Bonjour à tous,
 
Nous sommes en réflexion pour améliorer l'organisation de notre réseau (Vlans, séparations des réseaux informatiques, TOIP, infra etc...) dans notre PME (~30 utilisateurs/postes, VPN SSL pour le télétravail ou les gens en déplacements réguliers), le tout géré par un prestataire externe. Pour ce faire, étudions la possibilité de changer de pare-feu car notre Fortigate 50E actuel est trop limité en nombre d'interfaces physiques (et au passage un peu vieillissant).
 
On me propose naturellement le choix entre Stormshield ou Fortinet. Je comprends que globalement, sur les fonctionnalités de base, les deux marques se valent.  
J'ai lu dans d'autres topics que Stormshield est plutôt bien foutu pour pas mal de choses (sauf proxy d'après ce que j'ai compris), avec une interface agréable (mais perso, c'est pas moi qui vais le gérer ). D'ailleurs, rien à signaler depuis le piratage du code source de Stormshield en 2021?    
 
Je n'ai pas encore reçu les devis mais le prix sera bien évidemment un facteur déterminant dans la décision (en cas de gros écart bien entendu).
 
J'ai aussi lu quelque part que l'idée d'avoir 2 firewall différents n'était pas déconnante (recommandation ANSSI ), avec ce type d'installation notamment :

 
De ce fait, je me demande si vous pensez que cela ait du sens qu'on garde le Fortinet 50E actuel, et qu'on le complète par un Stormshield, qu'en pensent les experts HFR ?
 
Questions subsidiaire : j'ai toujours l'impression que les couches applicatives sont un bon moyen de faire augmenter les factures mais est-ce que c'est vraiment efficace voire indispensable ? Et si oui, quelles options me recommendez-vous ou au contraire, quelles sont celles qui vous semblent superflux?
 
Merci pour vos avis

Quel est le besoin ? C'est à partir de là qu'on peut orienter sur une architecture

tu peux faire du trunk donc le nombre d'interfaces est probablement un faux problème.  
Y'a des chances que le gros du projet ce soit le boulot de segmentation du réseau, et que le changement ou pas de boîtier soit assez secondaire là-dedans.
Faut commencer par définir le besoin en effet.

Le besoin est assez simple:  
- sécuriser le SI de la PME sur un seul et unique site (2x WAN avec FTTO + 4G en backup, 2x serveurs physiques, 5-6 VMs, 20 postes de travail dont ~15x PC portables et ~5x clients légers, 4x switches répartis dans deux bâtiments reliés par fibre , des bornes Wifi Ubiquiti avec un réseau interne et un réseau Guest sur un VLAN indépendant);
- VPN SSL pour les collaborateurs en extérieur (télétravail occasionnel ou déplacements réguliers selon les personnes);
- segmenter pour mieux organiser le réseau interne selon les bonnes pratiques du moment avec les évolutions récentes, et essayant d'être bien organisé pour les évolutions futures (à l'origine 1 seul VLAN, que l'on veut maintenant segmenter en plusieurs VLANs pour infra, TOIP, réseau production, réseau mini-filiale etc...)  
 
 
J'avais effectivement imaginé comme vous un trunk à l'origine puis Vlans au niveau des switches mais pour des raisons qui me dépassent probablement, l'intervenant ne le voyait pas de cet oeil et préconisait de le faire directement au niveau du pare-feu avec les interfaces ad-hoc (on en a compté 8 pour la nouvelle organisation réseau contre 5 sur le Fortinet actuel). A noter qu'on a plusieurs réseaux indépendants (notamment celui de la mini-filiale) qui ne passent même pas par les switches (volontairement).
 
Voilà, je ne suis pas expert en sécurité donc le mot "sécuriser" est certainement très vague pour vous mais si vous avez d'autres questions, je peux tenter de développer, l'idée est justement d'avoir quelques pistes/orientations pour bien choisir les équipements et éventuellement donner des instructions de configs qui vont bien au prestataire quand on aura choisi le bon schéma

Donc aucun besoin de dmz telle que tu le montres dans ton schéma.
Reste simple.

Perso Stormshield je trouve ca ultra austère, par contre si tu sais t'en servir c est robuste coté sécu, mais pfiouuuuu que c est moche et relou à config...
 
Forti c est ultra facile à prendre en main assez user friendly, de base tu as pas mal de fonction bien cool, notamment le webfiltering des catégories qui est de base présent ou encore le portail qui permet de faire du RDP en web sur le portail VPN ( bon faut en avoir l'utilité mais cest quand meme bien cool) par contre il faut quand meme apprendre a utiliser l'engin sur les fonctions avancés de debug et il faut raquer la maintenance pour bénéficier des maj, autres point négatif le client VPN coté users est une catastrophe qui a tendance à générer pas mal de support et enfin les forti sont les firewall les plus ciblés par les pirates (sur 2024 ya eu beaucoup de CVE).
 
Une autre solution a considérer c est les Netgate (Pfsense) très peu de CVE c est aussi robuste que les 2 autres, ca se prends plutot bien en main et y a une grosse communauté pour progresser sans galerer ou etre dépendant du support, pour avoir tester les 3 pendant pas mal de temps, mon coeur balance pour le Netgate uniquement parcequ'il y a bien moins de CVE que Forti, mais Forti c est quand meme cool
 
Voila je sais pas si ca t'aidera