Pare-feu de nouvelle génération : Check Point revient parmi les meilleurs testés par NSS Labs

Sortie fin juillet, l’édition 2018 du rapport de tests de pare-feu de nouvelle génération (NGFW) de NSS Labs n’avait pas manqué de faire des remous. Et pour cause, elle malmenait fortement Check Point, Cisco et Sophos. Mais très vite, le premier a réagi et nous a interpelés sur Twitter pour avancer une explication : les tests avaient été réalisés avec une version préliminaire du firmware R80.20 présentant des instabilités.

Un peu plus d’un mois étant passé, Check Point distribue la version définitive du rapport de tests concernant son appliance 15600 NGTP, équipée cette fois-ci de la version finale du logiciel embarqué R80.20. Et les résultats sont bien différents.

Les équipes de NSS Labs soulignent ainsi l’efficacité complète de l’équipement contre les techniques d’évasion : aucune, sur les 190 testées, n’est parvenue à leurrer ses défenses. En outre, cette fois-ci, le pare-feu a « passé tous les tests de stabilité et de fiabilité ». Cerise sur le gâteau, le taux de blocage d’exploits s’inscrit en léger progrès pour dépasser les 99,6 %.

Ces performances permettent à Check Point de revenir dans le groupe de tête, aux côtés de Forcepoint et de Fortinet. Avec un léger bémol, toutefois : un coût total de possession à trois ans par Mbps couvert à plus de 12,5 $. C’est sensiblement plus que les deux principaux compétiteurs : l’équipement de Forcepoint testé ressort à moins de 5 $/Mbps, contre environ 7 $/Mbps pour celui de Fortinet. Palo Alto Networks et SonicWall figurent également dans ce club des constructeurs de produits très performants à sensiblement moins de 10 $/Mbps traité.

Mais le pare-feu de Check Point testé réserve une bonne surprise du côté des performances : les équipes de NSS Labs ont observé un débit de 6,2 Gbps alors que l’équipementier n’avance que 5,2 Gbps dans ses fiches commerciales. Cela renvoie au décalage observé avec le FortiGate 500E de Fortinet : le laboratoire avait constaté 6,7 Gbps de débit, contre 5,2 Gbps revendiqués.

Encore une fois, ces résultats ont le mérite d’éclairer la ligne sur laquelle arrêter son attention au moment de l’évaluation des produits de constructeurs différents. Avec Check Point, c’est donc à la ligne NGFW de la partie « real-world production conditions » qu’il convient de regarder, tout en pouvant espérer des débits réels à mi-chemin entre ceux affichés là et ceux avancés à la ligne précédente, relativement aux performances en mode IPS.