Aller au contenu
Avanet
Sophos Firewall v22 MR1 : vue d’ensemble et toutes les nouvelles fonctionnalités

Sophos Firewall v22 MR1 : vue d’ensemble et toutes les nouvelles fonctionnalités

1. MAI 2026

Sophos Firewall v22 MR1 s’appuie sur la stratégie Secure by Design introduite avec la v22 et l’étend avec une télémétrie supplémentaire, des détections NDR curatées issues de l’environnement Taegis ainsi que quelques améliorations ciblées pour le VPN, le SSO et le stockage. S’y ajoute Sophos Firewall Config Studio V2, un outil autonome qui simplifie nettement l’analyse et la comparaison des configurations.

Secure by Design : capteur XDR Linux avancé

Avec la v22, Sophos a introduit le capteur XDR Linux sur le pare-feu afin de détecter rapidement toute altération du système, par exemple des fichiers de configuration ou des processus critiques. SFOS v22 MR1 étend le capteur à la détection des shells interactifs et des reverse shells. Si un attaquant tente de placer une session de contrôle sur le pare-feu après une intrusion, la communication TCP ou UDP associée vers le serveur de commande et de contrôle est bloquée. De plus, ce capteur est désormais activé sur l’ensemble de la série XGS – et non plus seulement sur certains modèles.

La détection des reverse shells fait partie des standards sur les endpoints depuis des années. Il est logique et important que la même logique fonctionne désormais directement sur le pare-feu. Dans le pire des cas, un pare-feu compromis devient un passe-partout pour le réseau – toute couche de détection supplémentaire directement sur l’appareil y est plus utile qu’une corrélation effectuée après coup.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 intègre la technologie iSensor IPS de la plateforme SecureWorks Taegis. Les modèles de détection ainsi curatés complètent le jeu de signatures IPS classique avec des patterns axés sur les attaquants actifs dans le réseau – par exemple le mouvement latéral, les communications C2 et des activités comparables après une intrusion initiale.

Le jeu de détections s’active sous Active threat response > NDR. Il faut ensuite cocher l’option correspondante dans les paramètres IPS des règles de pare-feu pour que les nouvelles détections s’appliquent. Pour les analystes XDR et MDR, cela apporte davantage de contexte et raccourcit les investigations, car les détections ciblent directement des TTP adverses connus de la base de données Taegis.

NDR Essentials pour toutes les plates-formes

Une question revenait régulièrement depuis la v21.5 : quand NDR Essentials prendra-t-il aussi en charge les pare-feux virtuels et cloud ? Avec la v22 MR1, c’est chose faite – NDR Essentials fonctionne désormais sur toutes les plateformes Sophos Firewall, c’est-à-dire le matériel XGS, les appliances virtuelles, les déploiements cloud et les installations logicielles. La dernière grande restriction qui excluait jusqu’ici les environnements virtuels de la protection NDR disparaît ainsi.

C’est la suite logique de l’architecture orientée CPU introduite avec la v22. Les clients qui exploitent Sophos Firewall sur VMware, Hyper-V ou chez un hyperscaler étaient jusqu’ici exclus de NDR Essentials – cette lacune est désormais comblée.

Piste d’audit avec l’identité de l’utilisateur Sophos Central

Lorsqu’un pare-feu individuel est configuré via Sophos Central, SFOS v22 MR1 consigne désormais aussi quel utilisateur Sophos Central a déclenché la modification. Auparavant, seul le compte Central générique était souvent visible dans l’audit trail. Avec cette nouvelle variante, il devient possible de savoir quelle personne se trouve derrière une modification de configuration, même si celle-ci n’a pas été effectuée directement dans le WebAdmin du pare-feu. L’information apparaît à la fois dans le Log Viewer du pare-feu et dans les journaux et rapports de Sophos Central.

Cette évolution est particulièrement pertinente pour les organisations soumises à NIS2, où la traçabilité des interventions administratives est explicitement exigée. Dans les environnements MSP avec plusieurs techniciens sur le même tenant, c’était de toute façon un détail attendu depuis longtemps.

Stabilité VPN et Retirement Legacy IPsec

SFOS v22 GA présentait plusieurs problèmes de stabilité avec les VPN IPsec policy-based, qui ont été corrigés dans MR1. Concrètement, les tickets internes NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 et NC-176083, entre autres, ont été résolus. Si vous avez utilisé la v22 GA en production et observé des interruptions ou des coupures sur des tunnels policy-based, il vaut la peine de vérifier précisément après la mise à jour si les tunnels sont désormais stables.

En parallèle, le Legacy Remote Access IPsec VPN est définitivement retiré avec la v22 MR1. Les pare-feu qui utilisent encore cette ancienne variante IPsec ne peuvent pas être mis à jour vers la v22 MR1 ou une version plus récente. Les clients concernés doivent d’abord migrer vers la configuration Remote Access IPsec actuelle – Sophos a publié un article KB dédié à ce sujet.

Dans la pratique, la majorité des configurations existantes sont depuis longtemps sur la nouvelle variante ou sur SSL VPN. Néanmoins, il vaut la peine de vérifier brièvement la configuration avant de procéder à la mise à niveau – sinon la mise à jour s’arrêtera.

Sophos Connect 2.0 pour macOS

Sophos Connect 2.0 pour macOS permet désormais d’établir des connexions VPN SSL pour l’accès distant. Auparavant, le VPN SSL via Sophos Connect était l’apanage de Windows et les utilisateurs de macOS devaient se tourner vers IPsec ou utiliser des clients tiers. Ainsi, l’ensemble des fonctionnalités entre les deux plates-formes clientes continue de s’harmoniser. Les détails et les versions de macOS prises en charge sont disponibles dans les notes de publication de Sophos Connect.

Microsoft Entra ID SSO : réévaluation forcée

Jusqu’à présent, une session SSO existante pouvait être réutilisée dans certaines conditions sans nouvelle évaluation des Conditional Access Policies dans Entra ID. Dans le pire des cas, cela ouvrait une voie pour contourner les exigences MFA lorsque les cookies de session étaient encore valides. SFOS v22 MR1 impose désormais une nouvelle vérification des Conditional Access Policies lors de la réutilisation d’une session. C’est un correctif de sécurité classique – peu visible, mais important pour les environnements qui utilisent Entra ID comme source d’identité centrale et s’appuient sur MFA.

Préservation du SSD et Wi-Fi MTU

Deux améliorations de détail mineures mais utiles :

  • Durée de vie du SSD : les écritures sur le SSD interne ont été optimisées. Cela concerne surtout les appareils avec un volume de logs élevé et prolonge la durée d’utilisation du matériel.
  • Wi-Fi MTU/MSS : les commandes CLI existantes permettent désormais d’ajuster les valeurs MTU et MSS pour les interfaces Wi-Fi. C’est un outil bienvenu dans les environnements avec des tunnels superposés ou des chemins problématiques dans le backhaul WLAN.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (anciennement Sophos Firewall Configuration Viewer) est un outil basé sur un navigateur qui offre beaucoup plus de fonctionnalités que son prédécesseur. Il permet trois flux de travail centraux :

  • Configuration Report : toutes les règles, policies et tous les paramètres d’un pare-feu peuvent être affichés dans un rapport consolidé. Pratique pour les audits, les transmissions ou l’onboarding de nouveaux administrateurs.
  • Configuration Compare : deux configurations peuvent être comparées directement. Les entrées ajoutées, modifiées, supprimées et inchangées sont mises en évidence visuellement. C’est exactement l’outil qui manque lors des change reviews ou du troubleshooting après une étape de migration, lorsque l’on ne veut pas décortiquer la configuration du pare-feu en production.
  • Configuration Editor : les configurations peuvent être modifiées ou importées directement dans l’outil. Elles peuvent ensuite être rechargées dans le pare-feu ou exportées sous forme de snippet API ou curl, par exemple pour déployer des changements de manière automatisée.

Un diff de configuration directement dans le navigateur est une fonction attendue depuis des années. Quiconque a déjà essayé de comparer manuellement deux sauvegardes Sophos comprend pourquoi cet outil représente un vrai progrès. Il sera intéressant de voir si l’éditeur reste stable avec de grandes configurations et dans quelle mesure l’export API s’intègre dans les pipelines d’automatisation existants.

L’outil est accessible via docs.sophos.com.

Mise à jour du benchmark CIS pour la v22

Le Health Check introduit avec la v22 repose sur les benchmarks CIS. Les benchmarks sous-jacents ont été mis à jour pour la v22 et peuvent être téléchargés sur le site web du CIS. Les organisations qui utilisent le Health Check dans le cadre d’audits internes devraient prendre la nouvelle version comme référence.

Compatibilité et notes

  • Legacy Remote Access IPsec VPN : retiré avec la v22 MR1. La migration vers la configuration Remote Access IPsec actuelle est une condition préalable à l’upgrade.
  • Chemins d’upgrade : SFOS v22 MR1 peut être installé depuis toutes les versions prises en charge v21.5, v21 et v20. Sophos Central peut planifier et piloter l’upgrade.
  • Sauvegarde avant upgrade : comme toujours, effectuez une sauvegarde complète avant la mise à jour et préparez un plan de rollback.
  • Mécanisme de hotfix : les correctifs de sécurité continuent d’être fournis sous forme de hotfixs over-the-air sans downtime. Les maintenance releases regroupent toutefois aussi des correctifs non critiques – un upgrade reste donc utile même sans urgence immédiate.

Conclusion

Sophos Firewall v22 MR1 est une solide maintenance release. Les points les plus importants à nos yeux sont les correctifs de stabilité VPN pour IPsec policy-based, l’extension de NDR Essentials aux plateformes virtuelles et le nouvel audit trail avec l’identité de l’utilisateur Sophos Central. La détection des reverse shells sur le pare-feu lui-même et les détections iSensor curatées issues de l’environnement Taegis s’inscrivent bien dans la ligne suivie par Sophos depuis la v22 : le pare-feu devient progressivement une plateforme de capteurs qui fournit de la télémétrie et ne se limite plus à filtrer des paquets.

Ce qui continue à nous manquer n’a pas changé depuis la v22 : le clonage et le regroupement des règles NAT. Les souhaits formulés il y a environ un an ont été partiellement réalisés, le reste est toujours sur la liste. Peut-être dans le prochain MR ou au plus tard dans la v23. Mais peut-être qu’à partir de maintenant, Sophos poursuivra sa stratégie consistant à tout transférer dans le Sophos Firewall Config Studio et que le pare-feu restera tel qu’il est.

Plus d’informations

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.