Les délais de configuration se sont réduits, les consoles d’admin ont gagné en simplicité et la prise en charge des passkeys s’est généralisée.

Tels furent quelques-uns des constats formulés, fin 2024, dans la synthèse du Magic Quadrant dédié aux solutions autonomes de gestion des accès.

Un an plus tard, les passkeys laissent place, dans le discours de Gartner, au passwordless, sujet à une « large adoption ». Les identités décentralisées n’en sont pas au même stade, mais « gagnent du terrain », tandis que les solutions s’améliorent sur le volet accessibilité.

D’une année à l’autre, les exigences fonctionnelles à respecter ont peu évolué. Elles touchent aux services d’annuaire, à l’administration des identités (gestion « basique » de leur cycle de vie), au SSO/gestion des sessions, à l’authentification (accent sur les méthodes MFA robustes et les contrôles pour atténuer l’usage de mots de passe compromis) et à l’autorisation (accès adaptatif basé sur l’évaluation du risque).

La gestion des identités décentralisées a été prise en compte, mais n’était pas impérative. Même chose, entre autres, pour la gestion des accès machine, du consentement, des données personnelles, de la vérification d’identité et de l’autorisation granulaire (à base rôles ou d’attributs).

12 fournisseurs, 5 « leaders »

Les offreurs sont évalués sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre, sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

La situation sur l’axe « exécution » :

Sur l’axe « vision » :

« Leaders » l’an dernier, IBM, Microsoft, Okta et Ping Identity le restent. Transmit Security les rejoint.

Au sens où Gartner définit les solutions autonomes de gestion des accès, Google, Salesforce et SAP auraient pu prétendre à une place dans ce Magic Quadrant. Ils n’ont le droit qu’à une « mention honorable » faute d’avoir été dans les clous sur la partie business. Il fallait être en mesure de revendiquer, avec cette activité, au moins 65 M$ de CA 2025 (maintenance incluse) ou bien au moins 1100 clients n’ayant pas de contrats sur d’autres produits.

Une proposition de valeur diluée chez IBM…

IBM parvient mettre la notoriété de sa marque, sa base de clientèle, ses expertises sectorielles et son écosystème au service de son activité sur ce marché. Il a su améliorer l’UX de sa solution (Verify) pour l’enregistrement en self-service et étendre la prise en charge des logins sociaux. Gartner apprécie les capacités d’administration déléguée et d’orchestration, ainsi que l’extensibilité. Il salue une roadmap « robuste » à court et long terme, portée par des investissements plus élevés que la moyenne sur ce segment.

L’ampleur du portefeuille sécurité d’IBM a tendance à diluer la proposition de valeur de la gestion des accès. Les parcours utilisateurs restent par ailleurs complexes sur la partie CIAM (accès des clients) : du support supplémentaire peut être nécessaire. La tendance à contractualiser sur le long terme peut limiter la flexibilité, tant du point de vue tarifaire que du passage à l’échelle.

… comme chez Microsoft

Les offres Entra ID (accès des employés) et Entra External ID (clients) bénéficient du bundling avec d’autres services Microsoft, qui les rend moins chères que les solutions concurrentes. Elles sont de plus soutenues par une infrastructure qui a fait ses preuves et par un vaste réseau de partenaires. Sur le plan fonctionnel, elles se distinguent sur la gestion des accès machine, la gestion du cycle de vie des identités, l’accès adaptatif et l’intégration de la GenAI.

La tendance au bundling présente évidemment des risques de lock-in. Gartner note aussi les efforts et les ressources techniques que peut nécessiter la connexion aux services tiers et aux applications héritées. Il souligne également que la stratégie marketing de Microsoft positionne la gestion des accès comme une brique d’une plate-forme de sécurité… et qu’elle complique par là même l’identification des capacités différenciantes de la solution. Entra ID n’a, pas ailleurs, pas de capacités d’orchestration visuelle fine des parcours utilisateurs.

Une tarification à bien étudier chez Okta

Au-delà de sa notoriété globale et de son réseau de partenaires, Okta se distingue sur le processus d’onboarding. Il est aussi crédité d’un bon point pour sa stratégie sectorielle entre intégrations et workflows personnalisables. Sur le plan fonctionnel, ses solutions se révèlent plus « capables » que la moyenne, en particulier sur les scénarios de développement applicatif. Quant à la stratégie marketing, elle est bien alignée sur les besoins et les tendances.

Okta a connu, sur l’année écoulée, une croissance nette de clientèle plus faible que certains concurrents. Sa tarification associant bundles et options « à la carte » doit être bien étudiée pour choisir le modèle adapté. Pour qui souhaite une approche monofournisseur, la vérification d’identité peut être un point de blocage, faute d’un support natif du standard W3C Verifiable Credentials.

Ping Identity, plus cher que la moyenne sur les accès employés et partenaires

Comme Okta, Ping Identity est au-dessus de la moyenne sur l’aspect fonctionnel. Gartner apprécie notamment la gestion des accès partenaires, l’administration déléguée, l’orchestration, l’extensibilité et le contrôle des accès aux API. Il affirme que la stratégie marketing donne une compréhension claire du positionnement de la solution. Et que l’expérience client s’est améliorée, à renfort de parcours personnalisés.

S’étant historiquement concentré sur les grandes entreprises, Ping Identity peut être perçu comme inadapté aux organisations de plus petite taille. Sa présence commerciale est limitée hors de l’Europe et de l’Amérique du Nord, où se concentre l’essentiel de sa clientèle. Les prix sont par ailleurs plus élevés que la moyenne sur certains scénarios (notamment les accès employés et partenaires). On surveillera aussi l’impact que l’acquisition de ForgeRock pourrait avoir en matière d’agilité.

Transmit Security, en retard sur les accès employés

Fonctionnellement parlant, Transmit Security est au-dessus de la moyenne sur le passwordless, l’authentification adaptative, l’orchestration et la détection des menaces sur les identités. Sa solution (Mosaic) propose une expérience client « robuste » et ses modèles de tarification sont clairs, contribuant à un des meilleurs ratios d’efficacité commerciale du marché.

Comme chez Ping Identity, la présence géographique est limitée et le focus est mis sur les grandes entreprises. Transmit Security est par ailleurs en retard sur la gestion des accès employés. Sa stratégie sectorielle se développe, mais des vides demeurent, notamment en matière de conformité.

Illustration générée par IA

The post La gestion des accès se détache des mots de passe appeared first on Silicon.fr.

Ce matin, sur la Toile, il était plus probable que d’habitude de tomber sur des erreurs 500.

En cause, un problème chez Cloudflare. Sans commune mesure, néanmoins, avec l’incident du 18 novembre ; en tout cas par sa durée : moins d’une heure*.

L’entreprise en a d’abord attribué la cause à une mise à jour de son WAF. L’objectif, a-t-elle expliqué, était d’atténuer la vulnérabilité React rendue publique la semaine dernière.

À la racine, un problème de journalisation

Cette vulnérabilité, on ne peut plus critique (score CVSS : 10), se trouve dans les composants serveur React. Plus précisément au niveau de la logique qui permet à un client d’appeler ces composants. Par un traitement non sécurisé des entrées, elle ouvre la voie à l’exécution distante de code sans authentification. Les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack sont touchées.

À défaut de pouvoir agir directement sur ces packages, Cloudflare avait déployé, le 2 décembre, une règle WAF. « Un simple pansement », avait rappelé son CTO, ayant constaté l’émergence de variantes de l’exploit.

Concernant l’incident de ce matin, l’intéressé a apporté une précision, en attendant un compte rendu plus détaillé : le problème est né d’une désactivation de journalisation destinée à atténuer les effets de la vulnérabilité…

* Ticket ouvert à 9 h 56. Déploiement du correctif officialisé à 10 h 12. Incident considéré comme résolu à 10 h 20.

Illustration © Hywards – Shutterstock

The post Cloudflare tombe en panne en intervenant sur une faille critique appeared first on Silicon.fr.

Pour accéder au catalogue Gaia-X du CISPE, attention à ne pas suivre le lien que l’association affiche sur la page d’accueil de son site.

Nous en avons fait l’amère expérience. Ledit lien pointe vers une ancienne version du catalogue… qui n’est que partiellement fonctionnelle. Certains filtres sont inopérants (localisation des services, par exemple) tandis que d’autres ne renvoient aucun résultat (tri par fournisseur, par certification, par label Gaia-X). De nombreuses fiches sont par ailleurs en doublon voire plus ; et sur chacune, le JSON source est inaccessible (erreur 503). Les contenus mêmes ne sont plus à jour, reflétant les principes de Gaia-X tels qu’ils étaient essentiellement fin 2022.

Une maintenance depuis la France

À la « bonne » adresse, la spécification Gaia-X référente est celle de mars 2025. L’enregistrement des services passe toujours par le CISPE (démarche gratuite pour les membres et les affiliés). L’exploitation et la maintenance du catalogue restent à la charge de Cloud Data Engine, SASU francilienne née en 2023, quelques semaines avant le passage en prod.

Les services listés respectent un socle minimal d’exigences – dit « conforité standard » – attendues pour pouvoir participer à l’écosystème Gaia-X. Ils peuvent être labellisés à trois niveaux supplémentaires.
Le premier comporte des exigences en matière de droit applicable, de gouvernance et de transparence. Il est obtenu sur la base d’une autocertification.
Le deuxième requiert une possibilité de traiter les données en Europe uniquement. Le troisième ajoute des critères pour assurer l’immunité aux lois extra-européennes. L’un et l’autre impliquent un audit tiers sur la protection des données et la cybersécurité ; pas sur la portabilité et la soutenabilité.

De premières offres labellisées Gaia-X niveau 3

À l’occasion du Sommet Gaia-X 2025, le CISPE a mis en lumière l’intégration d’un premier bouquet d’offres de services labellisées au niveau 3. Au nombre de 9, elles émanent de 5 fournisseurs. Dont 3 français :

• Cloud Temple (IaaS open source, IaaS bare metal et PaaS OpenShift)
• OVHcloud (Hosted Private Cloud by VMware)
• Thésée Datacenter (hébergement dans ses deux datacenters des Yvelines)

Les étiquettes désignant les autres niveaux de conformité n’ont encore été attachées à aucun service (elles l’étaient pour quelques-uns dans l’ancienne version du catalogue).

Cloud Temple rejoint Ikoula, OVHcloud et Thésée Data Center

Côté certifications, certaines étiquettes n’ont, là aussi, pas encore été massivement attribuées. Illustration avec le code de conduite SWIPO, actuellement associé à seulement 4 services.

D’autres étiquettes, à l’instar de C5 (le « SecNumCloud allemand »), ne retournent quasiment pas de résultats, faute de fournisseurs nationaux référencés dans le catalogue. Pour le moment ils sont 13 :

• Quatre français (Cloud Temple, Ikoula, OVHcloud, Thésée Data Center)
• Deux espagnols (Gigas Hosting, Jotelulu)
• Cinq italiens (Aruba, CoreTech, Netalia, Opiquad, Seeweb)
• Un néerlandais (Leaseweb)
• Un américain (AWS)

Cloud Temple – non membre du CISPE, comme OVHcloud et Thésée Data Center – et Seeweb étaient les seuls de ces fournisseurs à ne pas figurer dans l’ancienne version du catalogue*.

Les quelque 600 services référencés sont presque tous localisés dans l’UE. Les 15 exceptions (États-Unis, Canada, Australie, Singapour) sont liées à OVHcloud.

Les tags relatifs aux catégories de services visent large. « Authentification », par exemple, est attribué autant au remote desktop et au PBX virtuel de Jotelulu qu’à l’hébergement web et au Veeam d’OVHcloud.

* Son intégration « a posteriori » se ressent : elle ne respecte par l’ordre alphabétique (Cloud Temple est positionné après CoreTech dans la liste déroulante du filtre fournisseurs).

Illustration générée par IA

The post Trois ans après, que devient le catalogue Gaia-X du CISPE ? appeared first on Silicon.fr.

Un smartphone à double pliage fait-il une bonne station de travail portable ?

Samsung a choisi cet angle d’attaque avec le Galaxy Z TriFold. Officialisé cette semaine, il sera commercialisé en Corée à partir du 12 décembre. Il est prévu de le distribuer également en Chine et aux États-Unis, entre autres. L’Europe n’est pas mentionnée en l’état.

Le prix affiché sur le shop Samsung coréen équivaut à un peu plus de 2000 €. C’est environ 50 % de plus que le ticket d’entrée du Galaxy Z Fold 7 (autour de 1300 €).
Sachant que ce dernier est vendu à partir de 2100 € TTC en France, on peut supposer, par règle de trois, qu’il faudrait compter environ 3200 € pour le Galaxy Z TriFold.

Pliage en U chez Samsung, en Z chez Huawei

Déplié, l’appareil offre une surface d’affichage de 10 pouces. Les trois panneaux – assimilables à autant de smartphones 6,5 pouces qu’on placerait côte à côte – se replient en U. Un système qui, selon Samsung, favorise la protection de cet écran.

Huawei n’a pas fait le même choix : ses Mate XT et XTs (lancés en février et septembre 2025, mais pas en France) se replient en Z. Cela permet d’utiliser une, deux ou trois parties de l’écran, qui est par ailleurs unique. Par contraste, le Galaxy Z TriFold a un écran secondaire distinct (celui qu’on utilise quand l’appareil est plié) et ne peut utiliser partiellement l’écran principal.

En 16:11, cet écran principal se prête mieux aux contenus widescreen que l’écran du Galaxy Z Fold 7, plus proche d’un format carré. Sa luminosité maximale est en revanche inférieure (1600 nits vs 2600, valeur qu’on ne retrouve que sur l’écran secondaire).

Un mode desktop autonome

Le Galaxy Z TriFold est le premier smartphone Samsung à inclure le mode DeX autonome : pas besoin d’écran externe pour enclencher ce mode desktop qui gère jusqu’à 4 bureaux virtuels avec 5 apps chacun.

L’appareil dispose d’un chevalet, mais dans cette configuration, le port USB devient difficilement accessible. Le module caméra rend par ailleurs délicate l’utilisation sur une surface plane (l’étui atténue le problème). Samsung n’a pas intégré la prise en charge du stylet S Pen.

Le système à trois panneaux a permis d’intégrer autant de batteries, pour une capacité totale de 5600 mAh (vs 4400 pour le Galaxy Z Fold). La recharge filaire est en 45 W, comme sur le Galaxy S25 Ultra (sans fil : 15 W ; recharge inversée : 4,5 W).

Un smartphone IP48 : gare aux poussières

Le processeur n’est pas le plus récent de chez Qualcomm. Il s’agit d’une version personnalisée du Snapdragon 8 Elite, lancé à l’automne 2024. Y sont associés 16 Go de RAM et 512 Go ou 1 To de stockage (pas de slot microSD).

Les appareils photo sont les mêmes que sur le Galaxy Z Fold 7 :

• Ultra-grand-angle 12 MP (focale 13 mm, soit 120 ° de champ de vision)
• Grand-angle 200 MP (24 mm, soit 85 ° ; zoom optique 2x)
• Téléobjectif 10 MP (67 mm, soit 36 ° ; zoom optique 3x)
• Caméra frontale de l’écran principal 10 MP (18 mm, soit 100 °)
• Caméra frontale de l’écran secondaire 10 MP (24 mm, soit 85 °)

On aura noté la certification IP48 du Galaxy Z TriFold. Sur le papier, cela signifie qu’il n’est pas résistant aux particules solides de moins d’un millimètre de diamètre. Samsung en déconseille d’ailleurs l’usage « à la plage ou à la piscine »… Et ajoute que la résistance à l’eau peut s’amoindrir avec le temps.

Plié, le Galaxy Z Fold mesure est épais d’environ 1,3 cm en son point le plus fin. Déplié, on descend jusqu’à 0,4 cm hors module caméra. L’ensemble pèse 309 g (contre 298 g pour les Mate XT et XTs).

Illustrations © Samsung

The post Galaxy Z TriFold : Samsung joue la carte « station de travail » appeared first on Silicon.fr.