pour les revenus.
HashiCorp propose une solution autonome de gestion des secrets appelée Vault, ainsi qu'un
produit appelé Boundary qui prend en charge la gestion des sessions et les cas d'utilisation
PASM de base pour un accès interactif. Hashi Corp n'est pas inclus dans ce Magic Quadrant
car il ne répond pas à tous les critères techniques.
Imprivata (Xton) vend P rivileged Access Management , une solution PASM qui comprend
également plusieurs proxys au niveau du protocole - RDP, SSH, SQL, HTTP(s) et AWS CLI -
qui prennent en charge le filtrage des protocoles et bases de données d'accès à distance
courants. Imprivata, (Xton) ne répond pas aux critères d'inclusion techniques de ce Magic
Quadrant .
Krontech vend plusieurs produits sous forme de logiciels sous la marque Ironsphere qui
offrent des capacités PASM, ainsi que des capacités PEDM pour UNIX, Linux et
Windows. Plusieurs fonctionnalités sont également disponibles « en tant que service » sous
la marque Cloud PAM. Il n'est pas inclus dans ce Magic Quadrant car il ne répondait pas aux
critères d'inclusion des revenus.
Microsoft propose plusieurs fonctionnalités PAM dans ses offres. Azure Active Directory
Premium P2 contient une fonctionnalité de gestion des identités privilégiées (PIM) axée sur
l'élévation JIT des sessions privilégiées lors de l'approbation des rôles dans Azure AD et
l'infrastructure Azure. Un mécanisme similaire est disponible pour Microsoft 365, et
Microsoft propose désormais également la fonctionnalité CIEM via son acquisition
CloudKnox. En outre, Microsoft propose une solution de mot de passe d'administrateur
local (LAPS) téléchargeable gratuitement qui stocke les mots de passe des comptes
d'administrateur local dans Active Directory et les met à la disposition des administrateurs
après approbation. Bien qu'il prenne en charge certains aspects de PAM, Microsoft n'a pas
été inclus dans ce Magic Quadrant car il ne répondait pas à tous les critères d'inclusion
techniques.
Remediant propose un produit PAM qui utilise une approche innovante du JIT PAM, qui
supprime l'accès permanent dans la mesure du possible. Remediant ne répondait pas à tous
les critères d'inclusion techniques de ce Magic Quadrant.
Sectona propose une offre PAM appelée Sectona Security Platform, qui n'est disponible que
sous forme de logiciel.
Sectona offre des capacités PASM, des capacités PEDM pour Windows, ainsi qu'une
fonctionnalité d'accès à distance sur la même plate-forme. Sectona cible le marché des
entreprises de taille moyenne avec un modèle de licence compétitif. Sectona n'a pas
répondu aux critères d'inclusion de ce Magic Quadrant pour les revenus.
senhasegura propose un produit PASM, senhasegura PAM Core, disponible sous forme de
logiciel ou de service. PEDM pour Windows et Linux est disponible dans une offre logicielle
appelée GO Endpoint Manager. La gestion des secrets est vendue sous forme de logiciel ou
de service sous le nom de DevOps Secrets Management. senhasegura ne répondait pas aux
critères d'inclusion de ce Magic Quadrant pour les revenus.
18. Teleport adopte une approche différente de PAM dans les scénarios multicloud. Au lieu de
s'appuyer sur la gestion des informations d'identification, il applique un accès strictement
basé sur l'identité en créant un maillage d'accès privilégié virtuel et en ciblant quatre
principaux cas d'utilisation d'accès : SSH, Kubernetes, les applications Web et les bases de
données. Teleport ne répondait pas à tous les critères d'inclusion technique de ce Magic
Quadrant.
Critère d'évaluation
Capacité d'exécution
Produit ou service : Évalue les produits de base proposés par le fournisseur qui sont en
concurrence/desservent le marché défini. Cela inclut les capacités actuelles du produit, la
qualité, les ensembles de fonctionnalités et la documentation dans plusieurs catégories de
produits :
Gouvernance des accès privilégiés : cette capacité fournit des fonctionnalités et des
fonctions permettant de gérer formellement l'attribution des privilèges, d'examiner
et de certifier périodiquement les accès privilégiés et d'assurer la séparation des
tâches en fonction d'un ensemble de politiques.
Découverte et intégration de comptes : cette fonctionnalité fournit des
fonctionnalités permettant de découvrir, d'identifier et d'intégrer des comptes
privilégiés, y compris la possibilité de prendre en charge des analyses de découverte
périodiques, ad hoc ou continues. Cela inclut également la possibilité de découvrir
automatiquement les services cibles et les systèmes (y compris les machines
virtuelles) pour découvrir plus avant les comptes privilégiés qu'ils contiennent.
Gestion des informations d'identification privilégiées : cette capacité fournit des
fonctionnalités et des fonctions essentielles pour gérer et protéger les informations
d'identification ou les secrets des comptes privilégiés définis par le système et
l'entreprise (y compris les clés SSH). Il comprend la génération, la sauvegarde, la
rotation et la récupération pour un accès interactif à ces informations d'identification
par des individus. Cela inclut également la rotation des informations d'identification
pour les comptes de service et de logiciel (comptes intégrés, par exemple) sur les
systèmes cibles. Ces fonctions nécessitent au minimum la possibilité d'accéder à
l'outil PAM via une console Web ou une API.
Gestion des sessions privilégiées : cette fonctionnalité permet l'établissement, la
gestion, l'enregistrement et la lecture des sessions, la surveillance en temps réel , le
filtrage des commandes basé sur le protocole et la séparation des sessions pour les
sessions à accès privilégié. Il comprend des fonctions pour gérer une session
interactive avec l'outil PAM, de la vérification d'un identifiant à l'enregistrement de
cet identifiant - bien que dans des cas normaux, cet identifiant ne soit pas divulgué à
l'utilisateur. Cette capacité peut également impliquer des restrictions, telles que
l'autorisation/le refus de certains types de commandes et de fonctions lorsque vous
êtes connecté au système cible.
Gestion des secrets : cette fonctionnalité permet de gérer l'accès aux informations
d'identification (telles que les mots de passe, les jetons OAuth et les clés SSH) pour
les cas d'utilisation non humains tels que les machines, les applications, les services,
19. les scripts, les processus et les pipelines DevSecOps. Cela inclut la possibilité de
générer, de stocker, de faire pivoter et de fournir des informations d'identification à
des entités non humaines (via une API, par exemple). Cela inclut également la
capacité de négocier la confiance entre différentes entités non humaines dans le but
d'échanger des secrets et de gérer les autorisations et les fonctions
associées. Combinées, ces fonctions prennent en charge la gestion des secrets pour
les environnements dynamiques et prennent en charge les plates-formes RPA.
Journalisation et génération de rapports : cette fonctionnalité permet d'enregistrer
tous les événements uniques, y compris les modifications et les opérations, dans le
cadre de l'opération PAM. Un événement unique est basé sur l'utilisateur, l'heure, la
date et le lieu, et est traité avec d'autres événements via une corrélation dans un
ordre logique. Il s'agit de surveiller et de déterminer la cause première des
événements à risque et d'identifier les accès non autorisés. Cette capacité fournit
également les fonctionnalités requises pour l'audit et le rapport de la base de
données d'événements, y compris lesrapports et prise en charge des rapports ad
hoc. Les données d'événement doivent également inclure des informations
provenant de sessions privilégiées. Cette capacité fournit également des analyses (à
l'aide de l'apprentissage automatique) sur les activités des comptes privilégiés afin
de détecter et de signaler les anomalies, y compris l'établissement de références, la
notation des risques et l'alerte. L'objectif est de mieux identifier les indicateurs
retardés et avancés qui identifient les anomalies d'accès à privilèges pour déclencher
des contre-mesures automatisées en réponse aux alertes.
Automatisation des tâches privilégiées : cette fonctionnalité fournit des fonctions et
des fonctionnalités permettant d'automatiser les tâches répétitives en plusieurs
étapes liées aux opérations privilégiées qui sont orchestrées et/ou exécutées sur une
gamme de systèmes. PTA utilise des bibliothèques extensibles d'opérations
privilégiées préconfigurées pour les systèmes et appareils informatiques courants. Il
peut orchestrer des allers-retours entre différentes activités et demander plus
d'informations si nécessaire, tout en fournissant des garde-fous en vérifiant les
entrées par rapport aux politiques et aux paramètres.
Élévation et délégation de privilèges pour UNIX/Linux : cette capacité fournit des
fonctions et des fonctionnalités basées sur l'hôte pour appliquer des politiques sur
les systèmes UNIX/Linux et macOS afin de permettre aux commandes ou
applications autorisées de s'exécuter avec des privilèges élevés. Les administrateurs
se connecteront à l'aide d'un compte non privilégié et élèveront le privilège si
nécessaire. Toute commande nécessitant des privilèges supplémentaires devrait
passer par ces outils, empêchant ainsi les administrateurs d'effectuer des activités
dangereuses. Ces fonctionnalités doivent s'exécuter sur le système d'exploitation
réel (au niveau du noyau ou du processus).
Élévation et délégation de privilèges pour Windows : cette fonctionnalité fournit des
fonctions et des fonctionnalités basées sur l'hôte pour appliquer des politiques sur
les systèmes Windows qui implémentent des contrôles d'autorisation/de
refus/d'isolement des applications, et pour permettre aux commandes ou
applications autorisées de s'exécuter avec des privilèges élevés. Les administrateurs
se connecteront à l'aide d'un compte non privilégié et élèveront le privilège si
nécessaire. Toute commande nécessitant des privilèges supplémentaires devrait
passer par ces outils, empêchant ainsi les administrateurs d'effectuer des activités
20. dangereuses. Ces fonctionnalités doivent s'exécuter sur le système d'exploitation
réel (au niveau du noyau ou du processus). Les outils Windows PEDM peuvent
également fournir en option des fonctionnalités de surveillance de l'intégrité des
fichiers.
Intégration de systèmes adjacents : cette capacité nécessite la capacité de fournir
des fonctions et des fonctionnalités pour intégrer et interagir avec les capacités de
gestion de la sécurité et des services adjacents. Les systèmes incluent IGA,
SSO, MFA , les répertoires d'entreprise, la prise en charge de connecteurs flexibles et
de cadres d'intégration, l'accès général aux API, l'intégration avec les systèmes
ITSM, les systèmes SIEM et les systèmes de gestion des vulnérabilités.
Facilité de déploiement, performances : cette capacité fournit des fonctions et des
fonctionnalités pour simplifier le déploiement de la solution PAM tout en
garantissant la disponibilité, la capacité de récupération, les performances et
l'évolutivité.
Méthodes JIT PAM : cette capacité fournit un accès privilégié à la demande sans
l'exigence de comptes partagés portant des privilèges permanents. En règle
générale, cela implique que les comptes non privilégiés se voient accorder les
privilèges appropriés dans le temps. Les méthodes courantes pour y parvenir
peuvent être l'utilisation d'approches PEDM, l'utilisation d'une appartenance à un
groupe temporaire et à la demande, ou l'utilisation de comptes éphémères ou de
jetons de sécurité. Cette capacité est axée sur le respect du principe du moindre
privilège et, par la suite, sur l'obtention de privilèges permanents zéro (ZSP) pour
l'accès PAM. Les cas d'utilisation JIT incluent :
La possibilité d'ajouter et de supprimer dynamiquement des utilisateurs des groupes
AD
Fournir dynamiquement un accès limité dans le temps aux comptes privilégiés
Fonctionnalité PEDM via une élévation de privilèges à la demande
La possibilité de créer et de supprimer à la demande des comptes privilégiés
La possibilité de créer et d'utiliser des jetons éphémères
La possibilité d'accéder à la demande aux panneaux de contrôle SaaS tels qu'AWS
Viabilité globale : comprend une évaluation de la santé financière globale de l'organisation
et du succès financier et pratique de l'unité commerciale. Est également incluse la
probabilité que l'unité commerciale individuelle continue d'investir dans son produit PAM,
continue d'offrir le produit et continue de faire progresser l'état de l'art au sein du
portefeuille de produits PAM de l'organisation. Les facteurs pris en compte comprennent la
santé financière globale de l'organisation en fonction de sa taille globale, de sa rentabilité et
de ses liquidités. La viabilité d'un fournisseur sur le marché PAM est également évaluée en
examinant dans quelle mesure les ventes PAM contribuent aux revenus globaux, à la
fidélisation des clients et à la croissance des revenus PAM, ainsi qu'au nombre de nouveaux
clients.
Exécution des ventes/Tarification :Évalue les capacités du fournisseur PAM dans toutes les
activités de prévente et la structure qui les prend en charge. Cela inclut la gestion des
transactions, la tarification et la négociation, le support avant-vente et l'efficacité globale du
canal de vente. Les facteurs évalués comprennent la manière dont le fournisseur soutient
les clients dans le processus de vente, l'utilisation des canaux directs et indirects et la
21. tarification. La tarification, qui était plus fortement pondérée que les autres facteurs de
cette catégorie, comprenait une évaluation des modèles de tarification et de leur flexibilité,
ainsi que la performance réelle des prix. Les fournisseurs ont été invités à fournir leur
meilleur prix pour une série de 14 configurations prédéfinies de complexité et d'échelle
croissantes. Des notes ont ensuite été attribuées selon que le prix d'un fournisseur
spécifique pour une configuration était bien inférieur, inférieur, égal, supérieur ou bien
supérieur à la moyenne de l'industrie,
Réactivité/enregistrement du marché : évalue la capacité d'un fournisseur à réagir, à
changer de direction, à être flexible et à réussir dans la concurrence à mesure que les
opportunités se développent, que les concurrents agissent, que les besoins des clients
évoluent et que la dynamique du marché change. Ce critère tient également compte de
l'historique de réactivité du fournisseur aux demandes changeantes du marché. Les
fournisseurs ont été évalués sur la façon dont ils ont réagi au cours des 12 derniers mois aux
besoins émergents des clients, à l'évolution des réglementations et aux activités des
concurrents.
Exécution marketing :Évalue la clarté, la qualité, la créativité et l'efficacité des programmes
conçus pour transmettre le message de l'organisation afin d'influencer le marché, de
promouvoir la marque, d'accroître la notoriété des produits et d'établir une identification
positive dans l'esprit des clients. Ce « partage d'esprit » peut être motivé par une
combinaison de publicité, d'activités promotionnelles, de leadership éclairé, de médias
sociaux, de références et d'activités de vente. Les activités de marketing et les messages ont
été évalués en examinant les campagnes récentes et leur capacité à faire en sorte que le
fournisseur se démarque du lot. De plus, la capacité de l'organisation à réagir aux quarts de
travail qui changent rapidement a été examinée. La capacité des vendeurs à se promouvoir
par le biais de la presse, de conférences et d'autres moyens n'a pas seulement été évaluée
par la quantité, mais aussi par la substance du matériel et le leadership éclairé démontré. La
profondeur et l'équité de la marque étaient un autre domaine à prendre en compte, en
cherchant comment un fournisseur construit et maintient sa marque à l'échelle
mondiale. Une attention particulière a également été accordée à la manière dont le vendeur
utilise sa marque pour attirer les acheteurs.
Expérience client:Évalue les produits et services et/ou programmes qui permettent aux
clients d'obtenir les résultats escomptés avec les produits évalués. Plus précisément, cela
inclut des interactions fournisseur/acheteur de qualité, un support technique ou un support
de compte. Cela peut également inclure des outils auxiliaires, des programmes de support
client, la disponibilité de groupes d'utilisateurs et des accords de niveau de service. Les
facteurs évalués comprenaient les relations avec la clientèle et les services. Nous nous
sommes spécifiquement concentrés sur ceux qui ajoutent de la valeur au client (plutôt que
d'ajouter des capacités de vente incitative au fournisseur). Les méthodes de mesure et
d'intégration de la satisfaction et des commentaires des clients dans les processus existants
ont également été évaluées. Nous avons fortement pondéré les commentaires directs des
clients avec un mélange de commentaires des clients provenant de références fournies par
les fournisseurs (le cas échéant), de données Gartner Peer Insights et d'autres
commentaires des clients Gartner.
Opérations : évalue la capacité de l'organisation à atteindre ses objectifs et ses
engagements. Les facteurs comprennent la taille globale et la qualité de la structure
organisationnelle, les compétences, les expériences, les programmes, les systèmes et les
autres véhicules qui permettent à l'organisation de fonctionner de manière efficace et
22. efficiente. Nous avons également évalué les changements organisationnels, les
certifications et les processus internes.
Tableau 1 : Capacité à exécuter les critères d'évaluation
Agrandir le tableau
Critère d'évaluation Pondération
Produit ou service Haut
Viabilité globale Moyen
Exécution des ventes/Tarification Haut
Réactivité du marché/Record Moyen
Exécution marketing Faible
Expérience client Faible
Opérations Faible
Source : Gartner (juillet 2022)
Intégralité de la vision
Compréhension du marché : évalue la capacité à comprendre les besoins des clients et à les
traduire en produits et services. Les fournisseurs qui montrent une vision claire de leur
marché - qui écoutent et comprennent les demandes des clients, et peuvent façonner ou
améliorer les changements du marché avec leur vision supplémentaire - ont obtenu de bons
résultats dans ce critère. Nous avons évalué la méthodologie et les contributions aux
programmes d'études de marché des fournisseurs, ainsi que la capacité des fournisseurs à
identifier les tendances et les changements du marché.
Stratégie marketing : évalue si le message d'un fournisseur est clair et différenciateur, tout
en étant constamment communiqué en interne et externalisé via les médias sociaux, la
publicité, les programmes clients et les déclarations de positionnement. Les activités de
marketing des fournisseurs, les plans de communication et les campagnes de notoriété de la
marque ont été évalués, ainsi que l'utilisation des médias. L'organisation marketing de
chaque fournisseur elle-même a également été évaluée pour déterminer si sa composition
23. lui permet de rester compétitif par rapport aux autres fournisseurs de l'espace. Des facteurs
tels que la taille du personnel et l'utilisation de composants externes ont été pris en compte.
Stratégie de vente : examine le bien-fondé de la stratégie de vente du fournisseur en termes
d'utilisation des réseaux appropriés. Ceux-ci comprennent les ventes directes et indirectes,
le marketing, le service et la communication et les partenaires qui étendent la portée et la
profondeur de la portée du marché, l'expertise, les technologies, les services et la clientèle
du fournisseur. Nous avons évalué la compréhension d'un fournisseur de ses acheteurs et
éventuellement des acheteurs uniques qu'il cible. Nous avons également examiné
l'utilisation de plusieurs canaux pour générer des ventes par le biais de ventes directes et
indirectes. Enfin, la capacité d'un fournisseur à mobiliser sa force de vente, tant en interne
qu'en externe, a été évaluée.
Stratégie d'offre (produit) : évalue une approche de développement et de livraison de
produits qui met l'accent sur la différenciation du marché, la fonctionnalité, la méthodologie
et les caractéristiques en fonction des exigences actuelles et futures. Une évaluation des
trois fonctionnalités les plus importantes de la feuille de route d'un fournisseur a été
fortement pondérée. Nous avons également mesuré les plans futurs des fournisseurs pour
répondre aux critères de sélection des clients et évalué les pratiques de développement de
logiciels et la participation à des organisations industrielles ou de normalisation.
Modèle d'affaires : L'accent a été mis sur la conception, la logique et l'exécution de la
proposition d'affaires de l'organisation pour atteindre un succès continu. Nous avons évalué
une compréhension convaincante des forces et des faiblesses de la concurrence, des jalons
récents de l'entreprise et de la voie vers une croissance future. De plus, la capacité d'un
fournisseur à établir et à maintenir des partenariats (avec des technologies adjacentes , des
revendeurs à valeur ajoutée et des intégrateurs de systèmes) a été examinée, ainsi que sa
capacité à les exploiter dans le cadre d'un plan d'affaires global.
Stratégie verticale/industrielle : évalue la stratégie du fournisseur pour orienter les
ressources (ventes et produits, développement, par exemple), les compétences et les offres
pour répondre aux besoins spécifiques de segments de marché individuels, y compris les
entreprises de taille moyenne, les fournisseurs de services et les marchés verticaux. Les
facteurs évalués comprennent l'applicabilité de l'offre à des secteurs verticaux, des
industries et des tailles d'organisations spécifiques ; la compréhension du fournisseur des
différents besoins et exigences de ces segments ; et la stratégie verticale globale du
fournisseur, y compris les changements prévus.
Innovation : Évalue les agencements directs, connexes, complémentaires et synergiques
des ressources, de l'expertise ou du capital à des fins d'investissement, de consolidation,
défensives ou préventives. Nous avons évalué la capacité du fournisseur à fournir des
innovations techniques et non techniques (processus de support et programmes de mise en
œuvre, par exemple) qui améliorent la capacité des acheteurs à mieux contrôler, surveiller
et gérer les utilisateurs privilégiés et les informations d'identification, et qui différencient les
produits de manière significative. Les innovations techniques et non techniques des 18
derniers mois ont été fortement pondérées. Nous avons également évalué les progrès
fondamentaux (plus de 18 mois) réalisés au cours de la durée de vie du produit.
Stratégie géographique : Évalue la stratégie du fournisseur et sa capacité à orienter les
ressources, les compétences et les offres pour répondre aux besoins spécifiques des zones
géographiques en dehors de la « maison » ou de la géographie d'origine, soit directement,
soit par l'intermédiaire de partenaires, de canaux et de filiales, en fonction de cette
géographie et de ce marché. Les fournisseurs ont été évalués sur leur présence sur les
24. marchés internationaux et sur les changements qui soutiennent la diffusion de leurs
produits et services dans d'autres zones géographiques. Nous avons également évalué les
stratégies d'expansion des ventes mondiales et de la portée de l'assistance,
l'internationalisation des produits et la disponibilité immédiate de l'assistance et des
services dans des zones géographiques distinctes.
Tableau 2 : Complétude des critères d'évaluation de la vision
Agrandir le tableau
Critère d'évaluation Pondération
Compréhension du marché Moyen
Stratégie de marketing Moyen
Stratégie de soldes Moyen
Stratégie d'offre (de produit) Haut
Modèle d'affaires Faible
Stratégie verticale/industrielle Moyen
Innovation Haut
Stratégie géographique Moyen
Source : Gartner (juillet 2022)
Descriptions des quadrants
Dirigeants
Les leaders PAM fournissent un ensemble d'outils complet pour l'administration des accès
privilégiés. Ces fournisseurs ont réussi à constituer une base de clients installés et un flux de
revenus importants, et ont des cotes de viabilité élevées et une croissance robuste des
revenus. Les dirigeants font également preuve d'une vision et d'une exécution supérieures
pour les exigences anticipées liées à la technologie, à la méthodologie ou aux moyens de
livraison. Les dirigeants démontrent généralement la satisfaction des clients à l'égard des
capacités PAM et/ou des services et de l'assistance associés.
25. Challengers
Les challengers offrent un ensemble relativement solide de fonctionnalités PAM. Certains
ont des clients importants qui utilisent leur solution PAM. Les challengers font également
preuve d'une solide exécution, et la plupart ont des ventes et une présence de marque
importantes dans une région ou une industrie particulière. Cependant, les Challengers
peuvent ne pas avoir les moyens (tels que le budget, le personnel, la présence géographique
et la visibilité) d'exécuter de la même manière que les Leaders. En raison de leur taille plus
petite, certains acheteurs potentiels pourraient initialement s'inquiéter de leur viabilité à
long terme.
Les challengers n'ont pas encore démontré la même exhaustivité ou maturité des
fonctionnalités, l'échelle de déploiement ou la même vision pour PAM que les leaders. Au
contraire, leur vision et leur exécution en matière de technologie, de méthodologie et/ou de
moyens de livraison ont tendance à être davantage axées sur - ou limitées à - des plates-
formes, des zones géographiques ou des services spécifiques.
Visionnaires
Les visionnaires fournissent des produits qui répondent à de nombreuses exigences des
clients PAM. Les visionnaires sont reconnus pour leurs approches novatrices des
technologies, méthodologies et/ou moyens de prestation PAM. Ils peuvent avoir des
caractéristiques uniques et se concentrer sur un secteur ou un ensemble de cas d'utilisation
spécifiques, plus que les fournisseurs des autres quadrants. Les visionnaires sont souvent
des leaders de l'innovation sur des marchés en pleine maturité tels que PAM, et les
entreprises qui recherchent les dernières solutions se tournent souvent vers les visionnaires.
Acteurs de niche
Les acteurs de niche fournissent une technologie PAM qui correspond bien aux cas
d'utilisation ou aux méthodologies PAM spécifiques. Ils peuvent se concentrer sur des
industries ou des segments de clientèle spécifiques et peuvent en fait surpasser de
nombreux concurrents. Ils peuvent concentrer leurs fonctionnalités PAM principalement sur
un cas d'utilisation, une pile technologique et/ou une infrastructure spécifiques. Les
fournisseurs de ce quadrant ont souvent une petite base installée, une concentration sur des
segments de clientèle spécifiques, un investissement limité dans PAM, une empreinte
géographique limitée ou d'autres facteurs qui les empêchent de fournir un ensemble plus
large de capacités aux entreprises . Cependant, cela ne reflète pas négativement la valeur
du fournisseur dans le spectre de services plus étroitement ciblé. Les joueurs de niche
peuvent être très efficaces dans leur domaine de concentration.
Contexte
Convergence
Sur le thème de la convergence, Gartner constate que parmi les principaux marchés IAM
(gouvernance et administration des identités, gestion des accès, authentification des
utilisateurs, gestion des accès privilégiés et détection des fraudes en ligne), il existe des
exemples de convergence des fonctionnalités d'un marché à l'autre. Il peut s'agir d'un outil
AM offrant certaines fonctionnalités IGA ou d'un fournisseur PAM offrant des
fonctionnalités AM. Cela peut être qualifié de macroconvergence ou de convergence entre
des marchés distincts. Il existe des fournisseurs de PAM avec une activité dans cette
26. catégorie. CyberArk offre une fonctionnalité AM ; One Identity propose à la fois IGA et AM
en plus de PAM ; et Broadcom propose également les trois. Mais, aujourd'hui, cette
approche peut être largement décrite comme une approche en silo modifiée. Par exemple,
si vous pouvez acheter plusieurs produits, cela ne signifie pas que les produits sont
entièrement intégrés en termes de politique,
Mais il existe une catégorie supplémentaire de convergence qui est plus précisément décrite
comme la microconvergence, lorsqu'un fournisseur de PAM converge vers une catégorie
d'outils étroitement adjacente du point de vue des caractéristiques et des
fonctionnalités. Nous observons cela sur le marché PAM avec des fournisseurs développant
des fonctionnalités sur des marchés étroitement adjacents comme la gestion des secrets et
le CIEM. Sept des fournisseurs de PAM couverts dans ce Magic Quadrant proposent
actuellement des produits de gestion des secrets, trois autres l'ont défini, et un seul n'a pas
l'intention de l'ajouter. Cinq des fournisseurs couverts dans ce Magic Quadrant offrent la
fonctionnalité CIEM, avec six fournisseurs définissant la fonctionnalité et quatre l'ayant sur
la feuille de route. Un seul fournisseur, Broadcom, n'a pas prévu d'outils CIEM ou de gestion
des secrets dans le cadre de ses outils PAM.
Comme toujours, une évaluation précise des exigences sera essentielle pour choisir avec
succès le bon fournisseur, mais les clients de Gartner doivent être conscients que
l'expansion des fonctionnalités de l'outil PAM pourrait introduire la possibilité d'une certaine
consolidation des logiciels de sécurité dans leurs environnements.
Outils de gestion des mots de passe et PAM
Ce Magic Quadrant décrit avec précision le marché PAM et les outils PAM. Ces outils ne
cessent de se développer en termes de fonctionnalités et de fonctionnalités, et sont tous
consacrés à la gestion des risques d'accès aux privilèges. Les outils de gestion des accès
privilégiés gèrent les comptes privilégiés, mieux définis comme des comptes qui peuvent
essentiellement effectuer des opérations de création, de récupération, de mise à jour et de
suppression (CRUD) dans l'infrastructure informatique.
Il existe une autre catégorie d'outils qui se confond parfois avec PAM. La catégorie générale
de ces outils est celle des outils de gestion des mots de passe. Les deux outils ont un coffre-
fort, mais c'est là que s'arrêtent les similitudes. Les outils de gestion des mots de passe sont
conçus pour aider les utilisateurs normaux disposant d'autorisations régulières (comptables,
vendeurs ou ingénieurs, par exemple) à gérer le large éventail de mots de passe dont ils
doivent se souvenir pour leur travail quotidien. Mais généralement, ces outils ne font pas la
rotation des informations d'identification, la gestion des sessions, l'enregistrement des
sessions, la gouvernance des identités ou l'élévation des privilèges. Bien qu'il s'agisse
d'outils utiles et que de nombreuses organisations les aient trouvés essentiels pour aider les
utilisateurs, ils ne doivent pas être confondus avec un outil PAM. Bien qu'il existe au moins
50 fournisseurs dans cet espace, les fournisseurs de gestion de mots de passe les plus
mentionnés sont LastPass, Dashlane, 1Password,
Les outils de gestion des mots de passe sont largement banalisés. Ils sont généralement
SaaS (avec des abonnements par utilisateur) et ont des clients Web, mobiles et parfois
Windows. Beaucoup de ces outils peuvent partager des mots de passe entre les coffres pour
les équipes, nécessitent un mot de passe principal pour accéder au coffre, et certains d'entre
eux peuvent générer des mots de passe uniques et complexes. Cependant, aucune de ces
choses n'en fait des outils PAM.
Juste à temps
27. Une autre tendance que Gartner observe sur le marché est davantage d'approches PAM
juste-à-temps (voir Réduire les risques grâce à une approche juste-à-temps de la gestion des
accès privilégiés ) , des outils hybrides qui offrent un sous-ensemble des fonctionnalités d'un
outil PAM avec une gamme complète de produits. En règle générale, ces outils n'offrent pas
la possibilité d'atténuer les risques PAM dans tous les cas d'utilisation PAM, mais offrent la
promesse d'atténuer plus simplement et plus rapidement les risques PAM pour une sous-
section de l'environnement.
Par exemple, pour une entreprise où la plupart des risques de PAM concernent les serveurs
Windows ou Linux, il existe des outils PAM légers qui offrent une découverte et une
intégration rapides de l'accès administratif JIT pour cet environnement. Ou pour une
entreprise où la plupart des risques se situent dans un environnement cloud, il existe des
outils PAM légers offrant des contrôles JIT pour ces environnements. Notez que ces outils
ne seront généralement pas suffisants pour une atténuation complète du risque PAM, et il y
aura toujours un besoin pour un contrôle de voûte pour les «gros rochers», de
l'administrateur de domaine, de l'administrateur local et de la racine, entre autres. Certains
outils JIT offrent la possibilité d'atténuer une quantité importante de risques PAM sans tous
les coûts, le temps et la main-d'œuvre associés nécessaires avec un outil PAM
conventionnel. Plusieurs de ces outils sont répertoriés dans la section Mentions honorables.
Meilleures pratiques PAM
Déployer correctement un outil PAM nécessite deux éléments majeurs :
1. Une compréhension claire de l'emplacement des comptes privilégiés (avec une
feuille de route pour les sécuriser)
2. Changement de processus organisationnel pour maximiser l'efficacité des
contrôles d'accès privilégiés.
Pour ce faire, les organisations doivent mettre en place des pratiques complètes de
découverte de comptes privilégiés pour comprendre quel accès privilégié existe
actuellement dans leur environnement, puis définir comment l'accès privilégié se produira à
l'avenir.
En termes de processus et de pratiques, lors du déploiement d'un outil PAM, les
responsables SRM doivent suivre les quatre piliers PAM de Gartner :
1. Suivez et sécurisez chaque compte privilégié.
2. Gouverner et contrôler l'accès.
3. Enregistrer et auditer l'activité privilégiée.
4. Opérationnalisez les tâches privilégiées.
Les meilleures pratiques PAM ont été conceptualisées par Gartner comme quatre piliers,
mais il existe un autre pilier qui représente une préquelle, et un pour lequel le fait de ne pas
le traiter rendra beaucoup plus difficile la mise en œuvre réussie d'un outil et d'une pratique
PAM - le pilier de la culture.
Le pilier culturel
Ne pas aborder la culture ou sous-estimer l'impact de la culture est l'un des principaux
facteurs d'échec des projets PAM. Sans aborder la culture, les implémenteurs PAM font face
à une résistance pour le projet PAM de tous les côtés, y compris les contributeurs
individuels, les dirigeants IAM et les chefs d'entreprise. Étant donné que la mise en œuvre
de PAM est un changement dans la façon dont les gens abordent le travail administratif,
une explication inadéquate de la raison pour laquelle un changement est nécessaire créera
un recul pour ce changement.
28. Les meilleures pratiques pour le pilier de la culture sont.
Créez une vision pour PAM, avec un manifeste d'une page destiné à chaque
circonscription. Cette page doit exposer la vision, dire à ce public quel est son rôle
dans le projet et communiquer clairement ce qu'on attend d'eux.
Créez une équipe de pilotage et invitez toutes les parties et parties prenantes
concernées. Le travail de l'équipe de pilotage consiste à définir les attentes en
matière de responsabilités, mais aussi à créer une dynamique positive et un canal de
communication pour tous les groupes tout au long du projet.
Obtenez le parrainage de la direction. Parfois, lorsqu'un projet se heurte à un mur,
une autorité supérieure, chargée de faire avancer un projet, est nécessaire. Le
parrainage de la direction, peut-être avec un leadership exécutif au sein de l'équipe
de pilotage, permet au projet de relever des défis difficiles en temps de crise.
Pilotes pour PAM
Protéger l'entreprise : la principale raison de la mise en œuvre de PAM est de protéger
l'entreprise. Une pratique PAM efficace réduit la surface d'attaque pour les comptes
privilégiés et atténue le risque d'existence de comptes privilégiés. La mission d'une pratique
PAM est de réduire ou d'éliminer l'impact commercial de l'activité des mauvais acteurs. Une
bonne gestion de PAM n'élimine peut-être pas les compromis sur le réseau et les comptes,
mais elle peut réduire le risque d'impact commercial important en empêchant l'escalade
vers des comptes élevés.
Activez l'entreprise : au-delà de la sécurité, le fait de disposer de processus efficaces de
gestion des accès à privilèges aide à créer des optimisations pour le changement et favorise
ainsi l'agilité de l'entreprise. L'objectif est de gérer les risques PAM avec suffisamment de
succès pour que l'entreprise puisse évoluer rapidement vers de nouvelles opportunités
commerciales sans être aux prises avec des problèmes de sécurité hérités comme PAM. Le
simple fait d'acheter un outil PAM sans modifier la façon dont l'accès privilégié est accordé
et utilisé laisse les organisations exposées. Il existe de nombreuses histoires d'organisations
violées ou piratées malgré l'utilisation d'outils PAM. Généralement, de tels incidents
peuvent être évités si les outils sont utilisés correctement , (voir IAM Leaders' Guide to
Privileged Access Management ) .
Conformité : bien que le respect des conclusions d'audit et de conformité ait toujours été un
moteur pour le PAM, des exigences réglementaires sont récemment apparues, en
particulier pour les organisations prenant en charge les infrastructures critiques (énergie,
services publics, etc.) aux États-Unis. De plus, principalement en raison de la récente
prolifération de attaques de rançongiciels, nous avons observé que bon nombre de nos
clients sont tenus de prouver les contrôles PAM et de prouver qu'ils ont une pratique PAM
efficace, par les assureurs en cybersécurité .
Aperçu du marché
Taille du marché et moteurs
Gartner estime que le chiffre d'affaires du marché PAM pour les fournisseurs couverts dans
ce Magic Quadrant était de 1,96 milliard de dollars fin 2021 , ce qui représente une
croissance de 20 % par rapport à 2020 . Les lecteurs, en particulier les clients
29. d'investissement, sont avertis de ne pas interpréter cette estimation de revenus comme
tenant compte de tous les produits et services PAM disponibles sur le marché. De nombreux
fournisseurs qui n'ont pas pu être inclus dans ce Magic Quadrant peuvent répondre au
moins à des exigences partielles, par exemple en ne fournissant que des fonctionnalités de
gestion de session. Le marché continuera de susciter un intérêt accru au cours des deux à
trois prochaines années et le marché mondial, mesurant les dépenses des acheteurs, devrait
atteindre 2,7 milliards de dollars d'ici 2025 (voirPrévisions : sécurité de l'information et
gestion des risques, dans le monde entier, 2020-2026, mise à jour 1T22 ).
La croissance est principalement tirée par la prise de conscience croissante du personnel de
sécurité concernant la criticité des solutions PAM. Plusieurs violations très médiatisées ont
été liées à des identifiants de compte privilégié compromis. De plus, la migration accélérée
vers le cloud, le flou des périmètres de sécurité de l'entreprise et l'augmentation globale du
nombre de cyberattaques contribuent tous à la croissance de l'adoption de PAM.
Le marché PAM a également connu un intérêt accru en raison du passage soudain au travail
à distance des utilisateurs privilégiés (employés et sous-traitants/consultants) causé par
COVID-19. L'utilisation d'outils PAM pour activer l'accès à distance privilégié est la meilleure
pratique recommandée pour répondre aux exigences de conformité de l'accès privilégié à
distance et atténuer les risques de sécurité associés à l'accès à distance. Cela a entraîné une
augmentation des ventes de produits axés sur l'accès à distance , par rapport aux autres
fonctionnalités PAM. En conséquence, les fournisseurs ont donné la priorité au
développement de capacités d'accès à distance par rapport aux autres.
Les moteurs susmentionnés des solutions PAM ne se sont pas limités aux grandes et
moyennes entreprises ; Les petites et moyennes entreprises (PME) sont confrontées aux
mêmes défis , mais à plus petite échelle. L'adoption de PAM a atteint sa maturité pour les
grandes et moyennes entreprises, et l'attention s'étend maintenant aux PME, car elles
réalisent de plus en plus la criticité des implémentations de PAM. Avec cette évolution, nous
assistons également à une évolution vers l'adoption de solutions basées sur le SaaS, bien
qu'avec des variations régionales et, dans certains cas, des offres de services gérés .
En outre, une grande majorité des premiers utilisateurs de PAM - les grandes entreprises -
cherchent à accroître leur maturité PAM pour s'étendre au-delà des cas d'utilisation de
base. Afin de répondre à ces besoins avancés, les fournisseurs ont doublé leurs capacités
telles que la gestion des secrets, JIT PAM, l'automatisation des tâches privilégiées et la
gestion des privilèges dans les environnements multicloud. Pour certaines de ces
fonctionnalités, les fournisseurs PAM sont également confrontés à une concurrence féroce
de la part de fournisseurs extérieurs au marché PAM principal, tels que ceux qui proposent
une gestion autonome des secrets ou des produits CIEM.
Dynamique du marché
Nous continuons de constater que les fournisseurs migrent leurs solutions vers le SaaS ou
proposent une option SaaS. Cette année, sur les 11 éditeurs inclus dans l'étude, un
seul n'a pas au moins le SaaS sur sa feuille de route. Les 10 autres proposent actuellement
ou développent un outil PAM en mode SaaS.
De nombreux clients ont fait part de leurs préoccupations concernant l'accès privilégié dans
leur infrastructure de cloud privé et public, et nous avons vu le marché PAM répondre à
cette préoccupation avec de nouveaux outils. Cinq des fournisseurs inclus proposent un outil
de gestion des secrets pour les cas d'utilisation des développeurs, et les autres ont
développé des fonctionnalités de gestion des secrets dans leurs produits. De plus, nous
30. avons vu cinq fournisseurs proposer un outil CIEM, et plusieurs autres tracer la route de la
capacité.
Un besoin émergent d'un point de vue vertical concerne des fonctionnalités spécifiques
pour les organisations utilisant l'IoT et l'OT. Les exemples incluent les entreprises des
secteurs des services publics et de l'énergie, et les hôpitaux. Ces organisations doivent
sécuriser un accès privilégié à leurs dispositifs de contrôle et d'acquisition de données
(SCADA) et OT, et ont besoin de connecteurs préconfigurés pour les systèmes OT
populaires.
La concurrence sur le marché des PAM reste intense en raison de la présence d'un grand
nombre d'acteurs. Au cours des dernières années, le marché n'a cessé d'évoluer vers la
consolidation. La fusion en 2021 de Thycotic et Centrify pour former Delinea poursuit cette
tendance.
Tendances géographiques et verticales
L'Amérique du Nord et l'Europe restent les principaux marchés pour les produits
PAM. Cependant, la région Asie/Pacifique au sens large a également manifesté un intérêt et
des ventes accrus. Les fournisseurs d'entreprise mondiaux - tels que Broadcom (Symantec),
CyberArk et, de manière quelque peu ambitieuse pour le moment, BeyondTrust et Delinea -
tentent de plus en plus de diversifier leur portée géographique pour s'étendre à toutes les
régions. Une fois sur place, ils seront accueillis par de puissants fournisseurs régionaux :
ARCON au Moyen-Orient et dans la région Asie/Pacifique, S enhasegura en Amérique latine
et WALLIX et Krontech en Europe. Bien que de taille plus petite, ces entreprises ont pu tirer
parti de leurs connaissances et relations locales, de leur langue et de leur proximité avec les
clients.
Les services financiers diversifiés (y compris la banque, les valeurs mobilières et l'assurance)
- ainsi que les communications, les médias et les services, et le gouvernement - restent les
principaux secteurs verticaux de l'industrie acquérant des solutions PAM. Cela n'est pas
surprenant, compte tenu du degré élevé de risque et de la lourde charge de conformité
auxquels sont confrontés ces secteurs, ainsi que des exigences d'audit. Cependant, PAM est
de plus en plus une solution horizontale, avec une demande croissante des soins de santé,
de la fabrication et des ressources naturelles.
Définitions des critères d'évaluation
Capacité d'exécution
Produit/Service : Biens et services de base offerts par le fournisseur pour le marché
défini. Cela inclut les capacités actuelles des produits/services, la qualité, les ensembles de
fonctionnalités, les compétences, etc., qu'ils soient proposés en mode natif ou via des
accords/partenariats OEM, tels que définis dans la définition du marché et détaillés dans les
sous-critères.
Viabilité globale : la viabilité comprend une évaluation de la santé financière globale de
l'organisation, du succès financier et pratique de l'unité commerciale et de la probabilité que
l'unité commerciale individuelle continue d'investir dans le produit, continue d'offrir le
produit et fasse progresser l'état de l'art dans le portefeuille de produits de l'organisation.
31. Exécution des ventes/Tarification : les capacités du fournisseur dans toutes les activités de
prévente et la structure qui les prend en charge. Cela inclut la gestion des transactions, la
tarification et la négociation, le support avant-vente et l'efficacité globale du canal de vente.
Réactivité/enregistrement du marché : capacité à réagir, à changer de direction, à être
flexible et à réussir dans la concurrence au fur et à mesure que les opportunités se
développent, que les concurrents agissent, que les besoins des clients évoluent et que la
dynamique du marché change. Ce critère tient également compte de l'historique de
réactivité du fournisseur.
Exécution du marketing : la clarté, la qualité, la créativité et l'efficacité des programmes
conçus pour transmettre le message de l'organisation afin d'influencer le marché, de
promouvoir la marque et l'entreprise, d'accroître la notoriété des produits et d'établir une
identification positive avec le produit/la marque et l'organisation dans le l'esprit des
acheteurs. Ce « partage d'esprit » peut être motivé par une combinaison de publicité,
d'initiatives promotionnelles, de leadership éclairé, de bouche à oreille et d'activités de
vente.
Expérience client : Relations, produits et services/programmes qui permettent aux clients de
réussir avec les produits évalués. Plus précisément, cela inclut la manière dont les clients
reçoivent un support technique ou un support de compte. Cela peut également inclure des
outils auxiliaires, des programmes de support client (et leur qualité), la disponibilité de
groupes d'utilisateurs, des accords de niveau de service, etc.
Opérations : La capacité de l'organisation à atteindre ses objectifs et ses engagements. Les
facteurs incluent la qualité de la structure organisationnelle, y compris les compétences, les
expériences, les programmes, les systèmes et les autres véhicules qui permettent à
l'organisation de fonctionner de manière efficace et efficiente sur une base continue.
Intégralité de la vision
Compréhension du marché : capacité du fournisseur à comprendre les désirs et les besoins
des acheteurs et à les traduire en produits et services. Les vendeurs qui montrent le plus
haut degré de vision écoutent et comprennent les désirs et les besoins des acheteurs, et
peuvent façonner ou améliorer ceux-ci avec leur vision supplémentaire.
Stratégie marketing : un ensemble de messages clairs et différenciés communiqués de
manière cohérente dans toute l'organisation et externalisés via le site Web, la publicité, les
programmes clients et les déclarations de positionnement.
Stratégie de vente : la stratégie de vente de produits qui utilise le réseau approprié de filiales
de vente directe et indirecte, de marketing, de service et de communication qui étendent la
portée et la profondeur de la portée du marché, des compétences, de l'expertise, des
technologies, des services et de la clientèle.
Stratégie d'offre (produit) : l' approche du fournisseur en matière de développement et de
livraison de produits qui met l'accent sur la différenciation, la fonctionnalité, la
méthodologie et les ensembles de fonctionnalités en fonction des exigences actuelles et
futures.
Modèle d'affaires : la solidité et la logique de la proposition commerciale sous-jacente du
fournisseur.
Stratégie verticale/industrielle : la stratégie du fournisseur pour orienter les ressources, les
compétences et les offres afin de répondre aux besoins spécifiques de segments de marché
individuels, y compris les marchés verticaux.
32. Innovation : Dispositions directes, connexes, complémentaires et synergiques de
ressources, d'expertise ou de capitaux à des fins d'investissement, de consolidation,
défensives ou préventives.
Stratégie géographique : la stratégie du fournisseur pour orienter les ressources, les
compétences et les offres afin de répondre aux besoins spécifiques des zones
géographiques en dehors de la zone géographique "d'origine" ou d'origine, soit
directement, soit par l'intermédiaire de partenaires, de canaux et de filiales, selon les
besoins de cette zone géographique et de ce marché.
Contactez-nous !
Téléphone : +225 25 22 00 14 22
Email : info@agilly.net / commercial@agilly.net
Site internet : www.agilly.net