Comparer les bundles Sophos Firewall
Avant d’acheter ou de renouveler un Sophos Firewall, il ne faut pas seulement considérer le modèle matériel. Il est également crucial de déterminer quels modules de protection, quel support et quelles fonctions Central sont réellement nécessaires en exploitation. C’est là que les bundles Sophos Firewall prennent toute leur importance.
Un bundle peut être économiquement plus avantageux que des licences individuelles. Cependant, il peut aussi conduire à l’achat de fonctions peu utilisées au quotidien. Il est donc important de clarifier d’abord quelles fonctions de sécurité, exigences de reporting et attentes en matière de support correspondent à l’environnement.
Quel article de licence convient ?
Les décisions de licence et d’achat sont liées, mais répondent à des questions différentes :
- Comparer Standard Protection, Xstream Protection et Epic Protection: Cet article.
- Dimensionner le modèle de firewall et la classe de performance: Guide de dimensionnement Sophos Firewall : Dimensionner correctement XGS.
- Séparer clairement Base License, Support et Subscriptions: Comprendre la Base License Sophos Firewall.
- Choisir entre matériel, firewall virtuel, appliance logicielle ou déploiement cloud: Sophos Firewall : Matériel, virtuel ou cloud ?.
- Vérifier garantie, statut de support ou questions RMA: Comprendre la garantie matérielle, le support et le RMA Sophos.
- Activer la clé de licence sur le firewall: Activer la clé de licence Sophos Firewall.
- Transférer le firewall vers un autre compte Sophos Central: Transférer Sophos Firewall vers un autre compte Sophos Central.
Cette séparation est importante : le bundle approprié ne remplace pas un dimensionnement, une vérification du cycle de vie ou une attribution de compte claire. Inversement, le meilleur modèle matériel est peu utile si le support, les modules de protection ou le reporting ne correspondent pas à l’exploitation.
Aperçu des bundles Sophos Firewall
Pour les appliances XGS avec Sophos Firewall OS, trois variantes de bundles sont généralement mises en avant :
- Standard Protection: Base License, Network Protection, Web Protection, Enhanced Support. Fonctions UTM classiques, filtrage web, IPS, support et mises à jour de firmware.
- Xstream Protection: Standard Protection plus Zero-Day Protection, Central Orchestration et autres fonctions Xstream/Central selon l’offre. Environnements avec un accent plus fort sur le cloud, SD-WAN, reporting ou protection avancée contre les malwares.
- Epic Protection: Xstream Protection plus Email Protection et Webserver Protection. Environnements souhaitant exploiter directement la sécurité des mails ou les fonctions WAF sur le firewall.

Le tableau n’est pas destiné à être une matrice de licences complète. Sophos peut modifier les noms des bundles, les promotions, les durées et les services supplémentaires inclus. Pour l’achat ou le renouvellement, il est donc toujours conseillé de vérifier l’offre concrète et la vue des licences visible dans Sophos Central ou sur le firewall par rapport aux besoins techniques.
Évaluer Standard Protection
Standard Protection est souvent le choix pragmatique dans de nombreux environnements lorsque l’on souhaite que Sophos Firewall prenne en charge principalement la sécurité classique de la passerelle : IPS, Web Protection, Application Control, support et droit de mise à jour.
Standard Protection est pertinent si ces points sont vérifiés :
- Une ou plusieurs firewalls protègent des réseaux de bureaux, de serveurs ou de sites.
- Web Protection et IPS sont réellement utilisés et enregistrés.
- Zero-Day Protection, Central Orchestration ou les fonctions de mail/WAF basées sur le firewall ne font pas partie du modèle d’exploitation.
- Le reporting est résolu localement, via Syslog, SIEM ou séparément via Central Firewall Reporting.
- L’environnement ne doit pas être poussé vers un bundle supérieur en raison d’une promotion matérielle.
Pour de nombreux environnements petits et moyens, c’est le point de départ le plus propre. Ce qui est crucial, ce n’est pas le nom du bundle, mais si les fonctions de protection sont activées, surveillées et maintenues.
Évaluer Xstream Protection
Xstream Protection complète Standard Protection principalement avec des fonctions qui s’orientent davantage vers la protection avancée contre les menaces, les fonctions Central, le reporting, la protection DNS/cloud et l’orchestration SD-WAN. Le bundle n’est pas automatiquement rentable simplement parce qu’il semble attractif dans une promotion.
Xstream Protection devrait être envisagé si au moins un de ces points est pertinent :
- Zero-Day Protection doit être réellement utilisée pour les téléchargements ou le trafic web.
- TLS Inspection est prévue ou déjà introduite pour analyser de manière significative le trafic chiffré.
- Plusieurs firewalls doivent être gérés plus efficacement via Sophos Central et l’orchestration SD-WAN.
- Les fonctions Central telles que le reporting, l’orchestration, la protection DNS ou les services cloud supplémentaires font partie du concept d’exploitation.
- Il y a une personne ou une équipe qui vérifie régulièrement les alertes, les exceptions et les faux positifs.
Pour Sophos Firewall Zero-Day Protection, il est particulièrement important de noter que la licence seule ne protège pas automatiquement chaque téléchargement. Les politiques appropriées, la planification de l’inspection TLS, l’acceptation des utilisateurs, les exceptions et la surveillance sont essentielles. Sans ce travail d’exploitation, l’utilité pratique reste limitée.
La plus grande valeur pratique de Xstream Protection est souvent observée là où les flux de menaces de tiers sont activement utilisés. Cela permet de prendre en compte directement dans la politique du firewall les IP malveillantes connues, les systèmes compromis ou d’autres sources de renseignement sur les menaces externes.
Central Orchestration est particulièrement intéressant lorsque plusieurs firewalls, plusieurs sites VPN ou des conceptions SD-WAN plus complexes sont exploités. Pour un seul firewall ou quelques tunnels site-à-site simples, une configuration manuelle peut encore être suffisante. Pour les modifications centralisées du firewall, la Sophos Central Firewall Management Task Queue devrait être intégrée au processus d’exploitation.
Évaluer Epic Protection
Epic Protection est le bundle le plus complet, mais ne doit pas être considéré comme la réponse standard pour chaque environnement. La valeur ajoutée dépend fortement de la question de savoir si Email Protection et Webserver Protection doivent réellement être exploités sur le Sophos Firewall.
Epic Protection est plus pertinent si ces questions reçoivent une réponse affirmative :
- Le Sophos Firewall doit-il fonctionner comme un composant de protection des mails dans le flux de mails interne ?
- Les serveurs web ou applications publiés sont-ils protégés via le firewall ?
- Y a-t-il des responsabilités claires pour l’exploitation des mails, WAF, certificats et exceptions ?
- La journalisation, la quarantaine, le dépannage et les changements pour ces fonctions sont-ils couverts organisationnellement ?
Si la sécurité des e-mails est déjà assurée par Sophos Central Email, Microsoft 365 Security, une autre passerelle de messagerie sécurisée ou un service spécialisé, Email Protection sur le firewall n’a pas besoin d’être achetée en plus. De même pour Webserver Protection : un WAF sur le firewall n’est pertinent que s’il correspond à l’architecture de l’application, à l’exploitation TLS et au modèle de responsabilité.
Matrice de décision pour l’achat et le renouvellement
Avant l’achat, le renouvellement ou le changement de bundle, il ne faut pas seulement comparer les prix. Il est préférable d’utiliser une courte matrice technique :
- Quelles fonctions de protection sont activement utilisées aujourd’hui ? Les modules achetés mais non configurés n’apportent aucun gain de sécurité.
- Quelles fonctions doivent être introduites dans les 12 à 36 prochains mois ? Un bundle peut être pertinent si l’introduction est planifiée de manière réaliste.
- Y a-t-il suffisamment de temps pour la maintenance, les exceptions et la vérification des journaux ? IPS, Web Protection, Zero-Day Protection et WAF génèrent une charge de travail opérationnelle.
- Où les journaux seront-ils stockés à long terme ? Le reporting local ne suffit souvent pas pour des preuves ou audits à long terme.
- Combien de firewalls, de sites et de VPN existent ? Central Orchestration est plus rentable avec plusieurs firewalls et des topologies plus complexes.
- Quelles fonctions de sécurité fonctionnent déjà en dehors du firewall ? Endpoint, DNS, e-mail, WAF et SIEM peuvent partiellement remplacer ou compléter des fonctions.
- L’offre est-elle liée à une durée fixe ? Les offres pluriannuelles peuvent être financièrement intéressantes, mais lient le budget et l’architecture.
Cette matrice est particulièrement utile pour les renouvellements. Un environnement qui a commencé avec Xstream Protection il y a trois ans utilise peut-être aujourd’hui uniquement des fonctions standard. Inversement, un firewall simple peut désormais nécessiter plus de reporting, de SD-WAN ou de protection avancée contre les malwares.
Évaluer correctement les offres promotionnelles

Les promotions Sophos peuvent sembler très attractives à première vue, car le matériel est fortement remisé si un certain bundle ou une certaine durée est choisie. Cependant, pour la décision technique, la remise seule n’est pas déterminante.
Avant de prendre une décision promotionnelle, il est important de considérer ces points séparément :
- Coût total sur toute la durée, pas seulement le prix du matériel.
- Paiement anticipé et engagement budgétaire pour des durées plus longues.
- Modules réellement nécessaires par rapport aux modules achetés.
- Effort pour l’introduction, la surveillance et la maintenance des fonctions supplémentaires.
- Situation de renouvellement après l’expiration de la promotion.
- Risque que des fonctions soient achetées uniquement à cause du bundle mais jamais exploitées.
Une promotion Xstream peut être pertinente si Zero-Day Protection, Central Orchestration ou des fonctions Central supplémentaires sont réellement utilisées. Si ces fonctions ne sont pas exploitées, Standard Protection, malgré une remise matérielle plus faible, est souvent la décision la plus honnête.
Ce qu’un bundle ne remplace pas
Un bundle ne résout pas les problèmes d’architecture ou d’exploitation. Il libère des fonctions, mais ne les configure pas de manière significative.
Ne pas déduire d’un bundle :
- que le modèle de firewall est correctement dimensionné,
- que toutes les fonctionnalités de sécurité sont automatiquement activées,
- que l’inspection TLS fonctionne sans plan de déploiement,
- que les journaux sont conservés suffisamment longtemps,
- que HA, la sauvegarde ou la restauration sont correctement planifiés,
- qu’un cas de support peut être résolu rapidement sans numéro de série, statut de licence et documentation.
Pour la base technique, il convient donc de considérer en parallèle Configurer correctement Sophos Firewall après l’assistant de configuration, Créer ou restaurer une sauvegarde Sophos Firewall et Mise à jour du firmware Sophos Firewall : Préparation et meilleures pratiques.
Liste de vérification pour le renouvellement
Avant un renouvellement, il ne faut pas simplement prolonger la licence inchangée. Il est préférable de procéder à une courte vérification opérationnelle :
- Vérifier le numéro de série et le modèle du firewall.
- Documenter la Base License actuelle, le support et les abonnements.
- Comparer les modules utilisés avec le bundle actuel.
- Identifier les modules non utilisés.
- Justifier les modules manquants en fonction des exigences concrètes.
- Vérifier le niveau de firmware et le droit de mise à jour.
- Évaluer le cycle de vie XG, SG ou XGS.
- Vérifier la conservation des rapports et la connexion Syslog/SIEM.
- Cluster HA : contrôler les deux nœuds, les rôles et la synchronisation des licences.
- Firewalls virtuels : vérifier les cœurs CPU, l’instance, la licence et l’attribution de compte.
Pour le numéro de série et l’attribution de compte, Trouver le numéro de série du Sophos Firewall et Transférer Sophos Firewall vers un autre compte Sophos Central conviennent. Pour les questions de plateforme et de cycle de vie, Sophos XG vs. XGS : Différences, EOL et migration est utile.
Erreurs typiques
- Choisir un bundle uniquement en raison de la remise matérielle: Les fonctions sont payées mais non exploitées. Évaluer séparément les besoins fonctionnels et les coûts d’exploitation par rapport à la remise.
- Confondre Base License avec le support: La capacité de mise à jour et de support est mal évaluée. Vérifier séparément Base License, support et abonnements.
- Acheter Zero-Day Protection sans plan d’inspection TLS: L’efficacité de la protection reste limitée ou entraîne une frustration des utilisateurs. Planifier le déploiement, les exceptions, le groupe de test et la surveillance.
- Choisir Central Orchestration pour un environnement très simple: La licence supplémentaire apporte peu d’avantages pratiques. Évaluer le nombre de firewalls, de VPN et la complexité du SD-WAN.
- Doubler la licence Email Protection: La sécurité des mails devient inutilement complexe ou coûteuse. Vérifier l’architecture de sécurité des e-mails existante.
- Oublier les exigences de reporting: Les journaux manquent plus tard pour l’analyse, l’audit ou l’assurance. Planifier tôt le reporting central, Syslog ou SIEM.