Test Zyxel USGFLEX100H : un firewall costaud pour PME, mais pas plug-and-play

J’ai installé ce Zyxel USGFLEX100H dans une petite structure d’une trentaine de personnes, en remplacement d’un routeur grand public un peu bricolé. L’idée, c’était d’avoir quelque chose de plus sérieux côté sécurité, avec VPN propre, filtrage web, et surtout un truc qui tienne la charge quand tout le monde tape dans le cloud et la visio en même temps. Sur le papier, les chiffres sont rassurants : jusqu’à 3 Gbps en firewall simple, 750 Mbps avec les services UTM, 750 Mbps en VPN. Clairement, on est loin de la box opérateur qui s’essouffle dès qu’on active un peu de QoS.

J’ai passé un week-end complet à le mettre en place pour éviter de tout casser en pleine semaine. Concrètement, si tu viens du monde des routeurs grand public (style Fritz!Box, Unifi Dream Machine, etc.), il faut accepter que là on est sur un produit clairement orienté pros/PME. L’interface n’est pas compliquée pour quelqu’un qui a déjà touché à du firewall, mais ce n’est pas non plus le truc où tu cliques sur trois boutons et tout marche. Il faut réfléchir au plan d’adressage, aux VLAN, aux profils de sécurité, aux règles de NAT…

Ce qui m’a vite sauté aux yeux, c’est que le gros intérêt de ce boîtier, c’est le pack UTM d’un an inclus : sandboxing, anti‑malware, filtrage web, IPS/IDP, tout le bazar. Sans ça, ça reste un bon firewall, mais tu perds une bonne partie de la valeur ajoutée. On voit aussi que Zyxel pousse fort son Nebula Cloud : dès la première config, on te propose de tout gérer via le cloud. Ça peut être pratique, mais ça veut dire accepter une dépendance à un compte et à des licences.

En gros, après la première semaine, mon ressenti c’est : matériel sérieux, pensé pour tourner des années, mais à réserver à ceux qui ont un minimum de compétences réseau ou un prestataire sous la main. Si tu veux juste « brancher, cliquer sur suivant » et ne plus jamais y toucher, ce n’est clairement pas le bon produit. Si par contre tu veux un vrai contrôle sur ton réseau et ta sécurité, là ça commence à devenir intéressant, à condition de prévoir le coût des licences dans la durée.

Sur le prix, on n’est clairement pas dans la même catégorie qu’un routeur Wi‑Fi de supermarché, mais ce n’est pas non plus du matos hors de prix façon gros firewall enterprise. Pour une petite ou moyenne boîte, le tarif du boîtier reste raisonnable vu ce qu’il apporte : perfs correctes, UTM pendant un an, VPN propre, gestion centralisée possible. Là où ça se discute, c’est sur le long terme, avec le coût des licences à renouveler pour garder toute la partie sécurité avancée.

Concrètement, si tu prends ce Zyxel pour une PME de 20 à 50 personnes, que tu comptes le prix sur 3–5 ans (boîtier + licences), ça reste cohérent par rapport à ce que ça t’évite : incidents de sécurité à la con, pertes de temps à dépanner une box grand public, limitations en VPN, etc. Tu paies plus cher qu’un simple routeur, mais tu gagnes en stabilité, en visibilité et en contrôle. Pour une boîte, c’est un investissement qui se défend.

Par contre, pour un particulier ou une très petite structure qui veut juste « un peu plus de sécurité » que la box, je trouve que c’est un peu trop. Non seulement le prix du boîtier est élevé pour cet usage, mais en plus, si tu ne renouvelles pas la licence, tu perds la moitié de ce que tu as payé au départ. À ce moment‑là, autant partir sur un routeur plus simple ou une solution type UDM/UDM Pro si tu veux déjà monter d’un cran sans te taper la gestion de licences UTM.

Au final, je dirais que le rapport qualité‑prix est bon si tu es dans la cible : PME qui veut un firewall sérieux, avec quelqu’un qui sait s’en occuper (ou un prestataire). Pour le reste du monde, ça va sembler cher et un peu prise de tête. Donc oui, bon rapport qualité‑prix dans le bon contexte, mais clairement pas un produit universel que je conseillerais à tout le monde.

Niveau design, on est sur un boîtier rouge assez sobre, format rackable 1U, typique du matos réseau. Ce n’est pas un objet déco, mais dans une baie ou sur une étagère technique, ça fait sérieux. Le châssis est en métal, ça inspire confiance, et le poids est correct pour ce type d’équipement. C’est le genre de boîtier que tu poses, que tu visses, et que tu oublies pendant des années. Il est fanless, donc pas de bruit de ventilateur, ce qui est appréciable si tu le mets dans un petit local ou même dans un bureau.

Sur la façade, tu as les ports Ethernet, les voyants d’activité, une prise console pour l’administration série, et un port USB. Les LED sont lisibles, ni trop agressives ni invisibles. Pour le dépannage rapide, c’est pratique : tu vois en un coup d’œil si le WAN est up, si les ports LAN causent, etc. Ce n’est pas le genre de produit où tu passes ton temps à admirer le design, mais tout est pensé pour être fonctionnel et clair.

Au niveau de la mise en place physique, rien de compliqué : tu as les oreilles rack fournies, ou tu peux le poser à plat avec des patins. L’alimentation est externe (bloc 12V), ce qui a ses avantages et inconvénients. Avantage : si le bloc lâche, tu peux en trouver un autre facilement. Inconvénient : un truc en plus à caser dans la baie. Ça reste assez standard dans cette gamme de produits.

En termes d’ergonomie « au quotidien », le design joue surtout via l’interface web. Là, on est sur quelque chose de dense, pas très sexy mais fonctionnel. Les menus sont logiques pour quelqu’un qui a déjà configuré des firewalls, mais il y a beaucoup d’options, beaucoup d’onglets. Ce n’est pas pensé pour un débutant total. J’aurais aimé un mode « simplifié » au début, pour poser les bases (WAN, LAN, DHCP, quelques règles de base) puis basculer en mode avancé. Là, tu es direct dans le bain avec tous les paramètres.

Je n’ai pas plusieurs années de recul sur ce modèle précis, mais j’ai déjà installé du Zyxel dans d’autres contextes (switches, AP, quelques firewalls plus anciens), et en général ça tient bien la route dans le temps. Là, sur l’USGFLEX100H, tout respire le matos fait pour rester allumé 24/7 : boîtier métal, pas de pièces mécaniques (pas de ventilateur), conso raisonnable. Après plusieurs semaines en production, aucun freeze, aucun redémarrage non prévu, rien. On a fait quelques mises à jour firmware, et à part le fait un peu pénible de devoir parfois rebooter avant/après, ça s’est passé sans drame.

Le fanless, c’est un gros plus côté fiabilité : un ventilo qui lâche, c’est le grand classique sur ce genre d’équipement. Là, tu supprimes ce point de panne. Évidemment, il faut éviter de le coller dans un placard fermé sans ventilation, mais ça vaut pour tous les équipements réseau. Les températures relevées sont restées dans des valeurs normales, même quand on faisait des tests de charge un peu bourrins.

Un autre aspect « durabilité », c’est le suivi logiciel. Zyxel n’est pas parfait, mais sur ce type de gamme pro, ils sortent régulièrement des mises à jour de sécurité et des corrections de bugs. C’est important pour un firewall, parce que si tu ne mets jamais à jour, tu finis toi-même avec un trou de sécurité. Là, entre les mises à jour firmware et les signatures UTM, tu sens qu’il y a un suivi derrière. Reste à voir sur combien d’années ils continueront à supporter ce modèle, mais vu la gamme, on peut s’attendre à plusieurs années de support.

En résumé, je n’ai pas d’alarme particulière côté fiabilité. C’est du matos qu’on installe pour durer, à condition de l’entretenir un minimum (mises à jour, vérification de la licence, etc.). Pour une PME qui veut éviter de changer de firewall tous les deux ans, ça me semble un choix plutôt solide, même si on n’est pas non plus sur les marques les plus haut de gamme du marché. On est dans une zone « fiable et sérieux », pas dans du bricolage.

Côté perfs, c’est clairement le point fort de ce Zyxel. On l’a branché derrière une fibre 1 Gbps, avec une trentaine d’utilisateurs, pas mal de visio, de transferts de fichiers vers le cloud, et quelques VPN permanents pour des télétravailleurs. Avec le firewall simple, sans UTM poussé à fond, le débit est proche du gigabit dans les deux sens, sans latence perceptible. Même en activant les services UTM (filtrage web, anti‑malware, IPS), on reste très confortable : on n’a jamais senti le routeur comme un goulot d’étranglement.

J’ai aussi fait quelques tests plus bourrins avec des outils de charge (iperf, transferts simultanés, etc.). Les chiffres annoncés (3000 Mbps en SPI, 750 Mbps en UTM et VPN) me semblent cohérents avec ce que j’ai vu sur le terrain. Tu sens que le boîtier a été pensé pour encaisser des milliers de sessions (annoncé 300k), et en pratique, même avec beaucoup d’onglets ouverts partout, Teams, Zoom, VPN et co, la navigation reste fluide. Pas de micro‑coupures, pas de reboot sauvage, rien de bizarre.

Sur la partie VPN, j’ai testé de l’IPSec site‑to‑site et un peu de SSL VPN pour les utilisateurs distants. Là aussi, c’est stable. Le débit en VPN reste largement suffisant pour du télétravail classique (bureautique, accès fichiers, RDP). On ne s’attend pas à saturer du gigabit en VPN avec ce type d’appareil, mais pour une PME, ça fait largement le job. Les tunnels se reconnectent bien après une coupure, pas besoin de bidouiller toutes les cinq minutes.

Un point pratique : comme le boîtier est fanless, il chauffe un peu quand on le pousse, mais rien d’alarmant. Dans une baie un minimum ventilée, ça ne pose pas de souci. Je n’ai pas constaté de baisse de perfs liée à la température. En résumé, si tu cherches un firewall qui ne s’écroule pas dès que tu actives un peu de sécurité avancée, celui‑là est franchement pas mal. Il faut juste garder en tête que les perfs UTM dépendent aussi des signatures à jour, donc de la licence.

Sur le papier, l’USGFLEX100H est vendu comme un firewall « business class » pour jusqu’à 50 utilisateurs. Honnêtement, avec les perfs annoncées (3 Gbps en SPI, 750 Mbps en UTM et VPN), tu peux clairement l’utiliser dans une PME qui a une bonne fibre et pas mal de trafic cloud. On est sur un routeur purement filaire, pas de Wi‑Fi intégré, donc il faut prévoir des points d’accès à côté si tu veux couvrir les bureaux. Ça, certains vont aimer (meilleur contrôle, meilleure couverture), d’autres vont râler parce qu’il faut rajouter du matos.

Ce qui est inclus de base : 1 an de pack sécurité UTM « Gold », avec anti‑malware, filtrage web, sandboxing, IPS, etc. Pendant cette première année, tu as un niveau de protection plutôt complet, avec des signatures à jour et une vraie inspection du trafic. Après, il faudra payer pour prolonger, sinon tu reviens à un firewall plus classique, sans toute la partie « intelligente » qui analyse ce qui se passe. Concrètement, si tu prends ce genre d’appareil, il faut déjà te dire que tu signes pour un abonnement annuel, sinon tu perds la moitié de l’intérêt.

La gestion peut se faire soit en local (interface web classique), soit via Nebula Cloud. Nebula te permet de gérer plusieurs sites, plusieurs équipements Zyxel, d’avoir une vue centralisée, etc. Dans mon cas, je l’ai testé d’abord en local, puis basculé sur Nebula pour voir la différence. En local, tu as tout ce qu’il faut : firewall, VPN, VLAN, logs, etc. Via Nebula, c’est plus agréable pour tout ce qui est monitoring, mais tu dépends d’un compte et d’un accès Internet pour l’administration. À toi de voir ce que tu préfères.

Au niveau des ports, la fiche Amazon est un peu confuse, mais en réalité tu as plusieurs ports GbE configurables (WAN/LAN/DMZ). C’est assez souple pour segmenter ton réseau : par exemple un VLAN pour les invités, un pour les serveurs, un pour la prod, etc. Ce n’est pas un switch managé complet, mais pour une petite structure, ça suffit largement. Globalement, l’appareil est pensé pour une PME qui veut un peu professionnaliser son réseau sans partir directement sur du Cisco ou du Fortinet plus cher et parfois plus lourd à administrer.

Sur la partie « efficacité » en cybersécurité, c’est là que le Zyxel montre clairement qu’il vise les pros. Avec le pack UTM d’un an, tu as tout un tas de briques : anti‑malware, filtrage web, IPS/IDP, sandboxing, contrôle d’applications, etc. Concrètement, ça permet de bloquer des sites pourris, des tentatives d’attaque basiques, et de surveiller un peu ce qui sort et entre sur le réseau. Pour une petite PME qui n’a pas d’équipe sécu dédiée, c’est déjà pas mal. Tu peux définir des politiques par groupe d’utilisateurs ou par VLAN, genre : les invités ont juste accès au web, les admins ont plus de libertés, etc.

Dans mon cas, j’ai activé le filtrage web avec des catégories assez strictes pour les postes bureautiques, plus quelques règles IPS de base. On voit assez vite dans les logs que des choses sont bloquées (tentatives de scan, sites douteux, fichiers suspects). Ce n’est pas magique, ça ne remplace pas des bonnes pratiques ni un antivirus sur les postes, mais ça ajoute une couche de protection qui manquait clairement avec un simple routeur grand public. Les alertes sont assez détaillées, parfois même un peu trop : il faut prendre le temps de filtrer ce qui est vraiment important.

Le gros point à avoir en tête, c’est la dépendance à la licence. Tant que le pack UTM est actif, tu as ces protections avancées. Une fois l’année passée, si tu ne renouvelles pas, tu gardes le firewall de base (règles, NAT, VPN, VLAN), mais tu perds tout ce qui fait la différence par rapport à un routeur plus simple. Du coup, le coût total sur 3–5 ans n’est pas juste le prix du boîtier, mais boîtier + licences annuelles. Pour une boîte, ça peut passer dans le budget, mais pour un usage perso ou une petite asso, ça pique un peu.

Globalement, niveau efficacité, je dirais que ça fait bien le job tant que tu joues le jeu des mises à jour et des licences. La partie Nebula Pro ajoute aussi des infos et des rapports plus lisibles, ce qui est pratique pour suivre un peu ce qui se passe sans passer sa vie dans les logs bruts. Mais encore une fois, on revient à la même chose : c’est un produit pensé pour être utilisé avec des abonnements, pas juste acheté une fois pour toutes et oublié.