Quel firewall pour une PME de 50 utilisateurs ?

FortiGate 80F ou 100F (jusqu'à 11 Gbps NGFW), Palo Alto PA-440 (3 Gbps), Cisco Firepower 1010 (1.5 Gbps). FortiGate offre le meilleur rapport qualité/prix sur ce segment.

Faut-il le sandboxing ?

Recommandé en 2026 contre les attaques zero-day. FortiSandbox, WildFire (Palo Alto), AMP (Cisco). Activable on-prem ou cloud selon les contraintes RGPD.

Quel throughput viser ?

Throughput NGFW (avec inspection SSL + IPS) ≈ 1/3 du throughput firewall brut. Dimensionnez sur le NGFW, pas le throughput pur. Ajouter 50% de marge pour 3 ans.

Meilleur firewall NGFW pour entreprise en 2026

15 avril 2026·7 min de lecture·1,207 mots

Pourquoi un firewall NGFW et pas un firewall classique

Un firewall stateful traditionnel filtre sur IP source/destination et port (couches 3-4 du modèle OSI). En 2026, 95% du trafic entreprise passe en HTTPS sur le port 443 — un firewall L3-L4 ne voit qu'un flux chiffré vers une IP Cloudflare ou AWS. Il ne peut pas distinguer un upload Dropbox d'un ransomware command-and-control. Le NGFW (Next-Generation Firewall) inspecte la couche applicative (L7) : il identifie l'application par signature comportementale (pas par port), déchiffre le TLS pour inspecter le contenu, applique l'IPS (Intrusion Prevention System), scanne les malwares, et filtre les URLs par catégorie.

Les trois leaders du marché en 2026 selon le Gartner Magic Quadrant Network Firewalls : Palo Alto Networks (#1 depuis 10 ans), Fortinet (#2 avec le meilleur rapport prix/performance), et Cisco Secure Firewall (#3 avec l'écosystème le plus large).

FortiGate : le champion du rapport prix/performance

L'avantage ASIC

Fortinet est le seul constructeur à concevoir ses propres ASIC (Application-Specific Integrated Circuits) pour accélérer matériellement les fonctions firewall, IPS, VPN et SSL inspection. Le NP7 (Network Processor 7) accélère le forwarding et l'IPsec. Le CP9 (Content Processor 9) accélère le SSL/TLS decryption et l'antivirus. Le résultat : à prix équivalent, un FortiGate fournit 2 à 4× plus de débit threat protection qu'un firewall x86 concurrent.

Gamme et dimensionnement par nombre d'utilisateurs

FortiGate 40F : 5 Gbps FW / 600 Mbps Threat. Pour 10-30 utilisateurs. Prix OPTINOC : ~500€ HT.
FortiGate 60F (FG-60F) : 10 Gbps FW / 700 Mbps Threat. Pour 30-100 utilisateurs. Le best-seller PME. Prix : ~700€ HT.
FortiGate 100F (FG-100F) : 11.5 Gbps FW / 1 Gbps Threat. Pour 100-300 utilisateurs. Prix : ~2 800€ HT.
FortiGate 200F (FG-200F) : 27 Gbps FW / 3 Gbps Threat. Pour 300-1000 utilisateurs. Prix : ~5 500€ HT.
FortiGate 600F (FG-600F) : 36 Gbps FW / 5.6 Gbps Threat. Pour 1000-3000 utilisateurs. Prix : ~16 000€ HT.
FortiGate 1800F : 118 Gbps FW / 15 Gbps Threat. Datacenter. Prix : ~45 000€ HT.

Règle terrain : toujours dimensionner sur le débit 'Threat Protection' (IPS + AV + App Control activés), PAS sur le débit firewall brut. Le débit FW brut est un chiffre marketing mesuré avec des paquets UDP 1518 octets — personne n'a ce profil de trafic en production.

Licences FortiGuard

Bundle UTP (Unified Threat Protection) : IPS, AV, App Control, Web Filter, Antispam. ~40-50% du prix matériel/an. Couvre 90% des besoins enterprise.
Bundle ATP (Advanced Threat Protection) : tout UTP + FortiSandbox cloud. ~60% du prix matériel/an.
Bundle Enterprise : tout ATP + IoT Detection + OT Security + DLP inline. Pour industries réglementées.
SD-WAN : inclus nativement dans FortiOS sans licence supplémentaire. C'est un avantage majeur vs Cisco (Viptela = licence séparée).

Palo Alto PA-Series : la profondeur d'inspection

Architecture Single-Pass SP3

Palo Alto a inventé la catégorie NGFW en 2007 avec trois innovations : App-ID (identification applicative par signature, pas par port), User-ID (mapping flux → utilisateur AD/LDAP), et Content-ID (inspection du contenu inline). Le moteur Single-Pass Parallel Processing (SP3) effectue toutes ces inspections en une seule passe — pas de chaînage séquentiel comme sur les firewalls legacy.

Gamme et performances réelles

PA-440 : 3 Gbps App-ID / 750 Mbps Threat. Pour 50-200 utilisateurs. Prix OPTINOC : ~4 500€ HT.
PA-460 : 5 Gbps App-ID / 1.4 Gbps Threat. Pour 100-300 utilisateurs. Prix : ~6 500€ HT.
PA-1410 : 13.6 Gbps App-ID / 2.7 Gbps Threat. Pour 300-1000 utilisateurs. Prix : ~12 000€ HT.
PA-3220 : 8.5 Gbps App-ID / 4.7 Gbps Threat. Datacenter/périmètre. Prix : ~22 000€ HT.
PA-5450 : 90 Gbps App-ID / 49 Gbps Threat. Très grand DC. Prix : ~120 000€ HT.

Attention : les chiffres Palo Alto sont mesurés avec App-ID activé (ce qui est le mode normal). Le 'Threat Prevention throughput' inclut IPS + AV + WildFire — c'est le chiffre à comparer au 'Threat Protection' de Fortinet.

WildFire et Cortex

WildFire est la sandbox cloud de Palo Alto — elle analyse plus d'un milliard d'objets par jour avec un délai moyen de 5 minutes pour pousser une signature mondiale. C'est la référence du marché pour la détection de malwares zero-day. Cortex XDR étend la détection aux endpoints (EDR) et au réseau (NDR) dans une console unifiée.

Cisco Secure Firewall (ex-Firepower) : l'écosystème

Snort 3 et FTD

Cisco Secure Firewall repose sur le moteur d'inspection Snort 3 (acquis avec Sourcefire en 2013). Snort est le moteur IPS open source le plus déployé au monde — sa base de signatures est massive et communautaire. FTD (Firepower Threat Defense) est l'OS unifié qui fusionne le firewall ASA historique et l'inspection Snort 3.

Gamme et performances

Firepower 1010 : 2 Gbps FW / 650 Mbps Threat. PME basique. Prix OPTINOC : ~1 500€ HT.
Firepower 1120 : 4.5 Gbps FW / 1.1 Gbps Threat. PME/branche. Prix : ~3 500€ HT.
Firepower 2110 : 6 Gbps FW / 1 Gbps Threat. ETI. Prix : ~8 000€ HT.
Firepower 3110 : 17 Gbps FW / 3.5 Gbps Threat. Grande entreprise. Prix : ~15 000€ HT.
Firepower 4115 : 25 Gbps FW / 12 Gbps Threat. Datacenter. Prix : ~32 000€ HT.

Comparatif TCO sur 5 ans (exemple 500 utilisateurs)

Pour une entreprise de 500 utilisateurs avec 2 liens WAN (MPLS + Internet 1Gbps), inspection SSL activée, IPS + AV + Web Filter :

FortiGate 200F : matériel 5 500€ + licence UTP 5 ans 12 000€ + cluster HA ×2 = TCO ~35 000€ HT.
Palo Alto PA-1410 : matériel 12 000€ + licence Premium Plus 5 ans 30 000€ + HA ×2 = TCO ~84 000€ HT.
Cisco Firepower 2110 : matériel 8 000€ + licence Threat 5 ans 18 000€ + FMC appliance 15 000€ + HA ×2 = TCO ~64 000€ HT.

Le FortiGate revient à 41% du coût d'un Palo Alto pour un débit threat supérieur (3 Gbps vs 2.7 Gbps). Palo Alto justifie son premium par WildFire, Cortex XDR et la profondeur d'analyse. Cisco se positionne entre les deux mais nécessite un FMC (Firepower Management Center) qui ajoute 15K€ au budget.

Comment choisir : la matrice de décision

PME < 200 utilisateurs, budget serré : FortiGate 60F ou 100F. Imbattable en TCO.
ETI 200-1000 utilisateurs, multi-sites : FortiGate 200F + FortiManager. SD-WAN inclus sans surcoût.
Grande entreprise avec SOC mature : Palo Alto PA-Series + Panorama + Cortex. La profondeur justifie le prix.
Environnement Cisco end-to-end : Cisco Firepower + FMC + SecureX. Cohérence écosystème.
Environnement industriel / OT : FortiGate avec FortiGuard OT Security. Meilleur support protocoles SCADA.
Conformité NIS2 : tous les trois répondent. FortiGate et Palo Alto ont l'avantage de la journalisation native.

Recommandations OPTINOC

OPTINOC distribue les trois marques en garantie constructeur avec licences activées. Notre recommandation pour 80% des cas enterprise : FortiGate en cluster HA + FortiManager pour la gestion centralisée. Le rapport prix/performance est imbattable et le SD-WAN intégré évite un investissement additionnel.

Pour les clients avec des exigences sécurité avancées (SOC 24/7, threat hunting, zero-day) : Palo Alto PA-Series + Panorama est le gold standard. Le surcoût est justifié par la qualité de WildFire et Cortex.

Demandez un devis comparatif avec sizing précis selon votre nombre d'utilisateurs et votre bande passante WAN. Réponse sous 2 heures ouvrables.