FMC ou FDM pour gestion ?

FDM (Firewall Device Manager) : intégré, pour 1-3 firewalls. FMC (Firewall Management Center) : appliance ou virtuel, pour parc 5+ firewalls, avec orchestration et reporting avancé.

Snort 3 (FTD 7.0+) : moteur réécrit, plus performant, meilleur multi-thread. Recommandé sur tous nouveaux déploiements. Migration depuis Snort 2 transparente.

Firepower vs FortiGate ?

Firepower : Snort IPS référence, intégration Cisco écosystème. FortiGate : meilleur prix, ASIC dédiés, SD-WAN intégré. Choix selon écosystème existant.

Comment choisir un firewall Cisco Firepower

15 avril 2026·6 min de lecture·1,049 mots

Cisco Secure Firewall : l'héritage Sourcefire

Cisco Secure Firewall (anciennement Firepower, encore plus tôt ASA NGFW) est la gamme firewall next-generation de Cisco. Elle combine le moteur de firewall ASA historique (Adaptive Security Appliance) avec le moteur IPS Snort 3 issu du rachat de Sourcefire en 2013. L'ensemble tourne sous FTD (Firepower Threat Defense), l'OS unifié depuis 2017.

Positionnement honnête en 2026 : Cisco est #3 sur le marché NGFW mondial (derrière Palo Alto et Fortinet selon Gartner). Le produit est solide mais souffre de trois problèmes : complexité de déploiement (courbe d'apprentissage plus raide que FortiOS), performances inférieures à Fortinet à prix équivalent (pas d'ASIC dédié), et gestion fragmentée (FMC vs FDM vs CDO). Ceci dit, pour les entreprises 100% Cisco avec CCNP/CCIE en interne, l'écosystème (SecureX, Umbrella, Duo, Talos) reste un argument.

La gamme Firepower en 2026

Série 1000 : PME et branches

Firepower 1010 (FPR-1010) : 2 Gbps FW / 650 Mbps Threat. 8 ports GbE. Pour 50 utilisateurs. Prix OPTINOC : ~1 500€ HT. Licence Threat 1 an : ~800€.
Firepower 1120 (FPR-1120) : 4.5 Gbps FW / 1.1 Gbps Threat. 8 ports GbE + 4 SFP. Pour 100-200 users. Prix : ~3 500€ HT.
Firepower 1140 (FPR-1140) : 7 Gbps FW / 1.4 Gbps Threat. Prix : ~5 500€ HT.
Firepower 1150 (FPR-1150) : 8.5 Gbps FW / 2 Gbps Threat. Prix : ~7 500€ HT.

Série 2100 : branches larges / ETI

Firepower 2110 (FPR-2110) : 6 Gbps FW / 1 Gbps Threat. 12 ports GbE + 4 SFP + 4 SFP+. Prix : ~8 000€ HT.
Firepower 2120 : 10 Gbps FW / 1.6 Gbps Threat. Prix : ~12 000€ HT.
Firepower 2130 : 15 Gbps FW / 2.8 Gbps Threat. Prix : ~15 000€ HT.
Firepower 2140 : 20 Gbps FW / 3.5 Gbps Threat. Prix : ~19 000€ HT.

Série 3100 : nouvelle génération datacenter (2023+)

Firepower 3110 : 17 Gbps FW / 3.5 Gbps Threat. 8× SFP+ + 2× SFP28. Prix : ~15 000€ HT.
Firepower 3120 : 25 Gbps FW / 5 Gbps Threat. Prix : ~22 000€ HT.
Firepower 3130 : 33 Gbps FW / 8 Gbps Threat. Prix : ~30 000€ HT.
Firepower 3140 : 44 Gbps FW / 12 Gbps Threat. Prix : ~38 000€ HT.
Avantage 3100 : meilleur rapport perf/prix que l'ancienne série 4100 — Cisco a enfin réduit l'écart avec Fortinet.

Série 4100 / 9300 : grand datacenter et opérateur

Firepower 4115 : 25 Gbps FW / 12 Gbps Threat. Pour grand DC. Prix : ~32 000€ HT.
Firepower 4125 : 40 Gbps FW / 18 Gbps Threat. Prix : ~50 000€ HT.
Firepower 4145 : 55 Gbps FW / 25 Gbps Threat. Prix : ~70 000€ HT.
Firepower 9300 : chassis modulaire jusqu'à 250 Gbps. Pour MSSP et opérateurs. Prix : 150K€+.

FTD vs ASA : quel OS choisir

Sur les Firepower, vous avez le choix entre 2 OS :

ASA (Adaptive Security Appliance) : l'OS historique Cisco. Firewall stateful + VPN IPsec/SSL. Pas de NGFW natif (IPS en option via module Firepower séparé). CLI Cisco classique. Stable, bien documenté, mais legacy.
FTD (Firepower Threat Defense) : l'OS unifié moderne. Fusionne ASA + Snort IPS. Interface Firepower Device Manager (FDM) ou gestion centralisée Firepower Management Center (FMC). Recommandé pour tous les nouveaux déploiements.
Migration ASA → FTD : outil Cisco Secure Firewall Migration Tool. Compter 2-4 semaines pour une migration enterprise propre.

Gestion : FMC vs FDM vs CDO

Le point faible historique de Cisco : 3 options de gestion, pas interchangeables.

FDM (Firepower Device Manager) : interface web embarquée sur le firewall. Pour gérer 1 seul Firepower. Simple, adapté aux PME avec 1-2 firewalls. Limitations : pas de multi-site, pas de templates, fonctionnalités avancées absentes.
FMC (Firepower Management Center) : appliance physique (FMC-1600, FMC-2600, FMC-4600) ou VM. Gère jusqu'à 750 Firepower. Riche en fonctionnalités (templates, workflow, analytics). MAIS : lourd, cher (FMC physique = 15K€+), courbe d'apprentissage. Indispensable pour >5 firewalls.
CDO (Cisco Defense Orchestrator) : cloud-managed SaaS. Gère Firepower, ASA, Meraki dans une seule interface. Moderne mais ne couvre pas tous les cas FTD avancés. En croissance, à surveiller pour 2027+.

Licences Cisco Secure Firewall

Le modèle de licences Cisco est notoirement compliqué. Trois niveaux principaux :

Threat : IPS Snort + AV + File Analysis. Équivalent UTP Fortinet. ~40% du prix matériel/an.
URL Filtering : filtrage web catégorisé. Licence séparée (!). ~10% du prix matériel/an.
Malware : Advanced Malware Protection (AMP) avec sandbox cloud. Équivalent ATP Fortinet. ~20% du prix matériel/an.
Bundle complet Threat + URL + Malware : ~70% du prix matériel/an. C'est cher. Très cher.
Attention : beaucoup de fonctionnalités nécessitent du DNA ou SecureX séparés. Toujours chiffrer le TCO 5 ans avant de s'engager.

Quand choisir Firepower et quand l'éviter

Choisir Firepower si :

Votre équipe est 100% certifiée Cisco (CCNP/CCIE Security).
Votre réseau est 100% Cisco (Catalyst, Nexus, ASR) et vous voulez l'intégration SecureX.
Vous avez un SOC Cisco Talos en place ou prévu.
Vous êtes dans un secteur où Cisco est imposé (défense, gouvernement).

Éviter Firepower si :

Vous cherchez le meilleur rapport qualité/prix : FortiGate écrase Cisco à ce niveau.
Votre équipe a des compétences généralistes : Fortinet est plus simple à prendre en main.
Budget licences serré : Cisco = ~70% du prix matériel/an en licences, Fortinet = ~40%.
Besoin SD-WAN : Cisco impose Viptela (licence séparée), Fortinet l'inclut dans FortiOS.

Alternative : ASA 5500-X (legacy mais encore viable)

Pour les petits budgets qui veulent du Cisco, les ASA 5500-X d'occasion ou en fin de stock restent viables pour du firewall stateful + VPN basique (pas de NGFW avancé). ASA 5516-X, ASA 5525-X sont encore supportés jusqu'en 2027-2028. Prix occasion : 500-2000€ vs 3-8K€ pour un Firepower neuf.

Recommandations OPTINOC

PME Cisco minimal : ASA 5516-X d'occasion ou Firepower 1010. Budget : 1 500-3 000€.
ETI Cisco : Firepower 2110 + FMC VM + licence Threat. Budget : 15-25K€.
Grand compte Cisco : Firepower 4115 en cluster + FMC physique + Threat/URL/Malware. Budget : 100K€+.
Si vous hésitez : comparer avec FortiGate équivalent. Souvent 30-50% moins cher en TCO 5 ans pour fonctionnalités similaires.

OPTINOC distribue Cisco Secure Firewall en garantie constructeur avec FMC et licences. Nous accompagnons aussi les migrations ASA → FTD et les comparatifs TCO avec des alternatives.