Sécurité
Sophos Firewall XGS : le choix d'un NGFW qui dialogue avec l'infrastructure
Nous avons choisi Sophos Firewall. Pas parce que c'est le firewall le plus rapide du marché, mais parce que c'est un NGFW complet avec SD-WAN, ZTNA et inspection TLS intégrés dans un seul boîtier, manageable en cloud. Ce document détaille les forces réelles de la plateforme, et les cas d'usage pour lesquels elle n'est pas conçue.
Données éditeur : sophos.com. Analyse et retour terrain MAIANO Informatique
Votre auditeur NIS2 vous demande quand le firmware de votre firewall a été mis à jour pour la dernière fois. Vous ne savez pas répondre, parce que votre prestataire non plus. C'est le symptôme du firewall « installé et oublié ».
Constat fréquent lors de nos audits de sécurité réseau en PME.
MAIANO Informatique est certifié ExpertCyber
Label délivré par cybermalveillance.gouv.fr (dispositif national d'assistance aux victimes de cybermalveillance) attestant de notre expertise en sécurisation des systèmes d'information, sauvegarde et sensibilisation des PME et ETI.
En savoir plus sur le label ExpertCyber →Le problème : le firewall « passoire » des PME
La majorité des PME que nous auditons présentent le même profil : un firewall installé il y a 5 ans, jamais mis à jour, avec des règles « any-any » accumulées au fil des urgences. Le firewall existe sur le réseau, mais ne protège plus rien.
Ouvertures de ports temporaires devenues permanentes. Personne ne sait pourquoi le port 4899 est ouvert vers l'extérieur.
Pas d'inspection TLS : 90 % du trafic web est chiffré et traverse le firewall sans aucune analyse.
Réseau plat, pas de VLAN, pas d'isolation entre les postes et les serveurs. Un seul poste compromis expose tout le réseau.
Réseau plat vs réseau segmenté
Architecture PME type : le firewall XGS route et inspecte le trafic inter-VLAN. Pour les environnements à fort trafic est-ouest, une architecture hybride switch L3 + firewall est recommandée.
La plateforme Sophos Firewall XGS en bref
Un NGFW qui intègre nativement SD-WAN, ZTNA et Synchronized Security dans un seul boîtier. Pas de modules additionnels, pas de licences par fonctionnalité cachées.
Inspection profonde du trafic, TLS 1.3 natif, FastPath pour accélérer le trafic de confiance à pleine vitesse.
La licence Xstream pousse les mises à jour de sécurité nativement. Zéro intervention, zéro oubli.
Routage basé sur latence/gigue/perte. Bascule sans impact. IPsec accéléré en matériel.
Accès zero-trust aux applications, intégré au firewall. Remplace le VPN classique.
Accélération matérielle, pas de dégradation de protocole. Analyse le trafic chiffré sans pénalité majeure.
Prévention d'intrusion next-gen, sandboxing zero-day par machine learning.
La licence Xstream sauvegarde la config dans le cloud. Restauration en cas de sinistre sans intervention.
Clusters Actif/Passif. Failover transparent, zéro coupure de service.
Xstream Architecture (le différenciateur)
INSPECTION, ACCÉLÉRATION ET PROTECTION EN UN SEUL MOTEURMoteur d'inspection profonde unifié : antivirus, IPS, contrôle applicatif et inspection TLS 1.3 dans un seul flux. Pas de chaînage de modules séparés.
Inspection du trafic chiffré sans dégradation de protocole. Accélération matérielle sur les modèles XGS avec Flow Processor dédié (XGS 138+).
Le trafic de confiance (SaaS identifié, flux internes validés) est accéléré à pleine vitesse. Seul le trafic à risque passe par l'inspection profonde. Performance préservée.
C'est ce qui permet à un XGS de maintenir un débit exploitable même avec l'inspection TLS activée, là où beaucoup de firewalls PME s'effondrent.
Ce que Sophos Firewall fait de mieux
Les cas d'usage où la plateforme est objectivement supérieure aux alternatives.
La licence Xstream pousse les mises à jour de sécurité (signatures IPS, listes de menaces, firmware) automatiquement. Le firewall « oublié depuis 3 ans » n'existe plus.
Agrégation de liens, bascule, routage intelligent, IPsec accéléré en matériel : tout est dans le firewall. Un équipement en moins, une console en moins, un budget en moins.
Accès zero-trust aux applications, sans VPN traditionnel. Le firewall devient la passerelle ZTNA. Pas de produit séparé à acheter ni à déployer.
Xstream inspecte le TLS 1.3 en matériel, sans dégradation de protocole. Les XGS avec Flow Processor dédié maintiennent le débit même avec inspection activée.
La configuration du firewall est sauvegardée automatiquement dans le cloud Sophos. En cas de panne matérielle, restauration complète sur un nouveau boîtier en minutes.
Console cloud unique pour gérer tous les firewalls. Idéal pour les entreprises multi-sites. Déploiement, monitoring et alertes centralisés.
Ce pour quoi Sophos Firewall n'est pas conçu
Sophos cible les PME, ETI et environnements distribués. Si votre besoin entre dans les catégories ci-dessous, vous êtes dans un périmètre où d'autres solutions se justifient, avec les budgets et les équipes qui vont avec.
Cœur de réseau campus/datacenter très haut débit
Le modèle haut de gamme (XGS 8500) atteint 93 Gbps d'IPS et 190 Gbps de firewall. Largement suffisant pour les PME et ETI. Au-delà (opérateurs, très grands datacenters), d'autres architectures à ASIC dédiés se justifient.
Pour 99 % des PME/ETI, la gamme XGS couvre tous les besoins de débit.
Microsegmentation datacenter à grande échelle
Pour segmenter finement des centaines de charges virtualisées dans un datacenter, les solutions de microsegmentation type réseau virtualisé (SDN) comme VMware NSX ou Cisco ACI sont l'architecture cible. Sophos Firewall excelle en segmentation périmétrique et inter-sites, pas en microsegmentation est-ouest massive.
La microsegmentation datacenter est un métier de SDN, pas de NGFW périphérique.
Routage opérateur complexe (BGP multi-AS, peering)
Le SD-WAN intégré gère l'agrégation de liens et le failover avec intelligence. Mais pour du routage BGP avancé avec peering multi-opérateurs, tables de routage massives ou architectures MPLS complexes, un routeur dédié reste nécessaire en amont du firewall.
Le SD-WAN Sophos remplace le MPLS simple, pas le routeur backbone.
Protection applicative web (WAF avancé)
Le XGS intègre un WAF basique (protection reverse proxy), mais il n'est pas conçu pour sécuriser des applications web exposées à fort trafic. Pour une protection OWASP complète (API, bot management, DDoS L7), un WAF dédié (Cloudflare, AWS WAF) est l'architecture cible.
Si vous exposez des applications métier sur internet, le firewall seul ne suffit pas.
Points d'attention techniques
L'inspection TLS est gourmande. Sur les modèles d'entrée de gamme (XGS 87/107), activer l'inspection complète divise le débit par 3. Nous dimensionnons systématiquement au modèle supérieur à celui recommandé par l'éditeur.
Le firewall peut recevoir des flux de menaces (Sophos X-Ops, sources tierces) et bloquer automatiquement les flux vers des serveurs de commande malveillants (C2). Fonctionnalité native, sans SIEM requis.
Le SD-WAN intégré gère l'agrégation de liens et le failover. Pour du routage BGP complexe ou du peering opérateur, un routeur dédié reste nécessaire en amont du firewall.
En lien avec cette page
Questions fréquentes
Lexique de cette page
Directive européenne 2022/2555 sur la cybersécurité, transposée en France en 2025. Impose à plus de 10 000 entités des mesures techniques (MFA, segmentation, journalisation) et organisationnelles (gouvernance, notification d'incident sous 24 h).
Modèle d'accès distant qui vérifie l'identité, la posture de sécurité et le contexte à chaque requête, sans réseau de confiance implicite. Remplace progressivement les VPN classiques dans les architectures NIS2.
Authentification à plusieurs facteurs (mot de passe + application mobile, clé FIDO2, biométrie). Réduit de plus de 99 % le risque de compromission de compte selon Microsoft. Exigée par NIS2 sur tous les accès à privilèges.
Architecture réseau qui pilote par logiciel le routage multi-liens (fibre, 4G/5G, MPLS) selon la qualité et l'application. Permet bascule automatique en moins de 3 secondes et priorisation du trafic voix.