Zeroday Cyber Academy

Glossaire cyber

IPS - Intrusion Prevention System inline et NGFW 2026

IPS (Intrusion Prevention System) : inline blocking, NGFW Palo Alto/Fortinet/Check Point, virtual patching, fail-open, IDS vs IPS, NIST SP 800-94 en 2026.

Naim Aouaichia
16 min de lecture
  • Glossaire
  • IPS
  • NGFW
  • Network Security
  • SOC
  • DevSecOps
  • Compliance

L'IPS (Intrusion Prevention System) est l'évolution inline du IDS : au lieu d'observer passivement le trafic et d'alerter, il intervient dans le chemin trafic pour bloquer les attaques en temps réel. Le terme apparaît vers 2003 (ISS Proventia, McAfee Network Security Platform) et a connu une consolidation massive depuis 2010-2015 avec son intégration native dans les NGFW (Next-Generation Firewalls, terme Gartner 2009). En 2026, l'IPS standalone a quasi disparu : il est intégré dans tous les NGFW leaders, Palo Alto Networks Strata (PAN-OS 11+, Threat Prevention), Fortinet FortiGate (FortiOS 7.6+, FortiGuard IPS), Check Point Quantum (R82 en 2026, IPS Software Blade), Cisco Firepower / Secure Firewall. La couche cloud-native n'est pas en reste : AWS Network Firewall (2020), Palo Alto Cloud NGFW (2022 AWS, 2023 Azure, 2024 GCP), Azure Firewall Premium avec IDPS. Côté open-source, Suricata en mode IPS (NFQUEUE inline) reste l'option canonique pour SOC budget contraint, scale ~40 Gbps multi-thread. Comprendre la distinction IDS/IPS/NGFW, le piège des faux positifs en blocking, le virtual patching comme mesure transitoire, l'arbitrage fail-open vs fail-closed, et les leaders NGFW + Cloud NGFW est non-négociable pour tout architecte network security 2026.

Pour le contexte adjacent : voir IDS - Intrusion Detection System pour la version passive de la même technologie, et WAF - Web Application Firewall pour la couche L7 spécifique applications web.

1. Définition précise et distinction avec l'IDS

L'IPS partage la même technologie de détection que l'IDS (signatures, anomaly, protocol analysis) mais diffère sur trois propriétés clés :

PropriétéIDSIPS
PositionHors chemin trafic (tap, mirror, span port)Inline sur le chemin trafic
ActionAlert seulementAlert + drop / reset / quarantine
LatenceAucune (passif)Quelques µs à ms (parsing inline)
Failure modeSans impact (passif)Critique : fail-open ou fail-closed à décider
ScaleMirror traffic peut dégraderLatence requirements stricts
Risque opérationnelFaibleÉlevé (FP = blocage prod)

L'IPS hérite donc de toute la complexité du tuning IDS + des risques de blocage prod. Cette double exigence explique pourquoi l'IPS standalone est devenu rare en 2026, il est désormais consolidé dans les NGFW qui combinent firewall stateful + IPS + identity + SSL inspection.

Le concept d'IPS apparaît vers 2003 chez plusieurs vendors simultanément : ISS Proventia (Internet Security Systems, racheté par IBM en 2006), McAfee Network Security Platform (ex-IntruShield 2003), TippingPoint (3Com 2005, racheté HP puis Trend Micro 2015). La NIST SP 800-94 (Guide to Intrusion Detection and Prevention Systems, publiée 2007, en cours de révision 2024) reste la référence officielle.

2. Modes opérationnels IPS - NIPS et HIPS

ModeDéfinitionExemples 2026
NIPS (Network IPS)Inline sur le réseau, filtre le trafic IPNGFW Palo Alto / Fortinet / Check Point, Suricata IPS, AWS Network Firewall
HIPS (Host IPS)Agent sur l'host, intercepte syscalls / network localOSSEC active response, Microsoft Defender for Endpoint Network Protection, CrowdStrike Falcon Prevent
WIPS (Wireless IPS)Spécifique au WiFi, détecte rogue APsAruba Wireless IDS, Cisco WIPS, Mojo Networks
DPI / IPS L7Deep Packet Inspection avec preventionNGFW App-ID Palo Alto, Fortinet FortiGuard

Le HIPS est largement absorbé par l'EDR moderne en 2026, Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne incluent tous des capacités HIPS-like (network protection, application control, exploit protection). Voir EDR - Endpoint Detection and Response.

3. Leaders du marché NGFW (qui inclut IPS) 2026

L'IPS standalone ayant largement disparu, le marché pertinent en 2026 est celui des NGFW (Next-Generation Firewalls) qui incluent l'IPS comme composant. Leaders selon Gartner Magic Quadrant Network Firewalls 2024 :

ProduitVendorForce 2026LimiteTarif indicatif
Palo Alto Strata (PAN-OS 11+)Palo Alto NetworksLeader Gartner, Threat Prevention + ML, Cloud NGFW matureTarif premium, complexité50-500 k€/an ETI/grand compte
FortiGate (FortiOS 7.6+)FortinetRapport perf/prix excellent, ASIC dédiéUI moins polie que PA20-200 k€/an PME/ETI
Check Point Quantum (R82)Check PointIPS Software Blade mature, marché Israel/EURoadmap moins active50-300 k€/an
Cisco Secure Firewall (Firepower)CiscoIntégration stack Cisco + Talos threat intelCoûts ops élevés, refonte ASA → Firepower difficile80-400 k€/an
SonicWall NSa / TZSonicWallMid-market US, prix accessibleMoins riche que leaders5-50 k€/an PME
Juniper SRXJuniper NetworksStack Juniper, IDP licenseAdoption modeste hors carriersVariable
Forcepoint NGFW (Stonesoft)ForcepointMarché grand compte EU, govTaille marché restreintVariable
Sophos XGSSophosPME-friendly, intégration MDR SophosMarché PME/ETI5-50 k€/an
WatchGuard FireboxWatchGuardTPE/PME US, prix accessibleMarché TPE2-20 k€/an

Cloud NGFW (qui inclut IPS) 2026

ProduitVendorForceTarif indicatif 2026
Palo Alto Cloud NGFWPalo Alto NetworksMulti-cloud (AWS 2022, Azure 2023, GCP 2024), Strata feature parity~1.25 €/heure/instance + traffic
AWS Network FirewallAWSNative AWS, règles Suricata-compatible, scale managed0.36 €/heure/endpoint + 0.06 €/GB
Azure Firewall PremiumMicrosoftNative Azure, IDPS + TLS inspection~1.30 €/heure + traffic
Google Cloud Firewall PlusGoogle (basé Palo Alto)Native GCP, IPS managedVariable
Cisco Secure Firewall Cloud NativeCiscoCloud-native version FirepowerVariable

Position tranchée 2026 : pour PME/ETI < 1000 employés avec trafic Internet < 5 Gbps, Fortinet FortiGate offre le meilleur rapport perf/prix. Pour grand compte avec besoin SSL inspection + identity-aware + threat intel managed, Palo Alto Strata ou Check Point Quantum sont rarement contestables. Pour workloads cloud-native, Palo Alto Cloud NGFW ou le NGFW cloud-native du provider (AWS Network Firewall, Azure Firewall Premium). Cisco Firepower uniquement si l'organisation est déjà très investie en stack Cisco.

4. Suricata en mode IPS - l'option open-source 2026

Suricata peut opérer en NIPS via NFQUEUE (Linux netfilter queue) ou inline AF_PACKET. Configuration typique sur Linux :

# Setup Suricata en mode IPS sur interface ens1f0
# Tout le trafic est routé via NFQUEUE numéro 0
 
# 1. Installer Suricata récent
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update && sudo apt install -y suricata suricata-update
 
# 2. Configurer les règles
sudo suricata-update enable-source et/open
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
 
# 3. Configurer iptables pour rediriger le trafic vers NFQUEUE
# WARNING: tester en lab avant prod, fail-open par défaut sur fail
sudo iptables -I FORWARD -j NFQUEUE --queue-num 0 --queue-bypass
sudo iptables -I INPUT -j NFQUEUE --queue-num 0 --queue-bypass
sudo iptables -I OUTPUT -j NFQUEUE --queue-num 0 --queue-bypass
 
# 4. Lancer Suricata en mode IPS
sudo suricata -c /etc/suricata/suricata.yaml -q 0 -D --pidfile /var/run/suricata.pid
 
# 5. Vérifier le mode IPS actif et le throughput
sudo suricatasc -c "iface-stat ens1f0"
sudo grep "drop" /var/log/suricata/suricata.log
 
# 6. Convertir les règles "alert" en "drop" pour le mode prevention
# Editer /etc/suricata/rules/custom-drop.rules
# alert tcp ... → drop tcp ...

Configuration Suricata IPS pour high-throughput (10+ Gbps) :

# /etc/suricata/suricata.yaml extrait
nfq:
  mode: accept
  fail-open: yes  # CRITIQUE : si Suricata crash, laisser passer (fail-open)
  batchcount: 20
  batchtimeout: 0
 
af-packet:
  - interface: ens1f0
    threads: auto
    cluster-id: 99
    cluster-type: cluster_flow
    defrag: yes
    use-mmap: yes
    ring-size: 200000
    block-size: 1048576
    copy-mode: ips      # Mode IPS, pas IDS
    copy-iface: ens1f1  # Interface mirror sortante
 
threading:
  set-cpu-affinity: yes
  cpu-affinity:
    - management-cpu-set:
        cpu: [0]
    - worker-cpu-set:
        cpu: [1-15]
        mode: exclusive

Performance : Suricata 7+ en mode IPS scale ~20-40 Gbps single instance sur hardware moderne (Xeon 16 cœurs, 64 GB RAM, NIC Intel/Mellanox 25 Gbps). Au-delà : scaling horizontal multi-instances + load balancer hardware (Arista, Cisco Nexus) avec ECMP.

5. Fail-open vs fail-closed - l'arbitrage critique

Le choix fail-open vs fail-closed est la décision la plus structurante en IPS :

ModeComportement si IPS planteAvantageRisque
Fail-openTrafic passe sans inspectionDisponibilité préservéeTrafic non filtré pendant l'incident
Fail-closedTrafic bloqué jusqu'au redémarrageSécurité maximaleOutage prod si IPS crash
Bypass HWBypass card hardware, contourne IPS si failMid-groundCoût hardware additionnel

Recommandations 2026 par contexte :

SegmentRecommandationRaison
Internet outboundFail-openContinuité business prime
Internet inbound (DMZ)Fail-open avec NGFW HA clusterDisponibilité services publics
Tier 0 / Domain ControllersFail-closedSécurité prime, exposure unacceptable
OT / SCADAFail-closedAir-gap équivalent, jamais downgrade
DC interne (workloads non-critiques)Fail-openLimiter blast radius
Cloud workloadsNGFW cloud-native managed (failover automatique)Pas de choix manuel généralement

6. Virtual patching via IPS - mesure transitoire critique

Virtual patching = utiliser l'IPS pour bloquer une vulnérabilité applicative ou système en attendant le fix backend. Cas d'usage 2026 :

CVEDateVendorDélai virtual patch IPSDélai patch backend
CVE-2024-3094 xz-utils backdoormars 2024Linux distros24-48h NGFW signaturesVariable selon distro
CVE-2024-6387 regreSSHion OpenSSHjuillet 2024OpenBSD48-72h1-3 semaines selon distro
CVE-2024-21413 MonikerLink Outlookjanvier 2024Microsoft24-48h Palo Alto StrataPatch Tuesday février 2024
CVE-2025-21298 Microsoft OLEjanvier 2025Microsoft24-48hPatch Tuesday janvier 2025
CVE-2025-31324 SAP NetWeaver2025SAP48-72h1-2 semaines

Vendors NGFW qui publient virtual patches rapides : Palo Alto Threat Prevention (Threat Vault), Fortinet FortiGuard IPS, Check Point IPS Software Blade, Cisco Talos / Snort. Délai typique 24-72h après une CVE majeure.

Pipeline pratique 2026 :

# .github/workflows/ips-virtual-patch.yml
name: IPS Virtual Patch deployment
on:
  push:
    paths:
      - 'ips-rules/**'
  workflow_dispatch:
    inputs:
      cve:
        description: 'CVE to virtual-patch'
        required: true
 
jobs:
  validate:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
 
      - name: Validate Suricata rules syntax
        run: |
          sudo apt-get install -y suricata
          for rule in ips-rules/*.rules; do
            suricata -T -S "$rule" -c /etc/suricata/suricata.yaml
          done
 
      - name: Test rules with sample malicious traffic (lab)
        run: |
          docker compose -f tests/lab.yml up -d
          ./tests/replay-pcap.sh ips-rules/
 
  deploy-staging:
    needs: validate
    runs-on: ubuntu-latest
    steps:
      - name: Deploy to Palo Alto staging cluster via API
        env:
          PA_API_KEY: ${{ secrets.PA_API_KEY }}
        run: |
          # Push custom signatures via PAN-OS API
          curl -k -X POST "https://${PA_FW_STAGING}/api/?type=config&action=set" \
            -H "X-PAN-KEY: ${PA_API_KEY}" \
            -d "xpath=/config/devices/entry/vsys/entry/threats/spyware" \
            -d "element=$(cat ips-rules/cve-${{ github.event.inputs.cve }}.xml)"
 
      - name: Commit Palo Alto changes
        run: |
          curl -k -X POST "https://${PA_FW_STAGING}/api/?type=commit" \
            -H "X-PAN-KEY: ${PA_API_KEY}"
 
  deploy-prod:
    needs: deploy-staging
    if: github.ref == 'refs/heads/main'
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: Wait for staging validation 4h
        run: sleep 14400
 
      - name: Deploy to prod cluster
        run: |
          # Idem mais sur cluster prod après validation staging
          ./scripts/deploy-pa-rules.sh prod
 
      - name: Notify SOC
        run: |
          curl -X POST $SLACK_WEBHOOK \
            -d "{\"text\":\"IPS virtual patch CVE-${{ github.event.inputs.cve }} deployed prod\"}"

Position tranchée : virtual patching via IPS = mesure transitoire 7-30 jours max, jamais substitut au patch backend. Beaucoup d'organisations ont vécu le syndrome « le virtual patch IPS marche, on diffère le patch indéfiniment » → quand l'IPS est bypassé ou la signature est neutralisée, la vuln redevient exploitable. Garder ticket SLA-bound pour patching backend.

7. Performance IPS et throughput requirements 2026

Type IPSThroughput typiqueUse case 2026
Palo Alto PA-440 / 460 (entry)2-3 Gbps Threat PreventionTPE/PME, branch office
Palo Alto PA-1410 (mid)12 Gbps Threat PreventionETI, datacenter midsize
Palo Alto PA-5410 (high-end)60 Gbps Threat PreventionGrand compte, datacenter principal
Fortinet FortiGate 200F5 Gbps IPSPME/ETI
Fortinet FortiGate 4200F100+ Gbps IPSGrand compte, datacenter
Check Point Quantum 91006 Gbps IPSETI
Check Point Quantum 2800080+ Gbps IPSGrand compte
Suricata 7 single instance20-40 GbpsOpen-source, scale-out possible
AWS Network FirewallAuto-scaling cloudWorkloads AWS
Palo Alto Cloud NGFWAuto-scaling cloudMulti-cloud

Règle dimensionnement : provisionner 3-5x le pic trafic mesuré sur 12 mois pour absorber growth + flash bursts. Sous-dimensionner un NGFW = packet drops + latence ajoutée + bypass de la sécurité par dégradation.

8. Erreurs fréquentes IPS et anti-patterns

ErreurSymptômeFix
Mode blocking activé sans tuningTrafic légitime bloqué, prod casséeDetectionOnly 4-6 semaines, exception lists
Pas de cluster HASingle point of failureNGFW HA actif/passif obligatoire en prod
Fail-closed sur Internet inboundOutage business sur IPS crashFail-open + bypass HW sur Internet
Wildcard signatures activéesFP volume ingérableActiver par catégorie ATT&CK + tuning
SSL/TLS decryption sans gouvernancePrivacy + legal issue + SPOF cryptoDécryption ciblée + exclusions explicites + consent
Pas de monitoring du IPSDrop rate anormal non détectéHealthcheck Prometheus + alerte
Virtual patching permanentPatch backend différé indéfinimentTicket SLA-bound pour fix backend
Pas d'intégration SIEMLogs IPS isolés, pas de corrélationForwarding syslog → SIEM/XDR
IPS standalone en 2026Maintenance lourde, doublonne NGFWConsolider dans NGFW unifié
Pas de tests post-upgradeRègles cassées silencieusementReplay PCAP de payloads connus en CI

9. Mapping IPS vers compliance frameworks 2026

FrameworkExigenceMapping IPS
PCI-DSS v4.0 (mars 2022, mandatory mars 2025)Requirement 11.5.1 (IDS/IPS deploy)IPS explicitement nommé option
NIST CSF 2.0 (février 2024)DE.CM-1 (Networks monitored), PR.PT-4 (Communications)NGFW + IPS = control direct
NIST SP 800-94 (2007, révision 2024)Guide officiel IDS/IPSRéférence directe
ISO/IEC 27001:2022A.8.16 (Monitoring activities), A.8.20 (Networks security)Mapping clauses A.8
NIS2 (transposée FR octobre 2024)Article 21 (cybersecurity risk management)NGFW + IPS = mesure attendue
DORA (UE, applicable janvier 2025)Article 9 (ICT security)Network controls financial entities
HIPAA§164.312(c)(1) (Integrity controls)Network protection PHI
SOC 2CC6.6 (Logical access security)NGFW + IPS contribue

10. Pour aller plus loin

11. Points clés à retenir

  • IPS = inline IDS qui peut bloquer. Trois propriétés différentes : position (inline), action (drop), risque opérationnel (FP = blocage prod).
  • Terme apparu vers 2003 (ISS Proventia, McAfee Network Security Platform). NIST SP 800-94 (2007, révision 2024) = guide officiel.
  • IPS standalone disparu en 2026 : intégré dans tous les NGFW (Next-Generation Firewall, terme Gartner 2009).
  • Leaders NGFW 2026 : Palo Alto Strata (PAN-OS 11+), Fortinet FortiGate (FortiOS 7.6+), Check Point Quantum (R82), Cisco Secure Firewall, SonicWall, Juniper SRX.
  • Cloud NGFW 2026 : Palo Alto Cloud NGFW (multi-cloud AWS 2022 + Azure 2023 + GCP 2024), AWS Network Firewall (2020), Azure Firewall Premium, Google Cloud Firewall Plus.
  • Open-source : Suricata 7+ en mode IPS (NFQUEUE / AF_PACKET inline) scale 20-40 Gbps single instance, gratuit + 0.5-1 ETP ops.
  • Fail-open vs fail-closed : recommandation 2026 = fail-open sur Internet périmètre, fail-closed sur Tier 0 / OT.
  • Virtual patching via IPS : mesure transitoire 7-30 jours max sur CVE critiques (CVE-2024-3094 xz-utils, CVE-2024-6387 regreSSHion). Vendor signatures sous 24-72h. Jamais substitut au patch backend.
  • Performance : provisionner 3-5x le pic trafic mesuré pour absorber growth. Sous-dimensionner = packet drops + bypass sécurité.
  • Tarification 2026 : Fortinet 20-200 k€/an PME/ETI ; Palo Alto Strata 50-500 k€/an ETI/grand compte ; Cisco Firepower 80-400 k€/an ; Suricata gratuit + ops.
  • Anti-pattern n°1 : IPS en blocking sans tuning baseline 4-6 semaines → prod cassée, IPS désactivé permanemment. Mieux vaut DetectionOnly bien opéré.
  • Anti-pattern n°2 : déchiffrement TLS sur tout le trafic → SPOF crypto + cible APT tier 0. Décryption ciblée outbound + service mesh interne.
  • Compliance : IPS mappe directement PCI-DSS v4.0 Req 11.5.1, NIST CSF 2.0 DE.CM-1, NIST SP 800-94, ISO 27001:2022 A.8.16/A.8.20, NIS2 article 21, DORA article 9.

Questions fréquentes

  • Quelle différence concrète entre IPS, IDS, NGFW, NDR et WAF en 2026 ?
    **IDS** (Intrusion Detection System) = passif, alerte seulement, hors chemin trafic. **IPS** (Intrusion Prevention System) = même technologie mais **inline**, peut **bloquer** une attaque en cours. **NGFW** (Next-Generation Firewall, terme Gartner 2009) = firewall L3/L4 + **IPS intégré** + URL filtering + identity awareness + SSL inspection. Depuis 2010-2015, l'IPS standalone a quasi disparu, il est intégré dans le NGFW. **NDR** (Network Detection and Response, Gartner 2020) = évolution moderne de l'IDS avec AI/ML behavioral, hors chemin trafic. **WAF** (Web Application Firewall) = spécifique L7 HTTP/HTTPS, protège les apps web. Position 2026 : pour 80 % des organisations, **NGFW (qui inclut IPS) au périmètre + NDR pour visibility + WAF pour apps web** = stack network protection. IPS standalone n'est défendable que sur des segments très spécifiques (datacenter, OT) où le NGFW est trop lourd.
  • Suricata en mode IPS ou Palo Alto NGFW : lequel choisir en 2026 ?
    **Cas par cas selon scope et budget**. **Suricata en mode IPS** (`-i nflog` ou `--af-packet` avec NFQUEUE) est gratuit, multi-thread, scale ~40 Gbps, parfait pour SOC budget contraint avec 1-2 ETP dédiés. **Palo Alto Networks Strata** (PAN-OS 11+ en 2026) = NGFW leader Gartner avec IPS Threat Prevention, App-ID, User-ID, SSL Decryption native, machine learning. Tarif : 50-500 k€/an pour ETI/grand compte. Position 2026 : pour PME/ETI &lt; 1000 employés et trafic Internet &lt; 5 Gbps, **Suricata IPS open-source** ou **Fortinet FortiGate** (rapport prix/performances) sont rentables. Pour grand compte > 1000 employés et besoins SSL inspection + identity-aware policies + threat intel managed, **Palo Alto Strata** ou **Check Point Quantum** sont rarement contestables. Cisco Firepower est un cas particulier : intégration stack Cisco mais coûts opérationnels élevés.
  • Comment éviter qu'un IPS ne bloque le trafic légitime en production 2026 ?
    **Cinq disciplines obligatoires**. (1) **Mode `DetectionOnly` 4-6 semaines minimum** avant blocking sur les segments production : mesurer les FP, créer les exception lists. (2) **Allowlist explicit** des sources/destinations critiques (paiement, healthcheck, monitoring) avant de passer en blocking. (3) **Tuning par segment** : règles strictes sur DMZ + Internet outbound, règles plus permissives sur DC interne. (4) **Fail-open vs fail-closed policy** documentée : recommandation 2026 = fail-open sur le périmètre Internet (ne pas couper la prod si IPS plante), fail-closed sur les segments OT/SCADA et Tier 0 (préférer blocage à exposition). (5) **Monitoring du IPS lui-même** : healthcheck Prometheus + alerte si latence > seuil ou drop rate anormal. Anti-pattern observé fréquemment : IPS activé en blocking sans tuning, prod cassée en 24h, IPS désactivé permanemment. Mieux vaut **DetectionOnly bien opéré** que **blocking mal tuné**.
  • Virtual patching via IPS : ça marche vraiment en 2026 ?
    **Oui, et c'est devenu courant pour gagner du temps avant le patch backend**. Cas typique : nouvelle CVE critique (ex. **CVE-2024-3094 xz-utils backdoor** en mars 2024, **CVE-2024-6387 regreSSHion OpenSSH** en juillet 2024) découverte avec PoC public. Délai patch backend = 1-4 semaines selon complexité. Délai virtual patch IPS = 1-7 jours via signature dédiée. Vendors NGFW (Palo Alto Threat Prevention, Fortinet FortiGuard IPS, Check Point IPS Software Blade) publient des signatures sous 24-72h après une CVE majeure. Stack pratique 2026 : **IPS as code** versionné Git, peer review, déploiement progressif via API NGFW (PAN-OS API, FortiGate REST API). Pour les CVE critiques : **virtual patch via IPS** + **règle WAF au-dessus** + ouverture ticket SLA-bound pour patch backend. Ne **jamais** considérer le virtual patching comme un substitut au patch, c'est une mesure transitoire 7-30 jours max.
  • Cloud NGFW (Palo Alto Cloud NGFW, AWS Network Firewall) en 2026 : intéressant ou pas ?
    **Oui, particulièrement pour les multi-cloud**. **Palo Alto Cloud NGFW** (lancé 2022 sur AWS, étendu Azure 2023, GCP 2024) = NGFW managed cloud-native, déployé en quelques heures. **AWS Network Firewall** (lancé 2020) = service managed avec règles Suricata-compatible. **Azure Firewall Premium** = NGFW managed Azure avec IDPS. **Cisco Secure Firewall Cloud Native** = équivalent Cisco. **Google Cloud Firewall Plus** = NGFW managed GCP (basé Palo Alto). Tarification typique 2026 : Palo Alto Cloud NGFW ~1.25 €/heure/instance + traffic ; AWS Network Firewall 0.395 $/heure/endpoint + 0.065 $/GB ; Azure Firewall Premium ~1.30 €/heure + traffic. Position 2026 : pour des workloads cloud-native déjà sur AWS/Azure/GCP, le NGFW cloud-native est rarement contestable (plus simple, scale, moins d'ops) sauf si on a un investissement fort dans la stack on-prem du même vendor. Pour multi-cloud avec stratégie unifiée, Palo Alto Cloud NGFW est leader.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également