1. Contexte

​

Chez XEFI, les firewalls Sophos sont utilisés pour sécuriser les réseaux des clients. Ils permettent notamment de filtrer les flux entrants et sortants, de gérer les VPN, de contrôler les applications, de bloquer certains contenus web et de surveiller les menaces réseau.

Sophos Firewall, anciennement appelé Sophos XG Firewall, est aujourd’hui principalement déployé sur les gammes XGS, mais aussi sous forme virtuelle ou cloud. Les anciennes gammes XG et SG peuvent poser des limites de compatibilité avec les versions récentes de Sophos Firewall OS. Pour les entreprises encore équipées d’anciens boîtiers, la veille sur les versions supportées et les migrations matérielles est donc importante.

​

2. Sujet de veille choisi

​

Le sujet de veille retenu est le suivant :

L’évolution des firewalls Sophos face aux nouvelles menaces réseau et aux besoins des entreprises.

Ce sujet est intéressant car les pare-feu ne servent plus seulement à ouvrir ou bloquer des ports. Aujourd’hui, ils doivent aussi détecter des comportements suspects, communiquer avec les antivirus, s’intégrer au cloud, protéger les VPN, analyser le trafic web et aider les administrateurs à corriger les mauvaises configurations.

​

​

​

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

3. Évolutions récentes des firewalls Sophos

​

Sophos a fait évoluer ses firewalls avec plusieurs fonctions importantes. La version SFOS v21.5 a introduit des fonctionnalités liées à la détection réseau, notamment avec NDR Essentials. Cette évolution montre que Sophos cherche à aller au-delà du simple filtrage réseau pour proposer une détection plus active des menaces.

Sophos met aussi en avant la fonction Active Threat Response. Cette fonctionnalité permet au firewall de réagir automatiquement à certaines menaces en utilisant des renseignements issus de Sophos X-Ops, de Sophos MDR ou de sources tierces. L’objectif est de bloquer plus rapidement une menace, sans attendre qu’un administrateur crée manuellement une règle de pare-feu.

Une autre évolution importante concerne la Synchronized Security. Le principe est de faire communiquer le firewall avec les postes protégés par Sophos Endpoint. Par exemple, si un poste est détecté comme compromis, le firewall peut participer à son isolement pour limiter la propagation de l’attaque dans le réseau.

​

​

​

​

​

​

​​

​

​

​

​

​

​

4. Sophos Firewall v22 : sécurité renforcée

​

La version Sophos Firewall v22, publiée fin 2025 puis rééditée en janvier 2026 avec le build 411, apporte plusieurs améliorations importantes. Sophos présente cette version comme une évolution orientée sécurité, avec plusieurs renforcements de l’architecture du produit.

Une nouveauté importante est le Firewall Health Check. Cette fonction analyse la configuration du pare-feu et signale les paramètres pouvant présenter un risque. Pour un technicien ou un administrateur systèmes et réseaux, cela peut être utile lors d’un audit client, car l’outil aide à repérer rapidement les règles ou configurations à corriger.

Sophos Firewall v22 apporte aussi des améliorations liées à la sécurité de l’interface d’administration, au portail VPN, au portail utilisateur, à l’isolation des processus et à la journalisation de certaines fonctions de sécurité.

​

5. Sécurité et vulnérabilités

​

Comme tout équipement exposé à Internet, un firewall peut lui-même devenir une cible. C’est pour cela que la veille de sécurité est essentielle.

En juillet 2025, plusieurs vulnérabilités concernant Sophos Firewall ont été publiées, dont CVE-2025-6704. Cette faille concernait la fonction SPX Secure PDF eXchange sur certaines versions antérieures à 21.0 MR2. Dans certaines conditions précises, notamment avec une configuration SPX spécifique et un firewall en haute disponibilité, elle pouvait mener à une exécution de code à distance avant authentification.

Sophos dispose d’un mécanisme de hotfix permettant de pousser certains correctifs urgents directement sur les équipements. Cependant, cela ne remplace pas une vraie politique de mise à jour. Il reste important de vérifier régulièrement les versions installées, de planifier les montées de version et de contrôler que les correctifs critiques ont bien été appliqués.

Pour une entreprise comme XEFI, cela montre l’importance de suivre les versions déployées chez les clients, d’anticiper les migrations et de surveiller les alertes de sécurité publiées par l’éditeur.

​

6. Intérêt pour XEFI et pour les clients

​

Dans un environnement MSP comme XEFI, les firewalls Sophos présentent plusieurs avantages :

Ils permettent de centraliser une partie de la sécurité réseau des clients. Ils sont utiles pour gérer les VPN SSL ou IPsec, filtrer les accès web, créer des règles de sécurité, protéger les accès distants et superviser certains événements de sécurité.

Leur intégration avec Sophos Central est aussi intéressante, car elle facilite la gestion à distance. Pour un prestataire informatique, cela permet de suivre plusieurs clients depuis une console centralisée, de planifier certaines mises à jour et d’avoir une meilleure visibilité sur l’état des firewalls.

Les nouvelles fonctions comme Active Threat Response, NDR Essentials ou Firewall Health Check montrent que Sophos cherche à transformer le firewall en outil de détection et de réaction, et pas seulement en équipement de filtrage.

​

7. Limites et points de vigilance

​

Même si Sophos Firewall est une solution complète, plusieurs points doivent être surveillés.

Les équipements anciens peuvent devenir incompatibles avec les versions récentes de Sophos Firewall OS. Cela oblige parfois à prévoir une migration vers des modèles plus récents, comme les gammes XGS, ou vers des appliances virtuelles.

Les règles de pare-feu doivent aussi être régulièrement vérifiées. Un firewall mal configuré peut laisser passer des flux dangereux ou bloquer des services légitimes. La fonction Health Check de SFOS v22 peut aider, mais elle ne remplace pas l’analyse d’un technicien.

Enfin, les VPN, portails d’administration et services exposés doivent être protégés avec des mots de passe solides, de l’authentification multifacteur lorsque c’est possible, des restrictions d’accès par IP et des mises à jour régulières.

​

8. Conclusion de la veille

​

Cette veille montre que les firewalls Sophos évoluent vers des solutions de sécurité plus intelligentes et plus automatisées. Ils ne se limitent plus au filtrage réseau classique, mais intègrent désormais de la détection de menace, de la réponse automatique, de l’analyse de configuration et une meilleure intégration avec les postes clients.

Pour XEFI, ces firewalls sont importants car ils permettent de proposer aux clients une sécurité réseau complète, administrable à distance et adaptée aux besoins actuels : télétravail, VPN, protection contre les menaces, supervision et conformité.

Cette veille doit continuer à être réalisée régulièrement, notamment sur les nouvelles versions de Sophos Firewall OS, les vulnérabilités publiées, les correctifs de sécurité et les changements de compatibilité matérielle.