TechLeague

    Fortinet

    FortiNAC vs. Cisco ISE 2026 : Le match des solutions NAC pour l'IoT

    TechLeague Editorial··16 min de lecture

    Le champ de bataille du Network Access Control (NAC) n'a jamais été aussi critique. Avec la prolifération des déploiements IoT, la généralisation du télétravail et la présence constante d'acteurs de menaces sophistiqués, une visibilité et un contrôle granulaires sur chaque appareil connecté sont non négociables. Deux géants dominent cet espace : Fortinet FortiNAC et Cisco Identity Services Engine (ISE). À l'approche de 2026, les deux plateformes ont considérablement mûri, mais leurs philosophies architecturales, leurs nuances opérationnelles et, finalement, leur pertinence réelle divergent fortement. Cette analyse approfondie, du point de vue d'un ingénieur senior, dépasse le discours marketing pour livrer une comparaison technique et argumentée, axée sur la découverte, le profilage (en particulier pour l'IoT), la parité 802.1X et le coût total de possession souvent difficile à cerner.

    L'IoT Edge : un champ de bataille décisif

    Soyons clairs : 2026 est l'année où l'IoT va véritablement transformer les réseaux d'entreprise. Des systèmes de gestion de bâtiment (BMS) aux dispositifs médicaux, en passant par les systèmes de contrôle industriel (ICS) et les capteurs spécifiques, le volume et la diversité des endpoints non-traditionnels sont stupéfiants. Le NAC traditionnel, axé sur l'authentification des utilisateurs et la posture de base des appareils, échoue ici. La capacité d'identifier, de profiler et de segmenter avec précision ces appareils "headless" sans intervention humaine est primordiale.

    La puissance de découverte et de profilage de FortiNAC

    L'approche de FortiNAC en matière de découverte et de profilage des appareils est réellement robuste, en particulier pour l'IoT. Elle s'appuie sur une stratégie multi-facettes qui agrège des données provenant de diverses sources pour construire une empreinte comportementale riche. Il ne s'agit pas seulement de recherches d'OUI MAC ; il s'agit d'inspection approfondie des paquets (DPI), d'analyse NetFlow/IPFIX, d'interrogations SNMP, d'empreintes DHCP (option 60/12), d'user agents HTTP et même de requêtes DNS. L'appliance elle-même intègre souvent des signatures de type Snort/Suricata pour identifier des types spécifiques de dispositifs IoT ou détecter des anomalies. Dans un déploiement typique, FortiNAC peut agir en tant que "promiscuous listener", ingérer le trafic de ports SPAN/miroirs, ou s'intégrer directement avec des FortiGate pour un contexte plus riche.

    Par exemple, pour configurer NetFlow PUSH d'un FortiGate vers un FortiNAC :

    config system interface
  edit portX
    set ntop-enable enable
    set ntop-traffic-source lan
  next
end
config firewall policy
  edit 0
    set srcintf "portX"
    set dstintf "portY"
    set srcaddr "all"
    set dstaddr "all"
    set action accept
    set service "ALL"
    set nat enable
    set ntop-enable enable
    set ntop-sampling-enable enable
    set ntop-sampling-rate 100
  next
end
config system sflow
  set collector-ip <FortiNAC_IP>
  set collector-port 9996
  set source-ip <FortiGate_Interface_IP>
  set packets-per-sample 1000
  set interface "portX"
  set vdom "root"
  set poll-interval 30
  set ntop-exporter-enable enable
end

    Ce niveau d'agrégation de données, combiné aux capacités de Machine Learning (ML), permet à FortiNAC de discerner des différences subtiles entre, par exemple, un thermostat intelligent du Fabricant A et du Fabricant B, ou même entre différentes versions de firmware du même appareil. Son intégration native avec le Fortinet Security Fabric signifie qu'il peut partager cette connaissance contextuelle avec FortiGate, FortiAnalyzer et FortiSandbox, permettant une segmentation adaptative et une réponse aux menaces. FortiNAC 9.x introduit un "behavioral baselining" encore plus granulaire pour l'IoT, signalant automatiquement les déviations qui pourraient indiquer une compromission ou une mauvaise configuration.

    Les avancées de Cisco ISE 3.4 en matière de profilage

    Cisco ISE a également fait des progrès significatifs, en particulier avec ISE 3.x et ses améliorations du Profiling Services Engine (PSE). ISE 3.4 continue d'utiliser des techniques de profilage traditionnelles : DHCP snooping, HTTP user agent, NetFlow, SNMP traps et NMAP scans (bien que NMAP puisse être intrusif). L'acquisition de logiciels comme AccelOps (pour Tetration) et l'intégration de DNA Center pour la télémétrie réseau ont incontestablement renforcé les sources de données d'ISE.

    Cependant, le mécanisme de profilage central d'ISE repose souvent encore largement sur ses politiques de profilage internes, qui peuvent être quelque peu statiques ou nécessiter plus de réglages manuels que l'approche basée sur le ML de FortiNAC. Bien que ISE 3.4 ait amélioré sa collecte de données passives à partir des commutateurs Catalyst (par exemple, CBT, télémétrie pxGrid), l'impression est que le moteur de profilage, bien que puissant, exige une configuration plus explicite et une meilleure compréhension de la construction des politiques pour atteindre le même niveau de classification IoT granulaire et autonome que FortiNAC.

    La force d'ISE, en particulier avec l'IoT, provient souvent de son intégration avec des services et produits externes au sein de l'écosystème Cisco. Par exemple, l'association d'ISE avec Cyber Vision (anciennement Sentryo) pour les environnements ICS/OT est une combinaison puissante, mais c'est un ajout, et non une fonctionnalité de base d'ISE prête à l'emploi. La surcharge de gestion de plusieurs plateformes pour une solution complète de visibilité IoT peut être considérable.

    Parité 802.1X : les bases

    En ce qui concerne la fonctionnalité centrale 802.1X, les deux plateformes sont essentiellement à parité. Elles supportent toutes deux parfaitement EAP-TLS, PEAP, EAP-FAST et MAC Authentication Bypass (MAB). Elles peuvent s'intégrer avec Active Directory, LDAP, RADIUS et les magasins d'identité internes. Les portails d'accès invité, l'onboarding BYOD et l'évaluation de la posture des appareils (utilisant des agents comme AnyConnect ou FortiClient EMS) sont bien implémentés des deux côtés.

    Configuration et politiques Dot1x de FortiNAC

    Le moteur de politique de FortiNAC est intuitif. Vous définissez des politiques d'authentification (qui peut se connecter), des politiques d'autorisation (ce qu'ils peuvent faire) et des politiques de remédiation (ce qui se passe s'ils ne sont pas conformes). L'application est généralement effectuée via des attributs RADIUS (attribution de VLAN, poussée d'ACL, dACLs, redirection d'URL). Par exemple, l'attribution d'un VLAN dynamique basé sur le profil de l'appareil :

    RADIUS Attributes:
  Reply-Message: "VLAN Assignment for IoT-Device-Type-X"
  Tunnel-Type: VLAN
  Tunnel-Medium-Type: IEEE-802
  Tunnel-Private-Group-Id: 100

    La capacité du moteur de politique de FortiNAC à exploiter de manière transparente les données de profilage riches directement dans les règles d'autorisation lui confère un avantage. Vous n'autorisez pas seulement un appareil ; vous autorisez ce modèle spécifique de caméra intelligente exécutant le firmware X, dans le bâtiment Y, et communiquant uniquement avec le NVR Z.

    Dot1x et ensembles de politiques de Cisco ISE

    Les Policy Sets de Cisco ISE sont incroyablement puissants, mais peuvent également être complexes pour les nouveaux utilisateurs. La capacité d'imbriquer des règles, d'utiliser des conditions composées et d'intégrer des sources externes autoritaires (par exemple, des groupes AD, des CMDB) est à la pointe de l'industrie. Par exemple, une politique MAB de base pour un téléphone IP :

    Policy Set: Wired_Access
  Authentication Policy:
    Rule: MAC_Based_Auth_Phone
      Condition: (Network_Device_Group ENDSWITH "Campus_Switches") AND (Wired_MAB)
      Use: Internal Endpoints
  Authorization Policy:
    Rule: IP_Phone_Access
      Condition: (EndPointPolicy EQUALS "<IP_Phone_Profile>")
      Results:
        Authorization Profile: PermitAccess_Voice_VLAN
          Access-Accept
          Airespace-ACL-Name: xxxxxxxxxxxxxxxxxxxxx
          dACL: permit udp any eq 5002
          VLAN: <Voice_VLAN_ID>

    ISE excelle dans la poussée de Downloadable ACLs (dACLs) granulaires ou l'utilisation de Security Group Tags (SGTs) dans un environnement TrustSec pour la micro-segmentation. Si votre réseau est majoritairement Cisco et que vous êtes fortement investi dans TrustSec, l'intégration de l'écosystème d'ISE pour la segmentation est inégalée.

    Le Coût Réel (TCO) : Au-delà du prix de la licence

    C'est là que les choses deviennent vraiment intéressantes, et souvent, les entreprises prennent une décision initiale basée sur le prix catalogue, pour ensuite faire face à des dépenses d'exploitation importantes. Le "coût réel" n'est pas seulement la licence ; c'est la complexité du déploiement, la maintenance continue, les compétences requises et le coût des intégrations.

    La perspective TCO de FortiNAC

    Le modèle de licence de FortiNAC est généralement basé sur le nombre d'appareils (similaire à ISE) mais inclut souvent plus de fonctionnalités en amont. Le déploiement peut être plus rapide, surtout si vous avez déjà des FortiGate ou des FortiSwitch, tirant parti de la promesse du 'Fortinet Security Fabric'. La courbe d'apprentissage pour FortiNAC, en particulier pour les ingénieurs réseau familiers avec FortiOS, est généralement moins raide. Ses capacités multi-tenant sont également très matures, ce qui le rend adapté aux grandes entreprises ou aux Managed Service Providers (MSPs).

    Le nombre total de VMs requis pour un déploiement FortiNAC résilient et de qualité production est souvent inférieur à celui d'ISE. Un déploiement typique pourrait être 2x Managers (HA), 2x ou plus Server/Collectors (groupes HA), et 2x Profilers (HA). C'est un nombre significativement inférieur d'appliances qu'un déploiement distribué ISE complet (Policy Administration Nodes, Monitoring and Troubleshooting Nodes, Policy Service Nodes, pxGrid Nodes), ce qui se traduit directement par des coûts d'infrastructure virtuelle (CPU, RAM, stockage) moindres et moins de points à patcher/maintenir.

    Coût de la main-d'œuvre : L'administration de FortiNAC est généralement moins complexe, réduisant le besoin d'ingénieurs Cisco ISE hautement spécialisés et certifiés (qui exigent des salaires élevés).

    La perspective TCO de Cisco ISE

    Le modèle de licence de Cisco ISE a évolué, souvent lié au nombre d'appareils (licences Base, Plus, Apex). Une plainte courante est la complexité des licences et la nécessité de licences spécifiques pour des fonctionnalités telles que pxGrid, l'intégration MDM ou la posture avancée. Un déploiement ISE complet nécessite un nombre significatif d'appliances pour la haute disponibilité et les services distribués : au moins 2 PANs (Primary/Secondary), 2 MnTs (Primary/Secondary) et plusieurs PSNs (Policy Service Nodes) dimensionnés pour la charge et la distribution géographique. Pour les intégrations pxGrid, des nœuds supplémentaires peuvent être nécessaires.

    Cette architecture distribuée, bien que robuste, nécessite davantage de machines virtuelles, davantage de configuration réseau (en particulier avec différents types de personas) et une empreinte plus importante dans votre datacenter ou votre cloud. La surcharge opérationnelle pour le patching, la mise à niveau (qui peut être un processus multi-étapes et multi-nœuds) et le dépannage d'un déploiement ISE complexe est considérable.

    Coût de la main-d'œuvre : Un ingénieur Cisco ISE hautement qualifié est une ressource précieuse. La profondeur et l'étendue de la plateforme exigent une formation spécialisée (CCNP Security est souvent un prérequis pour un travail sérieux sur ISE). Cela se traduit par des coûts de personnel opérationnel plus élevés ou le recours à des services de conseil coûteux.

    Opinion et Recommandation

    Pour les organisations qui privilégient la découverte rapide d'appareils IoT, le profilage comportemental granulaire, un moteur de politique simplifié mais puissant, et un coût total de possession (TCO) réduit avec une complexité opérationnelle moindre, FortiNAC est le candidat le plus solide pour 2026. Son intégration native avec le Fortinet Security Fabric offre une posture de sécurité cohérente à travers les firewalls, les commutateurs et les points d'accès sans nécessiter de multiples intégrations spécifiques à chaque fournisseur.

    La force de FortiNAC réside dans sa capacité à identifier et à classer automatiquement une vaste gamme d'appareils, même s'ils n'ont jamais été vus auparavant, puis à appliquer des politiques basées non seulement sur leur identité, mais aussi sur leur comportement observé. Ceci est essentiel pour l'IoT où une découverte active comme NMAP est souvent préjudiciable ou interdite.

    Si votre environnement est à plus de 90 % composé d'équipements réseau Cisco, que vous avez un investissement profond dans la segmentation TrustSec sur l'ensemble de votre campus, et que vous disposez d'une expertise Cisco très spécialisée au sein de votre personnel (ou du budget nécessaire), alors Cisco ISE pourrait toujours être un choix viable, bien que plus complexe et souvent plus coûteux. Les capacités de dACL et de SGT d'ISE, lorsqu'elles sont pleinement exploitées, sont indéniablement puissantes pour segmenter un environnement purement Cisco.

    Cependant, pour la majorité des entreprises confrontées à l'explosion de l'IoT, et en particulier celles qui ont des réseaux hétérogènes ou une équipe de sécurité limitée, FortiNAC offre une voie plus pragmatique, efficace et, en fin de compte, plus sécurisée. La simplicité de déploiement et de gestion, associée à ses capacités de profilage avancées pour les appareils toujours plus diversifiés et "headless" de 2026, en fait le choix supérieur dans un combat direct.

    Questions fréquentes

    Quelles sont les principales différences en matière de profilage IoT entre FortiNAC et Cisco ISE 3.4 ?+

    FortiNAC excelle avec l'agrégation de données multi-sources (DPI, NetFlow, SNMP, DHCP, DNS, user agents HTTP) alimentant un moteur basé sur le ML pour l'établissement de bases comportementales et la classification autonome des appareils IoT. ISE 3.4 s'appuie davantage sur des politiques de profilage traditionnelles, nécessitant souvent une configuration explicite, et a souvent besoin d'intégration avec des produits Cisco externes (comme Cyber Vision) pour une visibilité OT/ICS plus approfondie.

    Quelle plateforme présente un coût total de possession (TCO) inférieur pour un déploiement d'entreprise standard ?+

    FortiNAC a généralement un TCO inférieur. Il nécessite typiquement moins d'appliances virtuelles pour un déploiement résilient, ce qui entraîne une réduction des coûts d'infrastructure virtuelle et des frais d'exploitation moindres pour le patching et la maintenance. Son administration tend également à être moins complexe, réduisant le besoin d'ingénieurs hautement spécialisés et très bien rémunérés par rapport à Cisco ISE.

    Une plateforme est-elle significativement meilleure que l'autre pour l'application du 802.1X ?+

    Les deux plateformes sont à parité pour les fonctionnalités de base du 802.1X (méthodes EAP, MAB, accès invité, évaluation de la posture). Elles implémentent toutes deux de manière fiable l'authentification, l'autorisation et la comptabilité. La différence réside dans la complexité du moteur de politique et la manière dont les données de profilage granulaires sont intégrées dans les règles d'autorisation. La force de FortiNAC réside dans son intégration directe d'un profilage approfondi dans des politiques intuitives ; la force d'ISE réside dans ses puissants mais plus complexes Policy Sets et son intégration dACL/TrustSec.

    Comment FortiNAC s'intègre-t-il au Fortinet Security Fabric ?+

    FortiNAC est un composant central du Fortinet Security Fabric. Il partage des informations contextuelles riches (identité de l'appareil, profil, posture) avec les FortiGate, FortiSwitch, FortiAP, FortiAnalyzer et FortiSandbox. Cela permet une micro-segmentation adaptative, une réponse automatisée aux menaces et une journalisation centralisée, en utilisant un cadre de politique unifié à travers l'écosystème de sécurité.

    Quelles versions spécifiques sont comparées dans cette évaluation ?+

    Cette évaluation compare principalement FortiNAC 9.x (en considérant les fonctionnalités susceptibles d'être matures d'ici 2026) à Cisco Identity Services Engine (ISE) 3.4, en reconnaissant les avancées de la version 3.x.

    Si j'ai une infrastructure réseau entièrement Cisco, ISE a-t-il toujours plus de sens ?+

    Si votre réseau est presque entièrement Cisco, et que vous avez lourdement investi dans TrustSec pour la micro-segmentation et que vous disposez d'une expertise Cisco dédiée, ISE peut toujours être une solution puissante grâce à son intégration native avec les dACLs, les SGTs et d'autres télémétries spécifiques à Cisco. Cependant, même dans un environnement entièrement Cisco, le profilage IoT de FortiNAC et son TCO potentiellement inférieur justifient une solide considération.

    FortiNAC peut-il s'intégrer à des dispositifs réseau non-Fortinet ?+

    Oui, FortiNAC est agnostique vis-à-vis des fabricants et peut s'intégrer à des dispositifs réseau de divers fabricants (Cisco, HPE, Aruba, Juniper, etc.) via des protocoles basés sur des standards comme RADIUS, SNMP et CLI. Sa force en matière de profilage s'étend également aux dispositifs non-Fortinet en tirant parti des méthodes de découverte passives.