Guide d’achat : quel pare-feu nouvelle génération “UTM/NGFW” ?

Ce qui différencie un pare-feu de nouvelle génération (NGFW) d’un pare-feu classique est sa capacité à analyser, reconnaître, contrôler et filtrer le trafic réseau au niveau de la couche applicative. Alors qu’un pare-feu classique se contente essentiellement de surveiller des ports, de bloquer des paquets et parfois même de filtrer des URLs/IPs, un NGFW permet par exemple d’interdire l’usage de certaines applications, d’interdire la publication de nouveaux messages tout en autorisant la lecture des murs Facebook, de bloquer le téléchargement de certains types de fichiers ou encore de bloquer le transfert d’un virus ou d’un programme vérolé. Alors que le pare-feu agit sur les basiques des transferts réseaux, le NGFW s’intéresse, lui, davantage aux usages.

Voici tout ce qu’il faut savoir avant d’opter pour un tel équipement et choisir celui qui correspond le mieux à vos besoins et votre budget.

Pourquoi passer à un NextGen Firewall ?

Les attaques contre les réseaux, ressources et utilisateurs des entreprises ont considérablement évolué ces dernières années (cf plus loin) et les cybercriminels, hackers et autres hacktivistes disposent de tout un arsenal d’outils et de techniques pour contourner les mesures de sécurité traditionnelles.

Parallèlement, les applications ont elles aussi considérablement évoluées. Les solutions SaaS (comme Salesforce, Office 365 ou Google Apps) traversent le pare-feu sans contrôle et la plupart des services à l’instar de Gmail ou même Facebook font désormais appel à HTTPS autant pour masquer leur activité que protéger les échanges.

Source: PaloAlto Networks

Heureusement, une nouvelle génération de pare-feu se montre désormais capable de détecter et de bloquer les nouvelles menaces mais aussi de surveiller et protéger les activités des utilisateurs. Un tel pare-feu ne se contente plus d’analyser les paquets entrants/sortants mais intègre des fonctionnalités plus avancées comme un IPS (Intrusion Prevention System) agissant à divers niveaux (aussi bien au niveau de la couche de transfert que des couches applicatives) ainsi que des systèmes de signatures pour détecter malwares et schémas d’attaques.

On trouve sur ce marché de purs acteurs des pare-feu comme Cisco Systems (et son acquisition de Sourcefire), Check Point, Fortinet, JuniperNetworks, Barracuda ou Palo Alto Networks. On y trouve aussi d’autres acteurs notamment venus du marché des solutions de sécurité en appliance et de l’anti-malware tels que WatchGuard, Blue Coat Systems,FireEye,Sophos,McAfee(Stonesoft), Dell (SonicWall), ou Huawei Technologies. Il existe même des acteurs 100% français commeArkoon et sa marque StormShield, une filiale d’Airbus Defense & Space.

L’objectif de cette nouvelle génération de pare-feu n’est pas de remplacer tous ceux existant aux frontières du système d’information ou sur les postes de travail (rappelons que tous les postes Windows incorporent un pare-feu activé par défaut depuis XP SP2). Il faut savoir les utiliser à bon escient et les placer aux endroits du réseau où ils sont résolument stratégiques.

Bien évidemment, ces nouveaux pare-feu ne sont qu’une arme de plus dans l’arsenal défensif. Ils ne se suffisent pas à eux-mêmes et il serait utopique de penser que leur simple intégration dans l’infrastructure informatique de l’entreprise suffit à la préserver de tout danger. La sécurité à 100% n’existe pas, et comme les tests du NSS Labs l’ont récemment démontré toutes les solutions du marché sont susceptibles d’être perméables à au moins une technique d’évasion parmi les millions de combinaisons possibles.

NGFW ou UTM ?

Pour désigner ces nouvelles appliances de sécurité multicompétences, les constructeurs utilisent parfois le terme NGFW (Next Gen FireWall) ou UTM (Unified Threat Management) voire USG (Unified Security Gateway). Aujourd’hui, tous ces termes désignent des boîtiers aux fonctionnalités très similaires pour ne pas dire identiques. La différenciation est historique et marketing. Le terme NGFW a été utilisé au départ par Gartner pour désigner les nouvelles appliances des fabricants traditionnels de pare-feu qui incorporaient des fonctionnalités IPS et de supervision applicative. Le terme UTM a été utilisé quant à lui par IDC pour désigner des appliances réseau créées par des acteurs plus connus pour leurs solutions anti-malwares et dérivant souvent de celles-ci. Mais les concepts d’UTM et de NGFW fusionnent.

Aujourd’hui, on utilise plus volontiers le mot UTM pour désigner des appareils « entrée de gamme », destinés aux petites et moyennes entreprises et gérant un nombre limité d’utilisateurs (quelques dizaines). Le terme NGFW est en revanche davantage employé pour désigner des solutions d’entreprise fortement focalisées sur les capacités en matière de bande passante afin de soutenir des centaines d’utilisateurs.

Notre sélection :

Cliquez deux fois pour voir le tableau en grandhttp://cybermap.kaspersky.com/

Pourquoi le pare-feu reste-t’il indispensable ?

Les menaces qui ciblent les entreprises ne cessent d’évoluer. Ces attaques sont de plus en plus ciblées et de plus en plus sophistiquées.

* Les malwares et les botnets sont de plus en plus sophistiqués, de plus en plus discrets, et ne s’arrêtent pas par un simple blocage de ports.

* Les APT (Advanced Persistent Threats) s’installent sur le long terme au cœur des infrastructures. Leur objectif principal consiste à implanter des mécanismes qui permettent de voler des informations et des identités sans être repérés. C’est la clé du business des cybercriminels. De fait, ces APT peuvent être actives durant de nombreux moins et parfois même des années avant d’être détectées et éradiquées.

* Les AET (Advanced Evasion Techniques) sont l’un des nouveaux moyens d’implantation des APTs. Les cybercriminels utilisent différentes techniques d’évasion pour échapper aux protections réseau. Les techniques les plus simples consistent à altérer les ports standards des applications protégées pour les faire utiliser des ports autorisés, à glisser des activités interdites au sein d’un protocole autorisé (comme le VPN), à chiffrer les contenus malveillants. Aujourd’hui, les techniques avancées (AET) combinent plusieurs mécanismes et divisent les attaques en actions autorisées – car jugées individuellement non dangereuses – qui, une fois regroupées et combinées, forment une menace.  

* Les attaques par déni de service (DDoS) sont de plus en plus répandues et désormais à la portée de n’importe qui, y compris votre grand-mère. On trouve en effet très aisément sur Internet des services en ligne façon SaaS (Software As A Service) qui permettent, moyennant quelques euros, de porter une telle attaque contre n’importe quel serveur, site ou entreprise. La plupart du temps, ces attaques cherchent à rendre inaccessible un site ou un eCommerce avec parfois du chantage à la clé (arrêt des attaques contre une rançon). Quelquefois ces attaques sont aussi là pour créer un bruit de fond afin de masquer une intrusion plus sournoise.

Parce qu’ils sont au cœur du réseau, les pare-feu conservent une place stratégique pour parer les cybercriminels. Mais face à cette variété de menaces et de techniques cybercriminelles, les pare-feu classiques ne suffisent plus et ne peuvent plus jouer le rôle de gardien qu’on leur attribuait autrefois. Les techniques d’évasion permettent de les contourner bien trop facilement. Car les concepts des pare-feu classiques (SPI Firewalls) ont été créés bien avant l’invasion des malwares et du Web 2.0.

Philosophie générale

Un pare-feu « nouvelle génération » combine les fonctionnalités d’un pare-feu classique avec un ensemble d’autres boucliers défensifs autrefois commercialisés séparément, à commencer par un IPS intelligent et une protection anti-malware avancée. En embarquant ainsi davantage d’intelligence, ils permettent de simplifier l’infrastructure en limitant la multiplication d’outils indépendants, à l’administration difficilement centralisable.

Surtout, contrairement aux précédentes générations de protections, un NGFW essaye d’avoir de la mémoire. La plupart des techniques d’évasion profitent du fait que les boucliers se superposent les uns aux autres sans véritables interactions entre eux et sans capacité à se référer à des indices antérieurs jugés inoffensifs à un instant « t » mais qui, remis en perspective avec des événements récents, peuvent trahir une attaque sophistiquée en cours.
Source: ZyxelEnfin, ces NGFW ont aussi pour vocation de fournir une vue globale du réseau en tenant compte non seulement des appareils qui y sont connectés mais aussi des utilisateurs et des applications afin de mieux appréhender les contextes et mieux cerner les comportements suspects ou à risque. Dès lors ils sont très utilisent pour analyser les usages Internet des utilisateurs de l’entreprise. Ils permettent de savoir quels utilisateurs accèdent à quels services et dans quel contexte. Ils donnent aussi toutes sortes de statistiques sur les sites les plus fréquentés, les consommations de bande passante, les applications Web en mode SaaS réellement utilisées par les collaborateurs, etc.

Avant de choisir un UTM/NGFW, il faut s’intéresser à différents points. Tout d’abord, sa richesse fonctionnelle, autrement dit les différents boucliers incorporés et leur degré d’intelligence. Ensuite, Il faut s’intéresser à sa puissance, autrement dit sa capacité à gérer assez d’utilisateurs pour satisfaire aux besoins de l’entreprise. Enfin, il faut s’intéresser à ses fonctionnalités de gestion du réseau (car le NGFW est un point névralgique de celui-ci et permet de concrétiser certains scénarios de connexion) et à la convivialité de son interface utilisateur (la complexité est l’ennemi premier de la sécurité).

Les fonctionnalités de sécurité à surveiller

On l’a dit, ces appliances combinent plusieurs technologies de sécurité au-dessus des traditionnelles fonctionnalités de pare-feu et de contrôle des ports. Parmi les fonctionnalités que l’on peut croiser sur les UTM/NGFW et dont la présence doit être vérifiée lors des choix, on retiendra :

* IPS intégré : Tous les UTM/NGFW intègrent un système de prévention et de détection d’intrusion (IPS/IDS) s’appuyant en général sur un mécanisme de règles et de signatures prédéfinies. Il décode les protocoles, réalise de l’inspection approfondie des paquets (deep packet inspection) afin de surveiller les flux entrants/sortants et reconnaît les actions potentiellement dangereuses ainsi que les attaques les plus typiques.

Source: DELL SonicWall* Le blocage par géolocalisation des IPs, par exemple pour n’autoriser le contrôle à distance que depuis les pays que vos collaborateurs visitent, ou l’accès à votre FTP que depuis les pays où vous avez des clients.

* Gestion par réputation : cette défense consiste généralement à bloquer l’accès aux IP et aux URLs de sites connus comme dangereux ou potentiellement dangereux. Certains appareils étendent la notion de « réputation » aux fichiers et même aux emails. L’idée consiste alors à bloquer automatiquement les fichiers et emails entrants provenant de sources inconnues et présentant des aspects douteux (réputation des liens intégrés, réputation du contenu, structure typique d’une menace, réputation des éléments attachés). Certains appareils vous permettent de définir vos propres règles de réputation.

* Contrôle applicatif : l’une des grandes particularités des UTM/NGFW est de comprendre la notion d’application. L’email, mais aussi les messageries instantanées, la téléphonie IP, la téléconférence, le multimédia en streaming, les applications P2P, les réseaux sociaux (Twitter, Facebook, Pinterest, etc.) ou même les recherches Web sont devenus des vecteurs potentiels de menace et des canaux d’attaque. Les NGFW aident à filtrer (et contrôler) les usages professionnels et hors professionnels de ces applications mais aussi à parer certaines attaques en vérifiant la légitimité d’utilisation de ces applications en fonction des utilisateurs et de leur contexte de connexion.

* Bouclier Anti-DDOS : Les attaques par déni de service sont un grand classique. Certains UTM/NGFW fournissent des filtres spéciaux et combinent les boucliers IPS, Réputation et Géolocalisation des IP pour nettoyer les flux entrants, jeter les paquets provenant de sources indésirables et réduire l’impact des attaques.

* Antivirus et détection APT : Aujourd’hui quasiment tous les UTM/NGFW embarquent un « antivirus » intégré (de plus en plus directement relié à une intelligence Cloud pour éviter les téléchargements de signatures) afin de détecter et bloquer les malwares et les APT. Certains sont même capables de détecter non pas uniquement les fichiers mais aussi les activités typiques des APT.

* Antispam : la plupart des UTM/NGFW intègrent également un antispam. Celui-ci analyse tous les emails entrant et élimine automatiquement ceux réputés comme dangereux soit parce qu’ils contiennent une pièce attachée vérolée, soit parce qu’ils contiennent un lien vers un site de phishing ou d’attaques par exploits.

* Fonction DLP (Data Leak Prevention) : certains UTM disposent d’une fonctionnalité qui interdit à certains utilisateurs de transférer des informations sensibles (numéro de carte bancaire par exemple) ou qui bloque les conversations, les recherches ou l’accès à des sites en fonction de mots clés. 

* Contrôle des accès mobile et VPN : Aujourd’hui les accès au système d’information depuis « l’extérieur » sont indispensables et permanents. La mobilité engendre des problématiques de sécurité nouvelles et supplémentaires. Il est essentiel de permettre un accès sécurisé à l’entreprise et de pouvoir surveiller, contrôler et gérer efficacement ces accès.

* Contrôle des utilisateurs : Les UTM/NGFW savent aussi contrôler les utilisateurs et permettent de définir des règles en fonction des utilisateurs. C’est évidemment essentiel pour personnaliser les contrôles applicatifs et les contrôles d’accès mobiles en fonction des catégories d’utilisateurs. Mais il devient ainsi possible de combiner géolocalisation, application, trafic et utilisateurs pour mieux discerner les activités suspectes.

* Outils de visualisation temps-réel : Savoir, c’est déjà en partie se protéger. Certains UTM/NGFW offrent des outils de visualisation en temps réel des activités douteuses et des menaces. D’autres permettent de façon visuelle de connaître à tout moment et en temps quel utilisateur ou quel terminal utilise quelle application (ou quelles sont ses activités). Ces outils peuvent aussi se révéler très utiles pour aider à la configuration du pare-feu ou pour analyser des problèmes de connectivité.

La gestion du réseau

Par définition, le pare-feu est un élément clé du réseau par lequel gravite tout le trafic à protéger. Un UTM/NGFW compte en général plusieurs ports Ethernet qui peuvent être attribués à différents VLANs (réseaux virtuels) ou utilisés comme un switch filtrant d’un réseau unique. 

Source : SophosLa plupart de ces pare-feu permettent aussi de réaliser du “failover” de connexion Internet. La plupart des modèles incorporent un port USB capable d’accueillir une clé USB 3G/4G. Lorsque la connexion Internet classique tombe, les flux sont automatiquement redirigés vers la connexion 3G/4G. L’utilisation de clés modems USB soulèvent toutefois la problématique des pilotes (il faut s’assurer d’acquérir une clé 3G/4G reconnue par votre boîtier UTM). Pour se départir de cette problématique, certains constructeurs préfèrent opter pour des solutions totalement Ethernet. Ainsi, l’UTM devient capable de basculer sur une connexion ADSL de secours par exemple ou sur un boîtier 3G/4G universel en Ethernet. Certains sont même capables de distribuer la charge entre plusieurs connexions Internet (par exemple en combinant plusieurs connexions ADSL), une fonctionnalité souvent désignée sous le nom de “WLAN .

Mais il n’y a pas que l’aspect filaire qui importe. Il faut aussi désormais prendre en compte l’aspect « sans fil ». Certains UTM/NGFW font directement office de points d’accès Wi-Fi et peuvent appliquer des règles particulières à ce trafic alors que d’autres nécessitent des points d’accès séparés.

Certains modèles offrent d’ailleurs des fonctionnalités plus avancées pour vous permettre de déployer plusieurs points d’accès partout dans l’entreprise mais aussi de centraliser leur gestion au sein d’un seul écran depuis le pare-feu nouvelle génération.
Certaines appliances vont encore plus loin en permettant de gérer des points d’accès « invités ». Cette fonctionnalité est indispensable aux entreprises qui veulent offrir un accès sans fil particulier aux clients qui viennent dans leurs locaux ou encore pour les hôtels qui veulent proposer un accès Internet dans les chambres. Ces fonctions permettent parfois d’imposer l’affichage d’un écran d’accueil (un portail captif) et la saisie d’une authentification ou d’un mot de passe avant d’autoriser l’accès Internet à ces terminaux « invités ». L’UTM/NGFW agira alors pour empêcher certaines activités illégales comme le téléchargement P2P, l’accès aux sites de streaming illégaux, ou l’utilisation de l’accès Internet de l’entreprise (ou hôtel, restaurant, etc.) à des fins illicites.

Source: ZyxelEnfin, la mobilité croissante impose d’offrir aux collaborateurs le moyen d’accéder aux ressources clés de l’entreprise depuis l’extérieur tout en préservant la sécurité du réseau. Tous les UTM/Firewall du marché proposent des solutions VPN (Virtual Private Network). Évidemment, tous permettent le “Pass-Through” pour implémenter des VPN PPTP, L2TP ou OpenVPN via des serveurs Windows ou Linux. Mais certains agissent eux-mêmes comme des serveurs VPN. La plupart d’entre eux fournissent des services VPN IPSec qui exigent souvent l’utilisation d’un client spécifique (ce qui, dès lors, pose le problème du coût de ce client et de sa compatibilité Android et iOS). Certains autorisent aussi des VPN SSL (pour créer des tunnels permettant l’accès aux applications internes plutôt qu’au réseau de l’entreprise) mais il faudra alors vérifier combien d’accès simultané sont autorisés en standard et le coût des accès supplémentaires.

Efficacité

Il ne suffit pas de proposer des fonctionnalités. Il faut encore que celles-ci se comportent comme espéré et qu’elles se montrent véritablement efficaces face aux multiples techniques d’évasions et notamment face aux AET.

L’efficacité commence d’abord par vérifier comment le Pare-feu nouvelle génération gère les flux chiffrés (typiquement https) de plus en plus utilisés dans tous les échanges y compris ceux relevant du trafic cybercriminel. Le boîtier doit être en mesure de déchiffrer ces flux pour que ses fonctionnalités antivirales, antispam et IPS puissent fonctionner. Certains boîtiers peuvent se révéler aveugles sur de tels flux. D’autres vont imposer l’installation d’un certificat sur chaque poste.

Mener des tests de pare-feu de nouvelle génération nécessite des infrastructures importantes et des compétences bien spécifiques. En outre, la mise en œuvre de tels tests est complexe car elle nécessite de réaliser toutes sortes de simulations en multipliant les techniques d’évasion.
Dès lors, très peu d’organismes se risquent à réaliser des comparatifs et tests qui se révèlent nécessairement coûteux. Seul le laboratoire NSS Labs réalisent des tests poussés régulièrement. Malheureusement, très peu de modèles sont mis à l’épreuve.
Lors de son dernier comparatif, NSS Labs a toutefois constaté un net progrès dans l’efficacité des UTM/NGFW au cours des derniers mois. Sur 12 produits analysés, 8 ont obtenu un score supérieur à 95% et aucun ne s’est révélé vraiment inefficace (note inférieure à 50%).

Pour en savoir davantage : https://www.nsslabs.com/news/press-releases/nss-labs-tests-show-next-generation-firewall-security-effectiveness-remains

Source: NSS Labs

Performances

Par-delà l‘efficacité elle-même, les qualités d’un NGFW s’évaluent aussi par ses performances. La performance d’un pare-feu se mesure à sa bande passante, autrement dit la quantité de données qu’il peut analyser et transférer par seconde. Celle-ci influence directement le nombre d’utilisateurs simultanément supportés et devrait – dans tous les cas de figure – être supérieure à la bande passante Internet de votre entreprise.

Deux autres informations sont souvent fournies pour analyser les performances : le nombre de connexions maximales (qui ne signifie pas grand chose) et le nombre de nouvelles connexions par seconde (qui donne une bonne idée de la puissance du boîtier et de son logiciel). Attention, ce nombre de connexions simultanées n’a pas de rapport avec le nombre d’utilisateurs (typiquement, l’affichage d’une page Web déclenche l’ouverture de plusieurs connexions, sans parler de Skype et autres outils installés).

Source: BarracudaSur un NGFW, les performances sont directement influencées par les options de contrôle et de sécurité que l’on active. Les débits (ou la bande-passante) généralement indiqués par les constructeurs n’ont pas une grande valeur car ils sont mesurés dans des conditions idéales avec le minimum de règles et de protections activées. Or, dès que l’on active une option ou un bouclier défensif, les performances sont immédiatement impactées. Ainsi, toutes défenses activées, les performances peuvent effectivement se retrouver divisées par 10.

Si le problème est crucial pour les grosses entreprises, il l’est un peu moins pour les TPE/PME qui veulent utiliser leur Appliance UTM pour protéger un accès Internet ADSL, VDSL2, Câble ou Fibre. On ne perdra cependant pas de vue que le câble et la fibre offrent désormais des débits Internet compris entre 100 et 500 Mbps. L’Appliance choisie devra donc offrir une bande passante conforme à ces débits (toutes sécurités activées), sous peine de ralentir considérablement l‘expérience Internet des utilisateurs.

Enfin, le nombre d’utilisateurs maximal indiqué par les constructeurs n’est généralement pas significatif. Car tout dépend des activités des utilisateurs. Généralement, le nombre indiqué correspond à des usages limités à l’email et la consultation des “pages jaunes”. Vous pouvez diviser ce nombre par deux, trois voire cinq si vos utilisateurs adorent YouTube, écoutent de la musique en streaming toute la journée, passent leurs appels en VoIP ou via Skype, utilisent intensivement OneDrive, GDrive, Box, DropBox et autres services de stockage.

L’administration, un sujet permanent

S’il est un domaine sur lequel les modèles du marché se différencient plus, c’est bien celui de l’interface d’administration. Cette dernière joue un rôle fondamental.

L’administration du pare-feu est en effet un souci quotidien. Un pare-feu installé une première fois et oublié perd très rapidement toute efficacité. Il faut adapter les règles à l’évolution des menaces, à l’évolution de votre infrastructure, à l’évolution de votre parc de machines, à l’évolution des applications et des usages ainsi qu’aux arrivées et départs de collaborateurs.

Source: Watchguard

Autre erreur fréquemment constatée, les administrateurs se contentent parfois de rajouter des règles au fur et à mesure des incidents et de l’évolution des usages. Or la multiplication des règles conduit vite à l’effondrement des performances voire parfois à rendre tout le système totalement inopérant. Il faut savoir adapter les règles et supprimer celles devenues inutiles. Le problème n’est pas nouveau car il existait déjà avec les anciens pare-feu. Mais la multiplication des boucliers défensifs et de leurs règles associées dans les UTM/NGFW ne rend la problématique que plus critique.

Plus l’interface d’administration est conviviale plus on est enclin à y retourner et moins on perd de temps dans le paramétrage des règles. Évidemment, un tel critère contient une bonne part de subjectivité et dépend en partie de vos habitudes et de vos compétences techniques. Vous pouvez utiliser YouTube et les sites des constructeurs pour évaluer les qualités ergonomiques de l’interface d’administration. La plupart des fabricants proposent des vidéos et certains des démos interactives. Enfin, il est parfois possible de télécharger des versions virtualisées des appliances. Sophos, par exemple, propose un ISO à télécharger pour fabriquer un CD ou une clé USB qui permet de transformer n’importe quel PC (qu’il soit physique ou virtuel) en un UTM. C’est aussi un bon moyen de découvrir et d’apprendre à maîtriser leurs appliances avant d’en acquérir une.

En outre, pour analyser les attaques ou comprendre les anomalies de fonctionnement de la connexion Internet, on est souvent amené à se plonger dans les Logs. Certains possèdent des fonctions de recherche et de filtrage avancées alors que d’autres vous obligeront à passer par des outils externes ou des solutions comme Splunk afin d’analyser efficacement ce qui se passe.

Au-delà de la simple administration, certains boîtiers offrent de fonctionnalités très intéressantes de Statistiques et de Reporting. On peut ainsi comprendre, connaître, et même surveiller l’usage que font les collaborateurs de la connexion Internet de l’entreprise. Certains boîtiers comme ceux de WatchGuard par exemple peuvent même envoyer par email régulièrement (toutes les semaines par exemple) au dirigeant de l’entreprise un rapport d’activité en PDF indiquant quels sont les sites les plus visités, quels sont les utilisateurs les plus consommateurs de bande passante, ceux qui accèdent à tel ou tel site, les temps passés par chaque utilisateur sur Facebook ou Twitter, etc.

Bien choisir

Choisir un UTM/NGFW n’est pas une mince affaire. Il faut s’intéresser aux fonctionnalités défensives, à l’interface utilisateur, aux performances et aux fonctionnalités de gestion du réseau. Pour autant, la partie la plus complexe est ailleurs : il n’est jamais simple de déterminer le prix réel de la solution. En effet, tous les fabricants n’ont pas les mêmes politiques de licences. Certains peuvent facturer à part certaines fonctionnalités avancées, d’autres réclament un abonnement annuel pour continuer à recevoir les signatures (anti-malware notamment), d’autres imposent la souscription à des contrats de support annuel, etc.

Dès lors la comparaison des rapports qualité/prix n’est pas simple et parfois même directement impossible. Notre tableau offre une vue aussi complète que possible pour vous aider à vous faire une opinion et indique à la fois le prix d’acquisition et le coût annuel avec toutes les fonctionnalités clés activées. Toutefois, le prix indiqué s’appuie sur les tarifs officiels. En pratique, on obtient souvent d’importantes ristournes.

Surtout, il ne faut pas perdre de vue que la sécurité est une affaire de spécialistes et qu’il vaut parfois mieux la confier à d’autres. De plus en plus de partenaires proposent désormais d’acquérir un NGFW/UTM sous forme de service. Moyennant un abonnement mensuel fixe et prévisible, ils vous installent le matériel, le configurent, l’administrent au quotidien, en contrôlent les mises à jour, produisent des rapports d’activité, remédient aux anomalies remontées par les alertes, réagissent aux attaques et répondent à vos questions. Le prix du matériel et des abonnements est intégré et dispatché dans la facture mensuelle du service. Pour les TPE/PME sans personnel IT, c’est souvent une excellente solution.