Sophos Update : actualités de l’événement en ligne partenaires (SFOS 22 et plus)

Introduction

Hier (24.06.2025), Sophos a organisé un événement en ligne pour ses partenaires, au cours duquel ont été présentées les dernières avancées et l’orientation future de l’entreprise. Ce billet de blog met en lumière les principales annonces et les enseignements partagés pendant l’événement. Bien que de nombreuses nouveautés, telles que la Sophos Firewall v21.5 , soient disponibles depuis plusieurs semaines ou partiellement connues, Sophos a profité de l’occasion pour les promouvoir à nouveau de manière exhaustive. Néanmoins, l’événement a également offert des aperçus intéressants des développements à venir, que nous détaillons ici. L’amélioration continue et l’accent mis sur la prévention, la protection, la détection et la réponse constituent des piliers essentiels de la stratégie de Sophos.

Sophos + Secureworks : une intégration stratégique pour une sécurité globale

Un thème central de l’événement était la mise à jour sur l’acquisition de Secureworks par Sophos, finalisée en février. Cette fusion vise à combiner les forces des deux entreprises afin de créer un portefeuille de sécurité encore plus complet :

• Approche « Prevention First » : Sophos, reconnu pour son expertise en protection des endpoints, met l’accent sur la prévention. Plus une menace est stoppée tôt, plus les coûts et les efforts de remédiation sont réduits. Fier de quinze années de position de leader dans le Magic Quadrant de Gartner pour la sécurité des endpoints, Sophos bloque automatiquement 99 % des menaces. L’intégration des capacités XDR de Secureworks dans l’agent endpoint Sophos (en option) crée une valeur ajoutée accrue.
• La plus grande plateforme ouverte native IA : Depuis 2015, Sophos investit dans l’IA, et la plateforme Sophos Central intègre plus de 50 modèles de Deep Learning et d’IA. Plus de 900 téraoctets de données sont traités chaque jour, offrant une visibilité et une télémétrie considérables. La plateforme Taegis de Secureworks complète cette offre par des workflows avancés d’opérations de sécurité, des rapports personnalisés, des playbooks et des intégrations.
• Adaptabilité à vos besoins : Sophos prône l’ouverture et l’intégration. Les opérations XDR et MDR doivent offrir une transparence totale sur les investissements existants des clients dans les endpoints, firewalls, e-mails, solutions cloud et autres produits tiers.
• Sécurité synchronisée : L’objectif est une remédiation et une réponse rapides aux menaces. Les produits doivent mieux collaborer pour réduire le temps de réaction et stopper efficacement les comportements malveillants. Malheureusement, la Synchronized Security entre endpoint et firewall concernant les politiques Web n’est toujours pas pleinement aboutie après des années, alors qu’elle serait d’une grande valeur pour les administrateurs.
• Satisfaction client maximale : Sophos est le seul fournisseur classé dans le top 4 des quatre catégories « Customer’s Choice » de Gartner (Endpoint, MDR, XDR et Firewall). Sur G2, Sophos domine également cinq catégories. L’évaluation MITRE ATT&CK 2024 (round 6) confirme la robustesse des capacités de protection et de détection des endpoints.

Consolidation du portefeuille et calendrier

Sophos a pris des décisions claires pour rationaliser son portefeuille :

• Protection des endpoints : L’agent endpoint Sophos devient l’agent principal pour toutes les offres.
• XDR : Taegis XDR sera la solution XDR principale, intégrée à Sophos Central. Les clients XDR existants de Sophos migreront vers cette nouvelle expérience Taegis améliorée.
• MDR : Les deux offres MDR seront fusionnées ; les meilleurs aspects de chaque solution composeront de nouveaux niveaux de service MDR combinés.
• Fonctionnalités SIEM : Taegis prend en charge les fonctions SIEM qui seront mises à disposition des clients Sophos à l’avenir (principalement la gestion des logs et la conformité en tant qu’add-on).

L’acquisition a été clôturée le 3 février. L’intégration progresse rapidement :

• Août 2025 : Intégration complète de l’agent endpoint Sophos à la plateforme Taegis XDR. Les clients Taegis existants auront accès à l’agent endpoint Sophos.
• Automne 2025 : Extension du portefeuille de solutions pour les deux bases clients. Les clients Secureworks bénéficieront de toutes les technologies Sophos, et les clients Sophos profiteront de nouvelles fonctions telles qu’ITDR.
• Fin 2025/début 2026 : Intégration totale des plateformes, Taegis étant incorporé à Sophos Central.

Sophos Managed Risk : gérer les vulnérabilités de manière proactive

Un autre domaine mis en avant est le service Managed Risk, lancé il y a plus d’un an en partenariat avec Tenable. Il s’agit d’une offre de gestion des vulnérabilités sous forme de service managé, assurée par les experts Sophos chargés de l’exposition et de la remédiation des menaces.

• Fonctions clés :
  • Visibilité : Détection complète des actifs internes et externes pour dresser un panorama clair de la surface d’attaque numérique.
  • Surveillance continue des risques : L’équipe Sophos identifie les expositions majeures et aide à prioriser les actions correctives.
  • Priorisation : Utilisation de la technologie de priorisation des vulnérabilités basée sur l’IA de Tenable, enrichie de l’expertise Sophos.
  • Notifications : Alertes proactives lors de la découverte de vulnérabilités critiques.
• Extension du service : Le Managed Risk s’est enrichi de l’Internal Attack Surface Management (IASM), qui complète l’External ASM existant pour offrir une vision complète des vulnérabilités, tant sur les actifs externes qu’internes.
• Licence : Managed Risk est un add-on au service MDR (MDR Essentials ou MDR Complete) et est facturé non pas par adresse IP, mais par nombre d’utilisateurs et de serveurs, assurant la cohérence avec les autres licences Sophos.

Sophos ITDR (Identity Threat Detection and Response)

Sophos ITDR sera disponible en octobre 2025 comme nouvel add-on puissant pour Sophos MDR et Sophos XDR. Hérité de l’acquisition Secureworks, il se concentre sur la réduction des risques liés aux identités :

Qu’est-ce que l’ITDR ?

Identity Threat Detection and Response (ITDR) est une solution de sécurité spécifiquement conçue pour détecter et contrer rapidement les attaques ciblant les identités numériques. Contrairement à la gestion classique des identités et des accès (IAM), l’ITDR analyse en continu les données d’identité, le comportement des utilisateurs et les renseignements sur les menaces afin de repérer immédiatement toute activité suspecte.

Objectifs et fonctions principaux

• Protection contre les menaces sur les identités
  Analyse permanente des services d’identité (p. ex. Microsoft Entra ID/Azure AD) afin de détecter failles et mauvaises configurations.

• Réduction de la surface d’attaque
  Surveillance des identifiants compromis et alerte si des informations d’identification apparaissent sur le Dark Web ou d’autres sources non sûres.

• Réduction du risque d’identifiants volés
  Détection et blocage des tentatives de connexion ou d’accès inhabituelles indiquant un vol de credentials.

• Détection des activités utilisateur à risque
  Identification des attaques avancées basées sur l’identité, des mouvements latéraux dans le réseau et des escalades de privilèges non autorisées, suivie de contre-mesures automatisées.

En résumé : l’ITDR offre un bouclier proactif pour les identités, en surveillant en permanence la posture de sécurité et en réagissant en temps réel à toute activité suspecte ou malveillante autour des comptes utilisateur.
ITDR sera disponible en tant qu’add-on payant pour tous les clients Sophos XDR et MDR, renforçant considérablement le portefeuille Security Operations de Sophos.

Sophos Incident Response et Advisory Services

Sophos a consolidé et étendu ses offres d’intervention sur incident :

• Emergency Incident Response : Le service Rapid Response de Sophos et les capacités d’Incident Response de Secureworks sont fusionnés en un nouveau service d’urgence unifié. Facturé à l’heure et conforme aux attentes des assureurs cyber, il offre une identification et une neutralisation rapides des menaces actives, un soutien à distance ou sur site, ainsi que des services IR étendus tels que la forensique numérique et les négociations de rançon. Pour les clients MDR Complete, l’Incident Response illimité est déjà inclus.
• Advisory Services : L’approche proactive de réduction des risques est étoffée par des Advisory Services supplémentaires, basés sur les compétences Secureworks, incluant tests de pénétration externes, tests de pénétration WLAN internes et évaluations de la sécurité des applications Web. Ces services visent à réduire les risques de façon proactive et à améliorer la stratégie de sécurité globale.

Sophos Firewall : une stratégie trinitaire

La Sophos Firewall se distingue de nombreuses autres solutions par son approche holistique, reposant sur trois piliers centraux :

1. Atténuation (Mitigation) : réduction de la surface d’attaque et minimisation du risque d’intrusion. Sophos intègre des fonctions telles que le Zero Trust Network Access (ZTNA) et l’initiative « Secure by Design » pour renforcer l’infrastructure et éviter toute exposition inutile à Internet.
2. Protection (Protection) : blocage classique des menaces avant qu’elles n’atteignent le réseau. Des moteurs de détection avancés identifient et stoppent de manière proactive les activités malveillantes.
3. Détection et réponse (Detection and Response) : la véritable différence ; la Sophos Firewall ne se contente pas de repousser les attaques, elle détecte également les attaquants actifs dans le réseau et les isole automatiquement. La « Synchronized Security » et l’« Active Threat Response » garantissent une réaction rapide et coordonnée aux menaces.

La plupart des firewalls se concentrent principalement sur la protection, négligeant l’atténuation ainsi que les capacités de détection et de réponse. Sophos l’a compris et investit massivement dans ces trois domaines afin d’offrir une protection complète qui renforce votre infrastructure.

Quoi de neuf dans Sophos Firewall v21.5 ? (pré-goût de v22)

La version récemment publiée Sophos Firewall v21.5 , disponible gratuitement pour tous les clients Sophos Firewall, offre déjà un aperçu impressionnant de l’évolution de la Sophos Firewall. Points forts :

• Intégration du Network Detection and Response (NDR) : une première dans le secteur. NDR Essentials est directement intégré à votre Sophos Firewall – sans coût supplémentaire ni impact sur les performances, l’analyse étant effectuée dans le cloud Sophos. Deux composantes clés :
  • Encrypted Payload Analysis (EPA) : identifie les charges malveillantes et le trafic réseau sans nécessiter de déchiffrement TLS Man-in-the-Middle. Les premiers paquets de session sont convertis en une image spirale graphique analysée par une IA à la recherche de motifs malveillants. Un avantage majeur, notamment pour les PME ne pouvant ou ne souhaitant pas activer l’inspection TLS.
  • Détection de Domain Generation Algorithm (DGA) : détection des domaines générés par des algorithmes malveillants, souvent avant leur enregistrement ou utilisation, empêchant ainsi la communication avec les serveurs pirates même si les domaines sont encore inconnus.
• Prise en charge du Single Sign-On (SSO) pour Entra ID (Microsoft Azure AD) : fonctionnalité très attendue qui simplifie grandement la connexion pour les utilisateurs VPN d’accès à distance via le client Sophos Connect ou le portail VPN.
• Services DNS améliorés : nouveaux outils de statut, de dépannage et tutoriels pour faciliter la configuration et l’utilisation du service DNS.
• Principes supplémentaires « Secure by Design » : fonctions de durcissement et de surveillance supplémentaires renforçant la sécurité de la firewall.
• Améliorations de la facilité de gestion : nombreuses optimisations du management quotidien basées sur les retours clients.

L’intégration NDR est un véritable game-changer. Sophos Firewall est le seul fournisseur à intégrer directement le NDR dans la firewall et à proposer cette fonction sans surcoût dans le bundle Extreme Protection, soulignant l’engagement de Sophos pour une détection avancée même en périphérie réseau.

Regard vers l’avenir : Sophos Firewall v22

La version 22 de Sophos Firewall, attendue d’ici la fin de l’année, s’appuiera sur ces innovations et approfondira trois thèmes clés :

1. Secure By Design :

   • Fonction « Health Check » : vedette de v22, cette fonctionnalité analysera des dizaines de zones de configuration de votre firewall et identifiera immédiatement les zones à haut risque mal configurées. Elle aidera les administrateurs à appliquer les bonnes pratiques et à corriger proactivement les failles potentielles, même si elles ont été négligées lors de la configuration initiale.

     Extrait d’exemple des contrôles actuellement vérifiés

     N°	Énoncé du contrôle	Gravité	Statut
     1.1	La complexité des mots de passe est définie (activée par défaut)	Élevée	Réussi
     1.2	MFA pour le compte admin est configurée	Risque moyen	Réussi
     1.3	Verrouillage/déconnexion/blocage de session admin configurés après échecs	Élevée	Échec
     1.4	Serveurs NTP correctement configurés	Faible	Réussi
     1.5a	HTTPS sur WAN est désactivé	Élevée	Réussi
     1.5b	Portail utilisateur sur WAN est désactivé	Élevée	Réussi
     1.6	Certificat valide utilisé pour l’accès Webadmin	Élevée	Réussi
     2.1	SNMPv3 sélectionné pour requêtes et traps	Élevée	Réussi
     2.2	Notifications configurées pour alertes système et admin	Élevée	Réussi
     2.3	Hotfix activé	Élevée	Erreur
     3.1	Active Threat Response > X-Ops activé et action définie	Élevée	Réussi
     3.2	Active Threat Response > NDR-E activé et action définie	Élevée	Réussi
     3.3	Active Threat Response > MDR activé et action définie	Élevée	Réussi
     3.4	Protection zero-day activée	Élevée	Réussi
     3.5	IPS activé et au moins une règle firewall configurée	Élevée	Réussi
     3.6	Aucune règle firewall avec « Any » pour réseau et services	Élevée	Réussi
     3.7	Règle firewall configurée avec Security Heartbeat	Élevée	Réussi
     3.8	Inspection SSL/TLS activée sur toutes les politiques pertinentes	Élevée	Réussi
     3.9	Protection DoS & Spoof activée avec seuil	Élevée	Réussi
     3.10	Règle firewall configurée avec politique basée sur l’utilisateur	Élevée	Réussi

     • Malheureusement, le matériel est complètement laissé de côté. Des problèmes fréquents, comme un SSD défaillant ou une base de données corrompue, doivent toujours être diagnostiqués laborieusement via SSH dans les logs. Aucune notification mail ni contrôle automatique de la santé matérielle n’est proposé. La qualité générale du matériel doit également être améliorée, car nous constatons encore de nombreux RMA pour certains modèles.

   • Architecture améliorée, détection automatisée, Secure Desecure : v22 renforcera l’architecture pour une détection automatisée plus efficace et un design encore plus sécurisé.

2. Réseau et évolutivité :

   • Améliorations des performances : l’équipe Sophos travaille continuellement à l’optimisation des performances. v22 apportera des gains substantiels, notamment pour les environnements éducatifs de grande taille et les réseaux distribués – bénéfice valable pour tous, quelle que soit l’envergure.
   • Matériel distribué : de nouveaux développements dans le matériel distribué accroîtront l’évolutivité et la flexibilité des solutions.

3. Gestion au quotidien :

   • Expérience utilisateur améliorée : Sophos continuera de tenir compte des retours clients et d’optimiser l’administration quotidienne grâce à des améliorations de l’interface et de l’ergonomie.
   • Surveillance matérielle, améliorations MSA : des avancées dans la surveillance du matériel et les services de gestion accroîtront encore l’efficacité de l’administration de la firewall.

     • La gestion des notifications sur les firewalls pourrait être améliorée : lorsqu’un avis de maintenance apparaît, il est impossible de le masquer soi-même, ce qui peut provoquer des perturbations inutiles.

Feuille de route Sophos Firewall dans le calendrier

Sophos positionne la Firewall v22 comme la solution idéale pour la nouvelle ère des services de détection et de réponse, en particulier pour les clients qui utilisent Sophos XDR et MDR. Les fonctionnalités uniques en matière de surveillance proactive et la capacité d’appliquer des correctifs sans interruption témoignent de l’innovation chez Sophos.

Derniers mots

L’événement en ligne d’hier de Sophos a une fois de plus clarifié l’orientation stratégique de l’entreprise : une sécurité complète, axée sur la prévention, complétée par des mécanismes avancés de détection et de réponse. L’intégration de Secureworks apporte des extensions significatives dans les domaines XDR, MDR et ITDR. La Sophos Firewall, notamment avec les innovations de la v21.5 et les perspectives de la v22, se positionne comme une solution réseau de premier plan, bien au-delà des fonctions traditionnelles de firewall. Grâce à l’intégration poussée du NDR et à l’accent mis sur la détection et la réponse proactives, Sophos propose une défense tournée vers l’avenir contre les cybermenaces en constante évolution. Nous sommes convaincus que ces développements amélioreront considérablement la posture de sécurité et protégeront encore mieux les réseaux. Restez à l’écoute pour plus d’actualités et d’analyses approfondies des nouvelles fonctionnalités dès que la v22 sera disponible !

Comme souvent, l’événement était malheureusement truffé d’auto-congratulations 🤮. Malgré cela, dans l’entreprise où je travaille, nous avons de nombreux clients mécontents ; l’an dernier, beaucoup sont passés de Sophos XG/XGS à d’autres fournisseurs.
La politique tarifaire de Sophos est extrêmement discutable. Depuis plus de huit ans, il y a régulièrement des promotions pour les nouveaux clients, tandis que les clients existants sont souvent laissés pour compte. Cela crée du mécontentement et le sentiment de ne pas être valorisé.
Les promotions pour les switches et les points d’accès sont également décevantes et montrent que ces produits ne suscitent guère d’intérêt. Un client nous a récemment transmis une offre où l’achat de trois produits en fait obtenir deux gratuits. Tout un symbole.
Autre anecdote amusante de la vie avec Sophos : un client s’est plaint d’avoir reçu un switch daté de fabrication 2021 – donc âgé d’environ quatre ans. Il semble que Sophos ait trop commandé et que personne ne veuille de ces produits, ce qui ne nous surprend pas au vu des promotions.
Même si ces points ne sont peut-être pas abordés lors d’un tel événement, j’espère que les faiblesses connues sont reconnues en interne et traitées activement.

à bientôt
Joe