Les critères analysés par les Directions des Systèmes d’Information et présentés ci-dessous, sont autant d’éléments sur lesquels peuvent finalement se baser tous types d’entreprises pour comparer des offres de Firewall-as-a-service entre elles.
Même si une DSI va chercher à comparer des architectures de sécurité globales, plusieurs critères évoqués ici peuvent aussi être disqualifiants pour une PME, quand bien même une solution FWaaS soit compétitive sur le plan tarifaire. Choisir un Firewall-as-a-Service auprès d’un fournisseur nécessite donc une analyse comparative sur des critères clés.
Quels sont les critères techniques retenus par une DSI pour comparer différentes offres de FWaaS ?
La sécurité et la conformité, le premier critère de comparaison
La sécurité, la robustesse et la conformité d’une solution Firewall-as-a-Service sont des critères essentiels pour toute DSI.
Le Firewall doit offrir une couverture fonctionnelle avancée (DPI, IDS/IPS, filtrage applicatif, sandboxing en option, … ), une haute disponibilité avec des infrastructures redondantes et des SLA solides. Le maintien en condition de sécurité (patching, mises à jour, signatures d’attaque) et des engagements de tests à fréquence régulière doivent être également garantis.
Le fournisseur de FWaaS doit être en mesure de proposer des audits de la solution qu’il délivre pour mesurer par exemple sa bonne intégration au SI du client. La traçabilité via des logs horodatés est également un point d’évaluation en vue de détecter et analyser de potentiels incidents.
Certaines DSI exigent parfois des certifications telles que ISO 27001 ou des labels souverains comme “ Cloud de confiance.
Les performances attendues par un Firewall-as-a-Service
A la suite du volet “sécurité”, les DSI s’intéressent aux performances que peuvent délivrer les solutions firewall-as-a-service à leurs infrastructures.
Voici 5 critères que vous devriez également analyser pour mieux comparer les offres FWaaS du marché.
- L’impact sur la latence : ce critère est directement lié au modèle d’hébergement du FWaaS. Selon que la solution est cloud native (Zscaler, Netskope, Prisma Access…), hébergée sur une VM dans un datacenter centralisé (FortiGate VM, Palo Alto VM…) ou déployée sur site, les implications en termes de latence varient sensiblement. Un DSI cherchera ici à évaluer la qualité du trafic transitant par les différents réseaux (publics, privés) : comment le fournisseur gère l’optimisation réseau (routage intelligent, peering, distribution géographique), et quelle est la latence induite par l’intégration du FWaaS au sein du SI.
- La scalabilité : ce critère dépend lui aussi du modèle d’hébergement du FWaaS — physique, VM ou cloud native — et doit permettre de définir, entre autres, si la solution a la capacité d’absorber des pics de trafic sans nécessiter d’intervention manuelle.
- La garantie du débit : il est essentiel de connaître les plafonds de bande passante, les quotas et les limitations imposées, ainsi que la manière dont le fournisseur les administre dans un environnement multi-tenant.
- La proximité géographique : disposer de PoP (points de présence) proches de l’entreprise et de ses utilisateurs est un critère de sélection important puisque cela aura un impact direct sur la latence et donc l’expérience utilisateur finale.
- La QoS : la Qualité de Service d’un pare-feu dans le cloud va s’intéresser à la priorisation du trafic et la classification des flux réseau (VoIP centrex, applicatifs métier, vidéos, etc.), l’octroi d’une bande passante minimale pour des services critiques, des engagements clairs sur les SLA, la stabilité du FWaaS en cas de montée de charge ou de cyberattaque, etc.
Voir également notre précédent article sur la QoS liée à la fibre optique d’entreprise.
L’intégration du firewall cloud à l’architecture de l’entreprise
C’est un pré-requis au sein de chaque DSI, le firewall-as-a-service doit pouvoir s’inscrire pleinement à une architecture globale de cybersécurité. C’est pourquoi le pare-feu cloud doit s’intégrer naturellement à une infrastructure réseau hybride pré-existante pouvant mêler par exemple MPLS, VPN et SD-WAN.
Comparatif MPLS vs SD-WAN vs VPN IPsec
La solution doit être interfaçable avec les outils de monitoring, de ticketing et de support, ou encore de paramétrage réseau déjà en place. L’idée étant de piloter à l’échelle globale du système les politiques de sécurité, les logs, les alertes ou encore la migration des règles et la réalisation de tests.
La compatibilité avec des API tierces et l’accès à des bibliothèques de scripts sont nécessaires s’il y a un besoin de standardisation ou d’automatisation en termes de déploiement de fonctionnalités (avancées) ou de mise à jour au sein de l’infrastructure.
Ce sont également les services managés, les niveaux de support et les SLA qui seront évalués, notamment si un DSI cherche à déléguer l’exploitation de son firewall-as-a-service.
L’évaluation du coût total de possession (TCO), un critère essentiel
Un élément de comparaison dans le choix d’un FWaaS concerne évidemment son prix. Mais celui-ci ne se résume pas seulement à un coût d’abonnement. En effet, une analyse complète du TCO (Total Cost of Ownership) doit être menée, idéalement sur trois à cinq ans.
Le calcul du Coût Total de Possession englobe les coûts directs comme celui des licences, du support ou de la consommation de la bande passante. Le TCO intègre également les coûts opérationnels du pare-feu cloud comme la formation à la prise en main de l’outil, l’intégration du firewall à l’architecture IT de l’entreprise, les potentiels coûts de migration, les frais de supervision, etc.
Enfin les économies indirectes doivent être intégrées au bilan du TCO, puisque le firewall-as-a-service offre par la réduction de matériel une maintenance allégée.
Un FWaaS mal dimensionné ou mal intégré peut impacter les dépenses d’exploitation. C’est pourquoi un modèle clair et prévisible du TCO est un critère majeur de décision pour toute DSI.
Comparatif Firewall-as-a-Service : NGFW managé, MSSP, éditeur, firewall traditionnel
Ce comparatif pourrait paraître biaisé en raison de la présence d’unyc. Il reste néanmoins représentatif du besoin des entreprises françaises à s’équiper d’un Firewall Next Generation via un opérateur de proximité — dans un marché dominé par des éditeurs purs à dimension internationale.
Aussi la législation française sur la protection des données conditionne les entreprises à s’assurer de la protection et de la destination des données qu’elles traitent, en respect de la loi européenne et face à des enjeux réels de cybersécurité entourant les PME.
L’offre unyc face aux acteurs du marché
Sur un marché de la sécurité réseau où coexistent des approches distinctes — NGFW hébergé, SSE cloud native, ou firewalling managé; unyc se distingue par son positionnement d’opérateur à dimension locale.
En combinant connectivité, cybersécurité managée et souveraineté au sein de ses offres, unyc s’adresse à des PME, ETI et organismes publics recherchant de la réactivité et une exploitation sous juridiction française, encadrée par le RGPD.
Cette conviction d’une sécurité by design et gérée de bout en bout, couplée à un ancrage territorial français et à un support humain, fait de l’offre Firewall-as-a-Service de unyc une alternative stratégique pour des DSI recherchant un opérateur B2B français capable d’allier performance, simplicité et souveraineté numérique.
En clair, unyc ne vend pas un “pare-feu virtuel isolé”, mais une architecture de sécurité opérée.
| Critère | unyc (Opérateur, NGFW managé en VM) |
Orange Cyberdefense (MSSP) |
Palo Alto Networks (Éditeur NGFW) |
Firewall traditionnel (L3/L4 stateful) |
|---|---|---|---|---|
| Positionnement | Opérateur B2B français intégrant connectivité, sécurité et supervision dans un même service. | Filiale sécurité d’Orange Business, spécialiste du SOC et du firewall managé pour grandes organisations. | Éditeur mondial NGFW, leader Magic Quadrant Network Firewalls. Portfolio étendu (Prisma Access, SASE). | Pare-feu réseau historique (stateful, filtrage L3/L4). Ne couvre pas les usages applicatifs et chiffrés modernes. |
| Technologie | VM FortiGate hébergée en datacenter français, opérée par unyc, licence UTP incluse. | Combine ses propres outillages managés avec des technos tierces (FortiGate, Palo Alto, etc.). | Gamme PA-Series (appliances), VM-Series (NGFW virtuels) et Prisma Access (FWaaS cloud-native / SSE). | Cisco ASA ancienne génération, WatchGuard ou Stormshield anciens modèles, SonicWall Gen-5, Juniper SRX base, pfSense / OPNsense sans modules UTM, iptables maison. |
| Intégration | Écosystème complet : fibre FTTO/FTTH, MPLS, IPsec, cloud, cybersécurité opérés par le même acteur. | Forte intégration SOC, SD-WAN, MDR, cloud. | Orientée cloud, SaaS et SD-WAN, via Strata Cloud Manager et Cortex. | Périmètre limité : appliance dédiée, pas d’intégration native cloud, SaaS ou SD-WAN. |
| Hébergement | 100 % en France (TH2 / PA2 / DC2), sous juridiction française, RGPD, conformité ANSSI. | Europe, SOC en France, SecNumCloud, ISO 27001. | Cloud global multi-PoP (US/EU/APAC). Sociétés américaines soumises au Cloud Act. | On-premise, sous responsabilité directe de l’entreprise. |
| Support | Support humain francophone, pilotage complet du FWaaS, SLA opérateur. | Support global piloté depuis la France, équipes SOC dédiées. | Support international (TAC), majoritairement anglophone et industrialisé. | Variable, à la charge d’un intégrateur ou de l’équipe IT interne. |
| Modèle économique | Service managé en abonnement mensuel intégrant connectivité et supervision. | Services managés (abonnement ou projet) avec options SOC, MDR, SIEM. | Licence appliance ou abonnement par module (Threat Prevention, WildFire, URL Filtering…). | CAPEX matériel + contrat de maintenance constructeur. Coûts cachés d’exploitation interne. |
| Cible | PME, ETI, collectivités, secteur public français. | Grandes entreprises, administrations, ETI multinationales. | Grandes entreprises et ETI à dimension internationale. | Très petites structures ou usages historiques peu exposés aux menaces modernes. |
| Valeur ajoutée | Souveraineté, simplicité, sécurité opérée de bout en bout. Une seule facture, un seul interlocuteur. | Puissance d’intégration et expertise SOC mondiale. Capacité à adresser les SI complexes. | Largeur du portefeuille (NGFW, SSE, SASE), R&D soutenue, reconnaissance Gartner. | Coût initial réduit, mais couverture fonctionnelle insuffisante face aux menaces actuelles (TLS, cloud, ransomwares). |
Foire aux questions
Qu’est-ce qu’un SSE ?
Le SSE (Security Service Edge) est un modèle de sécurité cloud regroupant l’ensemble des services de cybersécurité fournis à une entreprise depuis le cloud.
Qu’est-ce qu’un MSSP ?
Un MSSP (Managed Security Services Provider) est un fournisseur de services de sécurité managés qui surveille, administre et maintient en continu la sécurité informatique de ses clients.
Qu’est-ce qu’un SIEM ?
Le SIEM (Security Information and Event Management) est une plateforme qui collecte, centralise, corrèle et analyse en temps réel les événements de sécurité produits par l’ensemble des systèmes d’information.
Qu’est-ce qu’un MDR ?
Le MDR (Managed Detection and Response) est un service managé de détection et de réponse aux menaces. Il combine technologie, supervision humaine et expertise en cybersécurité pour identifier, analyser et neutraliser les cyberattaques en temps réel.
Qu’est-ce qu’un SASE ?
Le SASE (Secure Access Service Edge) est un modèle d’architecture réseau et de sécurité unifié qui vise à fournir depuis le cloud la connectivité réseau — accès, routage, performance — et la sécurité — filtrage, contrôle, protection des données.
unyc
