Connexion
Gestion des accès à privilèges (PAM) : en 2025, quel cahier des charges technique ?
Doit-on attendre d’un fournisseur de PAM qu’il propose une brique de CIEM (gestion des droits d’accès à l’infrastructure cloud) ?
Gartner considère désormais qu’il s’agit d’une fonctionnalité « commune ». Il la catégorise tout du moins ainsi dans son dernier Magic Quadrant dédié à ce marché.
Dans l’édition précédente, le CIEM était facultatif. Il n’est pas le seul à avoir rejoint le cahier des charges technique cette année. La gestion des secrets pour les workloads a suivi la même trajectoire. Idem pour la gestion du cycle de vie des comptes à privilèges et celle des accès distants à privilèges.
De même, certains critères jugés « communs » l’an dernier sont devenus « obligatoires ». En l’occurrence, la découverte de comptes à privilèges, l’enregistrement des sessions à privilèges et la gestion des privilèges juste-à-temps.
12 fournisseurs, 3 « leaders »
Pour espérer figurer dans le Magic Quadrant du PAM, il y avait 7 critères « obligatoires » à respecter :
- Gestion et mise en œuvre centralisées des accès à privilèges, en contrôlant soit l’accès à des comptes et à des authentifiants, soit l’exécution de commandes, soit les deux
- Gestion et octroi des accès à privilèges sur base temporaire aux utilisateurs autorisés
- Découverte de comptes à privilèges
- Conservation et gestion des authentifiants pour les comptes à privilèges
- Gestion, supervision, enregistrement et audit des sessions à privilèges
- Gestion des privilèges juste-à-temps
- Administration à base de rôles, avec gestion centralisée des politiques d’accès aux authentifiants
Il fallait par ailleurs fournir au moins 5 des 8 éléments « communs » suivants :
- Contrôle de l’élévation de privilèges par agent sur Windows, UNIX/Linux et macOS
- Gestion des secrets pour les workloads
- Gestion du cycle de vie des comptes à privilèges
- CIEM
- Gestion des accès distants à privilèges
- Automatisation des tâches routinières liées aux opérations à privilèges orchestrées et/ou exécutées à travers plusieurs systèmes
- ZSP (zero standing privileges) : pas d’élévation juste-à-temps vers un compte ou un rôle existant, mais création de rôles et de permissions éphémères
- Analyse des patterns de privilèges, des mauvaises configs, des comportements d’accès, des anomalies
Le positionnement au sein du Magic Quadrant résulte d’évaluations sur deux axes. L’un, appelé « vision », est prospectif. Il est centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre, dit « exécution », reflète la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « exécution », la situation est la suivante :
| Rang | Fournisseur | Évolution annuelle |
| 1 | BeyondTrust | + 3 |
| 2 | CyberArk | + 1 |
| 3 | ARCON | – 2 |
| 4 | Delinea | – 2 |
| 5 | Savyint | nouvel entrant |
| 6 | ManageEngine | – 1 |
| 7 | Segura | nouvel entrant |
| 8 | One Identity | – 1 |
| 9 | Keeper Security | nouvel entrant |
| 10 | WALLIX | – 4 |
| 11 | Netwrix | – 2 |
| 12 | StrongDM | nouvel entrant |
Sur l’axe « vision » :
| Rang | Fournisseur | Évolution annuelle |
| 1 | CyberArk | = |
| 2 | BeyondTrust | + 1 |
| 3 | Delinea | – 1 |
| 4 | WALLIX | = |
| 5 | One Identity | = |
| 6 | ARCON | + 1 |
| 7 | ManageEngine | – 1 |
| 8 | Savyint | nouvel entrant |
| 9 | StrongDM | nouvel entrant |
| 10 | Segura | nouvel entrant |
| 11 | Netwrix | – 3 |
| 12 | Keeper Security | nouvel entrant |
Les trois « leaders » sont les mêmes qu’en 2024. Dans l’ordre alphabétique : BeyondTrust, CyberArk et Delinea. Le français WALLIX reste chez les « visionnaires », à plus forte raison avec son recul sur l’axe « exécution ».
BeyondTrust peut progresser sur les identités machine
BeyondTrust reste, d’après Gartner, parmi les meilleurs sur le remote PAM et le juste-à-temps. Il se distingue aussi sur le CIEM. Si ses prix restent globalement au-dessus de la moyenne du marché, la partie SaaS fait désormais exception sur plusieurs scénarios évalués, en conséquence du lancement des bundles Essentials, Plus et Flex dans la plate-forme Pathfinder. Bons points également pour la stratégie commerciale (réseau de vente, remises sur engagement, cross-selling efficace) et l’accompagnement client (customer advisory boards, notamment, ainsi que plusieurs niveaux de formation, dont du gratuit).
L’offre de BeyondTrust manque encore de maturité sur la gestion des identités de workloads et des secrets (pas de possibilité de gérer les gestionnaires tiers, notamment). Au global, les innovations ont manqué sur l’année écoulée, se limitant à de l’intégration/unification. À cela s’ajoute un retard, par rapport aux autres « leaders », sur l’exploitation de la GenAI dans la gestion des sessions. Attention aussi au support technique, jugé améliorable par certains clients – comme, d’ailleurs, le paramétrage initial (qui peut s’avérer complexe) ainsi que l’UI et la navigation.
CyberArk reste parmi les plus chers du marché
« Mature » sur l’ensemble de son offre, CyberArk se distingue particulièrement sur la gestion des identités de workloads et des secrets, ainsi que sur le PEDM Windows. Il a aussi pour lui son IA CORA, appliquée entre autres au résumé de sessions, à la détection d’anomalies au niveau des secrets et à la recommandation de règles. Autre point positif : le recueil du feedback client, entre sondages et customer advisory board. Gartner apprécie également la stratégie géographique (capacité de delivery local) et l’extension sectorielle de l’offre, en particulier vers les services financiers et le secteur public.
L’élévation de privilèges exige des produits distincts pour UNIX et Linux, et ils ne sont pas à parité fonctionnelle. Au global, les prix restent parmi les plus élevés du marché, et CyberArk ne pratique toujours pas de remises sur engagement multiannuel. Il a de la marge de progression sur le support, comme sur le paramétrage initial (complexe) et les upgrades de son PAM autohébergé. On portera aussi attention à l’évolution de l’activité des suites de l’acquisition par Palo Alto Networks (annoncée en juillet).
Delinea, en retard sur le remote PAM
Delinea reste un des meilleurs sur le PEDM UNIX/Linux. Il se distingue aussi sur la gestion des identités de workloads et des secrets, comme sur le CIEM. Gartner salue autant le support technique que la collecte de feedback. Il souligne aussi la facilité d’utilisation de la solution (moteurs unifiés, console de gestion unique, bonne couverture sur les rapports d’intégrité). Ainsi que la disponibilité d’un agent qui exploite le contexte pour automatiser les décisions d’accès dans les environnements cloud.
Delinea est, en revanche, moins mature sur le remote PAM (manque d’enregistrement en self-service, de collaboration multiutilisateurs, de création à la demande de jetons à usage unique pour les identités externes…). En fonction des scénarios testés, la tarification est « inégale » : sous la moyenne du marché pour les entreprises de moins de 1000 employés, au-dessus pour les plus grandes. Attention aussi au fait que la gestion des authentifiants à privilèges et la découverte de comptes peut nécessiter une personnalisation par PowerShell. Gartner fait par ailleurs remarque que la croissance des revenus de Delinea a ralenti, tout comme celle des investissements en ventes/marketing.
Le SaaS a du mal à prendre chez WALLIX
Bon sur les accès distants, WALLIX garde par ailleurs son avantage sur le PAM pour les systèmes cyber-physiques. Il bénéficie d’ailleurs d’une présence importante dans la production industrielle – tout comme dans les services financiers et le secteur public. Gartner salue l’efficacité de son support, la facilité d’usage de sa solution et l’engagement client régulier (dont customer advisory board).
La découverte de comptes s’avère limitée (axée sur Active Directory) et le PAM JIT reste immature (dépendant d’intégrations workflow/ITSM). Comme chez Delinea, la tarification a tendance à être avantageuse pour les plus petites organisations, moins pour les plus grandes. Gartner note aussi que parmi les fournisseurs qui proposent du SaaS, WALLIX est celui qui a signé le moins de contrats (la majorité de ses clients implémentent encore sur site). Il ajoute, sous son prisme américain, l’absence de certifications communes chez des concurrents (FedRAMP, FIPS, SOC 2).
Illustration générée par IA
The post Gestion des accès à privilèges (PAM) : en 2025, quel cahier des charges technique ? appeared first on Silicon.fr.
