Test Zyxel USGFLEX100H : un firewall sérieux pour petites boîtes qui veulent du contrôle

Je cherchais un firewall un peu sérieux pour une petite structure (une quinzaine d’utilisateurs, quelques serveurs, pas mal de VPN) et je suis tombé sur ce Zyxel USGFLEX100H. L’idée, c’était de remplacer une vieille box opérateur + un routeur basique par un truc plus propre, avec de vrais réglages de sécurité, du VPN correct et un minimum de suivi dans le temps. Je ne suis pas intégrateur réseau haut niveau, mais je bricole pas mal et j’ai déjà touché du Fortinet, du Sophos et un peu d’UniFi, donc j’avais quelques points de comparaison.

Concrètement, j’ai monté ce firewall entre la box fibre et le switch principal, avec une dizaine de postes, quelques caméras IP, un NAS, et du télétravail via VPN. Je l’ai laissé tourner plusieurs semaines, avec pas mal de tests : débit, VPN, stabilité, gestion via Nebula, etc. Je ne l’ai pas testé dans une boîte de 50 personnes, mais franchement avec ce que j’ai vu, ça donne déjà une bonne idée de ce qu’il a dans le ventre.

Ce qui m’intéressait surtout, c’était de voir si ça valait le coup par rapport à un routeur un peu costaud type Mikrotik/EdgeRouter, et si l’intégration dans le cloud Nebula était vraiment utile ou juste un gadget marketing. Et surtout, est-ce que ça tient la route en débit quand on commence à activer des fonctions de sécurité, parce que sur certains modèles d’entrée de gamme, dès que tu coches deux options, tu divises le débit par trois.

Au final, on est sur un produit plutôt orienté PME qui veulent un truc stable, avec des réglages sérieux, mais sans partir sur une usine à gaz hors de prix. C’est globalement réussi, mais il y a des points qui m’ont un peu agacé, surtout sur les options UTM payantes et la logique d’interface qui n’est pas toujours évidente quand on vient du monde grand public ou d’autres marques.

Niveau rapport qualité-prix, il faut bien comprendre ce que tu achètes. Le prix du USGFLEX100H n’est pas délirant pour un firewall pro d’entrée/milieu de gamme, surtout avec 8 ports Gigabit et des perfs correctes. Pour une PME qui veut passer à quelque chose de plus sérieux qu’une box opérateur, c’est un investissement raisonnable, surtout si tu compares aux tarifs de certains concurrents plus connus qui facturent très cher le moindre boîtier.

Là où ça pique un peu, c’est si tu veux vraiment profiter de tout le côté "cybersécurité" mis en avant dans la description. Toutes les briques UTM avancées sont payantes via des licences annuelles ou pluriannuelles. Ce n’est pas spécifique à Zyxel, c’est pareil chez Fortinet, Sophos, etc., mais il faut l’intégrer dans le calcul. Le boîtier seul peut sembler abordable, mais si tu rajoutes 3 ans de licences complètes, l’addition grimpe vite.

Concrètement, si tu te contentes du firewall + VPN + segmentation de réseau, sans trop pousser l’UTM, je trouve que le prix est justifié. Tu as un appareil stable, assez puissant, qui fait bien le job pour une petite structure. Si par contre tu veux un niveau de sécurité très poussé, tu dois comparer sérieusement avec l’offre globale des concurrents (Fortigate, Sophos XGS, voire des solutions type pfSense sur du hardware dédié) pour voir ce qui est le plus rentable sur 3 à 5 ans.

Donc pour moi, le USGFLEX100H a un bon rapport qualité-prix pour : petites boîtes, budgets limités, besoin de se structurer un peu côté réseau sans exploser la facture. Si tu pars déjà dans une logique "full UTM" avec beaucoup de contraintes réglementaires, il faudra vraiment regarder le coût total (matériel + licences + éventuellement prestataire) avant de te lancer, parce que là tu bascules dans une autre catégorie de prix.

Niveau design, on est sur du matériel pro classique. Boîtier métallique, un peu lourd (environ 1,6 kg), avec une façade pleine de LEDs et l’arrière (ou l’avant selon comment tu le poses) avec les 8 ports Gigabit. Pas de fioritures, pas d’antennes Wi-Fi qui dépassent, pas de plastique brillant cheap. Ça ne gagnera pas un concours de beauté, mais ce n’est pas le but. Tu sens que c’est fait pour être posé dans une baie ou sur une étagère dans un local technique, pas au milieu du salon.

Les 8 ports GbE sont bien alignés, clairement numérotés, avec des voyants d’activité. Ça paraît bête, mais quand tu te retrouves à débugger un problème de réseau à distance au téléphone avec quelqu’un sur site, avoir des LEDs bien lisibles, ça aide. Il y a aussi un port USB qui peut servir de serveur d’impression, mais honnêtement en 2026, je ne suis pas sûr que beaucoup de gens vont s’en servir, la plupart des imprimantes réseau savent déjà parler IP toutes seules.

Le boîtier chauffe un peu mais reste dans le raisonnable. Il n’y a pas de gros ventilateur bruyant, donc dans un petit bureau ouvert, ça ne dérange pas. J’ai laissé le mien sur une étagère, sans baie, et la température restait correcte au toucher, même après plusieurs heures de charge avec du transfert de gros fichiers et des VPN ouverts. Pas de bruit gênant, ce qui est un bon point par rapport à certains équipements rack 1U qui font un bruit de sèche-cheveux.

Concrètement, niveau design, c’est sobre et fonctionnel. Le seul truc qui pourrait gêner certains, c’est l’encombrement si tu as l’habitude d’un petit routeur de salon. Là, on est sur un boîtier plus massif, plus lourd, qui fait vraiment « matos d’entreprise ». Perso, ça me va bien : tu le poses, tu le branches, tu l’oublies. Mais si tu voulais un truc discret à coincer derrière la télé, ce n’est pas le bon produit.

Le packaging est basique mais propre : le boîtier, l’alim, un peu de doc, et c’est tout. Pas de câble Ethernet offert dans mon cas, pas de fioritures. On sent que ce n’est pas un produit grand public où on te mettrait un manuel coloré de 50 pages. Là tu as un guide rapide qui t’indique l’IP par défaut, comment te connecter à l’interface, et ensuite à toi de jouer avec la doc en ligne si tu veux aller plus loin.

La première mise en route n’est pas compliquée si tu as déjà touché à ce genre de matos, mais ce n’est clairement pas pensé pour Monsieur Tout-le-monde. Tu dois connecter un PC en direct, aller sur l’IP de base, te loguer, changer le mot de passe, puis commencer à définir WAN, LAN, DHCP, etc. Rien d’insurmontable, mais il faut un minimum de notions réseau. Si tu viens d’un routeur Wi-Fi "assistant automatique suivant/suivant", ça peut surprendre.

La partie intégration avec Nebula (le cloud Zyxel) est plutôt bien fichue : tu enregistres le produit, tu le lies à ton compte, et tu peux ensuite le gérer à distance. Pour quelqu’un qui a plusieurs sites, c’est clairement un gros plus. Pour une seule petite boîte, c’est pratique pour surveiller l’état du réseau sans être sur place, mais ce n’est pas obligatoire. L’interface Nebula est plus agréable que l’interface locale brute, mais il y a toujours une petite courbe d’apprentissage.

En résumé, le packaging est simple et fonctionnel, la mise en route demande un minimum de connaissances, et ce n’est pas le genre de produit que je mettrais entre les mains d’un utilisateur lambda sans accompagnement. Pour un admin un peu à l’aise ou un freelance qui gère le réseau de plusieurs petites boîtes, ça reste tout à fait gérable, mais il faut accepter de passer une ou deux heures à bien poser la config de base.

Sur la partie durée de vie et stabilité, je n’ai pas plusieurs années de recul, mais après plusieurs semaines non-stop, aucun plantage, pas de redémarrage sauvage, et la charge reste stable. Le boîtier encaisse bien les montées en trafic, les ouvertures de sessions VPN, et les reconfigurations à chaud. Ça paraît normal pour un firewall pro, mais ce n’est pas toujours le cas sur du matos plus grand public qui a tendance à se mettre à genoux au bout d’un moment.

Le châssis en métal inspire confiance. Pas de sensation de plastique mou, les ports RJ45 tiennent bien, ça ne bouge pas quand tu branches/débranches des câbles. Dans une baie ou sur une étagère, tu sens que c’est fait pour rester en place des années. Zyxel n’est pas nouveau dans ce domaine, donc je suis assez confiant sur le fait que le matériel tiendra la route sur le long terme, à condition de ne pas le coller dans un placard sans ventilation.

Un point important pour moi, c’est la gestion des mises à jour. Les firmwares se mettent à jour sans galère particulière, que ce soit en local ou via Nebula. Je n’ai pas eu de mauvaise surprise du genre "la mise à jour casse la config". Ça ne veut pas dire que ça n’arrivera jamais, mais pour l’instant, c’est propre. Pour une petite boîte qui n’a pas un admin réseau à plein temps, c’est important de ne pas flipper à chaque fois qu’il y a une nouvelle version du firmware.

En termes de durabilité, je dirais donc que c’est du matériel pensé pour tourner H24. Si ton environnement est un minimum propre (pas de poussière extrême, pas 40°C permanents), ça devrait tenir longtemps. Le seul vrai risque côté "durabilité" à mon sens, c’est plus sur le support logiciel à long terme (combien d’années de firmware et de signatures pour l’UTM, si tu les prends) que sur le hardware en lui-même, qui est assez classique et robuste.

Côté perfs, c’est là où ce firewall est intéressant. Zyxel annonce 3 Gbps de débit firewall, et dans la vraie vie, avec une fibre à 1 Gbps, je n’ai pas réussi à le mettre à genoux. En mode basique (NAT, quelques règles, pas d’UTM avancé), j’avais le débit max de la ligne dans les deux sens, sans latence notable ajoutée par le firewall. Les pings restent stables, même avec plusieurs téléchargements en parallèle et du trafic interne entre VLANs.

Quand on commence à activer des fonctions plus avancées (inspection plus poussée, quelques filtres, logs détaillés), on sent un peu plus de charge, mais ça reste très correct. Je n’avais pas toutes les licences UTM payantes, donc je n’ai pas pu pousser l’anti-malware et le filtrage web à fond, mais en simulant un peu de charge avec du VPN + trafic intensif, on reste dans des débits largement suffisants pour une PME jusqu’à 500 Mbps, comme le dit la fiche technique. Si tu as une fibre 2 Gbps et que tu veux tout filtrer, là clairement ce modèle va commencer à montrer ses limites.

Sur la partie VPN, j’ai testé plusieurs connexions distantes (clients Windows et mobiles) et un tunnel site-à-site. La mise en place n’est pas « plug and play », il faut lire un peu la doc, mais une fois que c’est en place, ça tient bien. En débit réel, j’étais autour de 200–300 Mbps en VPN selon les conditions, ce qui est cohérent avec les specs (750 Mbps théoriques, mais ça dépend beaucoup du chiffrement, des extrémités, etc.). Pour du télétravail classique (bureautique, RDP, quelques transferts de fichiers), c’est largement suffisant.

Globalement, le rapport puissance / taille est franchement pas mal. Là où je mets un bémol, c’est que les chiffres marketing (3 Gbps, 750 Mbps UTM) sont atteignables dans des conditions de labo très propres. Dans la vraie vie, avec tout ce que tu actives et les habitudes d’une PME, tu seras plus bas, mais honnêtement, pour une connexion à 500 Mbps, tu es large. Pour une micro-structure à 100–300 Mbps, tu es tranquille pour un bon moment.

Sur le papier, le Zyxel USGFLEX100H c’est un firewall pour petites et moyennes boîtes, annoncé pour jusqu’à 50 utilisateurs. Tu as 8 ports Gigabit configurables, un débit de firewall annoncé à 3 Gbps, environ 750 Mbps en UTM et en VPN, et la possibilité de le gérer soit en local, soit via le cloud Nebula de Zyxel. Important à savoir : le modèle vendu ici, c’est le matériel uniquement, donc toutes les options UTM (sandboxing, anti-malware avancé, filtrage web, etc.) sont en plus, via des licences payantes.

Pour un usage concret, ça veut dire que si tu veux juste un firewall costaud avec NAT, routage, quelques VLAN, du VPN site-à-site ou client-to-site, il fait le job direct en sortie de boîte. Si tu veux en plus un vrai filtrage web, blocage de ransomware, analyse de fichiers, là il faut sortir la CB pour des abonnements. C’est un peu la norme dans ce secteur, mais il faut le savoir pour ne pas être déçu en pensant acheter une solution « tout compris ».

La cible, clairement, ce sont les PME avec une fibre autour de 300–500 Mbps, quelques services internes (NAS, caméras, imprimantes réseau) et des gens en télétravail. Pour un particulier, c’est un peu trop, sauf si tu es vraiment fan de réseau. Pour une grosse boîte avec plusieurs centaines d’utilisateurs, c’est trop léger, il faut regarder la gamme au-dessus. Là on est dans un entre-deux : assez pro pour être sérieux, mais pas au niveau d’un gros Fortigate dimensionné pour de l’ENtreprise.

Comparé à ce que j’utilisais avant (routeur grand public un peu boosté type Asus avec firmware custom), on gagne clairement en granularité des règles, en gestion des VPN et en visibilité sur le trafic. Par contre, il faut accepter d’y passer un peu de temps au début pour bien comprendre la logique Zyxel, qui n’est pas la plus intuitive du monde si tu viens des interfaces ultra simplifiées des box ou des routeurs Wi-Fi classiques.

Sur la partie sécurité pure, il faut être clair : sorti de la boîte, tu as un bon firewall stateful, des règles assez fines, la gestion des VLANs, du VPN, et déjà de quoi bien cloisonner ton réseau. Rien que ça, pour une petite boîte qui tournait jusqu’ici avec une box opérateur ouverte en grand, c’est déjà un gros pas en avant. Tu peux séparer tes caméras, tes postes utilisateurs, ton NAS, tes invités, et contrôler qui parle à qui.

Là où Zyxel insiste, c’est sur les services UTM (sandboxing, anti-malware avancé, réputation DNS, filtrage web, blocage de ransomwares, IDP, etc.). Ces briques-là ne sont pas incluses avec ce modèle "hardware only". Il faut acheter des licences. Donc si tu pensais avoir un bouclier complet clé en main contre tous les malwares juste en achetant ce boîtier, non. Avec les licences, tu peux monter en gamme et avoir un niveau de protection plus poussé, mais ça devient un budget récurrent à intégrer.

En usage réel, même sans tout l’UTM, tu peux déjà faire des choses utiles : bloquer certains ports, restreindre des pays, limiter l’accès à certains services internes, forcer le passage de certains flux, etc. Pour beaucoup de petites boîtes, c’est déjà un gros gain par rapport à un routeur basique. Mais si tu veux vraiment un filtrage web par catégories ou une détection d’intrusion avancée, il faut accepter le modèle économique à la Fortinet/Sophos : le boîtier + l’abonnement.

En résumé, niveau efficacité, le socle firewall/VPN est solide et suffisant pour un premier vrai pas vers un réseau mieux protégé. Le vrai "pack sécurité" complet arrive seulement si tu payes les options, donc je dirais que ce produit est très bien si tu as déjà une culture un minimum orientée sécurité et que tu sais ce que tu veux activer. Si tu cherches un truc magique qui "protège de tout" sans rien configurer, tu risques d’être un peu déçu ou de devoir passer par un prestataire pour en tirer tout le potentiel.