🛡️ Fortinet — Guide Général Ultra‑Dense (Security Fabric, FortiGate, SASE, SOC, OT)

0 — Security Fabric : l’idée centrale

Intégration + visibilité + partage de contexte + réponse coordonnée.

Ce que le Fabric apporte

Visibilité unifiée (réseau, endpoints, identités, apps, cloud)
Partage de contexte (IOC, réputation, posture, user)
Réponse coordonnée (automations : block/quarantine/ticket)
Ops : config centralisée + logs centralisés + audit

Modèle mental : pipeline sécurité

Collecter (logs/télémétrie)
Détecter (IPS/EDR/SIEM)
Décider (playbook / analyste)
Agir (blocage/quarantaine)
Tracer (reporting) & améliorer

Message clé : Fortinet ≠ “un appliance”, c’est une plateforme. La valeur vient de l’intégration.

Composants typiques

Domaine	Exemples	But
Edge/WAN	FortiGate, Secure SD‑WAN	NGFW + steering
Ops	FortiManager / FortiAnalyzer	Config + logs
Remote	FortiClient/EMS, FortiSASE	ZTNA/VPN
SOC	FortiSIEM / FortiSOAR	Détection + playbooks
LAN	FortiSwitch/AP + FortiNAC	Campus sécurisé

Gouvernance (sinon ça échoue)

Conventions de nommage + tags
RBAC strict
Change management
Logs centralisés + rétention

1 — FortiOS : concepts incontournables

FortiOS est la “grammaire” commune : sessions, policies, NAT, routing, inspection.

Stateful : ce que ça implique

Session table = vérité (état, NAT, timeouts)
Asymétrie de routage = sessions cassées
Debug pro : preuve par logs/flow/sniffer

get system performance status
                            diag sys session stat
                            diag sys session list

Pipeline paquet (mental)

Entrée interface/zone
Session existante ?
Routing + policy top‑down
NAT (VIP/pool/central NAT)
Inspection (IPS/AV/Web/DNS/App/SSL)
Logs + forward

Réflexe : retrouver le policyid réel via debug flow.

Flow‑based

Streaming, throughput, compat.
Souvent recommandé sur segmentation interne.

Proxy‑based

Contrôle applicatif plus riche sur certains protocoles.
Plus intrusif : tuning requis.

Pattern : users Internet (proxy/SSL) vs DC (flow + IPS ciblé).

VDOM

Multi‑tenant : isolation policies/objects/routing/admins.
Inter‑VDOM links + policies dédiées.

HA

Active‑Passive (simple) / Active‑Active (complexe).
Heartbeat + tests, éviter split‑brain.

get system ha status
                            diagnose sys ha checksum show

2 — FortiGate (NGFW/UTM) : ce qu’il faut savoir

Le cœur historique : firewall + inspection + segmentation + VPN + (souvent) SD‑WAN.

Méthode de config (celle qui marche)

Objets (addresses/services/groups, FQDN/ISDB)
Zones (LAN_USERS / LAN_SRV / DMZ / WAN)
Policies top‑down
NAT (VIP + SNAT/central NAT)
Inspection (IPS/AV/Web/DNS/App/SSL)
Logs (deny + rules sensibles)

Design patterns

Edge : NAT + SSL inspection ciblée + web/app control
Est‑ouest : IPS ciblé + micro‑seg
DMZ : VIP + WAF si besoin

Pièges : ordre des rules, hairpin NAT, asymétrie, SSL pinning, sizing SSL.

Debug incident (socle)

get router info routing-table all
                        diag debug flow filter clear
                        diag debug flow filter addr 10.0.0.10
                        diag debug flow trace start 50
                        diag debug enable
                        diag sniffer packet any "host 10.0.0.10" 4 0 a

Checklist “ça ne passe pas”

Trafic arrive ?
Bonne route ?
Bonne policy ? (policyid)
NAT correct ?
Inspection drop ?
Retour symétrique ?

3 — Secure SD‑WAN : convergence réseau + sécurité

Multi‑liens, SLA, steering applicatif — sans perdre le contrôle sécurité.

Concepts

Members : liens WAN
Health checks : latence/jitter/perte
SLA : seuils
Steering rules : choix du lien

Règles type

VoIP/Teams : meilleur jitter
Backups : lien moins cher
Critique : préférence + failover

Checklist prod

2–3 health checks pertinents
SLA réalistes
Steering par usage
Tests : coupure/dégradation
Doc “route effective”

diagnose sys sdwan health-check
                        diagnose firewall proute list

4 — SASE / SSE / ZTNA

FortiSASE + FortiClient : web/cloud/private access avec politiques cohérentes.

Objectifs

Secure Internet Access (SWG, RBI selon options)
Secure SaaS (CASB/SSPM selon options)
Secure Private Access (ZTNA)

ZTNA (principe)

Accès par application (micro‑seg) au lieu d’un VPN “plat”.
Décision : identité + posture + contexte.

Message clé : Zero Trust = “verify explicitly” + logs.

Déploiement progressif

Inventorier apps
Activer agent + posture (EMS)
Pilote
Basculer app par app
Mesurer (DEM) et ajuster

Risques

Posture trop stricte → blocages
DNS/split‑tunnel → surprises

5 — Endpoint : FortiClient & EMS

Agent unifié : VPN + ZTNA + posture + télémétrie.

Ce que l’agent apporte

VPN (SSL/IPsec) + Universal ZTNA
Posture device (compliance)
Télémétrie vers le Fabric

EMS

Gestion centralisée endpoints
Politiques par groupe/posture

Patterns efficaces

Posture “observe” → “enforce”
Standardiser versions agent
Logs vers FAZ/SIEM

Tip : documente plan d’exceptions (BYOD/legacy).

6 — FortiManager (FMG)

Industrialiser la config (multi‑sites, multi‑firewalls).

Concepts

ADOM (segmentation)
Policy packages
Objects DB partagée
Templates (interfaces/routing/VPN)

Workflow

Staging
Diff/validation
Install (change)
Rollback

Gouvernance

RBAC strict
Nommage/tags
Limiter overrides locaux

Analogie : FMG = GitOps des policies si discipline.

7 — FortiAnalyzer (FAZ)

Logs centralisés, reporting, forensic, recherche rapide.

À logger

Traffic (accept/deny)
Event (admin, HA, VPN)
Security (IPS/AV/Web/DNS/SSL)

Sizing

EPS + burst
Rétention (hot/warm/cold)

Valeur

Investigations rapides
Rapports conformité
Base SOC

Tip : “deny log” en bas = meilleur outil debug.

8 — SOC : FortiSIEM & FortiSOAR

SIEM = détection/corrélation. SOAR = playbooks/réponse.

FortiSIEM

Collecte multi‑sources
Corrélation & anomalies
Use‑cases : brute force, IOC, exfil

FortiSOAR

Playbooks : block, quarantine, ticket
Connecteurs Fortinet + tiers

Pragmatisme

Top 10 use‑cases
Qualité logs
Runbooks
Playbooks simples puis enrichir

Erreur : trop de bruit → SOC inutile.

9 — FortiGuard (services sécurité)

Threat intel + signatures : IPS/AV/Web categories/reputation/ISDB.

Services typiques

IPS
AV/anti‑malware
Web filtering
Reputation
ISDB

Sans subscriptions : tu perds une grosse partie de la valeur.

Stratégie d’activation

IPS : profils adaptés
Web : sur flux users
SSL : inspection ciblée + exceptions

Hygiène

Surveiller expirations licences
Vérifier updates

10 — FortiWeb (WAF)

Protéger apps web/APIs : OWASP, bots, virtual patching.

Menaces

Injection/XSS/auth flaws
Credential stuffing
Abus API

Déploiement

Reverse proxy
Monitor → block

Checklist prod

Baselining
Activation progressive
Exceptions documentées
Logs SIEM
Tests réguliers

11 — FortiMail (email security)

Email : phishing/spoofing/malware. Protéger + authentifier + analyser.

Essentiels

Anti‑phish + URL protection
Anti‑spam
Sandboxing pièces jointes

Hygiène domaine

SPF/DKIM/DMARC

Runbook anti‑phish

Détecter
Rechercher IOCs
Purger + bloquer
Informer

Tip : intègre email → SOAR (purge auto).

12 — FortiNAC

Voir, classifier, contrôler l’accès (BYOD, IoT), segmentation dynamique.

Use‑cases

Inventaire/profilage
Quarantaine non‑conformes
Invités/onboarding

Pourquoi c’est dur

Beaucoup d’exceptions
Coordination NetOps/SecOps

Approche safe

Monitor only
Catégoriser
Enforce progressivement
Intégrer au Fabric

13 — Identity / MFA / accès admin

MFA partout, RBAC strict, bastions, éventuellement PAM selon maturité.

Composants

FortiAuthenticator : AAA
FortiToken : MFA
PAM : accès privilégiés (si besoin)

Hardening admin

Trusted hosts + MFA
Pas d’admin depuis WAN

Checklist

MFA VPN/admin
RBAC
Logs admin changes
Rotation secrets/certs

Erreur : comptes admin partagés.

14 — FortiSwitch & FortiAP (campus)

LAN/Wi‑Fi intégrés : segmentation, visibilité, policies cohérentes.

Pourquoi intégrer le LAN

Mouvements latéraux
IoT/Invités
Segmentation fine

Patterns

VLAN par rôle
SSID par profil

Ops

Templates par site
Monitoring port flaps / rogue
Logs centralisés

15 — Cloud security / CNAPP

Posture cloud, vulnérabilités, exposition, conformité, remédiation.

Couverture

Misconfigs
Vulns images/VM/containers
Chemins d’attaque

Approche

Baselines
Remédiation ticketing/CI

Intégration SOC

Alertes cloud → SIEM/SOAR
Asset inventory : owner/criticité

Tip : pas d’owner = pas de correction.

16 — OT / industriel

Disponibilité + legacy + segmentation. Monitor first, enforce progressivement.

Contraintes

Legacy non patchable
Maintenance rare
Disponibilité prioritaire

Patterns

Zones/conduits
DMZ industrielle

Méthode safe

Cartographier flux
Segmenter
Enforce par étapes + rollback

Erreur : inspection agressive sans tests.

17 — Automation & API (NetDevOps)

Backups, audits, déploiements, réponses incident — avec garde‑fous.

Automatiser quoi ?

Backups planifiés
Audit policies (ANY‑ANY, shadow rules)
Provisioning (templates)
Réponse (block/quarantine)

Stitches

Trigger → action (webhook/script)

Garde‑fous

RBAC API + IP restrictions
Lab/staging/prod
Diff/validation + rollback

Tip : commence “read‑only” (audits) avant “write”.

18 — Licensing & lifecycle

Compat, subscriptions, upgrades : gérés comme un changement prod critique.

Licences

Support : firmware + RMA
FortiGuard : services sécurité
FMG/FAZ : capacité/édition

Compat

FortiOS ↔ FMG/FAZ
Versions agent endpoints

Upgrade safe

Release notes + known issues
Backup + snapshot
HA : standby → failover → autre nœud
Smoke tests (VPN/WAN/logs)

Erreur : upgrade sans rollback.

19 — Blueprints d’architecture (synthèse)

6 scénarios : Edge, Branch, Remote, DC, AppSec, SOC.

1) Edge Internet

FortiGate HA, zones LAN/DMZ/WAN
VIP + logs + IPS + SSL ciblée

2) Branch SD‑WAN

2 liens + SLA + overlay vers hubs

3) Remote ZTNA

FortiClient/EMS ou FortiSASE

4) DC est‑ouest

Micro‑seg + IPS ciblé

5) AppSec

FortiWeb devant apps/APIs

6) SOC pipeline

FAZ → SIEM → SOAR → actions

Tip entretien : “flux + contrôles + logs + runbooks”.

🛡️ Fortinet — Guide général ultra‑dense (2026)

Security Fabric (vue d’ensemble)

FortiOS : le socle

FortiGate (NGFW/UTM)

Secure SD‑WAN

SASE / SSE / ZTNA

Endpoint : FortiClient & EMS

Ops réseau : FortiManager

Logs : FortiAnalyzer

SOC : SIEM & SOAR

FortiGuard

WAF : FortiWeb

Email : FortiMail

NAC : FortiNAC

Identity / MFA / PAM

LAN Secure : Switch & Wi‑Fi

Cloud security (CNAPP)

OT / industriel

Automation & API

Licensing & lifecycle

Blueprints d’architecture