trueNetLab ⚡️
Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

9 min read
Network Sophos Security

Table des matières

Avec Sophos Firewall v22 MR1, le premier maintenance release de la branche v22 est enfin arrivé le 20 avril 2026. Et, très honnêtement, beaucoup d’administrateurs attendaient exactement cette version.

Depuis le début, v22 paraissait ambitieux sur le plan technique. Secure by Design, Health Check, une base de control-plane plus solide, un noyau plus dur et davantage de profondeur d’audit. Sur le papier, cela semblait fort. En pratique, le démarrage a été chaotique. J’ai déjà parlé de cette phase dans mon précédent article sur les bugs Sophos Firewall de la v21.5 à la v22 .

MR1 n’est donc pas simplement “la prochaine version”. C’est le moment où beaucoup d’équipes se demandent si v22 devient enfin un candidat sérieux pour la production.

Ma réponse courte : pour certains environnements, oui. À l’aveugle et sans tests, toujours non.

L’Essentiel

  • v22 MR1 correspond au Build 490 et corrige de nombreux problèmes réels encore présents dans v22 GA et dans le re-release Build 411.
  • Les points les plus importants concernent policy-based IPsec, le routing sur bridge après upgrade, la stabilité HA, certains cas PPPoE, le WAF, le SSL VPN et plusieurs sujets d’authentification.
  • En même temps, MR1 garde des avertissements clairs : legacy remote access IPsec disparaît, les vérifications d’espace disque restent importantes et le matériel XG/SG n’est toujours pas pris en charge.
  • Si vous êtes déjà sur v22 et bloqués par des problèmes concrets, MR1 mérite une vraie attention.
  • Si votre 21.5 est stable, je continuerais à tester sérieusement avant de mettre à jour par réflexe.

Pourquoi MR1 Compte Autant

Quand un fournisseur publie un major release, puis un re-release, puis très vite le premier maintenance release, cela dit généralement quelque chose. Chez Sophos, c’est exactement ce qui s’est passé.

Le v22 GA original Build 365 a été remplacé en janvier 2026 par le GA re-release Build 411. Sophos y avait déjà corrigé plusieurs problèmes gênants : accès WebAdmin sur bridge, DNAT avec interface de sortie spécifique, spam CLI avec Invalid rule id or family for update, SNMP cassé et soucis dans l’outil de policy test. C’était utile, mais cela ne donnait pas encore une impression de sérénité.

MR1 ressemble davantage à la version que beaucoup attendaient sans doute de v22 dès le départ : moins de marketing, plus de ménage opérationnel.

Ce Qui S’Améliore Vraiment Dans v22 MR1

La valeur de MR1 n’est pas une grande nouveauté brillante. Elle se trouve dans le fait que Sophos retire de la friction sur plusieurs fronts en même temps.

Policy-Based IPsec Reçoit Enfin de l’Attention

Ceux qui utilisaient policy-based IPsec sous v22 GA avaient de bonnes chances de rencontrer des problèmes. Dans les release notes officielles, Sophos liste plusieurs corrections précisément dans ce domaine : tunnels affichés comme actifs sans trafic réel, mauvaises interfaces affichées dans les diagnostics, mauvaises IP SNAT sur MPLS ou encore accès WebAdmin des firewalls de branche qui cassait après upgrade.

Pour moi, c’est le bloc le plus important de MR1. Les problèmes VPN ne sont jamais “juste un détail”. Dès que le site-à-site, les accès de succursales ou les chemins SD-WAN en dépendent, un bug de firmware devient très vite un vrai problème d’exploitation.

Bridge, Routing et Firewall Ont Aussi Été Retouchés

MR1 corrige également plusieurs problèmes qui font mal immédiatement dans un vrai réseau. Sophos cite notamment :

  • des communications entre sous-réseaux devenues inaccessibles sur bridge après upgrade vers v22 GA
  • des problèmes de ping via la WAN de secours dans les diagnostics
  • des changements d’état HA inattendus avec redémarrages à la clé
  • des soucis PPPoE dans le policy test
  • des problèmes d’export des règles de firewall

Sur le papier, cela ressemble à une série de petits bugs. En pratique, c’est exactement le genre de bugs qui rendent les fenêtres de changement plus chères qu’elles ne devraient l’être.

WAF, SSL VPN et Authentification Profitent Aussi du Correctif

MR1 contient également des corrections dans des zones rarement optionnelles en entreprise. Sophos mentionne notamment :

  • la désactivation du CAPTCHA dans la zone VPN qui ne fonctionnait pas correctement pour les utilisateurs SSL VPN sous v22 GA
  • Azure AD SSO pour le user portal qui redirigeait vers une page 404
  • des problèmes OAuth, certificats et API/MFA
  • des redémarrages périodiques du service SSL VPN dans certains scénarios
  • des problèmes de téléchargement de configurations IPsec mobiles dus à des permissions de certificats incorrectes

Si vous avez des utilisateurs externes, des clients VPN ou des applications publiées via WAF, MR1 retire ici plusieurs obstacles opérationnels.

HA et Storage Restent des Sujets Importants

Je trouve également important que Sophos continue à travailler la stabilité générale dans le cycle MR1. On y trouve des corrections autour de la récupération HA après coupure électrique, de l’enregistrement HA dans Sophos Central, du trafic système sur liens dédiés, d’échecs de mise à jour sur nœuds passifs et de forte charge liée aux problèmes de logging et de disque.

Ce n’est pas du marketing sexy. C’est précisément pour cela que c’est important.

Ce Que MR1 Ne Résout Pas

J’éviterais de raconter l’histoire romantique selon laquelle MR1 rend tout vert d’un coup. Ce n’est pas le cas. Cette version comporte encore des points qu’il faut vérifier consciemment avant de mettre à jour.

Legacy Remote Access IPsec Devient un Vrai Bloqueur

C’est probablement l’avertissement le plus important dans les release notes actuelles. Sophos indique explicitement que la variante legacy de remote access IPsec n’est plus supportée dans SFOS 22.0 MR1. Et surtout : les firewalls qui contiennent encore cette configuration ne peuvent pas être mis à jour vers MR1.

Si vous traînez encore d’anciens setups remote access avec des clients tiers, ne survolez pas simplement ce point. Vérifiez-le sérieusement. Sinon, un “on fait rapidement la maintenance ce soir” peut se transformer en fenêtre de maintenance inutilement longue.

Espace Disque et Root Resize Restent Importants

Le deuxième grand sujet connu de v22 reste lui aussi d’actualité : l’espace disque supplémentaire. Sophos continue d’indiquer que SFOS 22.0 et les versions suivantes demandent plus d’espace et que certains appliances ou déploiements virtuels nécessitent une préparation manuelle avant upgrade.

Même si l’espace est suffisant, la mise à jour peut durer plus longtemps parce que la partition root est redimensionnée. Sophos parle de deux à dix minutes supplémentaires. Dans un petit bureau, c’est un détail. Dans une paire HA en production ou une fenêtre serrée, c’est de la vraie planification.

XG et SG Restent Exclus

Ce n’est pas nouveau, mais cela mérite d’être répété : SFOS 22.0 GA et les versions suivantes, y compris MR1, ne supportent plus le matériel XG et SG. Si vous avez encore des appliances plus anciens en labo ou sur des sites distants, vous ne voulez pas le découvrir pendant la mise à jour.

Policy-Based IPsec Demande Toujours de la Prudence

Justement parce que MR1 corrige plusieurs problèmes de policy-based IPsec, j’y vois aussi une raison de rester prudent. Si vous transportez des routes spécifiques, du MPLS, du routing de branches, des peers tiers ou de l’accès administratif dans ces tunnels, alors testez MR1 précisément à cet endroit.

Voir un tunnel en vert ne suffit pas. Ce qui compte, c’est que le trafic réel, le retour, le comportement SNAT, les diagnostics, l’accès GUI et le failover se comportent réellement comme prévu.

Mon Regard Pratique

Si je réduis cela à la question que beaucoup se posent actuellement, elle est simple :

Est-ce que v22 MR1 est le premier candidat raisonnable pour les équipes qui ont volontairement laissé passer v22 à cause de GA et du Build 411 ?

Je dirais oui, dans beaucoup de cas.

Pas parce que Sophos serait soudain devenu irréprochable. Mais parce que MR1 nettoie enfin les angles qui faisaient mal dans le quotidien : bridge, IPsec, HA, auth, WAF, SSL VPN, logging et plusieurs coins étranges de l’UI et du routing.

Je distinguerais malgré tout deux groupes.

Qui Devrait Sérieusement Regarder MR1

  • les équipes déjà sur v22 Build 411 et bloquées par des bugs concrets
  • les environnements qui attendent certaines fonctions de v22 mais ont freiné à cause de l’instabilité initiale
  • les admins qui ont besoin d’un comportement plus propre en policy-based IPsec ou dans certains scénarios de portail et d’authentification

Qui Devrait D’abord Rester en Labo

  • les installations 21.5 stables sans pression immédiate de nouvelles fonctions
  • les environnements qui utilisent encore legacy remote access IPsec
  • les setups sensibles WAF, MFA ou SSO
  • les clusters HA déjà capricieux avec de précédents firmwares

Ce Que Je Vérifierais Avant la Mise à Jour

Avant de déployer MR1 en production, je cocherais ces points :

  • vérifier si legacy remote access IPsec existe encore dans la configuration
  • exporter les sauvegardes et réfléchir sérieusement au chemin de restauration
  • confirmer l’espace libre et les éventuels avertissements de resize
  • en HA, tester le failover au lieu de faire confiance uniquement à l’état affiché
  • pour policy-based IPsec, valider le trafic réel et pas seulement l’état du tunnel
  • pour WAF, portails et SSL VPN, tester login, MFA, redirects et certificats avec de vrais utilisateurs
  • pour PPPoE ou des scénarios WAN spécifiques, valider le policy test et les flux réels

Et un point de plus : si vous regardez v22 surtout à travers le nouveau Health Check, ne confondez pas la couche technique et la couche opérationnelle. Le Health Check de v22 est utile, et je l’ai détaillé ici : Sophos Firewall v22 Health Check - Complete Overview . Mais un Health Check en vert ne remplace pas un vrai test de mise à jour.

Conclusion

De mon point de vue, Sophos Firewall v22 MR1 est la première version de la branche v22 qui donne davantage envie de se dire “cela vaut une vraie évaluation” plutôt que “attendons encore un peu”.

C’est un bon signal. Mais ce n’est pas magique.

Si vous souffrez déjà de problèmes sur v22, MR1 mérite une vraie attention. Si votre 21.5 reste stable, ne laissez pas le nom “maintenance release” créer un faux sentiment de sécurité. Cette mise à jour exige toujours de la préparation, des tests et un vrai plan B.

C’est exactement comme cela que je la traiterais : ni comme une urgence, ni comme un no-brainer, mais comme ce qu’elle est. Le premier candidat de mise à jour vraiment intéressant depuis le démarrage compliqué de v22.

À la prochaine,
Joe

Sources

Related Posts

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Anthropic Mythos et Project Glasswing: Ce qui attend la cybersécurité

Anthropic Mythos et Project Glasswing: Ce qui attend la cybersécurité

Opération Epic Fury : Sophos met en garde contre des représailles cybernétiques mondiales

Opération Epic Fury : Sophos met en garde contre des représailles cybernétiques mondiales

© 2026 trueNetLab

Rechercher