Dans cet article
- Stormshield est un éditeur français de cybersécurité, filiale d’Airbus CyberSecurity, certifié par l’ANSSI
- La gamme SNS (Stormshield Network Security) couvre des besoins allant de 5 à plusieurs milliers d’utilisateurs
- Les prix d’un firewall Stormshield démarrent aux alentours de 500 € HT pour le SN170 et dépassent 10 000 € HT pour les modèles datacenter
- La certification CSPN et EAL4+ de l’ANSSI en fait un choix privilégié pour les administrations et les OIV
- La configuration s’effectue via une interface web intuitive ou via la console d’administration centralisée SMC
- Les modèles industriels comme le SNi50 protègent les réseaux OT et SCADA dans les environnements contraints
Sommaire
- Qu’est-ce qu’un firewall Stormshield ?
- La gamme Stormshield Network Security : quel modèle choisir ?
- Les fonctionnalités clés d’un pare-feu Stormshield
- Comment configurer un firewall Stormshield ?
- Stormshield face à la concurrence : comparatif objectif
- Prix et licences : quel budget prévoir ?
- Stormshield VPN et télétravail : sécuriser les accès distants
- Cas d’usage : Stormshield dans l’industrie et les collectivités
- Faut-il vraiment choisir Stormshield ? Mon bilan de formatrice
En tant que formatrice BTS SIO et développeuse web, je suis régulièrement interrogée par mes étudiants et par des responsables informatiques sur le choix d’un stormshield firewall pour protéger leur infrastructure réseau. C’est une question légitime : face à la multiplication des cyberattaques, le pare-feu reste la première ligne de défense de tout système d’information. Et quand on cherche une solution souveraine, certifiée par les autorités françaises, Stormshield revient systématiquement dans la conversation.
J’ai eu l’occasion de déployer et d’administrer plusieurs modèles de la gamme SNS dans des contextes variés : PME, établissements scolaires, collectivités territoriales. Je vous livre ici mon analyse complète pour vous aider à déterminer si un firewall Stormshield correspond réellement à vos besoins, à votre budget et à vos contraintes techniques.
Qu’est-ce qu’un firewall Stormshield ?
Stormshield est un éditeur français spécialisé en cybersécurité, filiale à 100 % d’Airbus CyberSecurity. L’entreprise est née du rapprochement de trois sociétés historiques : Netasq (pare-feux), Arkoon (sécurité réseau) et SkyRecon (protection des postes). Ce regroupement a permis de constituer un acteur européen majeur capable de couvrir trois domaines complémentaires : la protection réseau (SNS), la protection des postes de travail (SES) et la protection des données (SDS).
Un pare-feu Stormshield, concrètement, est un boîtier physique (appliance) ou une machine virtuelle qui s’installe en coupure sur votre réseau. Il analyse l’ensemble du trafic entrant et sortant, applique des règles de filtrage, détecte les intrusions (IPS/IDS) et peut chiffrer les communications via des tunnels VPN. Ce qui distingue Stormshield de la plupart de ses concurrents internationaux, c’est sa certification par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), un gage de confiance particulièrement important pour les organisations françaises soumises à des obligations réglementaires.
Comme le précise la liste des produits certifiés publiée par l’ANSSI, les pare-feux Stormshield figurent parmi les rares solutions réseau à disposer d’une qualification au niveau standard et renforcé. Pour les Opérateurs d’Importance Vitale (OIV) et les administrations publiques, cette certification n’est pas un simple argument commercial ; c’est souvent une obligation légale définie par la loi de programmation militaire.

La gamme Stormshield Network Security : quel modèle choisir ?
La gamme SNS se décline en plusieurs séries pour répondre à des volumes de trafic et des nombres d’utilisateurs très différents. J’ai synthétisé les principaux modèles dans le tableau ci-dessous pour vous permettre de vous repérer rapidement.
| Modèle | Utilisateurs cibles | Débit firewall | Débit IPS | Tunnels VPN IPsec | Usage type |
|---|---|---|---|---|---|
| SN170 | 5 à 20 | 3 Gbit/s | 600 Mbit/s | 50 | TPE, agence, petit site distant |
| SN320 | 25 à 75 | 5 Gbit/s | 1,5 Gbit/s | 150 | PME, école, mairie |
| SN520 | 75 à 200 | 7 Gbit/s | 3 Gbit/s | 300 | ETI, site industriel |
| SN720 | 200 à 500 | 12 Gbit/s | 5 Gbit/s | 500 | Siège d’entreprise |
| SN-XS-Series-170 | 5 à 20 | 3 Gbit/s | 700 Mbit/s | 50 | Entrée de gamme nouvelle génération |
| SNi50 | Réseau OT | 2 Gbit/s | 500 Mbit/s | 50 | Environnement industriel (rail DIN) |
Le choix du modèle dépend de trois facteurs principaux : le nombre d’utilisateurs simultanés, le débit internet de votre liaison et les fonctionnalités activées (IPS, filtrage URL, antivirus intégré). Je recommande toujours de dimensionner légèrement au-dessus du besoin actuel pour absorber la croissance du trafic sur les trois à cinq ans de vie de l’équipement.
Pour une structure de type PME entre 25 et 75 postes, le SN320 constitue un excellent compromis entre performances et coût. Si vous gérez un réseau scolaire ou un établissement de formation en alternance informatique à Toulouse ou en Île-de-France, c’est le modèle que j’ai le plus souvent vu déployé avec satisfaction.
Les fonctionnalités clés d’un pare-feu Stormshield
Un stormshield firewall ne se limite pas au filtrage de paquets. La gamme SNS embarque un ensemble complet de fonctionnalités UTM (Unified Threat Management) que je détaille ici.
Filtrage réseau et applicatif
Le moteur de filtrage Stormshield combine une approche stateful inspection classique avec une analyse applicative en profondeur (DPI). Concrètement, cela signifie que le pare-feu ne se contente pas de vérifier les en-têtes des paquets : il inspecte le contenu des flux pour identifier les applications utilisées, même lorsqu’elles transitent sur des ports standards comme le 80 ou le 443. Cette capacité est essentielle pour détecter les tentatives de contournement par tunneling HTTP.
Système de prévention d’intrusion (IPS)
L’IPS intégré analyse le trafic en temps réel et compare les signatures à une base de données mise à jour quotidiennement. Il détecte les tentatives d’exploitation de vulnérabilités connues, les attaques par déni de service, les scans de ports et les comportements anormaux. Pour les étudiants en BTS SIO option SISR, la compréhension de ces mécanismes fait partie du programme et Stormshield constitue un excellent support de travaux pratiques.
Filtrage URL et antivirus de flux
Stormshield propose un moteur de filtrage URL par catégories (plus de 65 catégories disponibles) et un antivirus de flux basé sur le moteur ClamAV ou Kaspersky selon la licence choisie. Ces deux fonctions permettent de bloquer l’accès aux sites malveillants et de scanner les fichiers téléchargés avant qu’ils n’atteignent le poste de l’utilisateur.
Haute disponibilité et clustering
Pour les environnements critiques, les modèles à partir du SN320 supportent la haute disponibilité active/passive. Deux boîtiers identiques fonctionnent en tandem : si le boîtier principal tombe en panne, le secondaire prend le relais en quelques secondes sans interruption de service. Dans les infrastructures que je supervise, cette fonctionnalité a déjà évité plusieurs coupures réseau lors de mises à jour firmware.

Comment configurer un firewall Stormshield ?
La configuration d’un pare-feu Stormshield s’effectue principalement via une interface web accessible depuis un navigateur. Voici les grandes étapes que je suis systématiquement lors d’un déploiement.
Étape 1 : raccordement physique et accès initial
Connectez votre poste d’administration au port dédié du boîtier (généralement le port 1 en sortie d’usine). L’adresse IP par défaut est 10.0.0.254/8. Ouvrez un navigateur et accédez à l’interface d’administration via HTTPS. Identifiez-vous avec le compte admin par défaut, puis changez immédiatement le mot de passe. C’est un réflexe de base en sécurité, mais je constate encore trop souvent des boîtiers laissés avec les identifiants usine.
Étape 2 : configuration réseau
Définissez vos interfaces réseau : l’interface WAN (vers internet), l’interface LAN (vers votre réseau interne) et éventuellement une ou plusieurs DMZ. Configurez les adresses IP, les routes statiques et le serveur DHCP intégré si nécessaire. Si vous travaillez avec des VLAN, Stormshield les gère nativement avec le marquage 802.1Q. Pour bien comprendre les fondamentaux réseau nécessaires à cette étape, je recommande de maîtriser les bases du développement web et la logique des protocoles.
Étape 3 : politique de filtrage
C’est le cœur de la configuration. Créez vos règles de filtrage en suivant le principe du moindre privilège : bloquez tout par défaut, puis autorisez uniquement les flux nécessaires. L’interface graphique de Stormshield facilite cette tâche grâce à un système de glisser-déposer et à des objets réseau prédéfinis (groupes de machines, services, protocoles). Chaque règle peut être assortie d’une action de journalisation pour assurer la traçabilité.
Étape 4 : activation des protections avancées
Activez l’IPS, le filtrage URL et l’antivirus de flux selon vos licences. Configurez les profils d’inspection adaptés à vos usages. Par exemple, un profil « navigation internet » activera le déchiffrement SSL, le filtrage URL et l’analyse antivirus, tandis qu’un profil « serveurs internes » se concentrera sur la détection d’intrusion et le contrôle d’accès.
Étape 5 : administration centralisée avec SMC
Si vous gérez plusieurs boîtiers Stormshield (multi-sites, par exemple), l’outil SMC (Stormshield Management Center) permet de centraliser la configuration, le déploiement des politiques de sécurité et la supervision. Le portail My Stormshield donne accès aux mises à jour, aux licences et au support technique. Ces outils d’administration simplifient considérablement la gestion au quotidien, surtout quand on est seul responsable informatique dans une structure.
Stormshield face à la concurrence : comparatif objectif
La question « quel est le meilleur firewall ? » n’a pas de réponse universelle. Le meilleur pare-feu est celui qui correspond à votre contexte technique, réglementaire et budgétaire. Voici comment Stormshield se positionne face aux principales alternatives du marché.
| Critère | Stormshield SNS | Fortinet FortiGate | Palo Alto Networks | pfSense (open source) |
|---|---|---|---|---|
| Origine | France (Airbus) | États-Unis/Canada | États-Unis | Communauté open source |
| Certification ANSSI | Oui (CSPN, EAL4+) | Non | Non | Non |
| Interface | Web, intuitive | Web, complète | Web, avancée | Web, technique |
| Support en français | Natif | Disponible | Limité | Communautaire |
| Prix entrée de gamme | ~500 € HT | ~300 € HT | ~1 500 € HT | Gratuit (matériel à prévoir) |
| VPN intégré | IPsec + SSL | IPsec + SSL | IPsec + GlobalProtect | IPsec + OpenVPN |
| Positionnement | Souveraineté, conformité | Rapport performance/prix | Grandes entreprises | Budget serré, expertise interne |
Le principal avantage de Stormshield réside dans sa souveraineté numérique. Si votre organisation manipule des données sensibles ou relève de la réglementation française (OIV, OSE, collectivités), la certification ANSSI simplifie considérablement la mise en conformité. En revanche, si votre priorité est le rapport performance/prix brut et que vous n’avez pas de contrainte réglementaire spécifique, Fortinet offre des débits supérieurs à prix équivalent.
Pour les étudiants en BTS SIO qui travaillent sur des projets de virtualisation, il est intéressant de noter que Stormshield propose des appliances virtuelles (EVA) compatibles VMware et Hyper-V. C’est un excellent moyen de se former sans investir dans du matériel physique, un peu comme on peut comparer les approches de virtualisation avec Podman et Docker dans le monde des conteneurs.
Prix et licences : quel budget prévoir ?
Le stormshield firewall prix se décompose en deux parties : le coût du matériel (achat unique) et le coût des licences logicielles (abonnement annuel). Cette distinction est importante car beaucoup de structures sous-estiment le coût récurrent des licences.
Pour le matériel, comptez environ 500 à 700 € HT pour un SN170, 1 200 à 1 800 € HT pour un SN320, et 2 500 à 4 000 € HT pour un SN520. Les modèles haut de gamme comme le SN6100 dépassent les 15 000 € HT. À ces prix s’ajoutent les licences de fonctionnalités.
Stormshield propose plusieurs niveaux de licence :
- Licence de base : filtrage réseau, VPN, NAT (incluse avec le matériel)
- Security Pack : ajoute l’IPS, le filtrage URL par catégories et l’antivirus de flux (environ 200 à 600 € HT/an selon le modèle)
- Premium Security Pack : ajoute le sandboxing Breach Fighter, la réputation IP et le support premium (environ 400 à 1 200 € HT/an)
Au total, pour une PME de 50 postes équipée d’un SN320 avec un Security Pack, le budget sur trois ans se situe entre 2 500 et 3 500 € HT tout compris. C’est un investissement significatif, mais inférieur au coût moyen d’une cyberattaque réussie qui, selon Cybermalveillance.gouv.fr, dépasse fréquemment les 50 000 € pour une PME.
Je conseille de demander systématiquement un devis auprès de plusieurs revendeurs agréés. Les prix varient sensiblement d’un partenaire à l’autre, et certains proposent des offres groupées incluant l’installation et la formation initiale. Pour gérer les aspects budgétaires, la maîtrise des requêtes SQL peut d’ailleurs s’avérer utile si vous exploitez les journaux d’événements dans une base de données.

Stormshield VPN et télétravail : sécuriser les accès distants
Depuis la généralisation du télétravail, la fonctionnalité Stormshield VPN est devenue un argument central dans le choix d’un pare-feu. Tous les modèles de la gamme SNS intègrent un concentrateur VPN capable de gérer simultanément des tunnels IPsec (site à site ou nomade) et des connexions SSL VPN (accès distant via navigateur).
Le client VPN Stormshield (SN VPN Client) est disponible pour Windows, macOS et Linux. Il s’installe sur le poste du collaborateur et établit un tunnel chiffré vers le pare-feu de l’entreprise. L’authentification peut s’appuyer sur un annuaire LDAP, Active Directory ou un serveur RADIUS, avec la possibilité d’activer l’authentification multifacteur (MFA) pour renforcer la sécurité.
Ce que j’apprécie particulièrement dans l’implémentation VPN de Stormshield, c’est la granularité des politiques d’accès. On peut définir précisément quelles ressources un utilisateur distant peut atteindre en fonction de son profil, de l’heure de connexion et même du niveau de conformité de son poste (présence d’un antivirus à jour, par exemple). Ce type de contrôle d’accès conditionnel est essentiel pour limiter la surface d’attaque en cas de compromission d’un poste nomade.
Cas d’usage : Stormshield dans l’industrie et les collectivités
L’un des positionnements distinctifs de Stormshield concerne la sécurité des réseaux industriels (OT). Le modèle SNi50, conçu pour le montage sur rail DIN, a été spécialement développé pour protéger les systèmes SCADA et les automates programmables dans les environnements de production. Il fonctionne dans des conditions de température étendues (de -20 °C à +60 °C) et supporte les protocoles industriels comme Modbus TCP et OPC UA.
Dans les collectivités territoriales, Stormshield est souvent le choix par défaut en raison de la certification ANSSI et de l’obligation de protection des données des administrés. J’ai accompagné plusieurs mairies dans le déploiement de SN320, et le retour d’expérience est globalement positif : l’interface est suffisamment accessible pour un responsable informatique qui n’est pas spécialiste réseau, et le support technique francophone répond efficacement.
Dans le secteur de la santé, les établissements hospitaliers utilisent de plus en plus les pare-feux Stormshield pour se conformer aux exigences de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S). La segmentation réseau, la détection d’intrusion et le chiffrement des flux entre sites distants sont des fonctionnalités particulièrement appréciées dans ce contexte.
Pour les environnements d’enseignement technique, où l’on travaille par exemple avec des bases de données et des langages comme PHP pour comprendre les fondamentaux de la documentation technique, le pare-feu Stormshield offre un terrain d’apprentissage concret. Les étudiants peuvent observer en temps réel les logs de filtrage, analyser les tentatives d’intrusion et comprendre les mécanismes de sécurité périmétrique.
Faut-il vraiment choisir Stormshield ? Mon bilan de formatrice
Après plusieurs années d’utilisation et d’enseignement autour des pare-feux Stormshield, voici mon bilan honnête. Le stormshield firewall est un excellent choix dans trois situations précises.
Choisissez Stormshield si vous avez des obligations réglementaires françaises (OIV, OSE, marchés publics), si vous souhaitez un support technique francophone de qualité, ou si la souveraineté numérique est un critère important pour votre organisation. La certification ANSSI n’est pas un simple tampon : elle garantit que le produit a été audité en profondeur par des experts indépendants.
Envisagez une alternative si votre budget est très contraint (pfSense en open source peut convenir pour une micro-structure avec des compétences internes), si vous avez besoin de débits très élevés à moindre coût (Fortinet est souvent plus compétitif en termes de rapport performance/prix), ou si votre infrastructure est principalement hébergée dans le cloud public (les solutions de sécurité cloud-native comme les pare-feux AWS ou Azure peuvent alors être plus pertinentes).
Dans tous les cas, je recommande de ne jamais déployer un pare-feu sans formation préalable. Un pare-feu mal configuré donne une fausse impression de sécurité, ce qui est pire que de ne pas en avoir du tout. Stormshield propose des formations certifiantes (CSNA, CSNE) qui constituent un excellent complément pour les professionnels et les étudiants en cybersécurité. Si vous travaillez régulièrement avec des environnements Windows Server, la formation CSNA vous permettra de maîtriser l’intégration Active Directory avec le pare-feu.
Enfin, n’oubliez pas qu’un pare-feu n’est qu’une brique de votre stratégie de sécurité. Il doit s’inscrire dans une approche globale incluant la sauvegarde, la sensibilisation des utilisateurs, la gestion des mises à jour et la surveillance continue. Comme je le répète à mes étudiants : la sécurité n’est pas un produit, c’est un processus.
À retenir
- Dimensionnez votre pare-feu à 120 % de vos besoins actuels pour anticiper la croissance du trafic
- Demandez au moins 3 devis de revendeurs agréés car les prix varient significativement
- Prévoyez le coût des licences annuelles (Security Pack) en plus du prix du matériel
- Suivez une formation certifiante CSNA avant ou juste après le déploiement
- Activez la haute disponibilité (deux boîtiers) si votre activité ne tolère aucune interruption réseau
Questions fréquentes
Qu’est-ce que Stormshield ?
Stormshield est un éditeur français de solutions de cybersécurité, filiale d’Airbus CyberSecurity. L’entreprise développe trois familles de produits : la protection réseau (pare-feux SNS), la protection des postes de travail (SES) et le chiffrement des données (SDS). Ses pare-feux sont certifiés par l’ANSSI, ce qui en fait un choix privilégié pour les administrations et les entreprises soumises à des obligations de conformité en France.
Qu’est-ce qu’un pare-feu Stormshield ?
Un pare-feu Stormshield est un équipement réseau (boîtier physique ou machine virtuelle) de la gamme SNS qui filtre le trafic entrant et sortant d’un réseau. Il intègre des fonctionnalités UTM : filtrage réseau et applicatif, détection et prévention d’intrusion (IPS), VPN IPsec et SSL, filtrage URL, antivirus de flux et haute disponibilité. Il se configure via une interface web accessible depuis un navigateur.
Comment configurer un firewall Stormshield ?
La configuration s’effectue en cinq étapes principales : raccordement physique et accès à l’interface web via l’adresse 10.0.0.254, changement du mot de passe administrateur, configuration des interfaces réseau (WAN, LAN, DMZ), création des règles de filtrage selon le principe du moindre privilège, et activation des protections avancées (IPS, filtrage URL, antivirus). Pour gérer plusieurs boîtiers, l’outil SMC (Stormshield Management Center) centralise l’administration.
Quel est le meilleur firewall ?
Il n’existe pas de meilleur firewall universel. Stormshield est le meilleur choix pour les organisations françaises soumises à des obligations réglementaires grâce à sa certification ANSSI. Fortinet offre un meilleur rapport performance/prix pour les entreprises sans contrainte de souveraineté. Palo Alto Networks cible les grands comptes avec des budgets conséquents. pfSense convient aux structures disposant d’expertise technique interne et d’un budget limité.
Quel est le prix d’un firewall Stormshield ?
Le prix d’un pare-feu Stormshield dépend du modèle et des licences. Le matériel coûte environ 500 à 700 € HT pour un SN170, 1 200 à 1 800 € HT pour un SN320 et 2 500 à 4 000 € HT pour un SN520. Les licences logicielles annuelles (Security Pack) ajoutent 200 à 1 200 € HT par an selon le niveau de protection choisi. Pour une PME de 50 postes, le budget total sur trois ans se situe entre 2 500 et 3 500 € HT.
Peut-on utiliser Stormshield pour le télétravail ?
Oui, tous les modèles SNS intègrent un concentrateur VPN compatible IPsec et SSL. Le client VPN Stormshield (SN VPN Client) est disponible pour Windows, macOS et Linux. Il permet aux collaborateurs en télétravail d’accéder au réseau de l’entreprise via un tunnel chiffré, avec authentification multifacteur et contrôle d’accès conditionnel selon le profil de l’utilisateur.
Formatrice IT indépendante depuis 2016, ancienne étudiante BTS SIO SLAM. 6 ans d'expérience en entreprise.