{"id":169161,"date":"2025-10-20T12:49:17","date_gmt":"2025-10-20T11:49:17","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/sophos-firewall-v22\/"},"modified":"2025-10-20T15:10:10","modified_gmt":"2025-10-20T14:10:10","slug":"sophos-firewall-v22","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/fr\/blog\/sophos-firewall-v22\/","title":{"rendered":"Sophos Firewall v22 : Pr\u00e9sentation et toutes les nouvelles fonctionnalit\u00e9s"},"content":{"rendered":"\n<p>Sophos Firewall v22 met l&rsquo;accent sur le durcissement, la visibilit\u00e9 claire et les processus op\u00e9rationnels stables. L&rsquo;architecture Xstream modernis\u00e9e, un noyau durci et de nouvelles fonctionnalit\u00e9s op\u00e9rationnelles contribuent \u00e0 r\u00e9duire la surface d&rsquo;attaque et \u00e0 simplifier l&rsquo;administration. Cet article explique toutes les nouveaut\u00e9s de SFOS v22.  <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Th\u00e8mes<\/h2><nav><ul><li class=\"\"><a href=\"#health-check\">Bilan de sant\u00e9<\/a><ul><li class=\"\"><a href=\"#health-check-prufbereiche-im-detail\">Health Check : les domaines de contr\u00f4le en d\u00e9tail<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#next-gen-xstream-control-plane\">Plan de contr\u00f4le Next-Gen Xstream<\/a><ul><li class=\"\"><a href=\"#ein-neues-fundament-fur-sicherheit-und-skalierbarkeit\">Une nouvelle base pour la s\u00e9curit\u00e9 et l&rsquo;\u00e9volutivit\u00e9<\/a><\/li><li class=\"\"><a href=\"#unabhangig-von-hardware-und-umgebung\">Ind\u00e9pendant du mat\u00e9riel et de l&rsquo;environnement<\/a><\/li><li class=\"\"><a href=\"#verbesserte-hochverfugbarkeit-mit-selbstheilung\">Am\u00e9lioration de la haute disponibilit\u00e9 avec auto-r\u00e9paration<\/a><\/li><li class=\"\"><a href=\"#technische-perspektive-und-zukunft\">Perspective et avenir techniques<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#geharteter-kernel-6-6\">Noyau durci 6.6+<\/a><\/li><li class=\"\"><a href=\"#remote-integrity-monitoring\">Surveillance de l&rsquo;int\u00e9grit\u00e9 \u00e0 distance<\/a><\/li><li class=\"\"><a href=\"#active-threat-response-und-ndr-verbesserungen\">Active Threat Response (flux de menaces pour WAF et NAT) et<\/a><\/li><li class=\"\"><a href=\"#ndr-verbesserungen\">Am\u00e9liorations NDR<\/a><\/li><li class=\"\"><a href=\"#api-access-kontrolle\">Contr\u00f4le d&rsquo;acc\u00e8s API<\/a><\/li><li class=\"\"><a href=\"#firmware-updates-via-ssl-mit-zertifikat-pinning\">Mises \u00e0 jour du firmware via SSL avec \u00e9pinglage de certificat<\/a><\/li><li class=\"\"><a href=\"#http-2-und-tls-1-3-fur-device-access\">HTTP\/2 et TLS 1.3 pour l&rsquo;acc\u00e8s aux p\u00e9riph\u00e9riques<\/a><\/li><li class=\"\"><a href=\"#monitoring-mit-s-flow-und-snmp-hardwarewerten\">Surveillance avec sFlow et valeurs mat\u00e9rielles SNMP<\/a><\/li><li class=\"\"><a href=\"#bessere-bedienung-und-suchfunktionen\">Meilleure utilisation et fonctions de recherche<\/a><\/li><li class=\"\"><a href=\"#utm-nahe-funktionen-in-sfos\">Fonctions UTM proches dans SFOS<\/a><\/li><li class=\"\"><a href=\"#audit-trail-logs-im-detail\">Les journaux d&rsquo;audit en d\u00e9tail<\/a><\/li><li class=\"\"><a href=\"#instant-web-category-alerts\">Alertes instantan\u00e9es de cat\u00e9gories Web<\/a><\/li><li class=\"\"><a href=\"#upgrade-auf-sfos-v-22-pfade-dauer-und-hinweise\">Mise \u00e0 niveau vers SFOS v22 : chemins d&rsquo;acc\u00e8s, dur\u00e9e et remarques<\/a><\/li><li class=\"\"><a href=\"#fazit\">Conclusion<\/a><\/li><li class=\"\"><a href=\"#temen\">FAQ<\/a><ul><li class=\"\"><a href=\"#faq-question-1760902114682\">Quand Sophos Firewall v22 sera-t-il disponible en tant que GA ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760951308062\">Qu&rsquo;est-ce que le nouveau bilan de sant\u00e9 et \u00e0 quoi sert-il ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760951325484\">Qu&rsquo;est-ce qui a chang\u00e9 dans l&rsquo;architecture Xstream ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760965863534\">Pourquoi le traitement bas\u00e9 sur le CPU est-il d\u00e9sormais meilleur que la solution NPU de l&rsquo;ancienne s\u00e9rie XGS ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760965871850\">Quels sont les avantages du nouveau noyau (version 6.6+) ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760965894648\">Quelles sont les nouveaut\u00e9s concernant les flux de menaces ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760965908360\">Comment se d\u00e9roule la mise \u00e0 niveau vers SFOS v22 ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1760965934342\">Y a-t-il de nouvelles fonctions de surveillance ?<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Liens compl\u00e9mentaires<\/a><\/li><li class=\"\"><a href=\"#quellen\">Sources<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"health-check\">Bilan de sant\u00e9<\/h2>\n\n<p>Le contr\u00f4le d&rsquo;int\u00e9grit\u00e9 est le contr\u00f4le de configuration int\u00e9gr\u00e9 \u00e0 Sophos Firewall v22. Son objectif est de mettre en \u00e9vidence les mauvaises configurations \u00e0 un stade pr\u00e9coce, avant qu&rsquo;elles ne deviennent un probl\u00e8me de s\u00e9curit\u00e9 ou de fonctionnement. Il r\u00e9pond aux menaces croissantes qui p\u00e8sent sur l&rsquo;infrastructure expos\u00e9e \u00e0 Internet et suit l&rsquo;approche de la conception s\u00e9curis\u00e9e par le biais des directives CISA. Sophos a durci le pare-feu au cours de plusieurs versions, simplifi\u00e9 l&rsquo;application des correctifs et am\u00e9lior\u00e9 la d\u00e9tection sous attaque. Les corrections \u00e0 chaud over-the-air sans temps d&rsquo;arr\u00eat et la surveillance active de la base install\u00e9e par Sophos pour d\u00e9tecter les premiers indicateurs d&rsquo;attaque sont des caract\u00e9ristiques uniques.    <\/p>\n\n<p><strong>A quoi sert le bilan de sant\u00e9<\/strong><br\/>Il \u00e9value des dizaines de param\u00e8tres par rapport aux r\u00e9f\u00e9rences CIS et aux meilleures pratiques \u00e9tablies. Les champs de contr\u00f4le typiques sont les chiffrement TLS obsol\u00e8tes ou non s\u00e9curis\u00e9s, les politiques d&rsquo;administration et d&rsquo;utilisation trop larges, les r\u00e8gles inutilis\u00e9es ou qui se chevauchent, les services inutilement expos\u00e9s et les durcissements de base comme l&rsquo;heure, l&rsquo;authentification et la journalisation. Sophos Firewall v22 facilite ainsi le maintien d&rsquo;une bonne hygi\u00e8ne des politiques et l&rsquo;\u00e9limination des vuln\u00e9rabilit\u00e9s non souhait\u00e9es.  <\/p>\n\n<p><strong>Comment fonctionne le contr\u00f4le de sant\u00e9<\/strong><br\/>Dans le centre de contr\u00f4le, un widget de tableau de bord indique l&rsquo;\u00e9tat. Un clic permet d&rsquo;acc\u00e9der \u00e0 la vue d\u00e9taill\u00e9e ou au menu principal sous \u00ab\u00a0Firewall health check\u00a0\u00bb. Les r\u00e9sultats sont class\u00e9s par ordre de priorit\u00e9, expliqu\u00e9s et reli\u00e9s par un lien descendant au masque de configuration appropri\u00e9. Cela permet de corriger les anomalies sans avoir \u00e0 chercher.   <\/p>\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-2ebcf16\" data-block-id=\"2ebcf16\"><style>.stk-2ebcf16 .stk-img-figcaption{text-align:center !important;color:#abb7c2 !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch stk--has-lightbox\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-169126\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget.png\" width=\"1380\" height=\"776\" alt=\"Sophos Firewall v22 - widget du tableau de bord de contr&#xF4;le de sant&#xE9;\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget.png 1380w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget-300x169.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget-1024x576.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget-768x432.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget-600x337.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-widget-64x36.png 64w\" sizes=\"auto, (max-width: 1380px) 100vw, 1380px\" \/><\/span><figcaption class=\"has-text-color stk-img-figcaption\">Sophos Firewall v22 &#8211; Health Check Dashboard Widget<\/figcaption><\/figure><\/div>\n\n<p><strong>Comment utiliser le bilan de sant\u00e9 en entreprise<\/strong><br\/>Avant les mises en service, apr\u00e8s les changements de politique, apr\u00e8s les mises \u00e0 jour du micrologiciel et l&rsquo;ex\u00e9cuter r\u00e9guli\u00e8rement. Il sert de validation objective dans les processus CAB et fournit des preuves d&rsquo;audit sur l&rsquo;hygi\u00e8ne continue des politiques. <\/p>\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Le bilan de sant\u00e9 couvre la qualit\u00e9 de la configuration, pas la sant\u00e9 du mat\u00e9riel. Il ne v\u00e9rifie pas si les bases de donn\u00e9es internes sont coh\u00e9rentes ou si la RAM ou le SSD pr\u00e9sentent des erreurs d&rsquo;\u00e9criture. Un indicateur d&rsquo;\u00e9tat visible dans l&rsquo;interface utilisateur graphique serait \u00e9galement utile dans ce cas.  <\/p>\n<\/blockquote>\n\n<h3 class=\"wp-block-heading\" id=\"health-check-prufbereiche-im-detail\">Health Check : les domaines de contr\u00f4le en d\u00e9tail<\/h3>\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-cf627a7\" data-block-id=\"cf627a7\"><style>.stk-cf627a7 .stk-img-figcaption{text-align:center !important;color:#abb7c2 !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch stk--has-lightbox\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-169119\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-scaled.png\" width=\"2560\" height=\"2376\" alt=\"Contr&#xF4;le de l'&#xE9;tat de sant&#xE9; de Sophos Firewall v22\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-scaled.png 2560w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-300x278.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-1024x950.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-768x713.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-1536x1426.png 1536w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-2048x1901.png 2048w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-600x557.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-health-check-64x59.png 64w\" sizes=\"auto, (max-width: 2560px) 100vw, 2560px\" \/><\/span><figcaption class=\"has-text-color stk-img-figcaption\">Sophos Firewall v22 &#8211; Health Check<\/figcaption><\/figure><\/div>\n\n<p>Le Health Check r\u00e9pertorie tous les points v\u00e9rifi\u00e9s dans le tableau de bord, \u00e0 la mani\u00e8re d&rsquo;un audit de s\u00e9curit\u00e9. Chaque point indique le module, la norme, la gravit\u00e9, l&rsquo;\u00e9tat et une action directe. On voit ainsi d&rsquo;un coup d&rsquo;\u0153il quelles configurations s&rsquo;\u00e9cartent des meilleures pratiques. Une s\u00e9lection des principaux audits :   <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Le contr\u00f4le des applications synchronis\u00e9es doit \u00eatre activ\u00e9.<\/li>\n\n\n\n<li>NDR Essentials doit \u00eatre activ\u00e9 et s\u00e9lectionn\u00e9 au moins sur une interface.<\/li>\n\n\n\n<li>Sophos X-Ops doit \u00eatre activ\u00e9. Une action doit \u00eatre d\u00e9finie sur Log and drop. <\/li>\n\n\n\n<li>Les flux de menaces MDR doivent \u00eatre d\u00e9sactiv\u00e9s. Une action doit \u00eatre d\u00e9finie pour se connecter et se d\u00e9connecter. <\/li>\n\n\n\n<li>Une r\u00e8gle de pare-feu doit avoir des param\u00e8tres Synchronized Security Heartbeat.<\/li>\n\n\n\n<li>Security Heartbeat doit \u00eatre activ\u00e9.<\/li>\n\n\n\n<li>Login disclaimer devrait \u00eatre activ\u00e9.<\/li>\n\n\n\n<li>Les param\u00e8tres de correction \u00e0 chaud doivent \u00eatre activ\u00e9s.<\/li>\n\n\n\n<li>Les sessions distantes doivent \u00eatre sign\u00e9es. Les sign-ins doivent \u00eatre bloqu\u00e9s pour les tentatives infructueuses sp\u00e9cifi\u00e9es. <\/li>\n\n\n\n<li>La complexit\u00e9 des mots de passe doit \u00eatre configur\u00e9e pour les utilisateurs.<\/li>\n\n\n\n<li>La complexit\u00e9 des mots de passe doit \u00eatre configur\u00e9e pour les administrateurs.<\/li>\n\n\n\n<li>La protection DNS doit \u00eatre configur\u00e9e et avoir un statut actif.<\/li>\n\n\n\n<li>MFA doit \u00eatre configur\u00e9 pour les signatures VPN d&rsquo;acc\u00e8s \u00e0 distance (IPsec et SSL VPN).<\/li>\n\n\n\n<li>MFA doit \u00eatre configur\u00e9 pour les signatures de la console d&rsquo;administration web et du VPN Portal.<\/li>\n\n\n\n<li>La connexion du pare-feu aux serveurs d&rsquo;authentification doit \u00eatre crypt\u00e9e.<\/li>\n\n\n\n<li>Des sauvegardes doivent \u00eatre programm\u00e9es.<\/li>\n\n\n\n<li>L&rsquo;authentification par cl\u00e9 publique doit \u00eatre configur\u00e9e pour l&rsquo;acc\u00e8s SSH au pare-feu.<\/li>\n\n\n\n<li>Le portail utilisateur ne devrait pas \u00eatre accessible depuis le WAN.<\/li>\n\n\n\n<li>La console d&rsquo;administration web ne devrait pas \u00eatre accessible depuis le WAN.<\/li>\n\n\n\n<li>MFA doit \u00eatre configur\u00e9 pour l&rsquo;admin par d\u00e9faut.<\/li>\n\n\n\n<li>Les e-mails de notification doivent \u00eatre configur\u00e9s pour les \u00e9v\u00e9nements syst\u00e8me et de s\u00e9curit\u00e9.<\/li>\n\n\n\n<li>La mise \u00e0 jour automatique doit \u00eatre activ\u00e9e pour le t\u00e9l\u00e9chargement et l&rsquo;installation des patrons.<\/li>\n\n\n\n<li>Une politique web doit \u00eatre s\u00e9lectionn\u00e9e dans une r\u00e8gle de pare-feu.<\/li>\n\n\n\n<li>Zero-Day Protection doit \u00eatre s\u00e9lectionn\u00e9 dans une r\u00e8gle de pare-feu.<\/li>\n\n\n\n<li>La pr\u00e9vention des intrusions doit \u00eatre activ\u00e9e. Une politique IPS doit \u00eatre s\u00e9lectionn\u00e9e dans une r\u00e8gle de pare-feu. <\/li>\n\n\n\n<li>Une politique de contr\u00f4le des applications doit \u00eatre s\u00e9lectionn\u00e9e dans une r\u00e8gle de pare-feu.<\/li>\n\n\n\n<li>Une r\u00e8gle d&rsquo;inspection SSL\/TLS doit avoir l&rsquo;action d\u00e9finie sur D\u00e9crypter.<\/li>\n\n\n\n<li>Une r\u00e8gle de pare-feu dont l&rsquo;action est d\u00e9finie sur Autoriser ne devrait pas avoir tous les param\u00e8tres de r\u00e9seau et de service d\u00e9finis sur Tout.<\/li>\n\n\n\n<li>Le reporting Sophos Central doit \u00eatre d\u00e9sactiv\u00e9.<\/li>\n\n\n\n<li>Le pare-feu doit envoyer ses sauvegardes \u00e0 Sophos Central.<\/li>\n\n\n\n<li>Le pare-feu doit \u00eatre enregistr\u00e9 pour la gestion Sophos Central. La gestion Sophos Central doit \u00eatre activ\u00e9e. <\/li>\n\n\n\n<li>Le serveur NTP doit \u00eatre configur\u00e9.<\/li>\n<\/ul>\n\n<p>Cette liste montre que le bilan de sant\u00e9 couvre \u00e0 la fois les configurations techniques et les politiques de s\u00e9curit\u00e9 organisationnelles.<\/p>\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Certains points sont sans aucun doute utiles, d&rsquo;autres peuvent \u00eatre remis en question. Par exemple : <em>\u00ab\u00a0Login disclaimer should be turned on\u00a0\u00bb.<\/em> Ce type d&rsquo;avertissement n&rsquo;am\u00e9liore pas vraiment la s\u00e9curit\u00e9 &#8211; personne ne le lit vraiment et, dans la pratique, il est souvent simplement cliqu\u00e9. Il r\u00e9pond cependant \u00e0 des exigences juridiques dans certains environnements, par exemple comme conditions d&rsquo;utilisation ou clause de non-responsabilit\u00e9. D&rsquo;un point de vue purement s\u00e9curitaire, il ne s&rsquo;agit gu\u00e8re d&rsquo;un m\u00e9canisme de protection, mais plut\u00f4t d&rsquo;un point formel destin\u00e9 \u00e0 signaler la prise de conscience de la s\u00e9curit\u00e9.   <\/p>\n\n\n\n<p>Il est possible d&rsquo;\u00e9craser manuellement le statut des contr\u00f4les individuels. Cela permet de marquer un point comme \u00ab\u00a0Complies\u00a0\u00bb, m\u00eame s&rsquo;il n&rsquo;est pas techniquement satisfait. Cependant, une ic\u00f4ne \u26a0\ufe0f appara\u00eet alors pour indiquer le statut \u00e9cras\u00e9. Cela permet de maintenir la transparence tout en conservant une certaine libert\u00e9 administrative.   <\/p>\n\n\n\n<p>Il est \u00e9galement frappant de constater que certains points de contr\u00f4le sont fortement li\u00e9s \u00e0 Sophos Central, MDR, NDR ou DNS Protection. Du point de vue de Sophos, il s&rsquo;agit bien s\u00fbr d&rsquo;une forme de vente crois\u00e9e, puisqu&rsquo;il s&rsquo;agit de souligner les avantages de l&rsquo;int\u00e9gration de son propre \u00e9cosyst\u00e8me. N\u00e9anmoins, nombre de ces recommandations apportent une r\u00e9elle valeur ajout\u00e9e, par exemple en termes d&rsquo;administration consolid\u00e9e ou d&rsquo;automatisation des alertes.  <\/p>\n<\/blockquote>\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Sophos Firewall v22: Firewall health check overview\" width=\"1290\" height=\"726\" src=\"https:\/\/www.youtube.com\/embed\/RJ0M0Fz6j9Y?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n<h2 class=\"wp-block-heading\" id=\"next-gen-xstream-control-plane\">Plan de contr\u00f4le Next-Gen Xstream<\/h2>\n\n<p>Avec Sophos Firewall v22, Sophos a fait \u00e9voluer en profondeur l&rsquo;architecture Xstream. Alors que le concept initial avait \u00e9t\u00e9 introduit dans la version 18 pour tirer pleinement parti de la puissance du mat\u00e9riel XGS, la nouvelle g\u00e9n\u00e9ration vise bien plus que la simple performance : elle met l&rsquo;accent sur la s\u00e9curit\u00e9, la stabilit\u00e9 et la p\u00e9rennit\u00e9. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"ein-neues-fundament-fur-sicherheit-und-skalierbarkeit\">Une nouvelle base pour la s\u00e9curit\u00e9 et l&rsquo;\u00e9volutivit\u00e9<\/h3>\n\n<p>Le plan de contr\u00f4le r\u00e9vis\u00e9 a \u00e9t\u00e9 enti\u00e8rement repens\u00e9. Au lieu d&rsquo;un syst\u00e8me monolithique, Sophos utilise d\u00e9sormais une structure modulaire dans laquelle les services centraux tels que l&rsquo;IPS, le filtrage Web ou l&rsquo;inspection SSL fonctionnent isol\u00e9ment les uns des autres. Chaque service est comme une application distincte au sein du pare-feu et peut \u00eatre g\u00e9r\u00e9 ou red\u00e9marr\u00e9 ind\u00e9pendamment. Ainsi, les autres fonctions restent stables m\u00eame si un module r\u00e9agit mal ou tombe en panne.   <\/p>\n\n<p>Du point de vue d&rsquo;un ing\u00e9nieur en s\u00e9curit\u00e9, il s&rsquo;agit d&rsquo;une \u00e9tape d\u00e9cisive : cette architecture minimise les d\u00e9pendances et r\u00e9duit l&rsquo;impact des exploits potentiels sur les composants individuels. En m\u00eame temps, elle jette les bases d&rsquo;une isolation Zero Trust au sein du syst\u00e8me &#8211; un concept qui \u00e9tait jusqu&rsquo;\u00e0 pr\u00e9sent plut\u00f4t connu des plateformes de cloud modernes. <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"unabhangig-von-hardware-und-umgebung\">Ind\u00e9pendant du mat\u00e9riel et de l&rsquo;environnement<\/h3>\n\n<p>L&rsquo;un des grands avantages de la nouvelle architecture Xstream est sa totale ind\u00e9pendance vis-\u00e0-vis du mat\u00e9riel propri\u00e9taire. Contrairement \u00e0 de nombreux concurrents, Sophos Firewall v22 ne repose pas sur des ASIC sp\u00e9cifiques ou des puces \u00e0 fonction fixe. L&rsquo;architecture fonctionne de mani\u00e8re coh\u00e9rente sur le mat\u00e9riel physique, les machines virtuelles ou les environnements de cloud. Cela garantit un comportement coh\u00e9rent sur toutes les plates-formes et facilite l&rsquo;automatisation des op\u00e9rations.   <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"verbesserte-hochverfugbarkeit-mit-selbstheilung\">Am\u00e9lioration de la haute disponibilit\u00e9 avec auto-r\u00e9paration<\/h3>\n\n<p>Une autre nouveaut\u00e9 est la nouvelle logique d&rsquo;auto-cicatrisation dans les clusters HA. Le plan de contr\u00f4le surveille en permanence l&rsquo;\u00e9tat des deux syst\u00e8mes et corrige automatiquement les \u00e9carts. Si des diff\u00e9rences sont d\u00e9tect\u00e9es dans la configuration ou dans l&rsquo;\u00e9tat de synchronisation, le pare-feu initie lui-m\u00eame une correction. Cela r\u00e9duit les situations d&rsquo;erreur, diminue la maintenance et am\u00e9liore sensiblement la disponibilit\u00e9. En pratique, cela signifie moins de red\u00e9marrages impr\u00e9vus et des performances de cluster plus stables.    <\/p>\n\n<h3 class=\"wp-block-heading\" id=\"technische-perspektive-und-zukunft\">Perspective et avenir techniques<\/h3>\n\n<p>La nouvelle architecture Xstream pose les bases de fonctionnalit\u00e9s futures telles que le clustering \u00e0 n n\u0153uds, des services de s\u00e9curit\u00e9 enti\u00e8rement conteneuris\u00e9s et une API REST compl\u00e8te pour l&rsquo;administration \u00e0 distance et l&rsquo;automatisation. Sophos Firewall v22 s&rsquo;oriente ainsi clairement vers une architecture de plate-forme qui rappelle les principes modernes du cloud : bas\u00e9e sur les services, dynamique et centr\u00e9e sur la s\u00e9curit\u00e9. <\/p>\n\n<p>D&rsquo;un point de vue professionnel, cette transformation est plus qu&rsquo;une simple mise \u00e0 jour technique. Elle change la fa\u00e7on dont les pare-feu sont con\u00e7us \u00e0 l&rsquo;avenir. Il s&rsquo;agit de passer des appliances monolithiques \u00e0 une infrastructure flexible, orient\u00e9e services, qui peut \u00eatre rapidement adapt\u00e9e et g\u00e9r\u00e9e de mani\u00e8re automatis\u00e9e. Pour les op\u00e9rateurs qui ont des exigences \u00e9lev\u00e9es en mati\u00e8re de temps de fonctionnement, de conformit\u00e9 et d&rsquo;\u00e9volutivit\u00e9, il s&rsquo;agit d&rsquo;une avanc\u00e9e d\u00e9cisive.   <\/p>\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Je suis tout \u00e0 fait d&rsquo;accord &#8211; la r\u00e9orientation vers le traitement bas\u00e9 sur le CPU est absolument logique d&rsquo;un point de vue technique. Toutes les appliances XGS ne disposent pas d&rsquo;un NPU, ce qui a acc\u00e9l\u00e9r\u00e9 le trafic, et les pare-feux virtuels en particulier ont toujours \u00e9t\u00e9 d\u00e9savantag\u00e9s dans ce domaine. Avec la nouvelle architecture, la performance est \u00e0 nouveau plus orient\u00e9e vers les CPU modernes, ce qui assure un comportement uniforme sur toutes les plates-formes. Dans les anciens mod\u00e8les de bureau XGS, la combinaison du CPU et du NPU \u00e9tait \u00e9galement exigeante sur le plan thermique, ce qui entra\u00eenait une augmentation du volume sonore. Gr\u00e2ce \u00e0 l&rsquo;\u00e9limination de cette charge de double processeur, les nouvelles g\u00e9n\u00e9rations sont nettement plus silencieuses. Ceux qui se souviennent de cette comparaison comprendront pourquoi le retour \u00e0 l&rsquo;optimisation du CPU est \u00e0 la fois strat\u00e9gique et pratique.     <\/p>\n<\/blockquote>\n\n<h2 class=\"wp-block-heading\" id=\"geharteter-kernel-6-6\">Noyau durci 6.6+<\/h2>\n\n<p>Sophos Firewall v22 utilise un noyau Linux modernis\u00e9 (v6.6+) pour une s\u00e9curit\u00e9, des performances et une \u00e9volutivit\u00e9 accrues. Les aspects centraux sont une isolation plus stricte des processus et des mitigations compl\u00e8tes contre les attaques par canal lat\u00e9ral et les vuln\u00e9rabilit\u00e9s du processeur telles que Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed et Downfall. De plus, la copie utilisateur renforc\u00e9e, les canaris de pile et la randomisation de l&rsquo;espace d&rsquo;adresse du noyau (KASLR) sont activ\u00e9s. Cela r\u00e9duit l&rsquo;exploitabilit\u00e9 des erreurs de m\u00e9moire, stabilise le comportement \u00e0 l&rsquo;ex\u00e9cution et renforce les fondations de l&rsquo;architecture Xstream.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"remote-integrity-monitoring\">Surveillance de l&rsquo;int\u00e9grit\u00e9 \u00e0 distance<\/h2>\n\n<p>Le contr\u00f4le de l&rsquo;int\u00e9grit\u00e9 \u00e0 distance dans SFOS v22 compl\u00e8te le durcissement du noyau par une surveillance continue de l&rsquo;int\u00e9grit\u00e9 du syst\u00e8me. En termes simples, il v\u00e9rifie en arri\u00e8re-plan s&rsquo;il y a des changements sur le pare-feu qui ne devraient pas avoir lieu. Le capteur Linux int\u00e9gr\u00e9 pour XDR enregistre les \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 au niveau du syst\u00e8me et des services &#8211; par exemple, si un processus inconnu d\u00e9marre, si des fichiers de configuration sont modifi\u00e9s ou des r\u00e8gles export\u00e9es, ou si des fichiers critiques sont manipul\u00e9s.  <\/p>\n\n<p>Ces informations, ainsi que l&rsquo;heure, l&rsquo;utilisateur et la source, sont envoy\u00e9es \u00e0 Sophos Central. L\u00e0, elles peuvent \u00eatre associ\u00e9es \u00e0 d&rsquo;autres donn\u00e9es, telles que celles des syst\u00e8mes d&rsquo;extr\u00e9mit\u00e9, des passerelles de messagerie ou des services d&rsquo;identit\u00e9. Cela permet aux administrateurs d&rsquo;identifier plus rapidement les comportements inhabituels et de r\u00e9agir de mani\u00e8re cibl\u00e9e avant qu&rsquo;ils ne deviennent des probl\u00e8mes plus importants.  <\/p>\n\n<p>Dans la vie quotidienne d&rsquo;un administrateur informatique, cela signifie que si quelqu&rsquo;un tente de modifier quelque chose sur le pare-feu ou de manipuler un fichier \u00e0 son insu, cela sera d\u00e9tect\u00e9 et signal\u00e9. Cette fonction aide donc \u00e0 d\u00e9tecter rapidement les attaques silencieuses ou les mauvaises configurations sans avoir \u00e0 v\u00e9rifier manuellement en permanence. En m\u00eame temps, elle aide Sophos \u00e0 surveiller de mani\u00e8re centralis\u00e9e le comportement des pare-feux install\u00e9s, ce qui permet d&rsquo;identifier des mod\u00e8les ou des probl\u00e8mes de s\u00e9curit\u00e9 potentiels.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"active-threat-response-und-ndr-verbesserungen\">Active Threat Response (flux de menaces pour WAF et NAT) et<\/h2>\n\n<p>Sous la Feature-Request SFSW-I-2618, un comportement souhait\u00e9 depuis longtemps a enfin \u00e9t\u00e9 mis en \u0153uvre. <a href=\"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-threat-feeds\/\">Les Threat Feeds<\/a> sont des listes dynamiques d&rsquo;adresses IP malveillantes connues, mises \u00e0 jour en permanence par des fournisseurs de Threat Intelligence comme nous<a href=\"https:\/\/www.avanet.com\/fr\/blog\/avanet-threat-intelligence-feeds\/\">(Avanet Threat Feeds<\/a>). Ils servent \u00e0 bloquer de mani\u00e8re proactive les attaques provenant d&rsquo;Internet avant m\u00eame qu&rsquo;elles ne s&rsquo;approchent d&rsquo;un service.<\/p>\n\n<p>Jusqu&rsquo;\u00e0 pr\u00e9sent, ces flux n&rsquo;\u00e9taient utilis\u00e9s que pour prot\u00e9ger les portails Sophos. Les r\u00e8gles NAT et WAF n&rsquo;\u00e9taient pas affect\u00e9es, ce qui, d&rsquo;un point de vue pratique, ressemblait plus \u00e0 un bug qu&rsquo;\u00e0 une fonctionnalit\u00e9 manquante. <\/p>\n\n<p>Avec Sophos Firewall v22, cette limitation est d\u00e9sormais lev\u00e9e. Les flux de menaces sont d\u00e9sormais automatiquement appliqu\u00e9s aux r\u00e8gles NAT et WAF. Cela signifie que d\u00e8s qu&rsquo;une connexion est d\u00e9tect\u00e9e \u00e0 partir d&rsquo;une adresse IP d&rsquo;un flux, le pare-feu la bloque automatiquement, m\u00eame pour les r\u00e8gles de redirection ou de serveur Web. Il n&rsquo;est donc plus n\u00e9cessaire de g\u00e9rer des r\u00e8gles s\u00e9par\u00e9es ou des solutions de contournement.   <\/p>\n\n<p>Ce changement constitue une avanc\u00e9e majeure, car les flux de menaces prot\u00e8gent d\u00e9sormais les services productifs tels que les serveurs web, contribuant ainsi directement \u00e0 la d\u00e9tection et \u00e0 la d\u00e9fense contre les attaques. Le pare-feu r\u00e9agit ainsi en temps r\u00e9el aux menaces actuelles, sans qu&rsquo;il soit n\u00e9cessaire d&rsquo;intervenir manuellement. Il s&rsquo;agit d&rsquo;un d\u00e9tail mineur mais techniquement important qui augmente clairement la valeur de la s\u00e9curit\u00e9 de Sophos Firewall v22.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"ndr-verbesserungen\">Am\u00e9liorations NDR<\/h2>\n\n<p>Pour le trafic sortant, les correspondances IP source avec NDR Essentials et les flux externes sont prises en charge afin d&rsquo;identifier et de bloquer les p\u00e9riph\u00e9riques compromis non g\u00e9r\u00e9s. Le score de menace NDR Essentials appara\u00eet directement dans les journaux. En outre, depuis <a href=\"https:\/\/www.avanet.com\/fr\/blog\/sophos-firewall-v21-5-mr1\/#ndr-essentials-datacenter-auswahl\">SFOS v21.5 MR1<\/a>, il est possible de choisir explicitement la r\u00e9gion du centre de donn\u00e9es NDR-Essentials, la r\u00e9gion avec la plus faible latence \u00e9tant utilis\u00e9e par d\u00e9faut.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"api-access-kontrolle\">Contr\u00f4le d&rsquo;acc\u00e8s API<\/h2>\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-5652eec\" data-block-id=\"5652eec\"><style>.stk-5652eec .stk-img-figcaption{text-align:center !important;color:#abb7c2 !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch stk--has-lightbox\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-169137\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings.png\" width=\"2466\" height=\"1388\" alt=\"Sophos Firewall v22 - param&#xE8;tres d'acc&#xE8;s &#xE0; l'API\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings.png 2466w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-300x169.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-1024x576.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-768x432.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-1536x865.png 1536w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-2048x1153.png 2048w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-600x338.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-api-access-settings-64x36.png 64w\" sizes=\"auto, (max-width: 2466px) 100vw, 2466px\" \/><\/span><figcaption class=\"has-text-color stk-img-figcaption\">Sophos Firewall v22 &#8211; API access settings<\/figcaption><\/figure><\/div>\n\n<p>L&rsquo;acc\u00e8s \u00e0 l&rsquo;API de gestion peut \u00eatre limit\u00e9 \u00e0 des objets IP explicites. Jusqu&rsquo;\u00e0 64 entr\u00e9es permettent une s\u00e9paration nette entre les automates, les r\u00e9seaux de gestion et les acc\u00e8s externes des partenaires. Dans les fen\u00eatres de changement, il est possible d&rsquo;\u00e9tendre temporairement, puis de r\u00e9duire \u00e0 nouveau. Recommandation : n&rsquo;autoriser que les r\u00e9seaux de gestion d\u00e9di\u00e9s, activer la journalisation et v\u00e9rifier r\u00e9guli\u00e8rement les acc\u00e8s. La configuration s&rsquo;effectue dans SFOS v22 sous Administration.    <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"firmware-updates-via-ssl-mit-zertifikat-pinning\">Mises \u00e0 jour du firmware via SSL avec \u00e9pinglage de certificat<\/h2>\n\n<p>SFOS v22 valide les serveurs de mise \u00e0 jour via SSL et l&rsquo;\u00e9pinglage de certificats. Cela r\u00e9duit le risque de manipulation de l&rsquo;infrastructure de mise \u00e0 jour. Dans les environnements avec des politiques de sortie strictes, les FQDNs cibles doivent \u00eatre inclus dans les listes d&rsquo;autorisation afin de garantir la fiabilit\u00e9 des mises \u00e0 jour.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"http-2-und-tls-1-3-fur-device-access\">HTTP\/2 et TLS 1.3 pour l&rsquo;acc\u00e8s aux p\u00e9riph\u00e9riques<\/h2>\n\n<p>La console d&rsquo;administration Web, le VPN Portal et le portail utilisateur utilisent d\u00e9sormais HTTP\/2 et TLS 1.3. Ces deux technologies permettent d&rsquo;\u00e9tablir les connexions plus rapidement, de les rendre plus stables et de mieux les crypter. La diff\u00e9rence est surtout visible lors de la connexion et des appels de page dans l&rsquo;interface Web Admin, qui sont sensiblement plus rapides.  <\/p>\n\n<p>HTTP\/2 regroupe plusieurs requ\u00eates en une seule connexion, ce qui r\u00e9duit le temps d&rsquo;attente du pare-feu entre le client et le serveur. TLS 1.3 assure en m\u00eame temps un cryptage moderne avec un handshake plus court et une s\u00e9curit\u00e9 accrue. Dans les environnements r\u00e9seau plus anciens, o\u00f9 d&rsquo;anciens pare-feu ou syst\u00e8mes proxy sont encore utilis\u00e9s, il est conseill\u00e9 de v\u00e9rifier bri\u00e8vement que tout est compatible avant de l&rsquo;activer.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"monitoring-mit-s-flow-und-snmp-hardwarewerten\">Surveillance avec sFlow et valeurs mat\u00e9rielles SNMP<\/h2>\n\n<p>sFlow permet l&rsquo;\u00e9chantillonnage du trafic vers des collecteurs centraux afin de d\u00e9tecter les pics de volume, les flux inattendus et les anomalies en temps r\u00e9el. Le taux d&rsquo;\u00e9chantillonnage par d\u00e9faut est de 400, avec un minimum de 10. Jusqu&rsquo;\u00e0 5 collecteurs sont pris en charge. sFlow peut \u00eatre activ\u00e9 sur les interfaces physiques, les alias et les interfaces VLAN. Remarque : sur l&rsquo;interface de surveillance, FastPath est d\u00e9sactiv\u00e9. En outre, SFOS v22 fournit des m\u00e9triques mat\u00e9rielles SNMP telles que la temp\u00e9rature du CPU et du NPU, la vitesse de rotation du ventilateur, l&rsquo;\u00e9tat de l&rsquo;alimentation \u00e0 partir du XGS 2100, ainsi que des valeurs de performance PoE pour tous les mod\u00e8les XGS avec PoE, sauf le XGS 116(w). Un fichier MIB peut \u00eatre t\u00e9l\u00e9charg\u00e9 directement dans l&rsquo;IU. Choisir les intervalles d&rsquo;\u00e9chantillonnage et de sondage de mani\u00e8re \u00e0 ce que les liens du noyau restent visibles sans surcharger le collecteur.      <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"bessere-bedienung-und-suchfunktionen\">Meilleure utilisation et fonctions de recherche<\/h2>\n\n<p>Avec SFOS v22, l&rsquo;interface devrait \u00eatre beaucoup plus r\u00e9active. Il n&rsquo;est plus n\u00e9cessaire d&rsquo;attendre que la page soit enti\u00e8rement recharg\u00e9e pour passer d&rsquo;un menu ou d&rsquo;un onglet \u00e0 l&rsquo;autre. <\/p>\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Lors de mes tests, aucune am\u00e9lioration n&rsquo;a \u00e9t\u00e9 ressentie. N\u00e9anmoins, il est encourageant de constater que des efforts sont faits pour am\u00e9liorer la vitesse de l&rsquo;interface utilisateur. Il y a encore beaucoup de potentiel, en particulier lors de l&rsquo;enregistrement des r\u00e8gles de pare-feu ou du chargement des vues de l&rsquo;interface, o\u00f9 il y a encore des retards sensibles.  <\/p>\n<\/blockquote>\n\n<p>Les interfaces XFRM peuvent d\u00e9sormais \u00eatre filtr\u00e9es et recherch\u00e9es directement dans l&rsquo;interface. Si les entr\u00e9es sont nombreuses, elles sont automatiquement divis\u00e9es en pages, ce qui am\u00e9liore consid\u00e9rablement la visibilit\u00e9 et la gestion des grandes configurations IPsec. <\/p>\n\n<p>Des am\u00e9liorations mineures se font \u00e9galement sentir au quotidien : Les param\u00e8tres du serveur NTP sont d\u00e9sormais d\u00e9finis par d\u00e9faut sur \u00ab\u00a0Use pre-defined NTP server\u00a0\u00bb.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"utm-nahe-funktionen-in-sfos\">Fonctions UTM proches dans SFOS<\/h2>\n\n<p>Pour ceux qui ne sont pas encore pass\u00e9s de SG UTM \u00e0 SFOS, la version 22 apporte une fonctionnalit\u00e9 manquante. Il s&rsquo;agit notamment du support MFA dans le WAF, des algorithmes OTP modernes tels que SHA-256 et SHA-512 et des journaux de piste d&rsquo;audit avec repr\u00e9sentation Before\/After. Ces extensions comblent des lacunes importantes par rapport \u00e0 l&rsquo;UTM actuel et facilitent consid\u00e9rablement la transition. Ainsi, ceux qui h\u00e9sitent encore \u00e0 migrer trouveront d\u00e9sormais dans SFOS v22 presque toutes les fonctionnalit\u00e9s auxquelles ils sont habitu\u00e9s, avec une technologie moderne et une meilleure int\u00e9gration.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"audit-trail-logs-im-detail\">Les journaux d&rsquo;audit en d\u00e9tail<\/h2>\n\n<p>La phase 1 enregistre chaque modification apport\u00e9e aux r\u00e8gles de pare-feu, aux objets et aux interfaces. Les journaux peuvent \u00eatre t\u00e9l\u00e9charg\u00e9s dans le menu Diagnostics &gt; Logs et montrent clairement ce qui a \u00e9t\u00e9 modifi\u00e9 exactement &#8211; y compris les valeurs avant et apr\u00e8s l&rsquo;ajustement. Dans les versions futures, ces modifications seront affich\u00e9es directement dans le visualiseur de logs, ce qui permettra de voir imm\u00e9diatement les diff\u00e9rences sans avoir \u00e0 exporter. Cela facilite la tra\u00e7abilit\u00e9 et permet de gagner du temps lors de l&rsquo;analyse des modifications.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"instant-web-category-alerts\">Alertes instantan\u00e9es de cat\u00e9gories Web<\/h2>\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-6aa5f25\" data-block-id=\"6aa5f25\"><style>.stk-6aa5f25 .stk-img-figcaption{text-align:center !important;color:#abb7c2 !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch stk--has-lightbox\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-169145\" src=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-scaled.png\" width=\"2560\" height=\"1441\" alt=\"Sophos Firewall v22 - Alertes instantan&#xE9;es de cat&#xE9;gories Web\" srcset=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-scaled.png 2560w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-300x169.png 300w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-1024x577.png 1024w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-768x432.png 768w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-1536x865.png 1536w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-2048x1153.png 2048w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-600x338.png 600w, https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-instant-web-category-alerts-64x36.png 64w\" sizes=\"auto, (max-width: 2560px) 100vw, 2560px\" \/><\/span><figcaption class=\"has-text-color stk-img-figcaption\">Sophos Firewall v22 &#8211; Instant Web Category Alerts<\/figcaption><\/figure><\/div>\n\n<p>Des notifications automatiques peuvent \u00eatre configur\u00e9es pour les cat\u00e9gories de sites web restreints. Ces notifications informent \u00e0 intervalles rapproch\u00e9s, par exemple toutes les cinq minutes, des tentatives d&rsquo;acc\u00e8s aux pages web bloqu\u00e9es. Chaque message contient des d\u00e9tails tels que l&rsquo;heure, l&rsquo;utilisateur, la cat\u00e9gorie et le domaine consult\u00e9. Cela assure une meilleure transparence et facilite le suivi en cas d&rsquo;acc\u00e8s r\u00e9p\u00e9t\u00e9 \u00e0 des sites non autoris\u00e9s. Cette fonction est particuli\u00e8rement utile dans les environnements avec des politiques claires, comme les \u00e9coles ou les organisations avec des r\u00e8gles Internet fixes. Les infractions sont automatiquement document\u00e9es et peuvent \u00eatre retrac\u00e9es si n\u00e9cessaire.     <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"upgrade-auf-sfos-v-22-pfade-dauer-und-hinweise\">Mise \u00e0 niveau vers SFOS v22 : chemins d&rsquo;acc\u00e8s, dur\u00e9e et remarques<\/h2>\n\n<p>SFOS v22 apporte des modifications profondes \u00e0 l&rsquo;architecture du syst\u00e8me. En revanche, le firmware n\u00e9cessite un peu plus d&rsquo;espace disque dans la partition racine. Pour la plupart des appareils (environ 98%), la mise \u00e0 niveau se fait automatiquement et sans intervention. Les mod\u00e8les \u00e0 partir du XGS 2100 disposent d\u00e9j\u00e0 de suffisamment de m\u00e9moire et effectuent la mise \u00e0 jour directement.   <\/p>\n\n<p>Pour les mod\u00e8les de bureau XGS et les mod\u00e8les virtuels avec une partition plus petite (1 Go), la m\u00e9moire est automatiquement augment\u00e9e lors de la mise \u00e0 niveau. De ce fait, le processus prend un peu plus de temps, g\u00e9n\u00e9ralement entre deux et dix minutes. Seuls quelques syst\u00e8mes &#8211; environ 3 % &#8211; n\u00e9cessitent une pr\u00e9paration manuelle, par exemple la suppression d&rsquo;anciens rapports ou journaux, afin de lib\u00e9rer suffisamment d&rsquo;espace.  <\/p>\n\n<p>Les p\u00e9riph\u00e9riques avec un firmware SSD plus ancien doivent d&rsquo;abord le mettre \u00e0 jour avant de pouvoir passer \u00e0 la version 22. Les tr\u00e8s anciennes installations virtuelles bas\u00e9es sur de petits disques durs ou d&rsquo;anciennes versions de SFOS (ant\u00e9rieures \u00e0 la version 18) n\u00e9cessitent des \u00e9tapes suppl\u00e9mentaires. Dans certains cas, une mise \u00e0 jour interm\u00e9diaire vers la version 21 MR2 est d&rsquo;abord n\u00e9cessaire avant de r\u00e9ussir la mise \u00e0 niveau. Si le disque est trop petit, la seule solution est de proc\u00e9der \u00e0 une nouvelle installation avec un disque dur plus grand.   <\/p>\n\n<p>Les instructions relatives \u00e0 toutes les \u00e9tapes n\u00e9cessaires apparaissent automatiquement dans l&rsquo;interface du pare-feu par le biais de messages dans le centre de contr\u00f4le, par courriel et par des ic\u00f4nes d&rsquo;avertissement dans Sophos Central. Celles-ci affichent \u00e9galement un code de r\u00e9f\u00e9rence qui renvoie directement \u00e0 l&rsquo;article correspondant de la base de connaissances. Une fois la pr\u00e9paration r\u00e9ussie, l&rsquo;alerte dispara\u00eet en une heure environ. Des commandes CLI suppl\u00e9mentaires sont \u00e9galement disponibles \u00e0 des fins de diagnostic.   <\/p>\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Sophos Firewall v22: Upgrade paths to SFOS v22\" width=\"1290\" height=\"726\" src=\"https:\/\/www.youtube.com\/embed\/2rOu1Zk7UPA?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/support.sophos.com\/support\/s\/article\/KBA-000010091?language=en_US\" target=\"_blank\" rel=\"noopener\">Sophos KB : Configuration requise et solution pour la mise \u00e0 niveau vers SFOS 22.0 et versions ult\u00e9rieures<\/a><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusion<\/h2>\n\n<p>Sophos Firewall v22 offre une base de s\u00e9curit\u00e9 sensiblement plus solide, une structure modulaire et un fonctionnement plus stable. Le bilan de sant\u00e9 est un outil sophistiqu\u00e9 qui aide \u00e0 v\u00e9rifier syst\u00e9matiquement les configurations et \u00e0 respecter les meilleures pratiques. Le nouveau plan de contr\u00f4le permet des mises \u00e0 niveau plus fluides et une plus grande fiabilit\u00e9 en cours d&rsquo;utilisation. Des protocoles modernes et une t\u00e9l\u00e9m\u00e9trie avanc\u00e9e rendent l&rsquo;analyse et le d\u00e9pannage beaucoup plus efficaces.   <\/p>\n\n<p>Nous nous r\u00e9jouissons de la nette progression de Sophos Firewall v22, mais nous souhaitons toujours qu&rsquo;un travail soit effectu\u00e9 sur le clonage et le regroupement des r\u00e8gles NAT, comme nous le savons pour les r\u00e8gles de pare-feu. Il y a environ un an, nous avons <a href=\"https:\/\/www.avanet.com\/fr\/blog\/sophos-firewall-feature-request\/\">rassembl\u00e9 et publi\u00e9 nos souhaits<\/a>. Depuis, de nombreuses am\u00e9liorations ont \u00e9t\u00e9 apport\u00e9es, mais nous pensons qu&rsquo;il manque encore quelques fonctionnalit\u00e9s. Nous esp\u00e9rons qu&rsquo;elles seront mises en \u0153uvre dans les prochaines versions.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"temen\">FAQ<\/h2>\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1760902114682\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quand Sophos Firewall v22 sera-t-il disponible en tant que GA ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>La phase d&rsquo;acc\u00e8s anticip\u00e9 a d\u00e9but\u00e9 en octobre 2025. En g\u00e9n\u00e9ral, Sophos publie la version GA quelques semaines apr\u00e8s l&rsquo;EAP. Sur la base des cycles de publication pr\u00e9c\u00e9dents, la version GA devrait \u00eatre disponible d\u00e9but d\u00e9cembre 2025.  <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760951308062\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Qu&rsquo;est-ce que le nouveau bilan de sant\u00e9 et \u00e0 quoi sert-il ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Le bilan de sant\u00e9 v\u00e9rifie la configuration du pare-feu pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s et les \u00e9carts par rapport aux meilleures pratiques. Il \u00e9value des param\u00e8tres tels que le cryptage TLS, la complexit\u00e9 des mots de passe, le MFA, les acc\u00e8s admin ou l&rsquo;\u00e9tat des mises \u00e0 jour et les affiche clairement dans le tableau de bord. L&rsquo;objectif est de d\u00e9tecter et de corriger rapidement les mauvaises configurations avant qu&rsquo;elles ne deviennent des probl\u00e8mes de s\u00e9curit\u00e9.  <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760951325484\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Qu&rsquo;est-ce qui a chang\u00e9 dans l&rsquo;architecture Xstream ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Le plan de contr\u00f4le Xstream a \u00e9t\u00e9 enti\u00e8rement reconstruit. Les services centraux comme IPS ou le filtrage web fonctionnent d\u00e9sormais isol\u00e9ment les uns des autres. Cela augmente la stabilit\u00e9, car un module d\u00e9fectueux n&rsquo;a plus d&rsquo;influence sur d&rsquo;autres domaines. En m\u00eame temps, l&rsquo;architecture cr\u00e9e la base pour les services de conteneurs, le contr\u00f4le de l&rsquo;API et les futures fonctions de mise \u00e0 l&rsquo;\u00e9chelle.   <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760965863534\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Pourquoi le traitement bas\u00e9 sur le CPU est-il d\u00e9sormais meilleur que la solution NPU de l&rsquo;ancienne s\u00e9rie XGS ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Tous les pare-feu ne disposent pas d&rsquo;une NPU d\u00e9di\u00e9e. La nouvelle architecture orient\u00e9e CPU assure des performances homog\u00e8nes sur toutes les plates-formes, y compris dans les installations virtuelles ou en nuage. De plus, la suppression du NPU r\u00e9duit la chaleur et donc le bruit, en particulier sur les petits mod\u00e8les.  <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760965871850\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quels sont les avantages du nouveau noyau (version 6.6+) ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Le noyau Linux mis \u00e0 jour dans Sophos Firewall v22 offre des m\u00e9canismes de s\u00e9curit\u00e9 am\u00e9lior\u00e9s contre les attaques telles que Spectre, Meltdown et Retbleed. Il prot\u00e8ge mieux contre les erreurs de m\u00e9moire et stabilise le fonctionnement gr\u00e2ce \u00e0 des protections suppl\u00e9mentaires comme Stack Canaries et KASLR. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760965894648\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quelles sont les nouveaut\u00e9s concernant les flux de menaces ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Les flux de menaces sont d\u00e9sormais appliqu\u00e9s aux r\u00e8gles NAT et WAF. Cela permet au pare-feu de bloquer automatiquement les IP d&rsquo;attaquants connus avant m\u00eame qu&rsquo;elles n&rsquo;atteignent un service interne. Cette fonctionnalit\u00e9 augmente consid\u00e9rablement l&rsquo;efficacit\u00e9 de la protection en incluant les serveurs de production et les redirections.  <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760965908360\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Comment se d\u00e9roule la mise \u00e0 niveau vers SFOS v22 ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Pour environ 98% des appareils, la mise \u00e0 niveau se fait automatiquement. Les syst\u00e8mes disposant d&rsquo;une petite partition racine (1 Go) l&rsquo;\u00e9tendent automatiquement pendant le processus, ce qui peut prendre quelques minutes de plus. Seules les installations plus anciennes ou les appareils avec un firmware SSD obsol\u00e8te n\u00e9cessitent une pr\u00e9paration manuelle. Toutes les \u00e9tapes sont clairement indiqu\u00e9es via l&rsquo;interface graphique ou par courrier \u00e9lectronique.   <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1760965934342\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Y a-t-il de nouvelles fonctions de surveillance ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Oui, en plus des valeurs mat\u00e9rielles SNMP (temp\u00e9rature, ventilateurs, alimentations, PoE), Sophos Firewall v22 prend d\u00e9sormais en charge sFlow pour l&rsquo;analyse du trafic en temps r\u00e9el. Cela permet de d\u00e9tecter imm\u00e9diatement les flux de donn\u00e9es inhabituels ou les pics de charge.  <\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Liens compl\u00e9mentaires<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.avanet.com\/fr\/blog\/avanet-threat-intelligence-feeds\/\">Avanet : flux de renseignements sur les menaces pour Sophos Firewall<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/news.sophos.com\/en-us\/2025\/10\/15\/sophos-firewall-v22-is-now-available-in-early-access\/\" target=\"_blank\" rel=\"noopener\">Actualit\u00e9s Sophos : Sophos Firewall v22 Early Access<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/sfos-v22-early-access-program\/b\/announcements\" target=\"_blank\" rel=\"noopener\">Communaut\u00e9 Sophos : annonces SFOS v22 EAP<\/a><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"quellen\">Sources<\/h2>\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.avanet.com\/assets\/sophos-firewall-v22-key-new-features.pdf\">Nouvelles fonctionnalit\u00e9s cl\u00e9s de Sophos Firewall OS v22<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/news.sophos.com\/en-us\/2025\/10\/15\/sophos-firewall-v22-is-now-available-in-early-access\/\" target=\"_blank\" rel=\"noreferrer noopener\">Sophos Firewall v22 est d\u00e9sormais disponible en acc\u00e8s anticip\u00e9<\/a>, Actualit\u00e9s Sophos<\/li>\n\n\n\n<li><a href=\"https:\/\/community.sophos.com\/sophos-xg-firewall\/sfos-v22-early-access-program\/b\/announcements\/posts\/sophos-firewall-v22-eap-is-now-available\" target=\"_blank\" rel=\"noreferrer noopener\">Sophos Firewall v22 EAP est maintenant disponible<\/a>, Communaut\u00e9 Sophos, 15\/10\/2025,<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Sophos Firewall v22 met l&rsquo;accent sur le durcissement, la visibilit\u00e9 claire et les processus op\u00e9rationnels stables. L&rsquo;architecture Xstream modernis\u00e9e, un noyau durci et de nouvelles fonctionnalit\u00e9s op\u00e9rationnelles contribuent \u00e0 r\u00e9duire la surface d&rsquo;attaque et \u00e0 simplifier l&rsquo;administration. Cet article explique toutes les nouveaut\u00e9s de SFOS v22. Bilan de sant\u00e9 Le contr\u00f4le d&rsquo;int\u00e9grit\u00e9 est le contr\u00f4le [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":169100,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[371],"tags":[],"class_list":["post-169161","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/169161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/comments?post=169161"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/169161\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media\/169100"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=169161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/categories?post=169161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/tags?post=169161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}