Quelle est la principale différence dans le modèle d'intégration de la sécurité ?

Fortinet intègre un NGFW complet et le SD-WAN sur le même hardware. VeloCloud utilise un firewall de base sur l'Edge, nécessitant souvent un NGFW chaîné ou un backhauling vers ses Gateways pour une sécurité avancée. Versa SASE intègre toutes les fonctions réseau et sécurité (NGFW, CASB, DLP, ZTNA) sur une plateforme single-pass, soit sur site, soit hébergée dans le cloud.

Comment l'acquisition de Broadcom affecte-t-elle l'avenir de VeloCloud ?

L'acquisition par Broadcom introduit une incertitude concernant la feuille de route à long terme de VeloCloud, ses prix et ses investissements en R&D. Bien que les fonctionnalités existantes demeurent, les nouvelles innovations pourraient ralentir, et le produit pourrait être intégré plus étroitement dans un portefeuille Broadcom plus large, ce qui pourrait avoir un impact sur sa valeur stratégique autonome pour les entreprises.

Quelle solution offre la meilleure optimisation des performances applicatives ?

Le DMPO de VeloCloud est réputé pour son per-packet steering, le FEC et la duplication de paquets pour la correction en temps réel des applications sur plusieurs liens, offrant sans doute l'optimisation des performances la plus dynamique. Fortinet et Versa offrent également un routage applicatif robuste et des techniques de remédiation, mais le DMPO de VeloCloud est une fonctionnalité essentielle et hautement optimisée.

Quelle est la différence typique de TCO pour un déploiement d'agence important ?

Pour un déploiement de 500 agences à 200 Mbps sur 3 ans (hors liens WAN), Fortinet offre généralement le TCO le plus bas grâce à la consolidation matérielle. VeloCloud (avec un NGFW séparé) et Versa SASE ont des TCO similaires, plus élevés, principalement en raison du hardware de sécurité séparé pour VeloCloud ou de l'abonnement SASE complet pour Versa.

Le ZTNA (Zero Trust Network Access) est-il un composant essentiel de ces fournisseurs ?

Fortinet propose le ZTNA dans le cadre de son FortiClient et de son security fabric FortiGate, s'intégrant avec FortiAuthenticator. Versa SASE inclut le ZTNA comme un composant natif, single-pass, dans ses offres cloud et sur site. Les capacités ZTNA de VeloCloud émergent, reposant fortement sur l'intégration avec d'autres produits de sécurité VMware Broadcom comme Carbon Black et NSX, plutôt que d'être nativement intégrées dans l'Edge lui-même.

Fortinet Secure SD-WAN vs VMware VeloCloud vs Versa SASE : Comparaison pour les Entreprises en 2026

Le marché du SD-WAN en 2026 présente un paysage consolidé, quoique complexe. Les entreprises évaluant des solutions sont confrontées à un choix entre des plateformes de sécurité intégrées, des SD-WAN dédiés avec des compléments de sécurité évolutifs, ou des architectures centrées sur SASE. Cette comparaison se concentre sur le FortiGate Secure SD-WAN de Fortinet, le VMware VeloCloud de Broadcom, et le Versa SASE, disséquant leurs capacités fondamentales, leurs compromis architecturaux et le coût total de possession (TCO) pour les déploiements multi-sites.

Philosophies Architecturales et Intégration de la Sécurité

L'approche de Fortinet est singulière : la consolidation. Le FortiGate est un NGFW, une appliance SD-WAN et un contrôleur sans fil tout-en-un. Cela signifie que tous les services de sécurité (IPS, AV, Web Filtering, SSL Inspection jusqu'à TLS 1.3) sont exécutés sur le même hardware, souvent en exploitant les processeurs réseau NP7 ou NP6XLite pour l'accélération. Un FortiGate 1800F, par exemple, offre 28 Gbps de débit NGFW et 18 Gbps d'inspection SSL. Tout le trafic, quelle que soit sa détermination de chemin SD-WAN, passe par le moteur NGFW. Cela simplifie considérablement l'application des politiques et réduit la latence par rapport à l'enchaînement de périphériques ou au hair-pinning vers des services de sécurité cloud pour tous les types de trafic. L'inconvénient est la scalabilité. Si vos exigences de sécurité dépassent la puissance de traitement du FortiGate, vous mettez à niveau l'appliance entière, pas seulement un module de sécurité.

Le VMware VeloCloud de Broadcom, après acquisition, conserve son architecture distribuée. Les VeloCloud Edges sont principalement axés sur le routage sensible aux applications, le Dynamic Multipath Optimization (DMPO) et la direction basée sur les performances. Les services de sécurité, au-delà du stateful firewalling, typiques de ses racines SD-WAN, s'appuient traditionnellement soit sur l'enchaînement à un NGFW tiers (par exemple, Palo Alto PA-400 Series, FortiGate 80F) soit sur le backhauling vers des VeloCloud Gateways centralisées qui offrent une sécurité de base. La feuille de route déclarée par Broadcom implique une intégration plus étroite avec Carbon Black et NSX pour une protection avancée contre les menaces, mais cela reste distinct de la fonction SD-WAN principale. Pour une agence de 200 Mbps, un VeloCloud Edge 510 fournit 1 Gbps de débit SD-WAN mais s'appuie sur son firewall de base. Pour une UTM complète, une appliance de sécurité supplémentaire est obligatoire, ajoutant complexité et surcharge de gestion.

Versa SASE, en revanche, est construit sur un moteur de traitement parallèle à passage unique (single-pass). Qu'il soit déployé comme une appliance sur site (Versa CSG, par exemple, CSG300) ou une passerelle hébergée dans le cloud, l'intégralité du paquet – de la sélection du chemin SD-WAN au NGFW complet, CASB, DLP et RBI – est traitée simultanément. Cette architecture vise à offrir le meilleur des deux mondes : une sécurité intégrée similaire à celle de Fortinet mais avec un modèle de scalabilité cloud-native pour SASE. Un Versa CSG300 pour une agence moyenne peut gérer 2 Gbps de trafic avec DPI, offrant des fonctions de sécurité et de réseau complètes au sein d'un seul système d'exploitation. La configuration initiale et la complexité opérationnelle sont plus élevées que Fortinet ou VeloCloud en raison de l'étendue des fonctionnalités.

Application Steering, FEC et SLA de Performance

Le moteur SD-WAN de Fortinet utilise des sondes SLA (latency, jitter, packet loss) sur les liens configurés pour déterminer le meilleur chemin. Il prend en charge des fonctionnalités avancées comme le Forward Error Correction (FEC) et la duplication de paquets pour les applications critiques. L'Application steering est basé sur le deep packet inspection (DPI) via son moteur IPS, permettant un contrôle granulaire sur des centaines d'applications et même de sous-applications. Les définitions d'applications personnalisées sont également robustes. Exemple de configuration pour un chemin préféré basé sur le SLA :

config system sdwan
  config health-check
    edit "WAN1_SLA_CHECK"
      set server "8.8.8.8"
      set protocol ping
      set packet-size 64
      set fail-detect-threshold 3
      set detect-mode active
    next
  end
  config service
    edit 1
      set name "VOIP_TRAFFIC"
      set dst "all"
      set src "all"
      set internet service fortinet-category "VoIP"
      set health-check "WAN1_SLA_CHECK"
      set member 1
      set sla-mode link-cost
      set sla-options {
        set latency-threshold 50
        set jitter-threshold 30
        set loss-threshold 1
      }
    next
  end
end

Ce contrôle granulaire garantit que les applications critiques respectent les objectifs de performance définis.

Le DMPO (Dynamic Multipath Optimization) de VeloCloud est une caractéristique distinctive de son offre. Il surveille activement tous les liens disponibles, agrégeant la bande passante et dirigeant dynamiquement le trafic en fonction des conditions par paquet ou par flux. VeloCloud excelle dans la commutation de chemin en moins d'une seconde et peut effectuer du per-packet steering, du FEC et de la duplication de paquets de manière transparente, souvent sans nécessiter de configuration explicite pour ces fonctionnalités. Sa capacité à corriger les conditions de brownout en dupliquant les paquets sur plusieurs liens pour les applications critiques est particulièrement forte. Les VeloCloud Edges signalent des métriques de performance granulaires à l'Orchestrator, offrant une visibilité en temps réel sur la qualité des liens et l'expérience applicative. L'accent est mis ici sur la maximisation de la disponibilité des applications et la correction des performances sur différents types de transport.

Versa SASE offre également un routage robuste sensible aux applications, s'appuyant sur son moteur DPI pour une identification granulaire des applications. Il prend en charge la sélection de chemin par flux, le FEC et la duplication de paquets. La force de Versa réside dans son cadre de politiques étendu, permettant aux administrateurs de définir des règles d'ingénierie de trafic très complexes basées sur les applications, les utilisateurs, les périphériques et la posture de sécurité. Cette extensibilité, bien que puissante, exige une compréhension plus approfondie du langage de politique de Versa. Les SLA de performance peuvent être appliqués dynamiquement, éloignant le trafic des liens dégradés ou employant des techniques de correction. Par exemple, assurer que le trafic Microsoft Teams utilise toujours le chemin à la latence la plus faible tout en appliquant la duplication de paquets si le jitter dépasse un seuil pour les utilisateurs exécutifs.

Plan de Gestion et Complexité Opérationnelle

L'écosystème de gestion de Fortinet s'articule autour de FortiManager. Cette appliance centralisée (physique ou virtuelle) fournit une gestion « single-pane-of-glass » pour des centaines à des milliers de FortiGates. FortiManager excelle dans le templating, les Forti-scripts et le ZTP (Zero Touch Provisioning), rendant les déploiements à grande échelle efficaces. Les configurations SD-WAN, les politiques de sécurité et les mises à niveau de firmware sont toutes gérées de manière centralisée. L'intégration avec FortiAnalyzer pour la journalisation et le reporting complète le tableau. La courbe d'apprentissage pour FortiManager est modérée ; les administrateurs familiers avec les FortiGates s'adaptent généralement rapidement. Cependant, la gestion des Forti-scripts personnalisés pour des scénarios complexes peut nécessiter une expertise spécifique.

L'Orchestrator de VMware VeloCloud est une plateforme de gestion cloud-native, louée pour sa simplicité et son interface graphique intuitive. Le ZTP est une fonctionnalité clé ; il suffit de brancher un Edge, et il se provisionne lui-même. L'Orchestrator offre une excellente visibilité sur les performances des applications, la qualité des liens et la santé du réseau. Les changements de politique sont poussés instantanément sur l'ensemble du réseau. Pendant de nombreuses années, l'Orchestrator a été considéré comme le meilleur de sa catégorie en termes de facilité d'utilisation. Post-Broadcom, il y a des préoccupations concernant l'investissement à long terme et l'innovation dans cette plateforme. Bien que stable actuellement, la direction stratégique sous Broadcom pour les solutions SD-WAN dédiées, en particulier celles qui concurrencent des produits faisant maintenant partie du portefeuille de Broadcom, est moins claire. Cette incertitude pèse sur les projections d'OPEX à long terme et l'évolution des fonctionnalités.

Versa Director est la plateforme de gestion pour Versa SASE. Elle offre une suite complète d'outils pour la configuration, le monitoring et le dépannage. Versa Director, en particulier lors du déploiement de la pile SASE complète, est considérablement plus complexe que FortiManager ou VeloCloud Orchestrator. Sa puissance réside dans son cadre de politiques détaillé, mais cela se traduit par une courbe d'apprentissage plus raide et des coûts opérationnels potentiellement plus élevés pour la formation du personnel. Pour les organisations possédant une expertise interne significative en réseau, Versa Director offre un contrôle inégalé. Pour les équipes IT plus petites, le déploiement initial et la gestion continue peuvent être difficiles. Versa Analytics fournit une visibilité et un reporting détaillés, s'intégrant de manière transparente avec Director.

Dimensionnement, TCO et Impact de Broadcom sur VeloCloud

Considérons un scénario pour 500 agences, chacune nécessitant 200 Mbps de débit Internet, un NGFW complet et des capacités SD-WAN. Supposons 150 $/mois par agence pour des circuits Internet doubles. Nous utiliserons les prix catalogue pour le hardware et un support/abonnement de 3 ans.

Comparaison des Coûts SD-WAN/SASE (500 Agences, 200 Mbps, TCO de 3 ans)
Caractéristique	Fortinet (FortiGate 100F)	VeloCloud (Edge 510 + PA-410)	Versa SASE (CSG300)
Appliance d'Agence (Prix Catalogue)	$4,500 (100F)	$2,500 (Edge 510) + $3,500 (PA-410) = $6,000	$6,000 (CSG300)
Abonnement UTM/SD-WAN 3 ans	$3,000 (UGP Bundle for 100F)	$1,500 (VeloCloud) + $3,000 (PA-410 Threat Prev.) = $4,500	$4,000 (Versa Branch SASE)
Gestion Centralisée (FortiManager/VeloCloud Orchestrator/Versa Director, moyenne/agence au prorata)	$500	$700	$1,000
Total CAPEX/OPEX par agence sur 3 ans (hors liens WAN)	$8,000	$11,200	$11,000
TCO Total sur 3 ans pour 500 Agences (hors liens WAN)	$4,000,000	$5,600,000	$5,500,000

Fortinet offre généralement un TCO plus faible grâce à la consolidation matérielle. L'acquisition de VMware, et spécifiquement VeloCloud, par Broadcom introduit une incertitude significative. L'historique de Broadcom avec les produits acquis implique souvent une augmentation des coûts de licence, une réduction des investissements en R&D dans les domaines non essentiels et une simplification potentielle des gammes de produits. Bien que les capacités techniques de VeloCloud restent solides, la feuille de route future, la stratégie de prix et le niveau d'innovation sont des sujets de préoccupation légitime pour les entreprises réalisant des investissements pluriannuels. Ce « facteur Broadcom » doit être fortement pris en compte dans toute évaluation de VeloCloud, augmentant potentiellement le coût des risques inquantifiables.

Intégration au Cloud et Capacités Hybrid WAN

Fortinet offre des capacités robustes d'intégration au cloud via ses FortiGate-VM dans les principaux clouds publics (AWS, Azure, GCP). Les tunnels IPSec depuis les FortiGates des agences peuvent se terminer directement dans le FortiGate-VM du cloud, étendant les politiques SD-WAN et la posture de sécurité à l'environnement cloud. Le Fabric Connector de Fortinet automatise une grande partie de ce processus, apprenant dynamiquement la topologie réseau du cloud et automatisant les mises à jour des politiques de sécurité. Cela garantit une sécurité et une segmentation réseau cohérentes, de l'edge au cloud. Les overlays SD-WAN peuvent s'étendre sur le backbone du cloud public avec la même facilité que les connexions de Data Centers privés. Voir aussi /blog/fortinet/fortigate-cloud-on-ramp-optimizing-aws-azure-gcp-connectivty/ pour plus de détails.

L'architecture de VeloCloud, avec ses Gateways distribuées, est intrinsèquement centrée sur le cloud. Les VeloCloud Gateways existent dans des Data Centers mondiaux, permettant aux agences de s'intégrer au fabric VeloCloud et d'accéder de manière optimisée aux ressources cloud et aux applications SaaS. Les entreprises peuvent également déployer des VeloCloud Gateways privées au sein de leurs propres Data Centers ou instances de cloud public. Le moteur DMPO garantit que le trafic vers les applications cloud est acheminé de manière optimale, en exploitant le meilleur chemin disponible via le réseau VeloCloud. Les VeloCloud Gateways servent également de points d'agrégation pour les architectures multi-tenant et single-tenant, rendant la connectivité cloud à grande échelle efficace.

Versa SASE est peut-être le plus cloud-native dans sa vision ultime. Tout en prenant en charge les appliances sur site (série CSG), son offre SASE complète comprend des points de présence (PoPs) hébergés dans le cloud à l'échelle mondiale. Les agences peuvent se connecter au PoP Versa le plus proche, obtenant un accès direct, optimisé et sécurisé aux applications SaaS et aux ressources de cloud public. Le moteur single-pass traite toutes les fonctions de sécurité et de réseau au sein de ces PoPs, éliminant le besoin de piles de sécurité séparées ou de backhauling. Pour les déploiements de hybrid cloud, Versa peut étendre son fabric à travers les Data Centers privés et les clouds publics, assurant une application cohérente des politiques et des performances. Ses fonctions réseau avancées peuvent s'intégrer de manière transparente avec diverses constructions cloud.

Scalabilité et Redondance

Les appliances Fortinet offrent une scalabilité significative, allant du FortiGate 60F pour les petites agences jusqu'à la série FortiGate 7000 pour les Campus Core ou les grands Data Centers. Pour le SD-WAN, un FortiGate 1800F fournit un débit IPsec SD-WAN full-mesh de 20 Gbps, adapté aux grands hubs régionaux. La haute disponibilité (HA) utilise généralement des paires active-passive (FGCP), offrant un basculement en moins d'une seconde. Pour les déploiements plus importants, FortiManager peut gérer plus de 10 000 FortiGates. La redondance au niveau du circuit est gérée par l'agrégation de liens SD-WAN et les politiques de basculement. Les FortiGates intègrent également des modules LTE-A/5G pour la redondance cellulaire (par exemple, FortiExtender).

La scalabilité de VeloCloud est principalement horizontale, en ajoutant plus d'Edges ou de Gateways selon les besoins. L'Orchestrator peut gérer des milliers d'Edges. La redondance des agences est généralement obtenue en installant deux VeloCloud Edges dans une paire active/veille ou en exploitant la redondance de lien intégrée. Les Gateways centralisées sont déployées par paires redondantes sur plusieurs Data Centers ou régions pour une haute disponibilité. L'infrastructure réseau sous-jacente des VeloCloud Gateways est conçue pour une haute disponibilité et une faible latence, ce qui la rend résiliente. VeloCloud est bien adapté aux environnements multi-tenant à haute densité et géographiquement dispersés grâce à son architecture de Gateway.

Versa offre une scalabilité étendue pour les appliances sur site et les déploiements basés sur le cloud. Les plateformes Versa Titan et Versa SASE sont conçues pour une échelle massive, supportant des centaines de milliers de sites et d'utilisateurs. Les appliances CSG sur site prennent en charge le clustering active-active, offrant un débit et une redondance supérieurs à la HA active-passive typique. Les PoPs SASE cloud de Versa sont construits sur une architecture distribuée et résiliente, garantissant une haute disponibilité et une portée mondiale. La gestion via Versa Director peut gérer des déploiements mondiaux complexes et multi-tenant. La flexibilité de son architecture logicielle lui permet de s'adapter dynamiquement à la demande, un avantage clé pour les entreprises en croissance rapide.

Feuille de Route et Pérennité

Fortinet poursuit sa stratégie de convergence. Attendez-vous à une intégration plus poussée de l'AI/ML dans son security fabric, une détection avancée des menaces à l'edge et une expansion continue du SD-Branch. FortiOS 7.6, tirant parti des services FortiGuard, améliorera probablement la détection d'applications, la threat intelligence et l'automatisation pour le SD-WAN. La feuille de route inclut une intégration plus étroite avec la sécurité OT/IoT et un raffinement de leur offre SASE (FortiSASE), garantissant une politique cohérente de l'endpoint à l'agence au cloud. La force principale reste le FortiGate en tant que nexus du réseau et de la sécurité, améliorant continuellement les accélérateurs matériels.

VMware VeloCloud sous Broadcom fait face à un avenir plus incertain. Bien que la fonctionnalité SD-WAN 핵심 de DMPO et la sélection de chemin intelligente seront probablement maintenues, des fonctionnalités nouvelles significatives ou des innovations révolutionnaires pourraient ralentir. L'accent pourrait se déplacer vers l'intégration au sein de la pile de solutions Broadcom plus large (par exemple, l'intégration de Carbon Black, éventuellement en tirant parti de NSX). Les entreprises doivent scruter les déclarations publiques et les investissements réels de Broadcom avant de s'engager avec VeloCloud pour des initiatives stratégiques à long terme. Il est plausible que VeloCloud devienne un composant au sein d'une stratégie réseau Broadcom plus vaste plutôt qu'un produit SD-WAN autonome et innovant de manière agressive.

Versa Networks est fortement investi dans sa vision SASE. Attendez-vous à une expansion continue de son empreinte PoP mondiale, à une intégration plus poussée des services de sécurité avancés (DLP, RBI, ZTNA) et à une simplification accrue de son modèle opérationnel grâce à l'automatisation basée sur l'AI. L'accent mis par Versa sur une architecture SASE single-pass le positionne bien pour l'évolution du travail hybride et de l'environnement cloud-first. La feuille de route inclura probablement une surveillance améliorée de l'expérience utilisateur, une prise en charge plus large des applications et une intégration plus solide avec les écosystèmes de sécurité tiers. Attendez-vous à une innovation continue sur les fronts réseau et sécurité au sein de sa plateforme unifiée.

Verdict

Pour les entreprises qui privilégient une intégration NGFW économique directement à la succursale, une gestion simplifiée et un security fabric mature et éprouvé, le Fortinet Secure SD-WAN sur FortiGate est le vainqueur incontestable. Son TCO est généralement plus faible grâce à la consolidation matérielle, et son modèle opérationnel est bien compris par un grand nombre d'ingénieurs réseau et sécurité. Idéal pour les organisations ayant déjà une empreinte Fortinet ou qui apprécient un fournisseur de sécurité unifié.

Pour les organisations qui privilégient la meilleure remédiation des performances applicatives (DMPO), une facilité d'utilisation exceptionnelle pour le SD-WAN lui-même et une expérience de gestion cloud-native, VMware VeloCloud reste techniquement solide. Cependant, le « facteur Broadcom » introduit un risque stratégique significatif. VeloCloud est mieux adapté aux organisations ayant un investissement existant dans VMware, ou celles qui sont prêtes à accepter l'incertitude pour ses caractéristiques de performance et qui sont à l'aise avec une solution de sécurité séparée, « best-of-breed », ou lorsque son intégration avec leurs autres produits Broadcom est un facteur de différenciation.

Pour les entreprises tournées vers l'avenir engagées dans une transformation SASE complète, nécessitant une mise en réseau complète et une sécurité avancée (NGFW, CASB, DLP, ZTNA) d'un seul fournisseur via une plateforme unifiée, et qui sont préparées à une courbe d'apprentissage initiale plus élevée pour une granularité de politique ultime, Versa SASE est le concurrent le plus solide. Il représente la vision SASE la plus complète à ce jour, offrant une sécurité et une mise en réseau intégrées de l'edge au cloud. Idéal pour les entreprises ayant des besoins complexes en matière de sécurité et de conformité, ou celles possédant une expertise réseau interne significative et recherchant un contrôle granulaire.