trueNetLab ⚡️
Sophos Firewall Config Studio V2 : bien plus qu'un viewer

Sophos Firewall Config Studio V2 : bien plus qu'un viewer

14 min read
Network Sophos Security

Table des matières

En février, Sophos avait lancé le Configuration Viewer, un outil qui rendait enfin un peu moins pénible une faiblesse bien connue de l’univers Sophos Firewall : lire, chercher et comparer des configurations sans souffrir devant du XML brut. J’ai déjà parlé de cet outil d’origine ici : Sophos Firewall Configuration Viewer: Audit and Compare Configs .

Le 15 avril 2026, Sophos a franchi l’étape suivante. L’ancien Configuration Viewer devient Config Studio V2. Et ce changement compte, parce que ce renommage n’est pas seulement cosmétique. Sophos ne traite plus l’outil comme un simple viewer, mais comme un outil navigateur qui doit désormais aussi servir à éditer.

C’est ce qui le rend intéressant. Lire est une chose. Dans l’administration réelle d’un firewall, il faut presque toujours trois choses en même temps : comprendre, comparer et modifier proprement.

Et c’est justement là que ma critique commence. Aussi bon que l’outil puisse être sur plusieurs points, il est difficile d’ignorer que Sophos construit une fois de plus ces capacités en dehors du firewall lui-même, et aussi en dehors de Sophos Central ou du Firewall Manager. À certains endroits, cet outil parallèle semble déjà plus moderne et plus puissant que l’interface du firewall ou que la couche de gestion centrale.

Quand on observe Sophos depuis longtemps, on reconnaît le schéma. Les améliorations visibles de l’UI arrivent très lentement. Du point de vue d’un admin, il a fallu une éternité avant que les écrans widescreen soient correctement pris en charge. Et, dans certains domaines, l’ancienne UTM gardait encore un journal de modifications plus agréable, où il était plus simple de voir quel utilisateur avait changé quoi. Ce sont précisément ces sujets de qualité de vie qui restent bloqués pendant des années, pendant que chaque release met surtout en avant des fonctions qui sonnent bien sur les slides des éditeurs ou des analystes.

Si vous voulez d’abord voir la présentation officielle de Sophos, voici la vidéo :

Ce Qu’est Réellement Config Studio V2

Sophos décrit Config Studio V2 comme un outil navigateur permettant de voir, analyser, comparer et maintenant aussi modifier des configurations de firewall. À première vue, cela ressemble à une nouvelle version avec un nouveau nom. En pratique, c’est plus que cela.

La direction officielle est assez claire :

  • lire une configuration comme rapport complet
  • comparer deux configurations
  • créer une nouvelle configuration à partir de zéro
  • modifier une configuration existante dans l’outil
  • réexporter le résultat sous forme XML, TAR, API ou curl

C’est le point où l’outil cesse d’être un simple utilitaire documentaire pour devenir un vrai poste de travail. En même temps, cela rend encore plus visible ce que Sophos n’a toujours pas résolu proprement dans le firewall et dans Central.

La vidéo officielle montre aussi que Config Studio V2 va bien au-delà de l’ancien viewer. Sophos y montre entre autres :

  • la création de configurations neuves à partir de zéro
  • l’import et la modification d’XML existants
  • la création de règles de firewall et le changement de leur ordre
  • la détection du shadowing et sa résolution par déplacement ou suppression de règles
  • des modifications en masse, par exemple activer le logging sur de nombreuses règles
  • l’affichage des références d’objets
  • la détection d’objets dupliqués ou inutilisés
  • l’import d’objets en masse depuis CSV et autres formats
  • la création de cloud objects à partir de données fournisseurs comme le JSON Microsoft
  • la réexportation des configurations en XML ou TAR

Ce ne sont pas des gadgets. Ce sont de vraies fonctions d’administration.

Pourquoi C’est Important au Quotidien

En théorie, nous gérons les changements de firewall proprement, avec processus, tickets, relecture et plans de test. En réalité, on se retrouve souvent devant un export, un diff, un ancien firewall secondaire ou un environnement repris, et il faut d’abord comprendre ce qui a vraiment été construit.

C’est exactement là que Config Studio V2 devient utile.

Pour les Audits et les Revues

Quand on doit reprendre un Sophos Firewall inconnu, la web UI n’est souvent pas le meilleur point de départ. On clique dans le NAT, les règles firewall, les objets, les interfaces, les VPN et les cas particuliers, on perd le fil, puis on finit avec des captures d’écran et des notes dans plusieurs onglets.

Un rapport de configuration proprement présenté est beaucoup plus agréable. Au lieu de naviguer dans les menus, on obtient une vue cohérente des règles, politiques et réglages. Pour les audits et les revues, cela a une vraie valeur.

Pour les Fenêtres de Changement

La partie comparaison me paraît encore plus importante. Lors de gros changements, je ne veux pas seulement savoir que quelque chose a changé. Je veux voir clairement ce qui a été ajouté, supprimé ou modifié.

Dans une migration WAN, une refonte du NAT, un changement VPN ou un nettoyage de règles historiques, un vrai diff fait gagner du temps et réduit le risque de modifier des sujets annexes sans le vouloir.

Pour les MSP, les Handovers et les Migrations

Quiconque gère beaucoup de firewalls ou transfère des environnements entre équipes connaît le même problème. La configuration vit souvent à plusieurs endroits en même temps :

  • sur le firewall lui-même
  • dans le ticket
  • dans un tableur
  • dans un wiki
  • et dans la tête de la personne qui l’a conçue à l’origine

Config Studio V2 aide à réduire un peu cet écart. Pas comme remplacement d’une bonne documentation, mais comme base bien meilleure pour les handovers et les revues.

Ce Qui a Vraiment Changé Par Rapport à l’Ancien Viewer

Le Configuration Viewer d’origine était surtout un outil de lecture et de diff. C’était déjà utile, parce que le XML Sophos n’est pas fait pour des yeux humains.

Avec V2, le saut décisif est l’édition.

Sophos le présente clairement comme un configuration editor. Cela veut dire qu’on ne peut plus seulement importer et analyser des exports, mais aussi modifier la configuration dans l’outil, la télécharger à nouveau et la réutiliser en API ou en curl si nécessaire.

Cette sortie API et curl m’intéresse, non pas parce que tous les admins firewall vont tout automatiser demain matin, mais parce qu’elle rend les modifications plus reproductibles et plus faciles à documenter ou à intégrer dans des workflows existants.

C’est particulièrement intéressant pour les équipes qui veulent rendre leurs changements firewall plus contrôlés sans construire immédiatement une plateforme complète d’infrastructure as code.

C’est aussi pour cela que le passage de Viewer à Studio donne l’impression qu’on agrandit progressivement quelque chose “à côté”. Plus les fonctions y atterrissent, plus la question devient évidente : pourquoi ne pas les intégrer directement au firewall ou à Sophos Central ?

Comment le Workflow Fonctionne en Pratique

La base reste simple. Config Studio V2 travaille toujours sur des configurations exportées.

1) Exporter la Configuration

Sophos attend toujours la Entities.xml issue de la configuration du firewall. Le workflow est :

  1. aller dans Backup & firmware > Import export dans WebAdmin
  2. exporter une configuration complète ou sélective
  3. décompresser le API-xxxxxx.tar
  4. envoyer la Entities.xml dans Config Studio

Ce détail compte, parce que la communauté l’a vite vu : l’entrée directe n’est pas le TAR, mais la Entities.xml extraite.

2) Lire un Rapport ou Lancer une Comparaison

À partir de là, l’outil se divise essentiellement en deux directions :

  • lire et analyser une configuration
  • comparer deux configurations

Pour beaucoup d’admins, rien que la première partie est déjà utile. Surtout quand on doit savoir où un objet est utilisé, quels groupes de règles existent réellement ou comment une politique est construite.

3) Maintenant Aussi : Modifier

Avec V2, la nouveauté est là : modifier des configurations, les retélécharger puis les réutiliser en XML, API ou curl.

Cela ne fait pas de Config Studio un remplacement de l’UI du firewall. Mais cela le déplace clairement vers une forme d’atelier de changement.

Où Je Vois le Plus de Valeur

Je vois quatre cas d’usage particulièrement clairs.

Préparation de Gros Changements

Quand il faut comprendre quelles règles, quels objets ou quelles relations NAT vont changer avant une fenêtre de maintenance, un rapport structuré avec diff avant/après est bien plus agréable que du XML brut et des allers-retours dans l’UI.

Relecture de Jeux de Règles Existants

Beaucoup d’environnements Sophos grandissent pendant des années. Il reste des objets anciens, des services dupliqués, des règles NAT historiques et des restes de projets. Un outil qui rend tout cela plus lisible aide non seulement lors de nouveaux changements, mais aussi lors des nettoyages.

Handover vers d’Autres Équipes ou Prestataires

Toute personne qui doit relire une configuration n’a pas forcément besoin d’un accès admin au firewall. Un export propre ou un rapport peut être une meilleure base.

Aller vers des Changements Plus Reproductibles

La sortie API et curl est, pour moi, le signal le plus clair sur la direction que Sophos veut prendre. Pas seulement de la visibilité, mais une gestion des changements plus structurée.

Cela intéresse particulièrement les équipes qui veulent standardiser une partie de leurs changements sans basculer entièrement dans l’infrastructure as code.

Ce Qui Manque Directement Dans SFOS

C’est ici que commence ma vraie critique.

Autant Config Studio V2 peut être utile, autant beaucoup de ces fonctions seraient encore plus précieuses si elles n’étaient pas externes. Si l’on parle de vraie ergonomie admin, voici exactement le type de choses que j’aimerais voir directement dans SFOS :

  • édition en masse des règles firewall
  • activer, désactiver ou déplacer plusieurs règles à la fois
  • enfin cloner correctement les règles NAT
  • renommer des objets en masse
  • ajuster des références hôte, service ou FQDN par recherche/remplacement
  • identifier et nettoyer les objets inutilisés
  • détecter et fusionner les doublons
  • voir les conflits de règles pendant leur construction
  • cloner ou déplacer des blocs de règles
  • voir un avant/après avant de confirmer un changement
  • importer des objets en masse sans avoir besoin d’un outil externe

Dans de grands environnements, cela améliorerait énormément le travail quotidien. À la place, on reste sur export, décompression, upload et chemin du retour. Cela fonctionne, mais ce n’est pas élégant.

Et ici je suis volontairement critique : la vidéo montre assez clairement que Sophos préfère livrer les améliorations utiles d’ergonomie dans un outil navigateur séparé plutôt que de moderniser sérieusement la web UI du firewall et Sophos Central. Nous attendons toujours des choses aussi basiques qu’une vraie fonction de clonage pour les règles NAT. Pendant ce temps, détection de conflits, changements de masse, analyse d’objets et imports cloud atterrissent dans le Studio. Cela peut être plus rapide à construire et plus simple à whitelister du point de vue du fournisseur. Du point de vue d’un admin, cela crée une réalité parallèle où les meilleures fonctions n’existent pas là où le travail se fait réellement.

C’est pourquoi Config Studio me donne l’impression d’être non seulement un nouvel outil, mais aussi une confirmation. On sent que Sophos s’est enlisé depuis des années autour de la GUI du firewall et de Central. Les low-hanging fruits sont toujours là, pendant qu’un outil externe résout soudain des sujets que la plateforme principale avait eu largement le temps de traiter.

Pourquoi le Modèle Export/Import Ne Me Convainc Pas Encore Complètement

Pour des revues rapides, le modèle est correct. Pour des changements de production, il reste pourtant un peu inconfortable du point de vue d’un administrateur.

Dès qu’un outil travaille sur des configurations exportées, plusieurs risques pratiques apparaissent immédiatement :

  • la configuration exportée peut déjà être obsolète
  • plusieurs admins peuvent travailler en parallèle pendant que l’export prend du retard
  • des données firewall sensibles se retrouvent sous forme de fichiers sur des laptops ou dans des dossiers de projet
  • du drift peut apparaître entre l’analyse, l’édition et la réimportation

Cela ne veut pas dire que Config Studio V2 est mauvais. Cela veut dire que le workflow ressemble encore davantage à un workaround qu’à une solution native propre.

Pour les audits et la planification, cela fonctionne. Pour l’administration quotidienne, je préférerais toujours plus de ce type de fonctions directement dans le firewall.

Du point de vue de la sécurité, il y a aussi un autre sujet : Sophos affirme que le traitement reste local dans le navigateur. C’est bien, et nettement préférable à un upload complet de configurations de firewall vers un service cloud distant. Mais cela reste malgré tout un modèle de confiance qu’il faut accepter consciemment. On ne parle pas de fichiers anodins. Ils contiennent souvent des informations très sensibles : segments réseau, objets, règles, relations NAT, définitions VPN et autres détails de sécurité selon le type d’export.

Le point inconfortable n’est pas seulement “est-ce que quelque chose part chez Sophos ou non ?”. C’est tout le contexte navigateur. On charge des données sensibles dans une application web, et il faut faire confiance à l’application livrée, au traitement local, au navigateur lui-même, aux extensions éventuelles, aux caches locaux et à la façon dont ces fichiers d’export sont manipulés sur le poste admin. Même si techniquement tout reste local, cela représente quand même une surface de confiance et d’attaque différente d’une fonction bien intégrée dans le firewall ou dans la couche de gestion centrale.

Voilà pourquoi une intégration plus profonde dans SFOS ou Sophos Central serait une voie bien plus propre. Pas seulement pour le confort, mais aussi parce que rôles, validations, auditabilité et manipulation de données sensibles pourraient alors rester regroupés au même endroit.

Il y a encore un autre point qui ressort de la vidéo : tous les composants de configuration ne sont pas encore entièrement pris en charge. L’outil lui-même l’indique à l’import. Les parties non supportées peuvent être supprimées ou conservées, mais elles ne seront alors pas complètement visibles dans le Studio. C’est compréhensible dans une phase précoce, mais cela montre aussi que l’on n’est toujours pas face à un remplacement complet de la surface admin réelle.

Là Où l’Outil a Encore des Limites

L’outil n’est pas encore parfait. Ces points manquent encore ou ne sont pas encore complètement propres aujourd’hui :

Les Linked NAT Rules Peuvent Apparaître comme Any

Dans le thread de feedback officiel, Sophos explique que les linked NAT rules peuvent actuellement apparaître comme Any pour la source ou la destination dans certains cas. Cela ne semble pas être un simple bug d’affichage, mais plutôt une limite dans ce que l’on peut déduire avec certitude du XML exporté.

Cela compte, parce que des analyses ultérieures comme la détection des règles qui se recouvrent peuvent devenir trompeuses si la représentation de base n’est pas pleinement exacte.

Les Sauvegardes .backup de Sophos Central Ne Sont Pas Encore un Input Propre

Une autre question posée par la communauté concernait la prise en charge future des sauvegardes chiffrées Sophos Central avec extension .backup. Pour l’instant, ce n’est pas le cas, parce que Config Studio repose autour de Entities.xml et que ces sauvegardes chiffrées ne peuvent pas être utilisées directement.

Pour les MSP, ce serait évidemment très utile. Pour le moment, cela reste davantage un souhait qu’une réalité.

Il Reste des Edge Cases

Dès les premiers jours après la sortie, on a vu apparaître des indices d’écarts sur certains cas particuliers. Ce n’est pas étonnant pour un jeune outil, et c’est précisément pourquoi je l’utiliserais aujourd’hui de la manière suivante :

Utiliser Config Studio V2 comme un outil fort de préparation et d’analyse, mais continuer à valider les cas critiques face à la vraie UI du firewall et au trafic réel.

Conclusion

Sophos Firewall Config Studio V2 est l’un de ces outils qui paraissent moins spectaculaires au premier regard qu’ils ne le sont vraiment dans la pratique.

Ce n’est pas une fonction de sécurité au sens strict. Il ne bloque pas les attaques et il ne corrige pas les vulnérabilités. Mais il réduit la friction exactement là où beaucoup d’erreurs naissent : dans la compréhension et la modification des configurations de firewall.

Et cela a une vraie valeur.

L’ancien Viewer était déjà utile. Avec V2, on obtient quelque chose de bien plus sérieux pour les audits, migrations, nettoyages de règles et gros changements. Pas comme vérité unique, mais oui comme surface de travail réellement utile autour de Entities.xml.

En même temps, la valeur de l’outil met encore plus en évidence les fonctions que Sophos devrait rapprocher du firewall et de Sophos Central. Le meilleur exemple pour moi est la détection des règles qui se recouvrent. Ce n’est pas un bonus. C’est exactement le type d’aide que l’on veut voir pendant que l’on construit et réorganise des règles.

Ma vraie conclusion dépasse donc cet outil en particulier : Config Studio ressemble à une confirmation que Sophos s’est trop longtemps appuyé sur des workarounds au lieu d’un vrai travail produit autour de la GUI du firewall et de Central. Avec les outils agentiques actuels, il est évidemment possible de construire rapidement un helper externe et de le jeter aux admins comme solution pratique. Mais cela ne doit pas devenir la réponse permanente. Un workaround reste un workaround, même lorsqu’il est bien présenté.

À la prochaine,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Anthropic Mythos et Project Glasswing: Ce qui attend la cybersécurité

Anthropic Mythos et Project Glasswing: Ce qui attend la cybersécurité

© 2026 trueNetLab

Rechercher