Firewall d'occasion : FortiGate, SonicWall, Palo Alto

firewall occasionIT And Office
0 commentaire

Firewall d'occasion : FortiGate, SonicWall, Palo Alto

Un pare-feu reconditionné coûte 40 à 70 % moins cher que son équivalent neuf, mais le marché du firewall d'occasion comporte des pièges spécifiques. La raison est simple : un pare-feu est indissociable de son firmware, de ses licences de sécurité (IPS, antivirus de flux, filtrage URL) et de son statut de support constructeur. Un FortiGate 60E d'occasion à 120 € sans FortiCare actif vous donnera un débit UTM limité à 200 Mbps et aucune mise à jour de base de signatures — autant dire un tamis face aux menaces de 2026. En France, trois marques dominent le marché du firewall occasion : Fortinet (FortiGate), SonicWall et Palo Alto Networks, tous issus de renouvellements de parcs d'entreprises. Ce guide vous explique comment évaluer chaque modèle, quels pièges éviter, et ce que vous devez exiger d'un revendeur de firewall reconditionné sérieux.

Ce que vous devez vraiment savoir avant d'acheter un firewall occasion

Firmware, fin de vie et branches supportées

Chaque modèle a une date de fin de vie matérielle (hardware EOL) et une date de fin de support logiciel (software EOS). Au-delà de l'EOS, vous ne recevez plus aucun correctif de sécurité — critique pour un équipement qui filtre la totalité du trafic entrant. Exemples concrets :

  • FortiGate 60E : EOL matériel octobre 2024, dernière branche FortiOS = 7.0.x
  • FortiGate 60F : EOL matériel 2027, supporte FortiOS 7.4.x (à fin 2026)
  • SonicWall TZ300 : EOS logiciel 2023, ne supporte plus SonicOS 7.x
  • Palo Alto PA-220 : supporte PAN-OS 11.1.x jusqu'à mi-2027
  • Palo Alto PA-820 : supporte PAN-OS 11.2.x, EOL matériel prévu 2028

Licences UTM/NGFW : ce qui ne se transfère jamais

Les abonnements de sécurité (FortiCare, SonicWALL CGSS/EPSS, Palo Alto Threat Prevention, WildFire, DNS Security) sont nominatifs et liés au contrat du propriétaire original. Ils ne se transfèrent jamais avec la revente matérielle. Ce que vous achetez, c'est uniquement le hardware. Le renouvellement de licences se fait directement auprès du constructeur ou d'un partenaire agréé.

Budget licences annuelles indicatif 2026 :

  • FortiGate 60F : FortiCare 360 + UTP Bundle ≈ 350–450 €/an
  • SonicWall TZ470 : Essentials Pack (EPSS) ≈ 400–550 €/an
  • Palo Alto PA-220 : Threat Prevention + DNS Security + WildFire ≈ 800–1 200 €/an

5 questions à poser obligatoirement à votre revendeur

  1. Quel est le numéro de série et la date d'expiration des licences actives ?
  2. Le firewall a-t-il été réinitialisé en configuration usine (factory reset) ?
  3. Quelle version firmware est installée et vers quelle version peut-on mettre à jour ?
  4. Les interfaces physiques ont-elles toutes été testées (RJ45 GbE, SFP, port console) ?
  5. Le matériel est-il enregistré sous un compte partenaire autorisant le transfert de support ?

Comparatif des modèles firewall d'occasion : FortiGate, SonicWall, Palo Alto

Le tableau suivant couvre les modèles les plus disponibles sur le marché du pare-feu reconditionné en 2026, avec spécifications techniques, limitations et prix indicatifs hors licences.

Modèle Points forts Limites Prix reconditionné
FortiGate 60F 10 Gbps firewall, 1 Gbps UTM (NP6XLite), 10 ports GbE, SD-WAN natif, SSL-VPN Pas de port 10 GbE, RAM 2 Go, max 200 tunnels VPN 200–380 €
FortiGate 100F 20 Gbps firewall, 1 Gbps NGFW, 2 ports SFP+ 10 GbE, HA actif/passif natif FortiCare bundle annuel 700–900 €/an, 4 Go RAM 600–1 100 €
SonicWall TZ470 3,5 Gbps firewall, 1,5 Gbps Threat Prevention, SD-WAN, 8 GbE + 2 SFP Dépend abonnement CGSS/EPSS pour IPS et filtrage URL actif 380–650 €
Palo Alto PA-220 NGFW full-proxy App-ID, visibilité applicative native, 4 GbE, PAN-OS 11.x 500 Mbps max en inspection SSL, licences 800–1 200 €/an 320–580 €
FortiGate 200F 27 Gbps firewall, 3 Gbps NGFW, 16 GbE + 4 SFP+ 10 GbE, HA inclus, 8 Go RAM Format 1U rack, consommation 65 W, licences élevées 1 400–2 200 €

Critères de sélection selon votre usage

PME < 20 postes : débit suffisant à moindre coût

Pour une structure de moins de 20 postes avec un accès Internet fibre jusqu'à 1 Gbps symétrique, le FortiGate 60F d'occasion (200–380 €) offre 1 Gbps de débit UTM avec licences actives et supporte FortiOS 7.4.x jusqu'en 2027. Le SonicWall TZ370 (150–280 €) convient pour une configuration simple NAT + VPN site-à-site avec budget serré. À ce gabarit, Palo Alto n'est pas économiquement justifiable : les licences seules dépassent 800 €/an pour moins de 20 utilisateurs.

PME 20-100 postes : équilibre débit et inspection

Le FortiGate 100F d'occasion (600–1 100 €) domine avec 1 Gbps NGFW, SD-WAN intégré et 2 ports 10 GbE SFP+ pour l'uplink vers un switch de cœur d'occasion. Le SonicWall TZ470 (380–650 €) est une alternative si vous préférez une interface d'administration plus simple. Vérifiez impérativement le multi-WAN avec failover automatique si vous avez deux opérateurs.

ETI > 100 postes : inspection SSL et segmentation VLAN avancée

Le FortiGate 200F d'occasion (1 400–2 200 €) ou le Palo Alto PA-820 (1 800–3 000 €) sont les candidats naturels. Le PA-820 offre 1,9 Gbps de débit applicatif App-ID avec inspection SSL complète — indispensable pour répondre aux recommandations de l'ANSSI sur la protection des systèmes d'information. Prévoyez 2 000 à 4 000 €/an de licences pour un PA-820 entièrement équipé.

Ce que garantit itandoffice.com sur les firewalls reconditionnés

Un pare-feu d'entreprise reconditionné est un équipement de sécurité critique. Protocole systématique appliqué par itandoffice.com :

  • Réinitialisation usine complète : factory reset via CLI (execute factoryreset sur FortiGate) — aucune configuration, règle ni credential précédent ne subsiste
  • Test de toutes les interfaces physiques : chaque port RJ45, SFP et console testé individuellement à plein débit
  • Mise à jour firmware : mise à jour vers la dernière version stable supportée (FortiOS, SonicOS, PAN-OS selon marque)
  • Contrôle licences hardware : vérification sur portail constructeur via numéro de série, date d'expiration communiquée en fiche produit
  • Test de stabilité 24h : charge simulée (TCP/UDP simultané, iperf3) pendant 24 heures minimum
  • Contrôle thermique : relevé températures processeur et ASIC, vérification état ventilateurs avant expédition

Comparaison TCO sur 3 ans — FortiGate 100F :

  • Neuf : 2 800 € matériel + 2 100 € FortiCare 36 mois = 4 900 € TTC
  • Reconditionné itandoffice.com : 850 € matériel + 2 100 € FortiCare 36 mois = 2 950 € TTC
  • Économie sur le TCO total : 40 % soit 1 950 € sur 3 ans

Garantie satisfait ou remboursé 30 jours. Stock physique en France, livraison 24–72 h : France, Belgique, Luxembourg, Suisse, Pays-Bas, Allemagne, Royaume-Uni, Espagne, Italie, Portugal.

FAQ — Les 5 questions les plus posées sur le firewall d'occasion

Peut-on utiliser un firewall d'occasion sans abonnement de sécurité actif ?

Oui, pour les fonctions de base : routage stateful, NAT, filtrage IP/port et VPN IPsec fonctionnent sans licence. En revanche, les fonctions UTM/NGFW avancées (IPS, antivirus de flux, filtrage URL, sandboxing, inspection SSL) nécessitent un abonnement actif. Une PME avec réseau bien segmenté et peu exposé peut se contenter des fonctions de base ; une structure avec trafic HTTPS actif vers des services publics a besoin des licences d'inspection.

Quelle est la différence entre un FortiGate 60E et un 60F d'occasion ?

Le 60E (NP6Lite) délivre 3 Gbps firewall et 200 Mbps UTM. Le 60F (NP6XLite) atteint 10 Gbps firewall et 1 Gbps UTM — soit 5 fois plus performant en inspection de contenu. Le 60E est en fin de vie matérielle (EOL octobre 2024) et ne reçoit plus de mises à jour FortiOS au-delà de 7.0.x. Préférez le 60F reconditionné (200–380 €) pour toute installation neuve.

Les licences UTM/NGFW sont-elles incluses avec un firewall reconditionné ?

Non, jamais. Les licences (FortiCare, SonicWALL CGSS, Palo Alto subscriptions) sont nominatives et ne se transfèrent pas avec la revente du hardware. Certains revendeurs proposent des équipements avec abonnements récemment renouvelés — exigez la preuve via le portail constructeur et le numéro de série. itandoffice.com indique systématiquement le statut des licences dans chaque fiche produit.

Comment vérifier la version firmware d'un FortiGate d'occasion ?

Via CLI (SSH ou port console RJ45) : la commande get system status affiche la version FortiOS, le numéro de série et le statut des licences. Via interface web HTTPS : System > Dashboard > Status. Pour le 60F, branche stable mi-2026 : FortiOS 7.4.x ; pour le 100F : FortiOS 7.6.x disponible depuis T4 2025.

Quelle durée de vie peut-on attendre d'un pare-feu d'occasion ?

Un FortiGate ou SonicWall avec 3 à 4 ans d'usage dispose de 4 à 6 ans de vie restante si l'alimentation est saine. Les ASIC réseau (FortiASIC NP, SonicWALL Security Processor) ont une durée de vie matérielle de 10 à 15 ans. Vérifiez le relevé d'heures via get hardware status sur FortiGate — un bruit de roulement des ventilateurs annonce une défaillance à 6–18 mois.

Conclusion

Acheter un firewall d'occasion permet d'économiser 40 % sur le TCO total sur 3 ans, à condition de maîtriser trois règles : vérifier la branche firmware supportée, budgéter les licences séparément, et exiger un factory reset documenté. Les modèles FortiGate 60F, 100F, SonicWall TZ470 et Palo Alto PA-220 reconditionnés couvrent 90 % des besoins des PME et ETI françaises. Consultez le catalogue firewalls d'occasion ou notre guide complet du matériel informatique d'occasion pour construire une infrastructure sécurisée à moindre coût.

Tags : Firewall occasionFortigate occasionMatériel réseau occasionNgfw reconditionnéPalo alto occasionPare-feu entreprisePare-feu reconditionnéSécurité réseau pmeSonicwall occasionUtm occasion

Laisser un commentaire

Tous les commentaires sont modérés avant d'être publiés