Gartner’s latest Magic Quadrant for endpoint protection platforms (EPP) warns that vendors are increasingly prioritizing adjacent capabilities—DLP, browser security, AI usage controls, just-in-time hardening—at the expense of core innovation. As a result, gaps are widening in key areas: telemetry collection, agent footprint, customization of administration and detection logic, and functional coverage beyond Windows environments. This mirrors last year’s findings, where R&D investment skewed toward ancillary products and AI integration. Generative AI, then embryonic, largely delivered administrative assistance (incident summarization, documentation discovery, text-to-code translation). A year later, the dynamic persists: agentic AI roadmaps now center on automating repetitive tasks like alert triage, query/playbook creation, and malware analysis, with third-party product integration still a distant prospect.

Market maturity, structured SecOps processes, and stack consolidation foster upselling: 25% of organizations now purchase adjacent threat detection and incident response (TIDR) products from their EPP provider.

The quadrant includes 13 vendors, down from 15 last year—Cisco and Cybereason have dropped out. The “Leaders” quadrant remains unchanged: CrowdStrike, Microsoft, Palo Alto Networks, SentinelOne, Sophos, and TrendAI (formerly Trend Micro). On the execution axis (product/service quality, customer experience, market track record), CrowdStrike retains the top spot, followed by Microsoft and SentinelOne. Sophos climbed two places to fourth, while Palo Alto Networks slipped two to sixth. Trellix fell three positions to eleventh. On vision (commercial, geographic, and sectoral strategy), CrowdStrike also leads, then Microsoft, with Palo Alto Networks moving up one to third and SentinelOne dropping to fourth. Sophos, Check Point, and Fortinet held steady, while Trellix rose three places.

CrowdStrike continues to earn praise for its effective EDR, cloud management, lightweight agent, and telemetry collection. Gartner now also highlights its “increasing maturity” in data security and strong customer experience (account management, support, managed services) backed by sustained product investment. However, pricing remains premium—while no longer described as “increasingly difficult to understand,” it is still among the highest. The platform is not suited for on-premises or hybrid management, and outside the US, hosting options are limited to Germany, falling short of full operational and technological sovereignty for international buyers.

Microsoft stands out for EDR, cloud management, market share, and deep integration within the Defender suite, as well as growing data security maturity and a predictive protection roadmap. Yet customer experience remains uneven, particularly around ease of use and support responsiveness. Licensing is complex: Defender for Servers is not included in popular bundles like Microsoft 365 E3/E5. Like CrowdStrike, there is no on-prem option, and full sovereignty beyond the US is unattainable.

Palo Alto Networks gets credit for EDR effectiveness, functional parity across platforms, mature cloud management, and a forward-looking roadmap covering AI security, flexible customization/automation, DLP extension, and behavioral kernel driver protection. But its market share lags behind other leaders, and costs are high—and tend to rise at renewal. On-prem and air-gapped deployments are not supported.

SentinelOne is commended for its growing market share, acute market understanding (including the Prompt Security acquisition for GenAI control), and a product strategy that extends visibility into network telemetry, DLP, and cross-OS parity. On the flip side, its international penetration trails peers, it appears on fewer shortlists than before, and recent advances like DNS telemetry and lateral movement mitigation are not market-leading innovations. The admin console supports only English and Japanese, and pricing is premium.

Sophos benefits from a long market history, steady revenue growth, and per-user licensing that can be cost-effective for multi-device users. The Secureworks acquisition has boosted its global reach and quality assurance headcount. Nevertheless, R&D has recently focused on closing gaps (agent performance, AI alert summarization) rather than innovation. Sophos also shows up less frequently on shortlists and lacks on-prem deployment options.

TrendAI (renamed from Trend Micro) maintains broad OS support, effective prevention and cloud/hybrid management, and competitive pricing. Recent improvements span data security, workspace protection, and attack surface reduction, along with browser prompt injection protection. However, the credit-based licensing model remains opaque, and customer experience can suffer from alert volume and resource-heavy scans; some clients also report declining support quality. Revenue growth continues to trail other leaders.

Across the board, the Magic Quadrant reveals a market where fundamentals like agent efficiency, platform coverage, flexible administration, and deployment choice are being sidelined in favor of bolt-on features—a shift that creates opportunities for differentiation but also risks alienating buyers who require robustness at the core.

DLP, sécurité du navigateur, contrôle des usages de l’IA, durcissement juste-à-temps… Autant de capacités que les fournisseurs de plates-formes de protection des terminaux (EPP) ont tendance à prioriser aux dépens de l’innovation sur le cœur de leur offre.

Gartner le souligne dans son dernier Magic Quadrant consacré à ce marché. Dans ce contexte, explique-t-il, des écarts se creusent, entre autres, sur :

Collecte de la télémétrie

Empreinte des agents

Personnalisation des fonctions d’administration et de la logique de détection

Couverture fonctionnelle hors des environnements Windows

L’an dernier, le cabinet américain avait déjà noté cette propension à axer la R&D sur des produits annexes. Ainsi que sur l’intégration de l’IA. Y compris générative, même si son usage demeurait embryonnaire. Elle apportait en effet essentiellement une assistance administrative (résumé d’incidents, découverte de documentation, traduction texte-code et vice versa).

Quasiment un an plus tard, le constat demeure. Quant à l’IA agentique, les roadmaps associées s’orientent principalement sur l’automatisation de tâches répétitives telles que le tri des alertes, la création de requêtes/playbooks et l’analyse des malwares. L’extension du périmètre d’action aux produits tiers reste une perspective.

Combinée à la structuration des processus SecOps et à la consolidation des stacks, la maturité du marché favorise l’upselling : 25 % des organisations achètent, auprès de leur fournisseur EPP, des produits adjacents de TIDR (détection des menaces et réponse aux incidents).

13 fournisseurs, 6 « leaders »

L’an dernier, 15 fournisseurs figuraient au Magic Quadrant des plates-formes de protection des terminaux. Tous y demeurent cette année, à l’exception de Cisco et Cybereason. Pas de changement dans le carré des « leaders », qu’occupent toujours CrowdStrike, Microsoft, Palo Alto Networks, SentinelOne, Sophos et TrendAI (ex-Trend Micro).

Sur l’axe dit « exécution » et traduisant la capacité à répondre effectivement à la demande (qualité des produits/services, expérience client, historique sur le marché…), la situation est la suivante :

Rang

Fournisseur

Évolution annuelle

1

CrowdStrike

=

2

Microsoft

=

3

SentinelOne

=

4

Sophos

+ 2

5

TrendAI

=

6

Palo Alto Networks

– 2

7

ESET

=

8

Bitdefender

+ 1

9

Check Point

+ 2

10

Fortinet

=

11

Trellix

– 3

12

WithSecure

=

13

Broadcom

+ 1

Sur l’axe « vision », qui reflète les stratégies (commerciale, géographique, sectorielle…) :

Rang

Fournisseur

Évolution annuelle

1

CrowdStrike

=

2

Microsoft

=

3

Palo Alto Networks

+ 1

4

SentinelOne

– 1

5

TrendAI

=

6

Bitdefender

=

7

Sophos

=

8

Check Point

=

9

Fortinet

=

10

Trellix

+ 3

11

ESET

– 1

12

WithSecure

+ 2

13

Broadcom

+ 2

CrowdStrike avance sur la sécurité des données…

L’an dernier, Gartner avait accordé des bons points à CrowdStrike pour l’efficacité de son EDR, sa gestion cloud et ses intégrations TIDR. Il avait aussi apprécié la légèreté de l’agent, les capacités de collecte de télémétrie et les options de contrôle des mises à jour de contenu. Tout en signalant la notoriété du fournisseur auprès des acheteurs et son importante part de marché.

Cette fois encore, le cabinet américain salue EDR, gestion cloud et légèreté de l’agent. Il souligne aussi la « maturité croissante » de CrowdStrike sur la sécurité des données. Bons points également sur l’expérience client (gestion de compte, support technique, services managés) et sur la stratégie produit (investissement soutenu, console unique…).

… mais reste plus cher que la moyenne

La tarification de CrowdStrike est de plus en plus difficile à comprendre, tout en étant l’une des plus élevées, avait constaté Gartner en 2025. Il avait aussi pointé la localisation linguistique minimale de la console d’admin (anglais et japonais) et le nombre de points de présence SaaS inférieur à celui des autres « leaders ». Tout en soulignant l’inadéquation de l’offre pour qui aurait besoin d’une gestion sur site ou hybride.

Autant Gartner ne parle désormais plus de tarification difficile à comprendre, autant il maintient qu’elle reste de l’ordre du premium. Le point sur la gestion sur site ou hybride reste d’actualité, assortie d’une remarque plus globale : l’offre n’est pas idéale pour qui recherche une souveraineté opérationnelle et technologique complète hors des USA… Hors de cette région géographique, les options d’hébergement se limitent à l’Allemagne.

Microsoft, salué sur le prédictif…

L’an dernier, Microsoft s’était distingué sur l’EDR et la gestion cloud, ainsi que sur l’intégration avec les solutions de protection de l’espace de travail. Gartner avait aussi apprécié sa roadmap, notamment en matière de réduction de la surface d’attaque. Il avait également relevé, comme chez CrowdStrike, la notoriété et la part de marché.

Cette année encore, EDR, gestion cloud, notoriété et part de marché valent de bons points à Microsoft.  Comme les intégrations avec le reste de la suite Defender et la « maturité croissante » sur la sécurité des données. La stratégie produit fait aussi mouche auprès de Gartner, en particulier sur la protection prédictive.

… moins sur le support et le licensing

En 2025, Gartner avait relevé des progrès à faire sur l’expérience client, entre déploiement initial, configuration et relative lenteur du support. Il avait aussi pointé une sous-utilisation des bundles de Microsoft, celui-ci tendant en parallèle à se montrer moins généreux sur les remises lors des renouvellements.

Cette année encore, l’expérience client est d’un niveau variable, tout au mois sur la facilité d’usage et la qualité du support technique. Le licensing s’avère complexe et la brique Defender for Servers n’est pas incluse dans des offres populaires comme Microsoft 365 E3 et E5. Comme chez beaucoup d’autres, il n’y a pas d’option sur site et la fameuse « souveraineté opérationnelle et technologique complète » hors des USA n’est pas envisageable.

Palo Alto Networks, apprécié du DLP à la protection des pilotes noyau…

Comme CrowdStrike, Palo Alto Networks avait été salué, l’an dernier, pour l’EDR, la gestion cloud et les intégrations TIDR. Sa roadmap avait aussi plu à Gartner, qui l’avait jugée « alignée sur les besoins émergents ». Autres points forts de Palo Alto : son financement, sa présence mondiale et la croissance de ses revenus, supérieure à celle du marché.

À l’efficacité de la brique EDR, Gartner ajoute cette année sa parité fonctionnelle sur les différentes plates-formes couvertes. Il mentionne à nouveau la maturité de la gestion cloud. Ainsi que la roadmap, en particulier sur la sécurité de l’IA. Il y ajoute la souplesse de la personnalisation et de l’automatisation, l’extension du DLP et la protection comportementale des pilotes noyau.

… mais lui aussi plus cher que la moyenne

La part de marché de Palo Alto Networks n’est pas au niveau de celle des autres « leaders », avait affirmé Gartner l’an dernier. Il avait aussi souligné le coût élevé de ses solutions. Et, à nouveau, leur inadéquation pour qui recherchait une gestion sur site ou en air-gap.

La remarque sur les coûts demeure, d’autant plus qu’ils tendent à la hausse au renouvellement. Même chose sur la gestion on-prem, toujours absente ; et pour la part de marché, qui reste inférieure à celle des autres « leaders ».

SentinelOne se distingue sur sa stratégie produit…

En 2025, SentinelOne n’avait pas fait exception aux bons points sur l’EDR et la gestion cloud (+ hybride). Il avait aussi pour lui la facilité d’usage de ses solutions. Jusqu’à la console, dont l’UX « se [différenciait] sur le marché ».

Cette année, Gartner salue la part de marché de SentinelOne. Il note aussi sa compréhension de ce marché, dont témoignent des acquisitions comme celle de Prompt Security (contrôle de l’usage de la GenAI). Bon point également sur la stratégie produit, entre extension de la visibilité sur la télémétrie réseau, roadmap DLP et parité fonctionnelle entre OS.

… mais apparaît moins sur les shortlists

La localisation linguistique du dashboard admin de SentinelOne se limite à l’anglais et au japonais, avait expliqué Gartner en 2025. Il avait aussi noté une présence limitée au-delà des USA par rapport aux autres « leaders », en plus d’ une tarification « relevant du premium » et d’une tendance à axer la R&D sur des produits adjacents de type automatisaiton et orchestration.

La remarque sur la pénétration limitée hors USA demeure. Par ailleurs, SentinelOne figure moins souvent sur les shortlists que par le passé. Et ses dernières avancées (extension de la télémétrie DNS, atténuation des mouvements latéraux…) ne relèvent pas de l’innovation par rapport au reste du marché.

Sophos a accru son reach…

En 2025, Sophos s’était distingué tant par son historique sur ce marché que par la croissance régulière de ses revenus. Gartner avait aussi salué les licences par utilisateur, susceptibles d’être compétitives dans les organisations où les employés ont plusieurs terminaux. Il avait également évoqué les perspectives que l’acquisition de Secureworks ouvrait en matière de TIDR, parallèlement à l’extension du reach commercial.

Le duo présence marché – croissance régulière du CA vaut à nouveau un bon point à Sophos. Idem pour ses licences par utilisateur. Et pour l’acquisition de Secureworks, qui a effectivement accru la présence mondiale de Sophos. Autre point positif : l’augmentation de l’effectif sur la partie assurance qualité.

… mais a peu innové

Hormis l’inadéquation aux besoins de gestion sur site, Garrner avait pointé, l’an dernier, une consommation importante de ressources lors des scans, doublée de workloads « inefficaces » dans Sophos Central. Autre point de vigilance : une R&D qui s’était déportée du cœur de l’offre pour se focaliser notamment sur l’intégration de Taegis XDR.

Ces derniers temps, la R&D s’est moins concentrée sur l’innovation que sur la résorption de manques (performance de l’agent, résumé d’alertes par IA…). Comme SentinelOne, Sophos figure rarement sur les shortlists par rapport aux autres « leaders ». Comme la plupart d’entre eux, en revanche, il ne propose pas d’option sur site.

De Trend Micro à TrendAI, la tarification reste compétitive…

L’an dernier, prévention et gestion (cloud + hybride) avaient valu un bon point à Trend Micro, devenu depuis TrendAI. Gartner avait aussi salué l’exhaustivité des OS pris en charge, la techno de virtual patching et, plus globalement, des capacités de protection « bien différenciées ». Ainsi que les innovations sur la protection comportementale, le contrôle des mises à jour de contenu et la détection de deepfakes.

La remarque sur le support OS reste valable. Celle sur la prévention et la gestion aussi. Gartner y ajoute les améliorations sur la sécurité des données et des espaces de travail. Ainsi que la roadmap sur la réduction de la surface d’attaque et la protection contre les injections de prompts dans le navigateur. Il mentionne également la tarification, « généralement compétitive ».

… mais le modèle à base de crédits manque toujours de clarté

L’expérience client peut être dégradée par le gros volume d’alertes et la consommation de ressources lors du scan, avait averti Gartner l’an dernier. Il avait aussi souligné le manque de clarté du modèle de licensing par crédits. Et noté une croissance de revenus plus lente que celle des autres « leaders ».

Un an plus tard, ces trois remarques valent toujours. Elle s’accompagnent de problèmes de qualité du support, d’après les retours de certains clients.

Illustration © Emanuel Corso – Adobe Stock

The post Protection des terminaux : des écarts se créent sur le cœur des offres appeared first on Silicon.fr.