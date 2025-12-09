L’équipe produit est heureuse de vous annoncer le lancement officiel de Sophos Firewall v22. Cette mise à jour apporte plusieurs améliorations notamment au niveau de la sécurité dès la conception (Secure by Design) mais intègre aussi plusieurs des fonctionnalités que vous avez le plus demandées.

Secure by Design (la sécurité dès la conception)

Au cours des dernières semaines, nous avons abordé l’importance des principes d’une sécurité dès la conception (Secure by Design) et expliqué pourquoi nous avions autant besoin de produits sécurisés que de produits de sécurité. Sophos Firewall v22 s’appuie sur les nombreuses améliorations en matière de sécurité et de renforcement des versions précédentes pour porter l’approche de sécurité dès la conception (Secure by Design) à un tout autre niveau.

Regardez cette vidéo pour avoir un aperçu rapide des dernières nouveautés :

Sophos Firewall : la fonctionnalité “Health Check”

Une posture de sécurité forte repose sur une configuration optimale de votre pare-feu. Sophos Firewall v22 facilite grandement l’évaluation et la gestion de la configuration de ce dernier grâce à la nouvelle fonctionnalité Health Check. Cette nouvelle fonctionnalité évalue des dizaines de paramètres de configuration différents sur votre pare-feu et les compare aux benchmarks du CIS et à d’autres bonnes pratiques, fournissant ainsi des données immédiates sur les zones potentiellement à risque. Cette fonctionnalité identifiera toutes les configurations à haut risque et fournira des recommandations avec une navigation facile vers les zones problématiques afin que vous puissiez les traiter facilement.

L’état de la fonctionnalité Health Check est affiché via un nouveau widget au niveau du Centre de contrôle (Control Center) et un rapport complet est aussi disponible sous l’élément de menu principal “Firewall health check”.

Regardez cette vidéo pour découvrir comment exploiter au maximum cette fonctionnalité.

Autres améliorations apportées au niveau de la sécurité dès la conception (Secure by Design) :

Introduction d’une architecture Xstream Next-Gen

Un tout nouveau plan de contrôle est proposé (control plane) avec une architecture repensée entièrement pour une sécurité et une évolutivité maximales, afin de nous propulser vers l’avenir. Ce dernier permet la modularisation, l’isolement et la conteneurisation de services tels que l’IPS par exemple, pour qu’ils fonctionnent comme des “applications/apps” sur la plateforme de pare-feu. Il permet également une séparation complète des privilèges pour une sécurité accrue.

De plus, les déploiements à haute disponibilité (HA) bénéficie d’une nouvelle capacité d’auto-réparation qui surveille en permanence l’état du système et corrige automatiquement les écarts entre les appareils.

Durcissement/Hardening

L’architecture Xstream Next-Gen de Sophos Firewall OS est construite sur un nouveau noyau durci (v6.6+) qui offre une sécurité, des performances et une évolutivité améliorées.

Ce dernier offre un isolement des processus plus strict et une meilleure mitigation des attaques par canal auxiliaire (side-channel) ainsi que des mitigations pour les vulnérabilités du CPU (Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed, Downfall). Il offre également un usercopy renforcé, des canaris de pile (stack canaries) et une KASLR (Address Space Layout Randomization).

Surveillance de l’intégrité à distance

Sophos Firewall OS v22 intègre désormais notre capteur Linux Sophos XDR qui permet une surveillance en temps réel de l’intégrité du système, notamment en cas de configuration non autorisée, d’exportation de règles, de tentatives d’exécution de programmes malveillants, d’altération de fichiers, etc.

Cette capacité permet à nos équipes de sécurité, qui surveillent en permanence l’ensemble de nos clients Sophos Firewall, de mieux identifier, investiguer et de répondre plus rapidement à toute attaque. Il s’agit d’une fonctionnalité de sécurité supplémentaire qu’aucun autre éditeur de pare-feu ne propose.

Nouveau moteur anti-malware

Sophos Firewall OS v22 intègre le dernier moteur anti-malware Sophos avec une détection améliorée en temps réel des menaces zero-day émergentes grâce à des lookups de réputation mondiale.

Cette capacité est rendue possible grâce à une immense base de données Cloud de fichiers malveillants connus, développée par les SophosLabs et mise à jour toutes les 5 minutes et parfois moins. Il introduit également des modèles de détection basés sur l’IA et le ML et fournit une télémétrie améliorée aux SophosLabs afin d’accélérer leur analyse de la détection des menaces émergentes.

Autres améliorations en matière de sécurité et d’évolutivité :

Les mises à jour du firmware via SSL et l’épinglage de certificats (certificate pinning) garantissent l’authenticité.

Les améliorations apportées à la journalisation de la réponse active aux menaces (Active Threat Response) améliorent la visibilité.

Un score de menace via NDR Essentials est inclus dans les logs pour fournir des informations supplémentaires.

Une sélection de centre de données NDR Essentials pour se conformer aux exigences en matière de résidence des données.

Des alertes web instantanées par catégorie notamment pour les établissements d’enseignement.

Des améliorations du contrôle d’accès à l’API XML avec une granularité accrue.

Une prise en charge du protocole TLS 1.3 pour l’accès aux appareils via la console WebAdmin et les portails.

Fonctionnalités les plus demandées et améliorations de la convivialité :

Performances de navigation améliorées.

Surveillance matérielle pour SNMP avec une MIB téléchargeable.

Une surveillance sFlow pour une visibilité en temps réel.

Les paramètres par défaut du serveur NTP sont définis par “Use pre-defined NTP server”.

Des améliorations de l’interface utilisateur pour les interfaces XFRM avec options de pagination et de recherche/filtrage.

Caractéristiques de SG UTM :

Alors que Sophos UTM arrive bientôt en fin de vie (30 juillet 2026), certains clients en cours de migration apprécieront les fonctionnalités supplémentaires :

Prise en charge des algorithmes SHA 256 et 512 pour les jetons OTP.

Prise en charge de l’authentification multifacteur (MFA) pour l’authentification par formulaire WAF.

Logs d’audit trail avec suivi avant/après pour répondre aux dernières normes NIST.

Obtenez tous les détails

Téléchargez le Guide des nouveautés pour avoir un aperçu complet de toutes les nouvelles fonctionnalités et améliorations de la v22. N’oubliez pas non plus de consulter la documentation complète des notes de version.

Comment obtenir la v22 ?

Comme d’habitude, Sophos Firewall v22 est une mise à niveau gratuite pour tous les clients Sophos Firewall de type ‘Enhanced’ ou ‘Enhanced Plus Support’ et doit être installée dès que possible sur tous les appareils pare-feu déjà pris en charge.

Avec les nouvelles modifications architecturales de la v22, cette mise à jour peut nécessiter quelques étapes supplémentaires pour un très faible pourcentage de périphériques desktop, virtuels ou de type pare-feu logiciel existants afin de libérer de l’espace disque supplémentaire ou de redimensionner la partition racine. Si votre appareil nécessite des étapes supplémentaires, un avertissement apparaîtra avant le téléchargement, avec un lien vers les instructions pour implémenter des dernières.

Regardez cette vidéo pour avoir un aperçu complet des différents appareils et des diverses étapes qui peuvent être nécessaires.

Un résumé rapide :

XGS 2100 et versions ultérieures : aucune étape supplémentaire requise.

Série XGS Desktop : 97% des mises à niveau se feront automatiquement, tandis que les 3% restants nécessiteront quelques étapes manuelles supplémentaires, signalées par une alerte.

Les périphériques virtuels/logiciels déployés avant la version 18 nécessitent également des étapes supplémentaires.

Si votre appareil nécessite des étapes manuelles supplémentaires pour la mise à niveau, l’alerte vous indiquera les étapes requises dans le produit ou via Sophos Central avant le téléchargement du firmware. L’alerte renverra vers les étapes requises décrites dans cet article KB : Requirements and resolution to upgrade to v22.

Cette version du firmware suivra notre processus de déploiement standard. Le nouveau firmware v22 sera progressivement déployé sur tous les appareils connectés au cours des prochaines semaines par phases. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.

Un merci tout spécial à tous ceux qui ont participé au programme d’accès.

Billet inspiré de Sophos Firewall v22 is Now Available, sur le Blog Sophos.