● Silicon.fr Télécom 📅 11/05/2026 à 10:30

Cybersécurité 👤 Clément Bohic

🏷️ Tags : cert edr rte siem stoc

Ces dernières années, la protection contre les risques numériques s’est fondue dans les produits de threat intelligence. Gartner en fait une note de contexte pour son premier Magic Quadrant dédié à ce marché. Au-delà de cette convergence, le cabinet américain rappelle que malgré l’innovation (automatisation, enrichissement, intégrations…), les capacités fondamentales que sont la collecte et l’analyse demeurent très valorisées. Cela se ressent sur la manière dont il a classé les fournisseurs. 17 fournisseurs, 5 « leaders » L’évaluation englobe deux dimensions, dites « exécution » et « vision ». La première traduit la capacité à répondre aux besoins (qualité des produits, tarification, historique sur le marché…). La deuxième est centrée sur les stratégies (commerciale, sectorielle, géographique…). La situation sur l’axe « exécution » : Rang Fournisseur 1 Recorded Future 2 CrowdStrike 3 Google 4 ZeroFox 5 Cyble 6 Flashpoint 7 Group-IB 8 Intel 471 9 Bitsight 10 SOCRadar 11 CTM360 12 KELA 13 CYFIRMA 14 ReliaQuest 15 Flare 16 Axur 17 NSFOCUS Sur l’axe « vision » : Rang Fournisseur 1 CrowdStrike 2 Google 3 Recorded Future 4 ReliaQuest 5 ZeroFox 6 Group-IB 7 Bitsight 8 NSFOCUS 9 CYFIRMA 10 SOCRadar 11 CTM360 12 KELA 13 Cyble 14 Flashpoint 15 Intel 471 16 Axur 17 Flare 5 fournisseurs ont l’étiquette « leader » : CrowdStrike, Google, Group-IB, Recorded Future et ZeroFox. Lire aussi : La gestion des accès se détache des mots de passe Des fournisseurs salués sur l’automatisation… Parmi les « leaders », Google se distingue sur les capacités agentiques. En particulier pour l’analyse du code des malwares, l’extraction de techniques et tactiques et la simulation du comportement des adversaires. Sur le volet IA/automatisation, trois « visionnaires » ont droit à des bons points. NSFOCUS, pour sa classification automatisée par secteurs économiques et pour son extension de navigateur qui met en avant les IOC tout en les enrichissant. ReliaQuest, pour les possibilités qu’il offre en matière de consolidation et de réponse. SOCRadar, sur la partie création et déploiement de règles de détection. Gartner salue aussi l’IA multimodale propriétaire d’Axur (« acteur de niche »). En particulier un modèle de vision pour détecter les abus de marque. Il y ajoute l’automatisation agentique qui facilite l’escalade de la réponse et la validation des actions de démantèlement. … et d’autres en retard Un des « leaders » a droit à une remarque négative en matière d’IA/automatisation. En l’occurrence, Group-IB. Il n’a pas encore livré complètement ses capacités prédictives. Sa plate-forme utilise encore largement une logique à base de règles et des workflows guidés par des analystes. Chez Flare (« acteur de niche »), l'IA a un rôle d'accompagnement plutôt que de décision. Elle est centrée sur le résumé, le scoring de pertinence, la réduction du bruit et l'aide à l'interprétation par les analystes. Les aspects prédictif et agentique ne sont pas développés et les automatisations en boucle fermée (exemple : création de règles à partir d'IOC) sont limitées. Flashpoint (« challenger ») n'a pas pleinement automatisé la gestion du cycle de vie des IOC. Intel 471 (« acteur de niche ») priorise quant à lui l'expertise humaine à la production d'automatisations avancées. Performant sur la corrélation et la contextualisation, Recorded Future met cependant moins l'accent sur l'automatisation de la réponse, qui s'appuie beaucoup sur des outils aval. Des tarifications parfois complexes, voire opaques Bitsight (« visionnaire ») se distingue positivement par sa tarification jugée transparente. Les coûts en sont prévisibles tant pour les accès utilisateur et API que pour les modules complémentaires. On ne peut pas en dire autant pour CrowdStrike. Son pricing multiniveaux - basé sur les endpoints ou sur les employés - est complexe. Lire aussi : Sécurité des e-mails : l'option multifournisseur s'impose Celui de KELA (« acteur de niche ») manque de structure : les coûts peuvent être difficiles à prévoir en fonction du mix fonctionnel ou du périmètre de déploiement. Concernant ReliaQuest, Gartner parle d'une tarification « opaque » : les prix indiqués sont liés à des indicateurs de haut niveau, sans détails de packaging ni structures tarifaires publiques. Pricing également complexe chez ZeroFox, entre facturation à l'actif, modèle au bucket pour le démantèlement et suppléments pour certaines intégrations. Les offres « leaders », souvent complexes à exploiter Trois « leaders » font l'objet d'un avertissement concernant la complexité de mise en œuvre et/ou d'exploitation de leurs solutions. Chez Google, les fonctionnalités premium (scan privé, automatisation avancée...) peuvent vite s'accumuler et compliquer l'opérationnalisation de la stack. L'offre de Group-IB est mieux adaptée aux équipes « matures » (pour les autres, elle peut nécessiter de définir des processus supplémentaires). Chez Recorded Future, atteindre la « pleine valeur » nécessite souvent de multiples modules complémentaires... susceptibles d'augmenter les coûts. Apps mobiles et extensions de navigateur, encore régulièrement manquantes Sur le plan fonctionnel, Axur n'a pas d'extension de navigateur, ni d'application mobile, ni de génération automatisée de règles SIEM/EDR. Lire aussi : SIEM : le marché se structure sur des visions opposées CTM360 n'a pas non plus d'extension de navigateur. Et Gartner note que ses principales fonctionnalités ne sont pas protégées par des brevets. Sur mobile, Google manque d'une app native et certaines tâches exigent du copier-coller. L'offre d'Intel 471 ne comprend pas non plus d'extension de navigateur. Ni d'app mobile et de workflows agentiques. Chez SOCRadar, il existe une app mobile, mais limitée. L'UX n'est globalement pas stabilisée, en particulier sur la livraison des alertes. Beaucoup d'acteurs à la présence géographique limitée Nombre de fournisseurs ont un périmètre d'action limité sur le plan géographique. Axur : clientèle principalement en Amérique latine CrowdStrike : CA concentré en Amérique du Nord CTM360 : clientèle limitée, revenu annuel récurrent et croissance « modestes » CYFIRMA (« visionnaire») : clientèle concentrée en Asie-Pacifique Flashpoint : clientèle et activité concentrées en Amérique Nord Group-IB : présence limitée en Amérique du Nord KELA : distribution géographique inégale des équipes, localisées surtout en Amérique du Nordd NSFOCUS : présent essentiellement en Asie-Pacifique Recorded Future : revenus et support concentrés en Amérique du Nord et EMEA ZeroFox : clientèle localisée essentiellement en Amérique du Nord Illustration principale © Adrian Gros - Shutterstock

🔗 Lire l'article original 👁️ 0 lecture