trueNetLab ⚡️
Sophos vs Fortinet 2026 : quel firewall choisir ?

Sophos vs Fortinet 2026 : quel firewall choisir ?

43 min read
Network Sophos Security

Table des matières

Quand quelqu’un cherche Sophos vs Fortinet, il ne s’agit rarement que d’un joli tableau comparatif. La plupart du temps, il y a derrière une vraie décision d’achat : quel firewall installer au siège, lequel dans les agences, quelle plateforme mon équipe peut exploiter proprement, et quelle solution ne me créera pas dans trois ans plus de travail qu’elle n’en résout aujourd’hui ?

C’est précisément pour cela que cette comparaison est plus difficile que ce que suggèrent beaucoup de slides constructeurs. Sophos Firewall et Fortinet FortiGate ne sont pas simplement deux boîtiers avec les mêmes fonctionnalités dans une autre couleur. Les deux produits viennent de philosophies différentes. Fortinet s’est fortement développé autour du réseau, de la performance, des ASICs, du SD-WAN et de la Security Fabric. Sophos vient davantage du monde de l’administration sécurité, avec Sophos Central, Security Heartbeat, des règles firewall compréhensibles et une interface firewall bien accessible pour beaucoup d’admins.

J’ai travaillé avec beaucoup de firewalls et je ne me considérerais fondamentalement pas comme un fan religieux d’un constructeur. Actuellement, je suis plutôt personnellement dans l’équipe Sophos, parce que la manière dont Sophos structure beaucoup de choses au quotidien me convient globalement. Mais je me demande honnêtement pour combien de temps encore. Je suis de plus en plus agacé par le temps que Sophos met à traiter enfin certains sujets. Cela ne veut pas dire que je défends Sophos aveuglément. Au contraire : chez Sophos justement, ce qui me dérange en ce moment, c’est la lenteur avec laquelle certains sujets importants avancent. Quand l’analyse de configuration, et désormais même les modifications de configuration, sont déportées dans un outil externe dans le navigateur comme Config Studio , parce que l’interface firewall elle-même ou Sophos Central ne fournissent pas proprement ces fonctions, c’est déjà une évolution très discutable du point de vue admin. À cela s’ajoutent les actuels bugs Sophos Firewall de v21.5 à v22 , qui commencent vraiment à prendre trop de place en production et qui fragilisent exactement la confiance qu’une plateforme firewall devrait normalement renforcer.

Conclusion courte : Sophos ou Fortinet ?

Si je devais vraiment condenser, je le formulerais ainsi :

Fortinet est le meilleur choix lorsque la performance, le routing, le SD-WAN, les grands réseaux distribués, la profondeur CLI, FortiManager, FortiAnalyzer et un large écosystème Security Fabric sont au premier plan. Ceux qui viennent du network engineering, se sentent à l’aise dans la CLI et les profils, et veulent exploiter de nombreux sites de manière standardisée trouveront beaucoup de substance chez Fortinet. Fortinet donne l’impression de livrer plus de mouvement par trimestre, mais il faut aussi vivre avec une complexité plus élevée et une pression de patch nettement perceptible.

Sophos est le meilleur choix lorsqu’une petite ou moyenne équipe sécurité cherche un firewall compréhensible, une bonne gestion firewall centralisée, une utilisation simple, des fonctions on-box utilisables et une logique d’exploitation plutôt pragmatique. Surtout dans les environnements où Sophos Central est déjà présent, le firewall peut en profiter. Je l’achèterais malgré tout principalement comme firewall, pas à cause des produits additionnels. Sophos paraît plus transparent et, avec SFOS v22, aussi plus orienté durcissement, mais au quotidien admin, l’évolution produit semble trop souvent lente.

Autrement dit : pour moi, Sophos est souvent le meilleur produit pour les petites et moyennes équipes. Fortinet est plus souvent la plateforme la plus forte pour les réalités plus grandes. C’est une différence importante. Un bon produit réduit les frictions au quotidien. Une plateforme forte donne plus de profondeur, plus de briques et plus de possibilités de montée en charge. Selon l’équipe, les deux peuvent être la bonne réponse.

Mais : Fortinet apporte davantage de pression CVE et patch, du moins si l’on regarde les dernières années et aussi les advisories FortiOS actuels. Sophos m’apporte actuellement plutôt de la frustration opérationnelle liée à la lenteur de développement, à la stagnation de l’UI et aux bugs firmware. Les deux sont réels. Il ne faut donc pas choisir entre « bon » et « mauvais », mais entre deux profils de risque différents.

Ma recommandation honnête : pour les PME classiques, Sophos Central, des réseaux maîtrisables et des équipes admin qui ne veulent pas vivre chaque jour dans la CLI, Sophos Firewall est souvent la solution la plus agréable. Pour des paysages réseau plus vastes, du SD-WAN exigeant, de très fortes exigences de performance et des équipes avec un fort focus network engineering, j’examinerais Fortinet très sérieusement.

Comment j’évalue cette comparaison

Une comparaison équitable entre Sophos Firewall et Fortinet FortiGate ne doit pas s’arrêter à « dispose de la fonctionnalité X ». Dans les environnements réels, d’autres questions comptent :

  • À quelle vitesse un engineer peut-il construire une modification de règle en toute sécurité ?
  • Dans quelle mesure puis-je identifier les effets de bord sur le NAT, le VPN, Web Protection ou TLS Inspection ?
  • Que vois-je dans les logs quand quelque chose ne fonctionne pas ?
  • Combien coûte le package global avec management, reporting, support, ZTNA, WAF et protection e-mail ?
  • À quelle fréquence dois-je patcher la nuit ?
  • Dans quelle mesure HA, les upgrades et les clients Remote Access fonctionnent-ils de manière fiable ?
  • Dans quelle mesure l’ensemble s’automatise-t-il proprement ?
  • Dans quelle mesure la plateforme correspond-elle à l’équipe qui doit l’exploiter ?

C’est exactement pour cela que je ne structure pas non plus cet article comme « liste de fonctionnalités contre liste de fonctionnalités ». Les listes de fonctionnalités sont utiles, mais elles mentent par omission. Un firewall peut théoriquement tout savoir faire et pourtant être pénible au quotidien. Ou il peut paraître moins spectaculaire, mais être le meilleur outil en exploitation.

Comparatif rapide

DomaineSophos FirewallFortinet FortiGateMon évaluation
Architecturex86 plus Xstream Flow Processor sur XGS, FastPath pour les flux de confianceFortiASIC/SPU avec processeurs réseau et contenu selon le modèleFortinet est généralement plus fort en débit brut et offloading, Sophos reste architecturalement plus flexible et plus compréhensible.
Règles firewall et NATlogique de zones claire, NAT séparé, règles bien lisiblesmodèles Policy et Central NAT flexiblesSophos est plus accessible, Fortinet scale mieux avec des jeux de règles complexes.
VPN et Remote AccessSophos Connect, IPsec, SSL VPN, ZTNA via CentralIPsec, ZTNA avec FortiClient EMS, le SSL-VPN-Tunnel-Mode est remplacé à partir de 7.6.3Fortinet pousse davantage à la migration, Sophos reste plus simple pour les setups classiques.
SD-WANsolide pour les PME, les agences et les scénarios SD-REDfort sur ADVPN, Application Steering et grands réseaux de sitesFortinet gagne clairement sur l’Enterprise-SD-WAN.
Web Protectionpolicies et exceptions compréhensiblesSecurity Profiles profonds et services FortiGuardSophos est plus simple, Fortinet plus granulaire.
WAFWeb Server Protection intégrée avec des limites clairesWAF FortiGate plutôt basique, FortiWeb comme produit séparéPour une publication simple, Sophos ; pour une vraie AppSec, une WAF dédiée.
Logging et Reportingreporting on-box et Central Firewall ReportingFortiView local, FortiAnalyzer pour l’historique et la corrélationSophos est plus vite utilisable, Fortinet est plus mature dans les grands environnements.
API et automatisationAPI basée sur XML, Config Studio comme outil d’aideREST-API, FortiManager JSON-RPC, Terraform et AnsibleFortinet est nettement plus fort pour NetOps et Infrastructure as Code.
HA et exploitationlogique de licence attractive, mais attention aux vrais bugs firmware et HAoptions HA matures, mais plus complexes et pas exemptes de bugs non plusTester proprement les deux, avec une prudence particulière pour Sophos à cause des bugs actuels.
UsabilityGUI compréhensible, mais souvent lente lors de gros changementsGUI rapide et CLI puissante, mais courbe d’apprentissage plus raideSophos pardonne davantage, Fortinet récompense l’expertise.
Roadmapplus de durcissement et de Secure-by-Design, ergonomie admin lenteforte cadence fonctionnelle, développement SD-WAN/SASE/AI rapideFortinet avance plus vite, Sophos doit rattraper son retard sur l’UX firewall.

Security-Advisories et discipline de patch

Avant de parler d’UI, de SD-WAN ou de licensing, il faut parler de discipline de patch pour les firewalls. Les deux constructeurs construisent des équipements edge. Les deux sont directement dans le viseur des attaquants. Et les deux ont eu ces dernières années des vulnérabilités qu’il ne faut pas minimiser.

Chez Fortinet, la pression est particulièrement visible. Les advisories FortiGuard officiels montrent plusieurs cas critiques pertinents pour les admins : CVE-2024-47575 dans FortiManager permettait selon Fortinet une exécution de code non authentifiée et a été exploitée in the wild. CVE-2024-55591 et CVE-2025-24472 concernaient FortiOS/FortiProxy et pouvaient donner à un attaquant des droits Super-Admin. CVE-2025-59718 et CVE-2025-59719 concernaient FortiCloud SSO Login dans plusieurs produits Fortinet et étaient également marquées comme exploited.

Cela ne signifie pas que Fortinet est insecure. Cela signifie : quiconque exploite FortiGate ou FortiManager a besoin d’un processus PSIRT très discipliné. Les interfaces de management n’ont rien à faire ouvertes sur Internet, les accès FortiCloud-SSO et admin doivent être durcis consciemment, MFA est obligatoire, et les versions firmware ne doivent pas rester des mois en place simplement parce que « tout est stable ».

Sophos n’a pas non plus un casier vierge. Le rapport Pacific Rim de Sophos X-Ops vaut justement la peine d’être lu parce que Sophos y décrit très ouvertement comment des groupes basés en Chine ont attaqué pendant des années des équipements périmétriques, dont des Sophos Firewalls. En plus, fin 2024, il y a eu des advisories Sophos Firewall critiques avec CVE-2024-12727, CVE-2024-12728 et CVE-2024-12729. Dans ce genre de cas, Sophos s’appuie fortement sur des hotfixes automatiques activés par défaut. À mon avis, c’est un vrai avantage, mais cela ne remplace pas un concept propre d’upgrade et de hardening.

Mon take : Fortinet donne davantage l’impression de « rapide, puissant, mais tu dois rester en permanence dessus ». Sophos paraît depuis v22 plus orienté Secure-by-Design et transparence, mais lutte actuellement avec davantage de frustration opérationnelle liée aux bugs. Dans les deux mondes, la règle est la même : minimiser le management WAN, imposer MFA, désactiver les portails inutiles, s’abonner aux advisories et ne pas considérer les fenêtres de patch comme optionnelles.

Architecture sécurité : deux philosophies différentes

Chez Fortinet, FortiOS est le centre. FortiGate, FortiManager, FortiAnalyzer, FortiClient, FortiSwitch, FortiAP, FortiSASE, FortiWeb, FortiMail et beaucoup d’autres produits sont liés à l’idée de Security Fabric. Fortinet ne vend donc pas seulement un firewall, mais une très grande plateforme dans laquelle réseau et sécurité doivent converger.

Techniquement, c’est solide. Ces dernières années, Fortinet a travaillé très systématiquement sur SD-WAN, SASE, ZTNA, l’accélération ASIC, les cloud firewalls et le management centralisé. L’approche matérielle est ici une vraie différence : selon le modèle, Fortinet mise sur ses propres Security Processing Units, donc des Network Processors, Content Processors ou Security Processors. C’est la raison pour laquelle FortiGate paraît si agressif dans beaucoup de fiches techniques pour IPsec, la gestion des sessions, Threat Protection et SSL Inspection. Avec FortiOS 8.0, Fortinet positionne encore davantage la plateforme vers le contrôle AI, SASE, la cryptographie post-quantique et le SD-WAN simplifié. Savoir si l’on a aujourd’hui besoin au quotidien de chaque terme marketing est une autre question. Mais la direction est claire : Fortinet avance vite et très largement.

Sophos aborde les choses autrement. Sophos Firewall est fortement orienté vers une expérience admin compréhensible, Sophos Central, Security Heartbeat, Web Protection, WAF, VPN, SD-WAN et de plus en plus aussi des fonctions de détection intégrées comme NDR Lite et Active Threat Response. Sophos vend moins l’image d’un système d’exploitation réseau extrêmement profond, et davantage celle d’un firewall qui doit pouvoir être administré proprement même sans équipe purement spécialisée réseau.

Le hardware XGS n’est pas non plus simplement un « firewall x86 normal ». Sophos combine un CPU multi-core avec le Xstream Flow Processor, une NPU pour l’offloading FastPath. Les flux de confiance peuvent être déportés après le premier contrôle, afin que les ressources CPU restent disponibles pour TLS Inspection, DPI, IPS et d’autres tâches de sécurité lourdes. Ce n’est pas la même stratégie ASIC brute que chez Fortinet, mais c’est nettement mieux que l’ancienne réputation que Sophos traîne encore parfois depuis l’époque XG.

Du point de vue sécurité, c’est attractif. Si le firewall reçoit davantage de contexte sur les utilisateurs, les appareils et leur état de santé, cela vaut plus qu’une blocklist isolée. Sophos dispose depuis des années, avec Security Heartbeat et Synchronized Security, d’un bon argument qui peut réellement aider en exploitation. Avec SFOS v22 sont venus en plus des sujets Secure-by-Design comme un kernel durci, une nouvelle Control Plane, Health Check, Remote Integrity Monitoring, l’intégration NDR et Active Threat Response.

Mon problème n’est pas la direction. Mon problème, c’est la vitesse et l’exécution. Sophos a de bonnes idées, mais il faut souvent très longtemps avant que l’ergonomie admin suive vraiment. Beaucoup de sujets Quality-of-Life qui rendraient les grandes installations nettement plus agréables sont ouverts depuis des années ou atterrissent maintenant dans un outil externe. En comparaison, Fortinet paraît plus agité, plus complexe, mais aussi nettement plus rapide.

Règles firewall et NAT

Sur les règles firewall et le NAT, on remarque très vite la différence entre les plateformes.

Sophos est plus compréhensible pour beaucoup d’admins. L’UI des règles est visuellement claire, les zones sont mises en avant, le contexte utilisateur et applicatif est facilement accessible, et beaucoup de paramètres se trouvent là où on les attend. Surtout lorsqu’une équipe ne travaille pas chaque jour en profondeur sur des firewalls, cela peut être un vrai avantage. Une règle Sophos se lit souvent comme un objet d’exploitation : source, destination, service, utilisateur, policies Web/IPS/App, logging. C’est accessible.

Fortinet est en revanche plus précis et plus profond. Celui qui connaît bien FortiGate obtient avec les policies, objets, Central NAT, Policy NAT, VIPs, IP Pools, Proxy/Flow-Mode, profils et CLI énormément de contrôle. Dans les grands environnements, c’est un avantage, parce que les standards peuvent être modélisés plus proprement. En même temps, c’est précisément cette profondeur qui peut dépasser les nouvelles équipes. FortiGate est rarement « simple » si l’on veut vraiment l’exploiter proprement.

À mon avis, Sophos a trois faiblesses. Premièrement, les grands jeux de règles ne sont pas aussi agréables à maintenir dans la GUI qu’ils devraient l’être. Deuxièmement, les règles NAT restent au quotidien un domaine où je souhaiterais de meilleures fonctions de clonage, bulk edit et analyse directement dans le firewall. Troisièmement, l’interface WebAdmin paraît encore plus lourde qu’elle ne devrait l’être en 2026 lors de nombreuses petites modifications. Config Studio V2 aide à lire, comparer et désormais aussi modifier des configurations. Mais c’est justement le point : pourquoi dois-je sortir du firewall lui-même pour de tels workflows ?

Fortinet a aussi ses frictions ici. Celui qui reprend des jeux de règles FortiGate mal documentés peut tout autant se retrouver avec une prolifération d’objets, des VIPs historiques, de vieux IP Pools et un chaos de profils. Mais Fortinet donne aux engineers expérimentés plus d’outils pour exploiter professionnellement de grands jeux de règles, surtout en combinaison avec FortiManager.

Mon évaluation : Sophos gagne sur la lisibilité et l’entrée en matière. Fortinet gagne sur la profondeur, la scalabilité et le contrôle engineering.

VPN, ZTNA et Remote Access

Remote Access est l’un des domaines dans lesquels les deux constructeurs sont actuellement sous pression. Le SSL VPN classique est devenu un sujet de sécurité et d’exploitation chez beaucoup de constructeurs. En même temps, tout le monde veut aller vers ZTNA, parce que l’accès utilisateur ne doit plus simplement signifier « tunnel dans le réseau ».

Sophos propose avec Sophos Connect à la fois IPsec et SSL VPN. Avec SFOS v22 MR1, Sophos Connect 2.0 pour macOS avec support SSL-VPN est une étape importante. En parallèle, Sophos a supprimé dans v22 MR1 l’ancienne variante Legacy-Remote-Access-IPsec. C’est techniquement compréhensible, mais opérationnellement c’est une coupure nette : les firewalls avec une ancienne configuration legacy ne peuvent pas simplement être mis à jour vers v22 MR1 et plus.

Fortinet s’éloigne encore plus clairement du SSL-VPN-Tunnel classique. Dans FortiOS 7.6, SSL VPN a déjà été supprimé sur les petits modèles 2 GB RAM, et à partir de FortiOS 7.6.3, le SSL-VPN-Tunnel-Mode est selon Fortinet remplacé par IPsec VPN. Les configurations SSL-VPN-Tunnel existantes ne sont pas simplement reprises lors de l’upgrade. Quiconque exploite donc FortiGate avec Remote Access doit planifier activement la migration IPsec ou ZTNA, et ne pas découvrir pendant la fenêtre de maintenance que l’ancienne architecture se termine.

Pour de nouveaux setups, je poserais clairement la question chez Sophos : l’utilisateur a-t-il vraiment besoin d’un accès réseau complet, ou ZTNA est-il plus propre ? Sophos ZTNA a nettement plus de sens dans Sophos Central qu’une ancienne logique VPN dans le firewall. Si l’identité, l’état des appareils et Central font de toute façon partie du modèle d’exploitation, Sophos est ici très attractif.

Fortinet a également un ZTNA fort dans son portefeuille. FortiGate peut lier des décisions de policy ZTNA à FortiClient EMS et aux informations de security posture. Fortinet est ici plus large, mais aussi plus complexe. En revanche, cela s’intègre bien dans les grands environnements où FortiClient EMS, FortiAuthenticator, FortiSASE ou FortiManager font déjà partie de l’architecture.

Pour le Site-to-Site VPN, je vois Fortinet traditionnellement très fort. IPsec, routing, lien avec SD-WAN, ADVPN, Hub-and-Spoke, grands paysages de branches et debugging CLI sont le terrain naturel de Fortinet. Sophos sait bien sûr aussi faire du Site-to-Site IPsec, et cela suffit largement pour beaucoup d’environnements. Mais dès que cela devient très grand, très dynamique ou très orienté routing, Fortinet paraît plus mature.

Sophos a en revanche RED et SD-RED comme argument fort de simplicité. Pour de petites filiales qui doivent être raccordées sans spécialiste réseau local, le concept reste charmant. Fortinet sait également très bien gérer des filiales, mais le chemin est plus typique de Fortinet : puissant, détaillé, moins « brancher et terminé ».

SD-WAN

Si le sujet principal est SD-WAN, il faut prendre Fortinet au sérieux. Fortinet a beaucoup investi dans Secure SD-WAN et est aussi fortement perçu comme tel sur le marché. Performance-SLA, Link-Monitoring, Application Steering, conceptions overlay, ADVPN, orchestration centralisée, FortiManager, FortiAnalyzer et intégration SASE forment un package très cohérent si on le planifie proprement.

Sophos SD-WAN est plus pragmatique. On obtient des routes SD-WAN, du gateway monitoring, des profils, une orchestration VPN via Central et, avec SD-RED, une option simple pour les branches. Pour beaucoup d’environnements PME et midmarket, cela suffit. Je connais de nombreux réseaux où personne n’a besoin d’un design SD-WAN très complexe. Là, il est plus important que le failover, les priorités, la VoIP, le SaaS et quelques tunnels de branches fonctionnent proprement.

Mais Fortinet est devant en largeur. Si un client planifie de nombreux sites, plusieurs underlays, des chemins dynamiques, du pilotage applicatif, des templates centralisés, un reporting différencié et une modernisation WAN à long terme, je ne minimiserais pas Fortinet. Sophos peut couvrir beaucoup de ces sujets, mais Fortinet ressemble ici à un constructeur qui traite SD-WAN comme une compétence cœur. Sophos donne plutôt l’impression que SD-WAN est une partie importante du firewall, mais pas le centre de l’identité produit.

Et ici aussi, il y a un point pratique : Sophos a eu dans v22 de vrais correctifs autour d’IPsec policy-based, du routing SD-WAN et du trafic VPN. Le fait que ces correctifs aient été nécessaires n’est pas un critère d’exclusion, mais cela montre qu’il faut tester très proprement les upgrades Sophos dans des environnements fortement SD-WAN/VPN.

Web Protection

Web Protection est un domaine dans lequel Sophos travaille agréablement, de mon point de vue. Les catégories, Web Policies, exceptions, TLS Inspection, Malware Scanning, lien utilisateur et reporting sont relativement compréhensibles. Pour les écoles, PME et réseaux d’entreprise classiques, cela peut très bien convenir, parce que beaucoup de web policies restent compréhensibles même sans connaissances spécialisées profondes.

Fortinet est également fort. FortiGuard Web Filtering, Application Control, Antivirus, DNS-Filter, SSL Inspection, DLP et Security Profiles sont très puissants. FortiGate permet des combinaisons très fines et offre, entre des mains expérimentées, une profondeur énorme. En revanche, l’utilisation est moins auto-explicative. Il faut vraiment comprendre les profiles, inspection modes et l’héritage de policy.

La différence est donc moins « qui sait faire Web Protection » que « qui peut l’exploiter proprement dans sa propre équipe ». Sophos facilite l’entrée. Fortinet donne plus de réglages fins.

Pour les Security Engineers, un autre point est important : TLS Inspection n’est pas seulement une fonctionnalité, mais un modèle d’exploitation. Distribution de certificats, exclusions, catégories Banking/Health/Privacy, QUIC, HTTP/3, performance, troubleshooting et protection des données doivent être clarifiés proprement. Ici, je ne déciderais jamais uniquement sur fiche technique. Je ferais un vrai pilote avec les applications les plus importantes et mesurerais ce qui casse au quotidien.

IPS et TLS Inspection

Sur IPS et TLS Inspection, les deux constructeurs arrivent avec de fortes promesses. Sophos parle de Xstream Architecture, Single Streaming DPI Engine, inspection TLS 1.3 et FastPath pour les applications de confiance. Fortinet parle de FortiASIC, Security Processors, services FortiGuard et hautes performances grâce à l’hardware offloading.

Mais la question décisive n’est pas de savoir quel constructeur a la plus belle slide d’architecture. Ce qui compte, ce sont les profils de charge que l’on a réellement :

  • Quelle quantité de trafic est réellement déchiffrée ?
  • Combien d’utilisateurs sont rattachés par appliance ?
  • Quelles applications fonctionnent de manière stable via TLS Inspection ?
  • Combien de profils IPS sont actifs ?
  • Quelles exceptions sont nécessaires ?
  • Que se passe-t-il lors de gros téléchargements, avec SaaS, VoIP, visioconférences et mises à jour ?
  • Comment HA se comporte-t-il sous charge ?

Fortinet a un avantage de performance dans beaucoup de scénarios, surtout lorsque du matériel adapté avec accélération ASIC est utilisé et que le design correspond. Sophos XGS est également performant, mais chez Sophos je vérifierais plus précisément combien de TLS Inspection et d’IPS sont réellement exécutés simultanément. Non pas parce que Sophos ne saurait fondamentalement pas le faire, mais parce que les valeurs marketing deviennent vite sans importance en pratique dès que de vraies policies, de vrais utilisateurs et de vraies exceptions entrent en jeu.

Mon conseil : chez les deux constructeurs, ne pas acheter une appliance uniquement selon le débit firewall théorique. Ce qui compte, c’est le débit avec les fonctions de protection activées dont vous avez réellement besoin.

WAF et Reverse Proxy

WAF est un bon exemple de la diversité des attentes possibles.

Sophos Web Server Protection est pratique pour beaucoup de scénarios Reverse Proxy classiques. On peut publier des serveurs web internes, gérer des certificats, utiliser Let’s Encrypt, définir des policies, considérer Form Hardening, URL Hardening, Cookie Signing et désormais aussi des sujets MFA. Pour de petits et moyens environnements, c’est souvent exactement ce qu’il faut.

Mais ce n’est pas une WAF Enterprise complète au sens d’un produit spécialisé avec une logique App-Security profonde, Bot-Management, API-Security, sécurité positive étendue, mode d’apprentissage et énormes workflows de tuning. Sophos documente aussi des limites concrètes : maximum 60 règles WAF, pas de support WebDAV et pas de support des versions Microsoft Exchange ultérieures à 2013 dans les templates WAF. Le passthrough WebSocket est possible, mais Sophos indique lui-même qu’aucun contrôle n’est appliqué dans ce cas à cause du format du protocole. Donc si vous voulez protéger proprement Nextcloud, des scénarios Exchange modernes, des APIs ou des applications très WebSocket, il faut tester très précisément.

FortiGate lui-même propose des fonctions WAF/Web-Application-Firewall dans le cadre des Security Profiles, mais dans le portefeuille Fortinet, FortiWeb est le vrai produit WAF sérieux. C’est important pour la comparaison : Sophos Firewall a une WAF intégrée qui peut être étonnamment utile au quotidien. Fortinet a un produit WAF spécialisé plus fort, mais pas automatiquement dans la même logique d’exploitation et de licence que FortiGate.

Ma vision pratique : si vous voulez publier proprement quelques services web internes, Sophos est souvent agréable. Si WAF est un sujet AppSec stratégique, je ne verrais ni Sophos Firewall ni FortiGate seuls comme réponse, mais j’examinerais une architecture WAF dédiée.

E-Mail Security

E-Mail Security est toujours un peu délicat dans une comparaison firewall, parce que beaucoup de clients ne veulent en réalité plus que le firewall soit leur couche principale de sécurité mail. Dans les environnements Microsoft 365, les décisions les plus importantes se situent souvent autour d’Exchange Online Protection, Microsoft Defender for Office 365, DMARC, DKIM, SPF, awareness, post-delivery response et d’un processus SOC propre.

Côté firewall, Sophos a le mode MTA, des mail policies, le chiffrement SPX et des fonctions classiques de protection e-mail. En plus, il existe Sophos Email dans Central, désormais avec Sophos Email Plus, DMARC Manager et d’autres fonctions message. J’ai écrit séparément sur Sophos Email Plus : Sophos Email Plus : valeur ajoutée ou upsell ? .

Mais il faut être honnête : l’E-Mail Security sur Sophos Firewall paraît aujourd’hui vieillissante. Ce n’est pas un secret que Sophos laisse certes ce module continuer à tourner, mais que depuis des années, aucune fonction vraiment pertinente n’y arrive plus. Stratégiquement, Sophos veut clairement pousser les clients vers Sophos Central et Sophos Email. Techniquement, cela peut être judicieux, mais côté prix, c’est pour beaucoup de clients nettement plus cher que l’ancien modèle « c’est inclus sur le firewall ».

Fortinet a des fonctions de filtrage e-mail sur FortiGate, mais le vrai produit dédié est FortiMail. Celui qui évalue sérieusement Fortinet pour E-Mail Security devrait donc regarder FortiMail, et pas seulement la liste de fonctionnalités FortiGate.

Mon avis : aujourd’hui, je n’achèterais pas un firewall parce qu’il « sait aussi faire de l’e-mail ». L’e-mail est trop important. Si la stack existante est Microsoft 365, toute solution additionnelle doit tenir la comparaison avec Microsoft Defender for Office 365 et avec des fournisseurs spécialisés. Sophos a avec Sophos Email un complément proche de Central, Fortinet a avec FortiMail un produit spécialisé mature. Le firewall lui-même ne devrait plus être l’argument principal ici.

Central Management

Sophos Central est l’un des arguments les plus forts pour Sophos lorsqu’il s’agit de management firewall. Voir plusieurs firewalls de manière centralisée, vérifier les versions firmware, disposer de backups, de reporting et d’une administration de base depuis le cloud est agréable au quotidien. Surtout pour les petites équipes, cela vaut beaucoup de ne pas devoir exploiter en plus une appliance de management séparée, un système de reporting propre et plusieurs consoles.

Sophos Central paraît plus accessible à beaucoup d’admins qu’une stack Fortinet classique composée de FortiGate, FortiManager, FortiAnalyzer, FortiClient EMS et d’autres composants. Ce n’est pas un petit argument lorsque l’équipe compte peu de personnes et que l’exploitation firewall n’est pas le seul travail.

Mais Sophos Central n’est pas automatiquement meilleur uniquement parce qu’il est central. Les fonctions de base sont là, mais beaucoup d’entre elles donnent la même impression depuis des années. Voir plusieurs firewalls, vérifier les versions firmware, gérer les backups et déployer des paramètres simples : oui, cela fonctionne. Mais dès que l’on veut plus que « définir ce paramètre partout de la même manière » ou ajouter quelques objets host, cela devient vite laborieux. Pousser proprement des paramètres globaux sur plusieurs firewalls n’est pas vraiment bien résolu et entraîne dans les environnements plus complexes plutôt des maux de tête que moins de travail.

Certaines fonctions firewall sont meilleures localement que dans Central. Certains workflows d’audit et de change ne semblent pas encore aussi adultes qu’ils devraient l’être. Et c’est précisément pour cela que Config Studio V2 est pour moi un signal à double tranchant : il montre que Sophos comprend quelles fonctions d’analyse et de modification les admins ont besoin. Mais il montre aussi que ces fonctions ne vivent pas là où je les attends en réalité.

Fortinet est différent ici. FortiManager et FortiAnalyzer sont des outils puissants, mais ce sont des produits à part entière. Pour les grands environnements, ce n’est pas un inconvénient, mais un avantage. ADOMs, templates, révisions, packages de policies centralisés, reporting, logging et workflows correspondent bien à une exploitation professionnelle. Pour les petites équipes, c’est précisément cela qui peut être trop lourd.

FortiGate Cloud se situe entre les deux. Ce n’est pas un remplacement de FortiManager pour une gouvernance stricte, de grands environnements ou des packages de policies complexes, mais il peut fournir un management central simplifié, du reporting, de l’analyse de trafic, de la gestion de configuration et de la Log Retention sans appliance de management dédiée. C’est important, parce que Fortinet ne se résume pas à « FortiGate local ou stack FortiManager complète ». Malgré tout, mon impression reste la suivante : dès que la change governance, les révisions, la gestion centralisée de flotte et un long historique de logs deviennent sérieux, on arrive chez Fortinet nettement plus vite à des produits de plateforme supplémentaires.

Mon évaluation : Sophos gagne pour le management firewall cloud simple. Fortinet gagne pour la gestion professionnelle de flottes firewall dans les grands environnements.

Logging et Reporting

Pour moi, le logging est une fonction de sécurité, pas seulement un point de confort. Si les logs manquent, arrivent lentement ou sont difficiles à corréler, un problème firewall devient immédiatement un problème de détection.

Sophos propose du reporting on-box et Central Firewall Reporting. C’est pratique pour beaucoup d’environnements, parce qu’on obtient rapidement des vues exploitables sans système supplémentaire de type FortiAnalyzer. Dans le monde Sophos, cela correspond bien à l’idée que même de petites équipes doivent voir centralement ce qui se passe.

La documentation officielle Sophos distingue grossièrement trois niveaux : données Central Firewall Reporting gratuites jusqu’à sept jours, Xstream Protection jusqu’à 30 jours et Central Firewall Reporting Advanced jusqu’à un an. En pratique, l’utilisabilité réelle dépend naturellement du volume de données généré et du modèle. Malgré tout, c’est une bonne approche, parce que le reporting ne démarre pas immédiatement comme son propre projet.

Mais il faut rester propre ici aussi : Central Firewall Reporting est cloud-only et coûte en supplément. En pratique, selon l’offre et la région, on se situe vite autour d’un peu plus de 100 dollars par an et par firewall pour 100 GB de stockage. Ce n’est pas absurdement cher, mais ce n’est justement pas simplement « inclus gratuitement » dès que l’on a besoin de plus d’historique et de plus de données.

Le logging sur l’appliance elle-même fonctionne, mais à mon avis il n’est pas vraiment pensé pour analyser sérieusement de longues périodes. Pour quelques jours de troubleshooting, cela convient. Si l’on a besoin de rapports historiques, d’analyses de conformité ou d’analyses propres sur de plus longues périodes, on revient à Central Firewall Reporting ou à un système de logs externe. Et si Log Viewer, la base de données de reporting ou les uploads Central posent problème, je perds confiance. La confiance dans les logs est fondamentale.

Fortinet est fort avec FortiAnalyzer lorsqu’il est exploité proprement. Le produit n’est pas seulement une jolie interface de reporting, mais une partie de l’architecture d’exploitation. Logs, events, reports, IOC, intégration Fabric et analyses à long terme y sont nettement plus matures qu’un reporting minimal on-box. L’inconvénient : c’est à nouveau une brique supplémentaire qui doit être planifiée, licenciée, exploitée et comprise.

Pour un firewall seul, Sophos est souvent plus simple. Pour beaucoup de firewalls et de vrais processus Security Operations, FortiAnalyzer est difficile à ignorer. FortiGate Cloud peut partiellement combler l’écart pour les petits setups Fortinet, mais cela ne change rien au fait que Fortinet pense ses workflows de reporting et d’analyse vraiment forts comme une architecture de plateforme.

API et automatisation

Si je regarde seulement l’automatisation, Fortinet est devant pour moi. FortiOS a une forte culture CLI, une REST-API, des options d’automatisation, des workflows FortiManager et une grande communauté d’exemples. Ceux qui veulent exploiter des firewalls comme infrastructure trouvent chez Fortinet plus de matière, plus de maturité et plus de profondeur engineering.

Sophos a une API et améliore l’accès progressivement. Mais conceptuellement, cela reste une API firewall basée sur XML avec HTTP-POST et des tags XML propres, pas l’expérience REST la plus agréable. Dans SFOS v22, les contrôles d’accès API ont été améliorés, notamment avec des objets IP-Host et des sources autorisées étendues. Config Studio V2 peut aussi sortir des modifications de configuration sous forme API ou curl. C’est intéressant.

Mais c’est là que revient ma critique : lorsqu’un outil externe fournit soudain une meilleure préparation des changes, des analyses bulk et une sortie API que l’expérience admin native, ce n’est pas un pur progrès. C’est aussi un symptôme. Sophos avance, mais pour les équipes qui prennent l’automatisation au sérieux, Fortinet paraît plus adulte. Fortinet propose FortiOS-REST-API, FortiManager-JSON-RPC, des providers Terraform officiels et un large support Ansible. Pour NetOps et les changes répétables, c’est un autre niveau de maturité.

Sophos suffit si l’on veut automatiser certaines tâches et mieux documenter les configurations. Fortinet est plus attractif si les changes firewall doivent faire partie d’une discipline NetOps ou GitOps plus large.

Performance

La performance est le domaine dans lequel Fortinet se présente traditionnellement avec beaucoup d’assurance. Et pas sans raison. Les appliances FortiGate sont fortement orientées débit et offloading avec FortiASICs et Security Processors. En particulier sur le rapport prix/performance, Fortinet paraît souvent très attractif, surtout sur les appliances entry et midrange.

Sophos XGS avec Xstream Flow Processor est également nettement meilleur que la perception passée des firewalls Sophos. Xstream FastPath, TLS Inspection, DPI et matériel moderne ne doivent pas être sous-estimés. Dans beaucoup de scénarios PME et midmarket, Sophos peut être dimensionné de manière absolument suffisante.

Un point est toutefois souvent oublié : le Xstream Flow Processor est un avantage des appliances hardware. Dans des déploiements virtualisés sur Azure, AWS, VMware ou Hyper-V, on ne dispose pas de cet avantage de processeur dédié. Et c’est précisément là que migrent de plus en plus de workloads firewall, au moins pour les périmètres cloud, les environnements de labo, les sites temporaires ou les architectures hybrides. Je ne suis donc pas sûr de savoir combien de temps Sophos pourra encore présenter cette architecture centrée hardware comme un argument aussi central.

Malgré tout, je verrais généralement Fortinet devant pour la performance pure et les grands réseaux distribués. Cela ne veut pas dire que Fortinet est automatiquement le meilleur choix. Une performance dont on n’a pas besoin se paie quand même. Et un firewall rapide avec des policies mal maintenues reste un risque.

En même temps, il faut évaluer correctement le rapport prix/performance. Fortinet paraît souvent fort en débit par appliance. Mais dans le package, Sophos offre souvent beaucoup pour le prix, surtout si l’on intègre dans l’évaluation Central Management, la logique de licence HA, Web Protection, WAF et la facilité d’utilisation. La question importante n’est donc pas : qui a la plus grande valeur sur fiche technique ? La bonne question est : quelle plateforme gère votre jeu de policies réel avec IPS, TLS Inspection, Web Protection, VPN, logging et HA avec suffisamment de réserve, et à un prix que vous acceptez encore au renouvellement ?

HA et stabilité

High Availability est un domaine dans lequel je deviens très peu romantique. HA n’est pas là pour être joliment vert dans le dashboard. HA doit fonctionner exactement dans les moments où le pouls est déjà élevé : upgrade firmware, problème électrique, panne WAN, appliance défectueuse, risque split-brain, disque de logs plein, problème de certificat, modification de routing.

Sophos a un argument de licence fort sur HA. Le licensing d’une paire Active-Passive est agréable du point de vue client. C’est un vrai avantage et cela peut être pertinent dans les analyses TCO. Techniquement, il faut toutefois regarder de près : Sophos documente lui-même qu’en cas de failover, tous les types de trafic ne sont pas traités de la même manière. Le TCP forwarded, NAT compris, est en principe couvert, les requêtes web peuvent tomber et être retentées par le navigateur, et IPsec a ses propres limites selon le type de tunnel et de protocole.

Mais la logique de licence ne remplace pas la stabilité. Dans les dernières versions, j’ai vu trop de sujets réels chez Sophos : changements d’état HA, comportement de restart, problèmes d’upgrade, sujets liés au disque de logging, interfaces, WAF, Let’s Encrypt et services SSL-VPN. v22 MR1 nettoie un certain nombre de choses, mais cela montre justement aussi que v22 GA et les premiers builds n’étaient pas le point où l’on déploie sereinement dans beaucoup d’environnements.

Fortinet a également des bugs. Ceux qui exploitent FortiOS 7.2, 7.4, 7.6 ou des trains plus récents connaissent les sujets mémoire, Conserve Mode, régressions et la question habituelle de savoir quel patch train est vraiment stable. Fortinet n’est pas un ange magique de la stabilité. À cela s’ajoute la pression CVE. FortiGate est en bordure réseau et est intensivement attaqué. Quand un advisory PSIRT critique arrive, un patch planifié peut rapidement devenir un change urgent.

La différence est la suivante : chez Fortinet, je planifie plutôt davantage de processus patch et security advisory. Chez Sophos, je planifie actuellement plutôt davantage de maturité firmware, bugs et workarounds opérationnels. Les deux demandent de la discipline.

Licensing et coûts

Sur le licensing, il faut être très prudent, parce que les prix dépendent fortement de la région, de la durée, des bundles, du renouvellement, du modèle, du canal d’achat et de la négociation. Je ne donnerais pas de chiffres ici si je ne les ai pas proprement issus d’une offre concrète.

Fondamentalement, Sophos paraît souvent plus simple. Xstream Protection, Central Firewall Management, Central Firewall Reporting, licensing HA et une idée de bundle firewall relativement claire rendent la discussion plus lisible. Cela ne signifie pas automatiquement que Sophos est moins cher. Mais l’histoire d’achat est souvent plus facile à expliquer.

Ce qui m’irrite toutefois régulièrement chez Sophos : la logique de prix ressemble parfois à un discounter bas de gamme où chaque produit est actuellement plus ou moins remisé. Il y a presque toujours une promo quelconque, souvent même plusieurs en même temps. Cela ne veut pas dire que Sophos ne serait pas sérieux. Les produits sont sérieux, et les remises peuvent être très attractives pour les clients. Mais l’effet extérieur est parfois étrange. Si l’on a l’impression que tout le monde obtient toujours un prix spécial, on finit par se demander ce que le prix catalogue veut encore dire.

Fortinet paraît souvent très attractif sur le prix de l’appliance et la performance. Cela peut être particulièrement fort sur les petits et moyens modèles FortiGate. Mais le prix total dépend vite des FortiGuard-Bundles, FortiManager, FortiAnalyzer, FortiClient EMS, FortiAuthenticator, FortiSASE, FortiWeb, FortiMail, du niveau de support et du modèle d’exploitation. Fortinet n’est alors plus simplement une « appliance rapide bon marché », mais une plateforme avec de nombreuses briques.

Mon conseil : ne comparez pas firewall contre firewall, mais architecture cible contre architecture cible. Donc Sophos Firewall plus Central Management, Reporting, ZTNA ou e-mail seulement si vraiment nécessaire, contre FortiGate plus FortiManager, FortiAnalyzer, FortiClient, FortiSASE, FortiMail ou tout ce qui est réellement nécessaire. C’est seulement là que l’on voit le TCO.

Support

Le support est difficile à comparer équitablement, parce que l’expérience dépend fortement du niveau de support, de la région et du case concret. Malgré tout, le support est déterminant à l’achat.

En pratique, chez nous, c’est ainsi : quand nous ouvrons des support cases dans l’entreprise, ce sont rarement des questions simples. Les choses simples, en tant que Security Engineer, on les résout généralement soi-même. Les cas qui arrivent chez le constructeur sont ceux qui sont complexes, difficiles à reproduire ou profondément liés au produit. De tels cases prennent de toute façon plus de temps, quel que soit le constructeur.

Je ne veux pas vraiment juger le support Fortinet, parce que cela fait trop longtemps que je ne l’ai plus utilisé activement. Il serait injuste d’en tirer aujourd’hui un jugement dur.

Le support Sophos a été vraiment merdique à une époque. Il faut le dire aussi clairement. Aujourd’hui, à mon avis, il est devenu plutôt bon, mais cela dépend encore fortement du supporteur sur lequel on tombe. Parfois, on a quelqu’un qui comprend le problème et escalade proprement. Parfois, on remarque après deux réponses qu’il faut d’abord passer par des questions standard, alors que le problème se situe depuis longtemps plus bas.

Pour les deux constructeurs, une bonne voie d’escalade vaut de l’or. Surtout pour des firewalls, on n’achète pas seulement du hardware et une licence, mais aussi la capacité à joindre rapidement quelqu’un qui comprend vraiment le produit en cas d’urgence.

Usability au quotidien

Ici, Sophos gagne souvent au premier regard. L’UI firewall est plus compréhensible pour beaucoup de personnes. On trouve plus vite ce que l’on cherche. Les règles se lisent mieux. Beaucoup de fonctions sont bien expliquées. Pour les équipes qui ne construisent pas des firewalls tous les jours, c’est un vrai avantage.

Fortinet est très agréable pour les engineers expérimentés une fois que l’on a compris la logique. La CLI est puissante, la structure est cohérente, le debugging peut aller très loin, et beaucoup de choses peuvent être exprimées précisément. Mais la courbe d’apprentissage est plus raide.

Sophos perd des points quand les jeux de règles deviennent grands et que l’on remarque que les bulk operations, change diffs, nettoyage d’objets, clonage NAT, meilleurs audit trails et fonctions de recherche plus profondes ne sont pas aussi élégants qu’ils devraient l’être. C’est exactement là que Config Studio V2 est à la fois passionnant et agaçant. J’aime l’idée de pouvoir mieux lire, comparer et préparer des configurations. Mais je trouve extrêmement discutable que Sophos ne fournisse pas de telles fonctions admin de manière plus conséquente dans SFOS ou Sophos Central eux-mêmes.

Fortinet perd des points lorsqu’une équipe n’a pas envie ou pas le temps d’apprendre vraiment FortiOS. Une FortiGate mal exploitée peut très vite devenir confuse. Fortinet récompense le savoir. Sophos pardonne davantage au début.

Vitesse de développement et roadmap

Ce point est pour moi l’un des plus importants en ce moment.

Fortinet paraît rapide. On peut lever les yeux au ciel devant des termes marketing comme AI, Fabric, SASE et Quantum-Safe, mais Fortinet livre en continu de nouveaux sujets de plateforme, maintient FortiOS largement, développe SD-WAN et SASE, et a déjà avec FortiOS 8.0 le prochain grand récit sur le marché.

Sophos paraît plus lent. SFOS v22 apporte des sujets d’architecture importants, et v22 MR1 est une étape nécessaire. Mais beaucoup de sujets d’ergonomie admin semblent avancer trop lentement depuis des années. L’UI firewall n’a pas évolué au rythme que je souhaiterais. Central Firewall Management est utile, mais pas assez profond partout. Et Config Studio V2 est pour moi presque le symbole parfait : Sophos construit des fonctions utiles, mais en dehors du lieu de travail réel.

Ce n’est pas seulement une question de goût. La vitesse de développement influence les coûts d’exploitation. Si un constructeur laisse dix petites douleurs admin traîner pendant des années, chaque équipe les paie en clics, workarounds, documentation, troubleshooting et frustration. Fortinet livre plus vite des fonctions visibles, mais porte aussi plus de risque à cause de l’étendue fonctionnelle, des migrations et de la pression des advisories. Sophos livre plus lentement, mais investit visiblement dans le durcissement, Health Check et l’architecture interne. La question est de savoir quel tradeoff correspond le mieux à votre exploitation.

C’est pourquoi ma conclusion ici est claire : Fortinet paraît plus dynamique sur le plan de la stratégie produit. Sophos paraît souvent plus pragmatique, mais trop lent. Celui qui achète Sophos aujourd’hui ne devrait pas seulement vérifier la liste de fonctionnalités actuelle, mais aussi se demander honnêtement s’il peut vivre avec le rythme de développement.

Où Sophos a clairement du sens

Je privilégierais sérieusement Sophos Firewall si plusieurs de ces points s’appliquent :

  • Vous utilisez déjà Sophos Central de manière intensive pour le management firewall ou vous voulez précisément ce modèle d’exploitation.
  • L’équipe admin est petite et a besoin d’une interface compréhensible.
  • L’architecture réseau n’est pas extrêmement grande ni très orientée routing.
  • Security Heartbeat, Active Threat Response et une vue firewall centralisée sont plus importants que la profondeur CLI maximale.
  • Le licensing HA et une logique de plateforme simple sont déterminants à l’achat.
  • Web Protection, WAF pour des scénarios Reverse Proxy typiques et SD-WAN maîtrisable suffisent.
  • Vous voulez une solution que des Security Engineers et des admins généralistes peuvent exploiter ensemble.

Sophos n’est pas le firewall que je choisirais si je cherchais le système d’exploitation réseau le plus profond techniquement. Mais il peut être le meilleur firewall si l’exploitation réelle doit être plus simple, plus intégrée et plus compréhensible.

Où Fortinet a clairement du sens

Je privilégierais Fortinet si ces points sont au premier plan :

  • De nombreux sites, un routing complexe ou un SD-WAN exigeant.
  • Un fort besoin de FortiManager, FortiAnalyzer, templates et gestion centralisée des policies.
  • De fortes exigences de performance avec IPS, TLS Inspection et VPN.
  • Une équipe qui maîtrise réellement la CLI, le debugging et l’architecture Fortinet.
  • Fortinet Security Fabric est déjà défini stratégiquement.
  • FortiSASE, FortiClient EMS, FortiMail, FortiWeb ou FortiAnalyzer font partie de la cible.
  • Position sur le marché, scalabilité et large écosystème technique sont des critères importants.

Fortinet n’est pas automatiquement plus agréable. Mais dans les grands environnements techniquement exigeants, c’est souvent la plateforme la plus forte.

Alternative Fortigate : Sophos est-il une bonne alternative ?

Oui, Sophos peut être une très bonne alternative à FortiGate, mais pas dans tous les scénarios.

Quand quelqu’un cherche « Fortigate Alternative », il veut souvent dire : je veux moins de complexité, moins de stress CVE Fortinet, une interface plus agréable ou un management firewall centralisé plus simple. C’est précisément là que Sophos est intéressant. Sophos Firewall n’est pas une copie de FortiGate, mais un autre modèle d’exploitation.

En revanche, celui qui utilise FortiGate pour le SD-WAN, la performance, FortiManager, FortiAnalyzer, la CLI et une grande exploitation réseau ne percevra pas automatiquement Sophos comme un remplacement. On peut migrer, mais il faut vérifier honnêtement quelles fonctions Fortinet sont réellement utilisées. Surtout avec ADVPN, du NAT complexe, de nombreux VDOMs, des templates FortiManager et une utilisation profonde de FortiAnalyzer, un passage à Sophos peut être davantage un projet qu’un simple changement de produit.

Comment je testerais les deux firewalls

Si la décision est vraiment ouverte, je ne commencerais pas par les fiches techniques. Je commencerais par un petit lab inconfortablement réaliste. Pas avec du trafic synthétique best case, mais avec précisément les choses qui causeront plus tard des problèmes en exploitation.

Le premier test serait un test de jeu de règles. Je construirais des règles typiques : client vers Internet avec Web Protection et TLS Inspection, serveur vers serveur avec services restreints, DNAT pour une application web interne, accès hairpin depuis le LAN, Site-to-Site-VPN, quelques groupes utilisateurs et des exceptions ciblées. Ensuite, je vérifierais à quelle vitesse un autre engineer comprend ce qui a été construit. Cela paraît banal, mais c’est brutalement honnête. Un firewall que seul l’admin d’origine comprend n’est pas un bon modèle d’exploitation.

Le deuxième test serait un test de troubleshooting. J’introduirais volontairement des erreurs : mauvais NAT, TLS Inspection cassée, application SaaS bloquée, faux positif IPS, mismatch VPN phase 2, problème DNS, chemin retour asymétrique. Puis je mesurerais à quelle vitesse l’équipe arrive à la cause avec les logs, packet capture, policy lookup, CLI et reporting. Ici, l’utilisabilité se sépare très vite du marketing.

Le troisième test serait un test de change. Comment se ressent une vraie modification ? Créer un objet, l’utiliser dans plusieurs règles, activer le logging pour plusieurs règles, cloner du NAT, construire une exception web, déplacer une policy, comprendre un diff, préparer un rollback, documenter une modification. Sophos est souvent plus agréable au début, Fortinet devient plus fort avec CLI, FortiManager et automatisation dès que les modifications doivent être répétables.

Le quatrième test serait un test d’upgrade et HA. Je n’achèterais jamais une plateforme sans avoir d’abord joué un upgrade firmware avec HA, VPN, WAF, Web Protection, TLS Inspection et logging. Chez Sophos, ce qui m’intéresse actuellement particulièrement, c’est de savoir si la version est vraiment assez mature et si des bugs connus touchent mon use case. Chez Fortinet, ce qui m’intéresse particulièrement, c’est quel firmware train est considéré comme stable et à quelle vitesse je peux réagir à des advisories PSIRT critiques.

Le cinquième test serait un test de coûts et de modèle d’exploitation. Pas « combien coûte l’appliance ? », mais : combien coûte l’architecture cible avec management, reporting, support, Remote Access, ZTNA, WAF, composants e-mail, HA, appareil de remplacement, monitoring et capacité d’escalade ? Fortinet peut paraître très attractif sur l’appareil et devenir plus complexe ensuite avec des briques supplémentaires. Sophos peut paraître plus simple, mais si les produits additionnels et les fonctions Central ne correspondent pas exactement, tout n’y est pas automatiquement bon marché non plus.

Ce n’est qu’après ces tests que je prendrais une décision. Et si un constructeur énerve déjà en lab sur des tâches quotidiennes simples, il devient rarement magiquement meilleur en production.

Ma recommandation personnelle

Si un Security Engineer me demande : « Sophos Firewall vs Fortinet, qu’est-ce que je dois acheter ? », je ne réponds pas par un nom de constructeur. Je demande d’abord quelle est l’équipe, quel est le modèle d’exploitation et quel est le risque.

Pour une PME avec peu de sites, un Remote Access normal, un SD-WAN maîtrisable, Sophos Central et une petite équipe admin, je recommanderais Sophos très sérieusement. Pas parce que Sophos est meilleur partout. Mais parce que le firewall est souvent plus exploitable dans ce contexte et demande moins de connaissances spécialisées au quotidien.

Pour une entreprise avec beaucoup de sites, une équipe réseau forte, un SD-WAN exigeant, de fortes exigences de performance et une gestion centralisée professionnelle de flotte firewall, je recommanderais Fortinet très sérieusement. Pas parce que Fortinet est sans risque. Mais parce que la plateforme y joue ses forces.

Est-ce que je verrais malgré tout Sophos de manière critique aujourd’hui ? Oui. Très. Sophos doit accélérer. Le firewall a besoin de plus d’ergonomie admin native, de meilleurs workflows bulk, de fonctionnalités Central plus fortes et de moins de constructions d’aide externes. Config Studio est utile, mais il ne doit pas devenir une excuse pour laisser la plateforme principale avancer lentement.

Est-ce que je verrais Fortinet de manière critique ? Également oui. Fortinet est puissant, mais complexe. La surface d’attaque est visible, les équipements FortiGate sont souvent directement en bordure, et les advisories PSIRT critiques font partie de la réalité. Celui qui exploite Fortinet a besoin d’un processus de patch et de hardening discipliné. « Ça tourne depuis trois ans, on n’y touche pas » n’est pas une stratégie chez Fortinet.

Au final, ce n’est pas le constructeur avec la plus longue liste de fonctionnalités qui gagne. C’est la plateforme que votre équipe peut exploiter de manière sûre, propre et durable.

Ce que cette comparaison laisse volontairement ouvert

Je n’ai volontairement pas intégré de tableau de benchmarks générique. Des valeurs de débit sans modèles identiques, packages de licence identiques, part TLS identique, inspection mode identique et mix de trafic identique deviennent vite plus du théâtre que de la technique. Les deux constructeurs peuvent montrer des chiffres impressionnants. Les deux s’effondrent si on les dimensionne mal ou si on les exploite avec des attentes irréalistes.

Je n’ai pas non plus fait semblant que WAF, E-Mail Security, ZTNA, Reporting ou gestion centralisée de flotte étaient de pures fonctionnalités firewall. Dans de vrais projets, ce sont presque toujours des décisions d’architecture. Chez Sophos, beaucoup dépend de Sophos Central et des subscriptions adaptées. Chez Fortinet, beaucoup dépend de FortiManager, FortiAnalyzer, FortiClient EMS, FortiMail, FortiWeb ou FortiGate Cloud. Celui qui compare seulement les cases à cocher du firewall ne compare finalement pas le système qui sera réellement exploité plus tard.

Et c’est précisément pour cela que la comparaison reste si intéressante : Sophos est plus facile à apprécier. Fortinet est plus facile à penser en grand. Le meilleur côté dépend moins de la fiche technique que de la question de savoir à quel point votre exploitation est réellement mature.

FAQ sur Sophos vs Fortinet

Qu’est-ce qui est meilleur : Sophos ou Fortinet ?
De manière générale, aucun des deux n’est toujours meilleur. Sophos convient souvent mieux aux petites et moyennes équipes qui cherchent un firewall compréhensible, Sophos Central et une utilisation simple. Fortinet convient souvent mieux aux grands environnements fortement orientés réseau avec SD-WAN exigeant, haute performance et administration centralisée professionnelle via FortiManager et FortiAnalyzer.
Sophos Firewall vs Fortinet est-il plutôt une décision sécurité ou réseau ?
Les deux. Fortinet est fort lorsque l’architecture réseau, le routing, le SD-WAN, la CLI et la performance dominent. Sophos est fort lorsque l’usability firewall, Web Protection, WAF, Central Management et la simplicité d’utilisation sont plus importants. La meilleure décision ne vient pas d’une fiche technique, mais du modèle d’exploitation.
Sophos est-il une bonne alternative à Fortigate ?
Oui, si tu cherches moins de complexité, une interface plus compréhensible et une intégration Sophos Central plus forte. Comme alternative directe à FortiGate pour de très grands environnements SD-WAN, FortiManager ou FortiAnalyzer, Sophos doit toutefois être soigneusement vérifié, parce que Fortinet y a nettement plus de profondeur.
Quelles sont mes expériences Sophos Firewall par rapport à Fortinet ?
Mes expériences Sophos Firewall sont mitigées : j’aime l’utilisabilité, l’intégration Central et la logique sécurité, mais je vois actuellement trop de progrès produit lents et de bugs opérationnels. Fortinet paraît techniquement plus profond et plus rapide, mais apporte en contrepartie plus de complexité et une pression de patch plus forte à cause des vulnérabilités.

Conclusion

Je déteste moi-même les comparaisons qui ne montrent pas de vainqueur clair. On lit un long article, on veut une réponse à la fin, puis revient encore ce « ça dépend ». Mais avec Sophos vs Fortinet, ce n’est vraiment pas si simple. Les deux sont des constructeurs établis, les deux ont de vraies forces, les deux ont de vraies faiblesses, et les deux peuvent être le meilleur choix dans le bon environnement.

Sophos est le firewall le plus humain. Plus compréhensible, plus intégré, souvent plus agréable pour les petites équipes et fort lorsque Sophos Central est déjà défini. Mais Sophos doit faire attention à ne pas perdre la confiance par une évolution lente et des outils admin externalisés.

Fortinet est la plateforme réseau la plus puissante. Plus rapide, plus profonde, plus forte sur SD-WAN, management et performance. Mais Fortinet exige plus de discipline, plus de savoir-faire et un processus de patch très sérieux.

Si je devais acheter aujourd’hui, je ne demanderais pas : « Quel firewall a le plus de fonctionnalités ? » Je demanderais : « Quelle plateforme mon équipe peut-elle encore exploiter proprement pendant les mauvaises semaines ? »

Je mettrai à nouveau la situation à jour en 2027. Si Sophos rattrape visiblement son retard sur le rythme de développement, Central Management et l’UX firewall, ou si Fortinet s’améliore sur la discipline de patch, la complexité et le modèle d’exploitation, cela doit entrer dans l’évaluation. Une telle comparaison n’est pas une décision religieuse éternelle, mais une photo à un instant donné avec une date d’expiration.

Pour moi, c’est la vraie réponse.

À la prochaine,
Votre Joe

Sources

Related Posts

Sophos Firewall Config Studio V2 : bien plus qu'un viewer

Sophos Firewall Config Studio V2 : bien plus qu'un viewer

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall v22 MR1 : faut-il mettre à jour maintenant ou attendre ?

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

Sophos Firewall : Pas de CVE, mais truffé de bugs (v21.5 à v22)

© 2026 trueNetLab

Rechercher