{"id":169077,"date":"2025-10-09T07:48:05","date_gmt":"2025-10-09T06:48:05","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/sophos-firewall-v21-5-mr1\/"},"modified":"2025-10-09T08:00:06","modified_gmt":"2025-10-09T07:00:06","slug":"sophos-firewall-v21-5-mr1","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/fr\/blog\/sophos-firewall-v21-5-mr1\/","title":{"rendered":"Sophos Firewall v21.5 MR1: S\u00e9curit\u00e9 et Stabilit\u00e9 au Centre de l\u2019Attention"},"content":{"rendered":"\n<p>Sophos Firewall v21.5 MR1 regroupe de nombreuses am\u00e9liorations de s\u00e9curit\u00e9, de stabilit\u00e9 et de fiabilit\u00e9. Il comprend \u00e9galement des nouveaut\u00e9s cibl\u00e9es telles que OAuth 2.0 pour les alertes e-mail, le r\u00e9glage fin NDR et le renforcement HA. <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Th\u00e8mes<\/h2><nav><ul><li class=\"\"><a href=\"#technischer-uberblick\">Nouvelles fonctionnalit\u00e9s de SFOS v21.5 MR1<\/a><ul><li class=\"\"><a href=\"#o-auth-2-0-fur-e-mail-benachrichtigungen-1\">OAuth 2.0 pour les notifications par e-mail<\/a><\/li><li class=\"\"><a href=\"#lokalisierte-geplante-reports\">Rapports planifi\u00e9s localis\u00e9s<\/a><\/li><li class=\"\"><a href=\"#ndr-essentials-datacenter-auswahl\">NDR Essentials : S\u00e9lection du centre de donn\u00e9es<\/a><\/li><li class=\"\"><a href=\"#ndr-essentials-threat-score-in-atr-logs\">NDR Essentials : Score de menace dans les journaux ATR<\/a><\/li><li class=\"\"><a href=\"#syslog-device-name-entspricht-hostname\">Syslog : device_name correspond au nom d&rsquo;h\u00f4te<\/a><\/li><li class=\"\"><a href=\"#gesicherte-hochverfugbarkeit\">Haute disponibilit\u00e9 s\u00e9curis\u00e9e<\/a><\/li><li class=\"\"><a href=\"#lince-modus-in-ha\">Mode LINCE en HA<\/a><\/li><li class=\"\"><a href=\"#route-based-vpn-automatische-xfrm-mtu\">VPN bas\u00e9 sur l&rsquo;itin\u00e9raire : XFRM-MTU automatique<\/a><\/li><li class=\"\"><a href=\"#anpassbare-tabellenspalten\">Colonnes de tableau personnalisables<\/a><\/li><li class=\"\"><a href=\"#hotspot-voucher-sortieren-und-filtern\">Bons pour hotspots : trier et filtrer<\/a><\/li><li class=\"\"><a href=\"#snmp-mi-bs-verbesserte-rfc-konformitat\">MIB SNMP : conformit\u00e9 RFC am\u00e9lior\u00e9e<\/a><\/li><li class=\"\"><a href=\"#live-users-einheitliche-dateneinheiten\">Live Users : unit\u00e9s de donn\u00e9es uniformes<\/a><\/li><li class=\"\"><a href=\"#gruppenimport-aus-ad-und-entra-id\">Importation de groupes depuis AD et Entra ID<\/a><\/li><li class=\"\"><a href=\"#active-directory-sso-windows-server-2025\">Active Directory SSO : Windows Server 2025<\/a><\/li><li class=\"\"><a href=\"#red-system-hosts-korrektes-32\">H\u00f4tes syst\u00e8me RED : correct \/32<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#kompatibilitat-und-hinweise\">Compatibilit\u00e9 et notes<\/a><\/li><li class=\"\"><a href=\"#fazit\">Conclusion<\/a><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Liens compl\u00e9mentaires<\/a><\/li><li class=\"\"><a href=\"#quellen\">Sources<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Nouvelles fonctionnalit\u00e9s de SFOS v21.5 MR1<\/h2>\n\n<h3 class=\"wp-block-heading\" id=\"o-auth-2-0-fur-e-mail-benachrichtigungen-1\">OAuth 2.0 pour les notifications par e-mail<\/h3>\n\n<p>Les notifications par e-mail peuvent \u00eatre s\u00e9curis\u00e9es contre Gmail et Microsoft 365 avec OAuth 2.0. L&rsquo;authentification par mot de passe est progressivement supprim\u00e9e. Avantages : surface d&rsquo;attaque r\u00e9duite, gestion centralis\u00e9e des jetons, tra\u00e7abilit\u00e9 des acc\u00e8s. Mise en \u0153uvre sous Administration &gt; Notification settings. Pour Gmail, l&rsquo;enregistrement de l&rsquo;application dans Google Cloud Console est n\u00e9cessaire (Client ID, Client Secret). Le pare-feu utilise des jetons Refresh pour une authentification permanente. De plus, OAuth 2.0 permet l&rsquo;utilisation de politiques, l&rsquo;authentification multi-facteurs et la r\u00e9vocation centralis\u00e9e des jetons compromis.<br\/>Il est recommand\u00e9 de migrer les profils SMTP \u00e0 l&rsquo;avance, d&rsquo;effectuer un test d&rsquo;envoi et de d\u00e9finir un serveur de messagerie de secours ; les politiques MFA doivent \u00eatre v\u00e9rifi\u00e9es et document\u00e9es.      <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"lokalisierte-geplante-reports\">Rapports planifi\u00e9s localis\u00e9s<\/h3>\n\n<p>Les rapports PDF planifi\u00e9s sont g\u00e9n\u00e9r\u00e9s dans la langue utilis\u00e9e lors de la connexion \u00e0 Webadmin. Cela r\u00e9duit les efforts de traduction et facilite la coordination avec les d\u00e9partements. Les rapports sont plus coh\u00e9rents et peuvent \u00eatre utilis\u00e9s sans effort suppl\u00e9mentaire lors des r\u00e9unions de direction.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ndr-essentials-datacenter-auswahl\">NDR Essentials : S\u00e9lection du centre de donn\u00e9es<\/h3>\n\n<p>La r\u00e9gion d&rsquo;analyse pour NDR Essentials peut \u00eatre choisie librement. La r\u00e9gion par d\u00e9faut est celle qui pr\u00e9sente la latence la plus faible. Cela permet de r\u00e9pondre aux exigences en mati\u00e8re de r\u00e9sidence des donn\u00e9es et de conformit\u00e9. Pour les configurations multi-r\u00e9gions, il est essentiel de faire le bon choix afin d&rsquo;\u00e9viter les flux de donn\u00e9es non souhait\u00e9s.<br\/>Il est judicieux de documenter la r\u00e9gion choisie, de pr\u00e9parer un changement planifi\u00e9, d&rsquo;adapter la surveillance et de tenir compte des directives de protection des donn\u00e9es.   <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ndr-essentials-threat-score-in-atr-logs\">NDR Essentials : Score de menace dans les journaux ATR<\/h3>\n\n<p>Le score de menace appara\u00eet dans les journaux Active Threat Response. Cela facilite la priorisation, la corr\u00e9lation et le reporting dans SIEM et XDR. Les alertes bas\u00e9es sur le score permettent une classification plus fine des incidents.  <\/p>\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"767\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1024x767.png\" alt=\"Sophos Firewall v21.5 MR1 - Emplacement du centre de donn&#xE9;es NDR Essentials\" class=\"wp-image-169069\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1024x767.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-300x225.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-768x576.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-1536x1151.png 1536w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-600x450.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location-64x48.png 64w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v21-5-mr1-ndr-essentials-data-center-location.png 1804w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Sophos Firewall v21.5 MR1 &#8211; Site du centre de donn\u00e9es NDR Essentials<\/figcaption><\/figure>\n\n<h3 class=\"wp-block-heading\" id=\"syslog-device-name-entspricht-hostname\">Syslog : device_name correspond au nom d&rsquo;h\u00f4te<\/h3>\n\n<p>Le champ device_name contient le nom d&rsquo;h\u00f4te configur\u00e9 du pare-feu. Cela permet d&rsquo;attribuer plus clairement les journaux dans les environnements multi-p\u00e9riph\u00e9riques. Les int\u00e9grations avec XDR et SIEM sont plus robustes.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"gesicherte-hochverfugbarkeit\">Haute disponibilit\u00e9 s\u00e9curis\u00e9e<\/h3>\n\n<p>Des phrases de passe fortes sont obligatoires, la g\u00e9n\u00e9ration automatique n&rsquo;est pas n\u00e9cessaire. De plus, le couplage HA v\u00e9rifie la cl\u00e9 h\u00f4te SSH du partenaire. Cela rend les attaques de type \u00ab\u00a0man-in-the-middle\u00a0\u00bb plus difficiles et \u00e9vite les confusions de cluster. Une sortie d&rsquo;erreur am\u00e9lior\u00e9e aide au diagnostic.   <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"lince-modus-in-ha\">Mode LINCE en HA<\/h3>\n\n<p>LINCE est une certification de s\u00e9curit\u00e9 gouvernementale espagnole qui d\u00e9finit des exigences cryptographiques minimales. Le mode LINCE impose un choix autoris\u00e9 d&rsquo;algorithmes et de longueurs de cl\u00e9 sur le pare-feu et affecte, entre autres, les param\u00e8tres SSH et VPN. L&rsquo;activation se fait via CLI et red\u00e9marre le service SSH. Dans les environnements HA, le mode LINCE doit \u00eatre identique sur les deux appareils avant la configuration HA. Lors de la restauration de sauvegardes HA, l&rsquo;\u00e9tat LINCE des p\u00e9riph\u00e9riques cibles doit correspondre \u00e0 la sauvegarde, sinon la restauration sera refus\u00e9e ou le mode sera ajust\u00e9.    <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"route-based-vpn-automatische-xfrm-mtu\">VPN bas\u00e9 sur l&rsquo;itin\u00e9raire : XFRM-MTU automatique<\/h3>\n\n<p>Le pare-feu calcule automatiquement une MTU adapt\u00e9e pour les interfaces XFRM en soustrayant l&rsquo;overhead IPsec. Objectif : moins de fragmentation et des connexions TCP plus stables. La valeur est ajustable.<br\/>Apr\u00e8s la mise \u00e0 niveau, il est conseill\u00e9 de v\u00e9rifier le MTU, de l&rsquo;ajuster finement en fonction du fournisseur si n\u00e9cessaire et de tester les applications critiques.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"anpassbare-tabellenspalten\">Colonnes de tableau personnalisables<\/h3>\n\n<p>De nombreux domaines prennent en charge les colonnes librement modulables dans Sophos Firewall v21.5 MR1, par exemple le r\u00e9seau, les routes SD-WAN, les passerelles ou les LCA de services locaux. Les largeurs sont enregistr\u00e9es dans le navigateur et appliqu\u00e9es aux sessions futures. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"hotspot-voucher-sortieren-und-filtern\">Voucher Hotspot : Trier et filtrer<\/h3>\n\n<p>Les bons peuvent \u00eatre tri\u00e9s par date de cr\u00e9ation et apparaissent imm\u00e9diatement en haut. Cela facilite l&rsquo;\u00e9dition et le contr\u00f4le. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"snmp-mi-bs-verbesserte-rfc-konformitat\">MIB SNMP : conformit\u00e9 RFC am\u00e9lior\u00e9e<\/h3>\n\n<p>Les MIB sont plus \u00e9troitement align\u00e9es sur les RFC pour SNMPv1, v2 et v3. Cela am\u00e9liore la compatibilit\u00e9 avec les outils de surveillance et r\u00e9duit les erreurs d&rsquo;analyse syntaxique. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"live-users-einheitliche-dateneinheiten\">Live Users : unit\u00e9s de donn\u00e9es uniformes<\/h3>\n\n<p>Les quantit\u00e9s de donn\u00e9es sont affich\u00e9es de mani\u00e8re coh\u00e9rente en Ko, Mo et Go. Cela facilite les comparaisons et r\u00e9duit les malentendus. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"gruppenimport-aus-ad-und-entra-id\">Importation de groupes depuis AD et Entra ID<\/h3>\n\n<p>Lors de l&rsquo;importation de groupes, L2TP et PPTP ne sont plus automatiquement activ\u00e9s. L&rsquo;acc\u00e8s \u00e0 distance reste explicitement contr\u00f4lable. Cela permet d&rsquo;\u00e9viter les surfaces d&rsquo;attaque non souhait\u00e9es.  <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"active-directory-sso-windows-server-2025\">Active Directory SSO : Windows Server 2025<\/h3>\n\n<p>L&rsquo;authentification unique prend d\u00e9sormais en charge Windows Server 2025 via NTLM et Kerberos. Cela facilite l&rsquo;int\u00e9gration dans les environnements AD modernes et les configurations hybrides avec Azure AD. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"red-system-hosts-korrektes-32\">H\u00f4tes syst\u00e8me RED : correct \/32<\/h3>\n\n<p>Les objets h\u00f4tes syst\u00e8me pour RED utilisent d\u00e9sormais syst\u00e9matiquement le masque de sous-r\u00e9seau \/32. Auparavant, le masque pouvait \u00eatre diff\u00e9rent de la configuration d\u00e9finie lors de la cr\u00e9ation de l&rsquo;interface. Si un h\u00f4te syst\u00e8me RED est utilis\u00e9 dans des r\u00e8gles ou des objets pour des r\u00e9seaux plus importants, le trafic ne peut plus \u00eatre mis en correspondance apr\u00e8s la mise \u00e0 jour.<br\/>Il est pratique de v\u00e9rifier les r\u00e8gles de pare-feu et les objets h\u00f4tes d\u00e9pendants et de les convertir en objets IP ou r\u00e9seau appropri\u00e9s si n\u00e9cessaire.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"kompatibilitat-und-hinweise\">Compatibilit\u00e9 et notes<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Compatibilit\u00e9 VPN SSL : pas de tunnels vers SFOS 18.5 et ant\u00e9rieurs, client VPN SSL h\u00e9rit\u00e9 ou UTM 9. Alternative : mise \u00e0 niveau, IPsec ou RED.<\/li>\n\n\n\n<li>Les tunnels RED Site-to-Site h\u00e9rit\u00e9s de l&rsquo;ancienne g\u00e9n\u00e9ration ne sont plus support\u00e9s \u00e0 partir de SFOS 22. La migration vers des tunnels RED site \u00e0 site ou IPsec pris en charge est recommand\u00e9e. <\/li>\n\n\n\n<li>Chemins de mise \u00e0 niveau : suivez les chemins de migration officiels. Sophos Central peut planifier et contr\u00f4ler les mises \u00e0 niveau. <\/li>\n\n\n\n<li>Cr\u00e9er une sauvegarde compl\u00e8te et un plan de rollback avant chaque mise \u00e0 niveau.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusion<\/h2>\n\n<p>Sophos Firewall v21.5 MR1 est une version de maintenance r\u00e9guli\u00e8re qui apporte des am\u00e9liorations mineures et des corrections de bogues. Elle stabilise les op\u00e9rations en cours et inclut des corrections d\u00e9taill\u00e9es. Le passage \u00e0 OAuth 2.0 pour les notifications par e-mail, la s\u00e9lection de la r\u00e9gion NDR et une v\u00e9rification rapide des param\u00e8tres HA et Syslog sont utiles. Dans l&rsquo;ensemble, il s&rsquo;agit d&rsquo;ajustements incr\u00e9mentaux pour la maintenance de la branche actuelle de la version. La situation sera \u00e0 nouveau passionnante d\u00e9but d\u00e9cembre, lorsque SFOS v22 devrait \u00eatre disponible.    <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Liens compl\u00e9mentaires<\/h2>\n\n<ul class=\"wp-block-list\">\n<li>Le blog Avanet : <a href=\"https:\/\/www.avanet.com\/fr\/blog\/sophos-firewall-v21-5\/\">Sophos Firewall v21.5<\/a><\/li>\n\n\n\n<li>Avanet KB : <a href=\"https:\/\/www.avanet.com\/kb\/sophos-firewall-firmware-update\/\">mise \u00e0 jour du firmware Sophos Firewall &#8211; pr\u00e9paration et meilleures pratiques<\/a><\/li>\n\n\n\n<li>Avanet KB : <a href=\"https:\/\/www.avanet.com\/fr\/kb\/mettre-a-jour-le-firmware-sfos-sur-sophos-firewall\/\">Mise \u00e0 jour du firmware sur Sophos Firewall (mise \u00e0 jour du firmware)<\/a><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"quellen\">Sources<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/docs.sophos.com\/releasenotes\/output\/en-us\/nsg\/sf_215_rn.html\" target=\"_blank\" rel=\"noopener\">Sophos Docs : Notes de publication Sophos Firewall v21.5 MR1<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/b\/blog\/posts\/sophos-firewall-v21-5-mr1-is-now-available\" target=\"_blank\" rel=\"noopener\">Communaut\u00e9 Sophos : annonce de Sophos Firewall v21.5 MR1<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sophos Firewall v21.5 MR1 regroupe de nombreuses am\u00e9liorations de s\u00e9curit\u00e9, de stabilit\u00e9 et de fiabilit\u00e9. Il comprend \u00e9galement des nouveaut\u00e9s cibl\u00e9es telles que OAuth 2.0 pour les alertes e-mail, le r\u00e9glage fin NDR et le renforcement HA. Nouvelles fonctionnalit\u00e9s de SFOS v21.5 MR1 OAuth 2.0 pour les notifications par e-mail Les notifications par e-mail peuvent [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":169066,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[371],"tags":[],"class_list":["post-169077","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/169077","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/comments?post=169077"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/169077\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media\/169066"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=169077"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/categories?post=169077"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/tags?post=169077"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}