trueNetLab ⚡️
Sophos Email Plus : valeur ou upsell ?

Sophos Email Plus : valeur ou upsell ?

16 min read
Sophos Security Email

Table des matières

Sophos a annoncé Sophos Email Plus le 22 avril 2026. La nouvelle licence doit être disponible à partir du 29 avril 2026. À première vue, cela ressemble à un ajustement classique de portefeuille : les anciens noms de produits sont simplifiés, Central Email Advanced devient Sophos Email, et Sophos Email Plus vient se placer au-dessus.

Objectivement, le produit n’est pas inintéressant. L’e-mail reste l’un des principaux vecteurs d’attaque. Phishing, Business Email Compromise, phishing par QR code, boîtes aux lettres compromises, domaines abusés et liens qui deviennent malveillants après livraison ne sont pas des sujets théoriques. Exploiter l’e-mail de manière professionnelle aujourd’hui ne demande pas seulement un filtre antispam, mais une combinaison propre d’authentification, de règles, de suivi, de formation et de réaction.

C’est précisément là que Sophos Email intervient. La solution peut fonctionner comme passerelle classique, s’intégrer à Microsoft 365 via Mailflow et prend en charge la Post-Delivery Protection, c’est-à-dire la suppression ultérieure de messages déjà livrés. S’y ajoutent la protection URL au moment du clic, le DLP, la quarantaine, la protection contre l’usurpation, la protection BEC, les rapports TLS, DMARC Manager et l’intégration avec Sophos Central, XDR et MDR.

Techniquement, cela paraît d’abord solide. C’est justement pour cela qu’un second regard est utile. Ce type de produit échoue rarement sur la présentation commerciale ; il échoue sur la question de savoir si le supplément de prix a une vraie substance en exploitation.

Mais Sophos Email Plus ne concerne pas seulement la technique. Il concerne aussi la confiance dans la politique produit et tarifaire. C’est là que commence la vraie critique, et c’est là que, selon moi, Sophos se retrouve dans une position inconfortable.

Ce qui change concrètement

Sophos décrit officiellement ce changement comme une simplification. Les codes produit et SKU doivent rester inchangés pendant le renommage ; seules les descriptions sont ajustées. « Central Email Advanced » devient « Sophos Email ». L’ancien add-on DMARC pour Email Advanced devient un add-on DMARC pour Sophos Email. Cela semble anodin, et pour le simple changement de nom, c’est probablement le cas.

La nouveauté est le deuxième niveau :

  • Sophos Email : la solution de base existante avec Threat Protection et Sophos Phish Threat
  • Sophos Email Plus : tout ce qui est inclus dans Sophos Email, plus DMARC Manager et des fonctions avancées de traitement des messages

Sophos Email n’est pas un mauvais produit

Avant la critique, il faut rester juste : Sophos Email a clairement évolué ces dernières années. Il serait faux de prétendre que le produit est techniquement faible.

Les notes de version montrent toute une série d’améliorations réelles. En 2025 sont arrivés, entre autres, le scan de QR codes, un SophosLabs Analysis Report, des fonctions BEC, des améliorations contre l’impersonation, le reporting TLS, EMS et DMARC Manager. En 2026 ont suivi la Post-Delivery Protection pour Google, des améliorations de reporting TLS pour Sophos Mailflow et AI Analysis pour l’évaluation des en-têtes et de l’authentification.

L’intégration de Sophos Phish Threat dans Sophos Email depuis le 10 décembre 2025 apporte également une vraie valeur. Phish Threat est une bonne idée sur le principe, mais au sein du portefeuille Sophos il reçoit visiblement peu d’attention et ne donne pas l’impression d’être développé avec beaucoup d’énergie. Sur l’awareness training, la logique de campagnes, le reporting et l’expérience utilisateur, plusieurs alternatives apparaissent aujourd’hui plus fortes et plus modernes.

Les simulations de phishing et la sensibilisation ne sont pas la solution à tout, mais elles font désormais partie du socle dans beaucoup d’entreprises. Si cela arrive dans la même plateforme sans gestion de licence séparée, c’est utile opérationnellement.

Trois points sont techniquement solides :

  • L’administration se fait dans Sophos Central et s’intègre bien aux environnements qui utilisent déjà Sophos Endpoint, Firewall, XDR ou MDR.
  • Les environnements Microsoft 365 peuvent être intégrés via Mailflow sans bascule MX classique, si les prérequis sont réunis.
  • La Post-Delivery Protection et le clawback sont réellement utiles au quotidien, car les menaces peuvent évoluer après livraison.

Ce que l’on constate aussi en exploitation : l’e-mail n’est pas une communication en temps réel. Avec Sophos Email en particulier, il n’est pas inhabituel que des messages soient sensiblement retardés pendant le scan. Cinq à quinze minutes avant qu’un e-mail soit transmis au serveur de messagerie réel après inspection peuvent arriver au quotidien. C’est explicable techniquement, mais difficile à faire accepter aux utilisateurs quand un message attendu semble « bloqué ».

Le problème n’est donc pas : « Sophos Email ne sait rien faire. »

Le problème est que Sophos remballe, renomme et revalorise une nouvelle fois la gamme. Et ce mélange donne à l’annonce un parfum plus proche de l’upsell que d’une maintenance produit claire.

La gamme devient difficile à expliquer

Ceux qui suivent Sophos Email depuis longtemps se souviennent de Sophos Email Standard et Sophos Email Advanced. On en trouve encore des traces publiques dans d’anciennes notes de version et dans la documentation produit. Du point de vue client, un schéma clair apparaît : il y avait Standard et Advanced. Puis Standard a disparu, et Advanced est devenu de fait la base pertinente. Maintenant Advanced devient Sophos Email, et Sophos Email Plus crée au-dessus un nouveau niveau supérieur.

Bien sûr, cela peut s’expliquer du point de vue du fabricant. Les produits évoluent, les modèles de licence sont nettoyés, d’anciennes variantes disparaissent, de nouveaux bundles apparaissent. Cela arrive dans presque tous les portefeuilles de sécurité. Mais du point de vue client, autre chose reste en mémoire : le niveau moins cher disparaît, le niveau auparavant supérieur devient la nouvelle normalité, puis un niveau encore plus élevé apparaît peu après.

C’est exactement là que l’affirmation « nous simplifions le portefeuille » devient difficile. Techniquement, le nom peut être plus clair ; commercialement, une nouvelle ligne d’upsell apparaît. Je considère cela comme le point décisif, car les clients ressentent très précisément ce type de déplacement. À cela s’ajoute la hausse de prix.

Le 25 juin 2025, la prochaine vague tarifaire a été communiquée pour le 1er août 2025 : Sophos Central Email Advanced devait augmenter de 17 %, tandis que l’ancien rabais Multi-Year disparaissait. En parallèle, Sophos Phish Threat augmentait forfaitairement de 33,3 %. Ceux qui voulaient encore renouveler à l’ancien prix n’avaient que jusqu’au 31 juillet 2025, et uniquement via une dernière prolongation de 12 mois.

La disparition du rabais Multi-Year est particulièrement désagréable côté client. Auparavant, 24 ou 36 mois apportaient au moins un avantage clair par année. Ensuite, il ne reste en substance qu’une multiplication du tarif 12 mois sur une durée plus longue. Cela améliore peut-être la planification, mais ne réduit plus les coûts annuels effectifs.

Pour situer : le 6 décembre 2022, Sophos Central Email Standard et Advanced avaient déjà augmenté d’environ 40 % selon la communication de l’époque. Le schéma n’est donc pas nouveau. Depuis des années, l’accent se déplace de la remise vers la planification, mais ce qui arrive surtout au client est simple : cela devient plus cher, et les entrées de gamme ou avantages de durée disparaissent.

C’est pourquoi la chronologie est désagréable :

  • Sophos Email Standard et Sophos Email Advanced ont longtemps structuré la gamme.
  • Puis Standard a disparu, et Advanced est devenu de fait la base pertinente.
  • Le 1er août 2025, les prix ont encore augmenté tandis que le rabais Multi-Year disparaissait.
  • Depuis le 10 décembre 2025, Sophos Phish Threat est inclus dans Sophos Email.
  • Le 22 avril 2026, Sophos a annoncé Sophos Email Plus comme niveau supérieur.
  • À partir du 29 avril 2026, ce nouveau niveau doit être disponible.

Sophos peut faire valoir que Phish Threat ajoute une vraie valeur à la licence de base. Ce n’est pas rien. En même temps, pour les clients existants, il n’est pas très élégant de voir une hausse de prix, une suppression de remises et une restructuration produit suivies aussi vite par un nouveau Plus.

C’est cela qui reste chez les clients. Pas la jolie slide de portefeuille.

Quelle est la vraie valeur de Sophos Email Plus ?

Je rattacherais la valeur de Sophos Email Plus à trois questions très sobres.

Quand DMARC apporte une vraie valeur

DMARC est important. Point.

SPF, DKIM et DMARC ne sont plus des améliorations cosmétiques facultatives. Sans authentification propre, la sécurité souffre, mais souvent aussi la délivrabilité. Microsoft explique lui-même que SPF, DKIM et DMARC vont ensemble et qu’une authentification absente ou mal configurée peut provoquer des problèmes même avec de bonnes règles de protection.

Le Sophos DMARC Manager est donc utile sur le principe. Il apporte de la visibilité sur les sources d’envoi, aide à la conformité DMARC et prend en charge des sujets comme SPF flattening, BIMI, MTA-STS et TLS-RPT. Pour beaucoup d’entreprises, la partie difficile n’est pas le TXT record DMARC lui-même, mais le nettoyage de tous les expéditeurs légitimes et le durcissement progressif de p=none vers p=quarantine, puis p=reject.

Sur le plan opérationnel, c’est une vraie valeur si DMARC n’est pas encore proprement en place.

Là où DMARC est déjà géré par un autre outil, correctement documenté en interne ou limité à quelques sources légitimes, cette valeur se réduit vite.

Quand les fonctions de traitement des messages comptent

Sophos parle dans Email Plus de fonctions supplémentaires de traitement des messages. Dans le contexte incident et exploitation, cela peut être utile. Mais je placerais volontairement ce point en dessous de DMARC.

S’il faut réacheminer des messages après un problème de messagerie, comprendre qui était concerné dans une chaîne de communication ou retirer proprement un message, ces fonctions sont pratiques. Les grandes équipes d’administration peuvent y gagner du temps.

Mais ce n’est pas une percée universelle en sécurité. Pour de petits environnements avec peu de boîtes aux lettres, c’est peut-être agréable, mais rarement décisif à l’achat selon moi.

Le poids réel de l’écosystème Sophos

Le cas le plus fort pour Sophos reste l’écosystème. Ces dernières années, c’était souvent son argument le plus convaincant.

Si Endpoint, Firewall, Email, XDR et peut-être MDR tournent déjà chez Sophos, Sophos Email Plus peut avoir du sens dans l’ensemble. Non pas parce que chaque module serait toujours le meilleur du marché, mais parce qu’un contexte commun d’exploitation et de réponse apparaît.

Si Sophos MDR peut supprimer des messages, bloquer des expéditeurs ou ajuster des politiques directement à partir d’une détection email, ce n’est pas la même chose qu’un filtre antispam isolé qui ne crée que des tickets.

Là où Sophos n’est utilisé que pour l’email et où Microsoft Defender, Sentinel, CrowdStrike, Fortinet, Palo Alto ou une autre pile SOC est déjà en place, Sophos Email Plus doit se battre beaucoup plus durement contre les alternatives.

Le facteur Microsoft 365

Beaucoup de clients voient le sujet autrement : ils utilisent Microsoft 365 et restent avec la protection incluse. Ce n’est pas seulement compréhensible, c’est souvent parfaitement défendable techniquement. Dans beaucoup d’environnements, je considère même cette décision comme plus raisonnable.

La protection email de Microsoft est aujourd’hui bien meilleure que son ancienne réputation. Exchange Online Protection est toujours présent pour les boîtes cloud, et Microsoft Defender for Office 365 ajoute d’autres fonctions avec Plan 1 et Plan 2. Microsoft recommande des politiques prédéfinies Standard et Strict qui regroupent de nombreux réglages de façon logique. Safe Links, Safe Attachments, Zero-hour Auto Purge, politiques anti-phishing, protection contre l’impersonation et fonctions d’authentification email complètent l’ensemble.

Même par défaut, la protection antispam et antiphishing de Microsoft 365 est souvent sacrément bonne. C’est particulièrement vrai pour des boîtes professionnelles typiques, sans cas d’usage exotique. Microsoft exploite l’un des plus grands écosystèmes de messagerie au monde et voit un volume de messages légitimes et malveillants que des spécialistes plus petits peuvent difficilement reproduire à cette échelle. Cet avantage de taille et de télémétrie est réel et, à mes yeux, l’un des points les plus importants de toute la discussion.

Si l’environnement est en plus correctement configuré, SPF, DKIM et DMARC sont justes et les politiques recommandées sont activées, il devient très difficile de justifier de dépenser encore beaucoup d’argent pour une solution email Sophos supplémentaire. C’est exactement là que la discussion bascule clairement contre Sophos pour moi.

Cela ne veut pas dire qu’un produit supplémentaire est inutile. Mais il doit fournir une valeur claire : meilleure réponse opérationnelle, meilleure intégration dans un environnement Sophos existant, fonctions DMARC supplémentaires, moins d’effort d’administration ou détection mesurablement meilleure dans l’environnement concerné. Tout le reste est tout simplement trop peu à mon avis.

Une couche de sécurité email ajoutée par habitude est difficile à justifier. Face à Microsoft 365, Sophos doit apporter plus que la promesse de filtrer correctement lui aussi.

Comment Sophos se positionne face aux concurrents

Sophos n’entre pas dans un marché faible, mais dans un champ occupé par des concurrents très sérieux. C’est pourquoi les listes de fonctions ne suffisent pas. Ce qui compte, c’est la qualité du filtrage, l’utilisabilité, la capacité de réponse, les intégrations et, au final, le prix pour la valeur réelle. Et sur ce point, Sophos n’est pas automatiquement en tête selon moi.

Microsoft Defender for Office 365 pour l’e-mail

Microsoft est le concurrent le plus inconfortable parce qu’il est déjà dans le tenant. L’intégration avec Exchange Online est native, la protection de base est élevée, et beaucoup d’entreprises paient déjà la plateforme.

La vraie faiblesse tient moins à la qualité de filtrage qu’à la complexité. Defender Portal, Exchange Admin Center, Purview, frontières de licences, Plan 1, Plan 2, E3, E5, Business Premium et add-ons rendent vite le sujet confus. Microsoft peut beaucoup, mais pas toujours avec élégance.

Microsoft reste pourtant la référence la plus dure pour beaucoup d’entreprises. Si Sophos Email ou Sophos Email Plus veut rivaliser, Sophos doit montrer très concrètement ce qui s’améliore : moins d’effort opérationnel, meilleure réponse, meilleure transparence ou résultats mesurablement meilleurs dans le tenant. Je ne validerais pas cela seulement avec l’argument d’une « couche de protection supplémentaire ».

Cloudflare Email Security

Cloudflare est un concurrent sérieux, notamment parce que l’entreprise ne pense pas la sécurité email isolément. La solution issue de l’univers Area 1 s’intègre bien dans un modèle plus large de Zero Trust et de sécurité réseau. Ceux qui misent déjà fortement sur Cloudflare y trouvent un attrait stratégique supplémentaire.

Le problème est que Cloudflare n’est pas automatiquement le choix évident pour chaque environnement Microsoft 365 classique. Sans orientation Cloudflare déjà existante, cela ressemble vite à une plateforme supplémentaire qu’il faut d’abord ancrer techniquement et organisationnellement.

En comparaison directe avec Sophos, Cloudflare paraît souvent plus moderne dans sa logique d’architecture, mais pas forcément plus simple ni plus évident pour les PME typiques.

Mimecast

Mimecast reste l’un des spécialistes les plus sérieux du marché. L’entreprise est forte quand la sécurité email n’est pas seulement vue comme un filtre antispam, mais comme une combinaison de protection, continuité, archivage, DMARC, awareness et processus opérationnels. Techniquement, Mimecast reste pour moi une référence dans ce segment.

Dans les environnements plus grands ou plus matures, Mimecast est souvent le benchmark de la sécurité email spécialisée. L’inconvénient est le même que pour beaucoup de grandes plateformes spécialisées : cela peut devenir complexe et coûteux.

Pour de petites entreprises, c’est vite trop de produit. Pour des environnements plus grands, Mimecast reste une vraie référence.

Proofpoint

Proofpoint reste l’un des grands noms du marché. L’entreprise est particulièrement forte lorsqu’il s’agit de protéger les personnes, les données et les workflows Microsoft 365 dans un ensemble cohérent. Sa position de marché n’est pas née par hasard.

C’est plus qu’un simple filtre antispam, et souvent plutôt une décision de plateforme. Pour les entreprises qui recherchent précisément cette largeur, c’est attractif. Pour les petites structures, cela peut aussi vite devenir excessif.

Cisco Secure Email Threat Defense

Cisco est historiquement fort sur le marché de la sécurité email, surtout grâce à IronPort et Talos. Techniquement, ce n’est pas un poids léger, mais un fournisseur enterprise mature.

Dans les environnements très Cisco, cela peut tout à fait avoir du sens. L’inconvénient reste le monde Cisco habituel : puissant, mais pas toujours la solution la plus simple ni la moins chère pour de petites équipes.

Trend Micro

Trend Micro n’est pas non plus un petit acteur. L’entreprise est forte quand la sécurité email est vue comme partie d’une approche plus large de detection-and-response ou de plateforme.

Trend Micro devient particulièrement intéressant dans les environnements déjà fortement investis dans Trend Vision One ou d’autres produits Trend. On retrouve alors un argument similaire à Sophos : visibilité centrale, télémétrie partagée, moins d’îlots.

En dehors de cet écosystème, il faut examiner attentivement les limites de licence et les combinaisons de produits. Comme chez tous les éditeurs, la vraie comparaison ne se trouve souvent pas dans la liste des fonctions, mais dans la question de savoir quelle fonction est réellement incluse dans quelle licence.

Ma recommandation

Sophos Email Plus n’est pas un produit à acheter par réflexe.

Le rejeter par réflexe serait également trop court. Dans ce domaine, les jugements généraux me semblent presque toujours peu sérieux.

Pour les clients Sophos existants, la recommandation est assez claire : la différence de prix concrète entre Sophos Email et Sophos Email Plus doit être posée sur la table, avec le nombre réel d’utilisateurs et la durée. Ce n’est qu’ensuite que les fonctions réellement pertinentes au quotidien peuvent être évaluées proprement. Je ne prendrais pas cette décision sur des termes marketing, mais uniquement sur la valeur, l’effort et le prix.

Sophos Email Plus vaut surtout la peine si au moins deux de ces points s’appliquent :

  • DMARC doit être exploité professionnellement et aucun autre outil DMARC n’est déjà correctement en place.
  • Les fonctions supplémentaires de traitement des messages sont réellement nécessaires en exploitation.
  • Sophos MDR, XDR ou Sophos Central sont utilisés de manière si cohérente que les événements email font partie de la chaîne de réponse.
  • Il existe des cas concrets et mesurables où Microsoft 365 seul laisse passer trop de choses ou n’est pas assez bon opérationnellement dans la réponse.

Si Microsoft 365 est correctement configuré, DMARC déjà résolu, aucun contexte Sophos MDR/XDR présent et que le besoin principal est une forte protection contre spam et phishing, Sophos Email Plus est difficile à justifier. Dans ce scénario précis, j’exigerais une valeur ajoutée prouvable très élevée.

Autre point important : une roadmap n’est pas une raison d’achat, et une phrase sur une fiche technique ne remplace pas la valeur actuelle. Il est évident que Sophos Email continuera d’évoluer. Si un produit de sécurité reste immobile, il se fait dépasser. Mais chez Sophos en particulier, j’ai souvent vu des améliorations annoncées ou suggérées mettre très longtemps avant de devenir réellement pertinentes au quotidien. C’est pourquoi la référence à des fonctions futures ressemble plutôt à une phrase obligatoire destinée à justifier le prix supérieur. Ce qui doit être payé, c’est la valeur qui arrive aujourd’hui dans le tenant.

Conclusion

Sophos Email Plus n’est pas une mauvaise idée sur le plan technique. DMARC Manager appartient de toute façon à la liste des tâches dans beaucoup d’environnements, et de meilleures fonctions de traitement des messages peuvent apporter une vraie valeur opérationnelle.

La partie désagréable, c’est l’emballage.

Après Standard et Advanced, la fin de Standard et l’élévation de fait d’Advanced au rang de base, un nouveau niveau premium apparaît. On peut vendre cela comme une évolution du portefeuille. Mais on peut aussi comprendre que les clients se fatiguent.

Sophos Email Plus n’est donc pas un achat automatique « must-have », mais un produit qui doit d’abord faire ses preuves dans le tenant réel. Mon point est simple :

Combien de menaces supplémentaires détecte-t-il ? Combien de temps opérationnel économise-t-il ? La réponse fonctionne-t-elle vraiment bien ? Combien de faux positifs génère-t-il ? Et cela justifie-t-il le nouveau niveau de prix ?

Si ces questions reçoivent des réponses propres, Sophos Email Plus peut avoir du sens.

Sinon, c’est surtout une chose : le prochain niveau d’une gamme que Sophos « simplifie » encore une fois.

À la prochaine,
Joe

Sources

Related Posts

Sophos Firewall Config Studio V2 : bien plus qu'un viewer

Sophos Firewall Config Studio V2 : bien plus qu'un viewer

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

© 2026 trueNetLab

Rechercher