Les délais de configuration se sont réduits, les consoles d’admin ont gagné en simplicité et la prise en charge des passkeys s’est généralisée.
Tels furent quelques-uns des constats formulés, fin 2024, dans la synthèse du Magic Quadrant dédié aux solutions autonomes de gestion des accès.
Un an plus tard, les passkeys laissent place, dans le discours de Gartner, au passwordless, sujet à une « large adoption ». Les identités décentralisées n’en sont pas au même stade, mais « gagnent du terrain », tandis que les solutions s’améliorent sur le volet accessibilité.
D’une année à l’autre, les exigences fonctionnelles à respecter ont peu évolué. Elles touchent aux services d’annuaire, à l’administration des identités (gestion « basique » de leur cycle de vie), au SSO/gestion des sessions, à l’authentification (accent sur les méthodes MFA robustes et les contrôles pour atténuer l’usage de mots de passe compromis) et à l’autorisation (accès adaptatif basé sur l’évaluation du risque).
La gestion des identités décentralisées a été prise en compte, mais n’était pas impérative. Même chose, entre autres, pour la gestion des accès machine, du consentement, des données personnelles, de la vérification d’identité et de l’autorisation granulaire (à base rôles ou d’attributs).
Les offreurs sont évalués sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre, sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
La situation sur l’axe « exécution » :
| Rang | Fournisseur | Évolution annuelle |
| 1 | Ping Identity | + 2 |
| 2 | Microsoft | – 1 |
| 3 | Okta | – 1 |
| 4 | Transmit Security | nouvel entrant |
| 5 | CyberArk | – 1 |
| 6 | Entrust | – 1 |
| 7 | IBM | – 1 |
| 8 | Thales | = |
| 9 | OpenText | – 2 |
| 10 | One Identity | – 1 |
| 11 | RSA | – 1 |
| 12 | Alibaba Cloud | nouvel entrant |
Sur l’axe « vision » :
| Rang | Fournisseur | Évolution annuelle |
| 1 | Ping Identity | = |
| 2 | Okta | = |
| 3 | Microsoft | = |
| 4 | Transmit Security | nouvel entrant |
| 5 | Thales | – 1 |
| 6 | IBM | – 1 |
| 7 | CyberArk | – 1 |
| 8 | One Identity | = |
| 9 | RSA | = |
| 10 | Entrust | – 3 |
| 11 | Alibaba Cloud | nouvel entrant |
| 12 | OpenText | – 2 |
« Leaders » l’an dernier, IBM, Microsoft, Okta et Ping Identity le restent. Transmit Security les rejoint.
Au sens où Gartner définit les solutions autonomes de gestion des accès, Google, Salesforce et SAP auraient pu prétendre à une place dans ce Magic Quadrant. Ils n’ont le droit qu’à une « mention honorable » faute d’avoir été dans les clous sur la partie business. Il fallait être en mesure de revendiquer, avec cette activité, au moins 65 M$ de CA 2025 (maintenance incluse) ou bien au moins 1100 clients n’ayant pas de contrats sur d’autres produits.
IBM parvient mettre la notoriété de sa marque, sa base de clientèle, ses expertises sectorielles et son écosystème au service de son activité sur ce marché. Il a su améliorer l’UX de sa solution (Verify) pour l’enregistrement en self-service et étendre la prise en charge des logins sociaux. Gartner apprécie les capacités d’administration déléguée et d’orchestration, ainsi que l’extensibilité. Il salue une roadmap « robuste » à court et long terme, portée par des investissements plus élevés que la moyenne sur ce segment.
L’ampleur du portefeuille sécurité d’IBM a tendance à diluer la proposition de valeur de la gestion des accès. Les parcours utilisateurs restent par ailleurs complexes sur la partie CIAM (accès des clients) : du support supplémentaire peut être nécessaire. La tendance à contractualiser sur le long terme peut limiter la flexibilité, tant du point de vue tarifaire que du passage à l’échelle.
Les offres Entra ID (accès des employés) et Entra External ID (clients) bénéficient du bundling avec d’autres services Microsoft, qui les rend moins chères que les solutions concurrentes. Elles sont de plus soutenues par une infrastructure qui a fait ses preuves et par un vaste réseau de partenaires. Sur le plan fonctionnel, elles se distinguent sur la gestion des accès machine, la gestion du cycle de vie des identités, l’accès adaptatif et l’intégration de la GenAI.
La tendance au bundling présente évidemment des risques de lock-in. Gartner note aussi les efforts et les ressources techniques que peut nécessiter la connexion aux services tiers et aux applications héritées. Il souligne également que la stratégie marketing de Microsoft positionne la gestion des accès comme une brique d’une plate-forme de sécurité… et qu’elle complique par là même l’identification des capacités différenciantes de la solution. Entra ID n’a, pas ailleurs, pas de capacités d’orchestration visuelle fine des parcours utilisateurs.
Au-delà de sa notoriété globale et de son réseau de partenaires, Okta se distingue sur le processus d’onboarding. Il est aussi crédité d’un bon point pour sa stratégie sectorielle entre intégrations et workflows personnalisables. Sur le plan fonctionnel, ses solutions se révèlent plus « capables » que la moyenne, en particulier sur les scénarios de développement applicatif. Quant à la stratégie marketing, elle est bien alignée sur les besoins et les tendances.
Okta a connu, sur l’année écoulée, une croissance nette de clientèle plus faible que certains concurrents. Sa tarification associant bundles et options « à la carte » doit être bien étudiée pour choisir le modèle adapté. Pour qui souhaite une approche monofournisseur, la vérification d’identité peut être un point de blocage, faute d’un support natif du standard W3C Verifiable Credentials.
Comme Okta, Ping Identity est au-dessus de la moyenne sur l’aspect fonctionnel. Gartner apprécie notamment la gestion des accès partenaires, l’administration déléguée, l’orchestration, l’extensibilité et le contrôle des accès aux API. Il affirme que la stratégie marketing donne une compréhension claire du positionnement de la solution. Et que l’expérience client s’est améliorée, à renfort de parcours personnalisés.
S’étant historiquement concentré sur les grandes entreprises, Ping Identity peut être perçu comme inadapté aux organisations de plus petite taille. Sa présence commerciale est limitée hors de l’Europe et de l’Amérique du Nord, où se concentre l’essentiel de sa clientèle. Les prix sont par ailleurs plus élevés que la moyenne sur certains scénarios (notamment les accès employés et partenaires). On surveillera aussi l’impact que l’acquisition de ForgeRock pourrait avoir en matière d’agilité.
Fonctionnellement parlant, Transmit Security est au-dessus de la moyenne sur le passwordless, l’authentification adaptative, l’orchestration et la détection des menaces sur les identités. Sa solution (Mosaic) propose une expérience client « robuste » et ses modèles de tarification sont clairs, contribuant à un des meilleurs ratios d’efficacité commerciale du marché.
Comme chez Ping Identity, la présence géographique est limitée et le focus est mis sur les grandes entreprises. Transmit Security est par ailleurs en retard sur la gestion des accès employés. Sa stratégie sectorielle se développe, mais des vides demeurent, notamment en matière de conformité.
Illustration générée par IA
The post La gestion des accès se détache des mots de passe appeared first on Silicon.fr.
Ce matin, sur la Toile, il était plus probable que d’habitude de tomber sur des erreurs 500.
En cause, un problème chez Cloudflare. Sans commune mesure, néanmoins, avec l’incident du 18 novembre ; en tout cas par sa durée : moins d’une heure*.
L’entreprise en a d’abord attribué la cause à une mise à jour de son WAF. L’objectif, a-t-elle expliqué, était d’atténuer la vulnérabilité React rendue publique la semaine dernière.
Cette vulnérabilité, on ne peut plus critique (score CVSS : 10), se trouve dans les composants serveur React. Plus précisément au niveau de la logique qui permet à un client d’appeler ces composants. Par un traitement non sécurisé des entrées, elle ouvre la voie à l’exécution distante de code sans authentification. Les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack sont touchées.
À défaut de pouvoir agir directement sur ces packages, Cloudflare avait déployé, le 2 décembre, une règle WAF. « Un simple pansement », avait rappelé son CTO, ayant constaté l’émergence de variantes de l’exploit.
Concernant l’incident de ce matin, l’intéressé a apporté une précision, en attendant un compte rendu plus détaillé : le problème est né d’une désactivation de journalisation destinée à atténuer les effets de la vulnérabilité…
* Ticket ouvert à 9 h 56. Déploiement du correctif officialisé à 10 h 12. Incident considéré comme résolu à 10 h 20.
Illustration © Hywards – Shutterstock
The post Cloudflare tombe en panne en intervenant sur une faille critique appeared first on Silicon.fr.
Pour sécuriser ses e-mails, pas simple de faire avec un seul fournisseur.
Telle est en tout cas la vision de Gartner, qui l’exprime dans la synthèse du dernier Magic Quadrant consacré à ce marché. Il la justifie notamment par la difficulté à mesurer l’efficacité des détections. Et recommande d’autant plus de combiner les offres que les chevauchements entre elles se multiplient, favorisant la négociation de remises.
Autre observation : la distinction entre SEG (Secure email gateway) et ICES Integrated cloud email security) commence à s’estomper.
Dans la terminologie du cabinet américain, l’ICES est au SEG ce que l’EDR est – dans une certaine mesure – à l’antivirus : une évolution censée, notamment à renfort d’analyse comportementale, aller au-delà de la détection sur la base de signatures. Elles sont par ailleurs moins périmétriques, s’intégrant le plus souvent aux messageries par API (certaines utilisent des règles de routage ou de la journalisation).
La plupart des fournisseurs de SEG proposent désormais des options de déploiement par API. Tandis que les ICES sont, de plus en plus, enrichis pour effectuer du pre-delivery, soit via les enregistrements MX, soit par modification des règles de flux de messagerie.
La plupart des offreurs proposent désormais une forme de sécurité pour les applications collaboratives. En parallèle, les simulations de phishing évoluent à l’appui de modèles de langage. Lesquels contribuent aussi à étendre le support linguistique des moteurs de détection, au même titre que la vision par ordinateur et l’analyse dynamique de pages web. La détection des mauvais destinataires progresse également grâce à ce même socle (validation sur la base des conversations précédentes).
D’une édition à l’autre de ce Magic Quadrant, les critères obligatoires sur le plan fonctionnel sont globalement restés les mêmes. Dans les grandes lignes, il s’agissait toujours de proposer un produit indépendant capable de bloquer ou de filtrer le trafic indésirable, d’analyser les fichiers et de protéger contre les URL malveillantes. L’an dernier, il fallait aussi assurer une protection contre la compromission de comptes grâce à divers outils analytiques. Cette année, ces outils sont pris sous un autre angle : l’analyse du contenu des messages et l’exposition de leur sémantique à des admins.
Cisco, classé l’an dernier, ne l’est plus cette fois-ci, faute d’avoir rempli l’intégralité de ces critères. Egress et Perception Point ont aussi disparu des radars, mais parce qu’ils ont été acquis respectivement par KnowBe4 et Fortinet.
Sur l’indicateur « exécution », qui traduit la capacité à répondre à la demande du marché (qualité des produits/services, tarification, expérience client…), la situation est la suivante :
| Rang | Fournisseur | Évolution annuelle |
| 1 | Proofpoint | = |
| 2 | Check Point | + 2 |
| 3 | Darktrace | + 5 |
| 4 | Abnormal AI | + 1 |
| 5 | Mimecast | + 1 |
| 6 | Trend Micro | – 4 |
| 7 | Microsoft | – 4 |
| 8 | KnowBe4 | – 1 |
| 9 | Fortinet | + 1 |
| 10 | IRONSCALES | – 1 |
| 11 | Barracuda | + 2 |
| 12 | Cloudflare | = |
| 13 | Libraesva | nouvel entrant |
| 14 | RPost | nouvel entrant |
Sur l’indicateur « vision », reflet des stratégies (sectorielle, géographique, commerciale, marketing, produit…) :
| Rang | Fournisseur | Évolution annuelle |
| 1 | Abrnormal AI | = |
| 2 | KnowBe4 | + 3 |
| 3 | Proofpoint | – 1 |
| 4 | Mimecast | – 1 |
| 5 | Check Point | + 4 |
| 6 | Darktrace | + 6 |
| 7 | Barracuda | = |
| 8 | Cloudflare | + 5 |
| 9 | IRONSCALES | – 3 |
| 10 | Microsoft | = |
| 11 | Fortinet | – 3 |
| 12 | Trend Micro | – 8 |
| 13 | Libraesva | nouvel entrant |
| 14 | RPost | nouvel entrant |
Des 6 fournisseurs classés « leaders » l’an dernier, 5 le sont restés : Abnormal AI, Check Point, Know4Be (Egress), Mimecast et Proofpoint. Trend Micro a rétrogradé chez les « challengers » (plus performants en exécution qu’en vision).
Darktrace et Microsoft, « challengers » l’an dernier, sont désormais des « leaders ».
Abnormal AI se distingue par ses investissements marketing, la qualité de sa relation client et sa stratégie commerciale qui le rend particulièrement compétitif sur les services professionnels.
Ses développements récents ont cependant échoué à étendre la couverture de son offre aux menaces les plus significatives, remarque Gartner. Qui souligne aussi le peu de ressources commerciales hors Europe et Amérique du Nord par rapport aux autres « leaders », ainsi qu’un moindre effectif sur des aspects comme le product management et la recherche en threat intelligence.
Au-delà de la viabilité de son activité sur ce segment, Check Point a, comme Abnormal AI, des pratiques « robustes » en matière de relation client. Gartner salue aussi une interface intuitive et une large couverture des cas d’usage rencontrés dans la sécurisation des e-mails.
Check Point se retrouve toutefois moins souvent sur les shortlists que les autres « leaders ». Il a également moins développé qu’eux sa stratégie verticale et la capacité à régionaliser ses services.
Darktrace se distingue par la nette augmentation de ses effectifs de support technique. Ainsi que par sa feuille de route, jugée bien alignée sur les besoins émergents et potentiellement génératrice d’opportunités par rapport à la concurrence.
Les ajustements de prix effectués depuis le précédent Magic Quadrant doivent encore se refléter dans le sentiment client, observe Gartner. Qui note aussi, par rapport aux autres « leaders », une stratégie marketing moins « agressive » et un retard sur les capacités de régionalisation.
Comme Darktrace, KnowBe4 se distingue par sa roadmap., entre protection contre la compromission de comptes et sécurisation du collaboratif. Sa stratégie verticale fait également mouches, comme l’acquisition d’Egress et la viabilité globale de l’entreprise.
KnowBe4 ne propose néanmoins pas la même profondeur fonctionnelle que les autres « leaders ». Il est aussi en retard sur la relation client et sur le marketing (positionnement non différencié).
Au-delà de sa viabilité et de son historique sur ce marché, Microsoft se distingue par l’étendue de ses ressources de support et de formation – y compris tierces. Et par sa capacité à répondre effectivement aux menaces émergentes.
Sur le volet services et support, la qualité s’avère variable. Quant à la stratégie produit, elle n’est pas pleinement alignée sur les besoins, en conséquence d’un focus sur des fonctionnalités qui améliorent l’efficacité plutôt que la sécurité. Vigilance également sur la tendance au bundling avec d’autres produits : Microsoft y recourt à un « degré supérieur » aux autres fournisseurs.
Gartner apprécie les effectifs que Mimecast a alloués au support technique et à la gestion produit. Il salue aussi le programme partenaires, le niveau de remise sur les contrats pluriannuels et, plus globalement, la visibilité de l’offre sur ce marché.
Depuis l’an dernier, le licensing est devenu plus complexe. S’y ajoute un retard par rapport aux autres « leaders » en matière de relation client. Gartner signale aussi un manque de liant entre le focus sur le risque humain et les enjeux de sécurité des e-mails.
Proofpoint propose un outillage plus large que la concurrence, et continue à étendre son portefeuille – par exemple à la sécurité du collaboratif. Il se distingue aussi par la diversité de sa clientèle et, plus généralement, par la viabilité de son activité.
De la diversité, il y en a moins du point de vue de la présence géographique, en tout cas par rapport aux autres « leaders ». Et la stratégie marketing n’est pas la plus différenciée sur le marché. Les prix ont par ailleurs nettement augmenté en l’espace d’un an.
Illustration générée par IA
The post Sécurité des e-mails : l’option multifournisseur s’impose appeared first on Silicon.fr.
Attention si vous utilisez SmartTube, comme moi... j'ai eu de la chance, mon app est restée en 26.75, ouf.
Le rapport intitulé “The State of Generative AI 2025” édité par Palo Alto Networks le montre : les cas d’usage des IA génératives ont explosé en 2024. Le trafic vers ces services s’est accru de 890 % en 2024 et une grande organisation exploite 66 applications d’IA générative en moyenne, dont 10 % peuvent être qualifiées à haut risque.
Qu’il s’agisse de services de traduction, de synthèse de documents, mais aussi de chatbots, moteurs de recherche et outils dédiés aux développeurs, ces IA sont désormais adoptées dans tous les secteurs d’activité.
Sécuriser ces infrastructures présente quelques spécificités. Les IA restent des workloads IT standards avec des conteneurs logiciels qu’il faut protéger, mais les LLM présentent des vulnérabilités intrinsèques à l’apprentissage machine. « Pour les entreprises qui souhaitent réaliser l’entraînement de leurs modèles, il est extrêmement important de sécuriser la chaîne d’alimentation des modèles » explique Pierre Jacob, DG de Magellan Sécurité.
Le consultant estime qu’il est relativement facile d’empoisonner un modèle et introduire des biais importants dans son comportement : « Il ne faut qu’un pourcentage finalement assez faible de données pour faire dérailler un modèle. Il est donc extrêmement important de sécuriser soigneusement les infrastructures d’entraînements. »
NVidia a pleinement pris conscience des risques pesant sur les IA entraînées et exécutées sur ses infrastructures. Le californien a implémenté des fonctions d’informatique confidentielle sur ses architectures Nvidia Hopper et Blackwell, avec la capacité d’entraîner les IA sur des données chiffrées de bout en bout. De même, les fournisseurs de solution de sécurité sont invités à déployer leurs briques de sécurité sur les infrastructures IA.
Au début de l’été, Crowdstrike annonçait l’intégration de sa plateforme Falcon Cloud Security avec les microservices LLM NIM de NVidia, ainsi qu’à NeMo, sa plateforme de développement d’IA. On retrouve cette même volonté de rapprochement avec Nvidia chez Check Point.
« Nous avons signé un partenariat avec Nvidia pour venir directement dans les GPU qui vont assurer l’apprentissage des moteurs d’IA » explique Adrien Merveille, CTO France de Check Point Software. « Cela va permettre d’appliquer les règles de sécurité à la fois pour segmenter les données d’entraînement, contrôler l’accès par les administrateurs et les manipulations mémoire pour éviter les attaques de type Prompt Injection. »
De même, l’éditeur a intégré à son WAF les protections du Top 10 WASP LLM pour protéger les IA contre les types d’attaques connus. Ce classement référence les 10 types d’attaque les plus fréquents sur les LLM, depuis la Prompt Injection, le Data Poisoning, mais aussi le vol de modèle et les vulnérabilités sur la chaîne d’alimentation en données des modèles en phase d’apprentissage ou en production.
Éric Vedel, CISO de Cisco, rappelle que même des LLM téléchargés sur Hugging Face peuvent avoir été piégés et doivent être vérifiés avant d’être mis en production. Cisco pousse en avant sa solution Cisco AI Defence afin de détecter les vulnérabilités dans les modèles. Celle-ci a été officiellement lancée le 15 janvier 2025, mais elle est issue de l’acquisition de l’éditeur Robust Intelligence quelques mois plus tôt.
« Cette éditeur avait déjà mis en place ses moyens de protection chez de très gros clients pour lutter contre le Shadow AI en accroissant la visibilités sur les usage de l’IA en interne, de la détection des vulnérabilités dans les modèles mis en œuvre et la mise en place de garde-fous et contremesures contre ces risques liés à l’IA. Chose unique sur le marché, nous avons embarqué cette offre au sein de notre offre SSE (Secure Access Security Edge). »
Cette solution s’inscrit dans la mouvance des solutions d’AI SPM apparues pour sécuriser les modèles et les données.
Palo Alto Networks a récemment pris position sur ce marché avec une plateforme complète entièrement dédiée aux IA et couvrir tous les risques recensés par l’OWASP : « Pour couvrir l’ensemble de ces risques, nous avons fait le choix de créer une nouvelle plateforme, Prisma AIRS » explique Eric Antibi, directeur technique de Palo Alto Networks. « Celle-ci amène tout un ensemble de solutions conçues pour la sécurité de ces architectures complexes et des risques spécifiques qui pèsent sur la GenAI. »
La suite intègre un module de Model Scanning pour trouver des vulnérabilités dans les modèles, un module de Posture Management pour identifier tout problème de configuration dans l’architecture. Le module de Red Teaming teste en permanence les modèles pour s’assurer que de nouvelles vulnérabilités ne sont pas apparues à l’occasion de mises à jour, par exemple.
Enfin, des modules assurent la sécurité runtime des IA ainsi que celle des agents intelligents. « Prisma AIRS est une plateforme à part entière, néanmoins, la composante réseau est importante dans la sécurité de ces infrastructures, notamment pour surveiller les échanges entre les datasets et les moteurs de LLM. De ce fait, la console d’administration de notre plateforme Network Security est utilisée, mais cela reste des modules différents. »
Si les solutions d’AI SPM sont encore assez nouvelles et encore peu répandues, les équipes sécurité et IA doivent s’en emparer et commencer à monter en maturité et faire évoluer vers le haut leurs politiques de sécurité vis-à-vis des IA.
| Pierre Jacob, DG de Magellan Sécurité : «Ne pas s’arc-bouter sur une position unique. »
« Il faut adapter ses choix de LLM aux usages et aux risques. Il est possible de déployer un LLM ou un SLM sur un poste de travail si le cas d’usage impose d’être en mode déconnecté. Les machines Apple se prêtent assez bien au déploiement de SLM en local par exemple. De même, il ne faut pas rejeter un LLM parce qu’il est dans le Cloud public. Il faut avoir une vision architecture et penser la sécurité by design et être capable de jongler avec les modèles, mettre en place des architectures applicatives à base de microservices capables de consommer ses modèles sans en être dépendantes. » |
The post Une sécurité sur mesure pour les infrastructures IA appeared first on Silicon.fr.
Connexion