Cisco a annoncé la fin de vie des anciennes UGS Umbrella le 18 juin 2025. La fin de la vente a eu lieu le 30 septembre 2025. Les versions de maintenance logicielle s’arrêteront le 30 septembre 2026. Si vous utilisez encore Umbrella, vous avez environ quatre mois pour effectuer une migration, qu’il s’agisse de passer à Cisco Secure Access ou d’évaluer une plateforme SASE neutre qui consolide la sécurité DNS, la passerelle web et l’accès au réseau en une seule licence.
La gamme de produits Umbrella de Cisco remonte à l’acquisition d’OpenDNS en 2015. Pendant une décennie, elle a servi d’outil de sécurité de la couche DNS par défaut pour les équipes informatiques du marché intermédiaire à travers l’Europe. La dépréciation affecte toutes les anciennes UGS d’Umbrella, des licences d’itinérance DNS uniquement aux packages complets de passerelles Internet sécurisées (SIG). La cible de migration prévue par Cisco est sa plateforme Cisco Secure Access, mais ce n’est pas la seule voie disponible et, pour de nombreuses organisations, ce n’est pas non plus la plus simple.
Ce billet couvre le calendrier exact, les UGS concernées, ce que Cisco Secure Access remplace et ne remplace pas, et les trois voies de migration réalistes qui s’offrent à vous dès à présent.
Quand exactement Cisco Umbrella arrive-t-il en fin de vie ?
Cisco a publié le bulletin EOL15688 le 18 juin 2025. Les UGS Umbrella héritées sont en fin de vente depuis le 30 septembre 2025. Aucune nouvelle commande ou renouvellement d’abonnement n’est possible depuis cette date. La maintenance du logiciel, y compris les corrections de bogues et les correctifs, se termine le 30 septembre 2026. Les abonnements existants avec des contrats actifs continuent de bénéficier d’une assistance TAC jusqu’au 30 septembre 2030, mais sans nouvelles versions logicielles après septembre 2026, le produit entre dans une phase de gel des fonctionnalités qui le laisse exposé aux menaces émergentes.
| Date | Étape importante | Ce que cela signifie pour vous |
|---|---|---|
| 18 juin 2025 | Annonce de fin de vie | Cisco publie le bulletin de fin de vie EOL15688 |
| 30 septembre 2025 | Fin de la vente et du renouvellement | Dernier jour pour commander ou renouveler les UGS de l’ancien système Umbrella |
| 30 septembre 2025 | Dernière date d’expédition | Date limite d’exécution de l’abonnement |
| 30 septembre 2026 | Fin de la maintenance du logiciel | Plus de correctifs, de corrections de bogues ou de mises à jour de fonctionnalités. |
| 30 septembre 2030 | Dernière date de support | Fin du support TAC ; le produit devient officiellement obsolète |
L’écart entre la fin de la vente (septembre 2025) et la fin de la maintenance des logiciels (septembre 2026) est d’exactement douze mois. Pour les équipes chargées des achats dans les entreprises de taille moyenne, cette fenêtre s’est déjà réduite à quatre mois. Si votre abonnement actuel à Umbrella dépasse septembre 2026, vous utilisez un logiciel qui ne reçoit pas de correctifs de sécurité.
Quels sont les UGS du parapluie concernés ?
L’annonce de fin de vie couvre l’ensemble du spectre de l’emballage Umbrella. Le bulletin de Cisco énumère plus de 30 numéros de pièces individuels, mais ceux-ci sont regroupés en cinq catégories fonctionnelles.
| Catégorie d’UGS héritée | Exemples de numéros de pièces | UGS de remplacement de Cisco |
|---|---|---|
| Itinérance du parapluie | UMB-ROAM | Cisco Umbrella DNS Security Essentials (UMB-DNS-ESS-K9) |
| Parapluie professionnel | UMB-PROFESSIONNEL | Cisco Umbrella DNS Security Essentials (en anglais) |
| Branche parapluie (ISR/RV) | UMB-BRAN-1100, UMB-BRAN-4321, UMB-BRAN-RV | Cisco Umbrella DNS Security Essentials (en anglais) |
| Umbrella Insights / Plate-forme (SP) | UMB-INSIGHTS-K9-SP, UMB-PLATFORM-K9-SP | Avantage de la sécurité DNS de Cisco Umbrella pour les PS |
| Sécurité de l’informatique en nuage (Umbrella Cloud) | UMBRELLA-SUB, UMBRELLA-ENT-SUB | Abonnement à Cisco Umbrella Security (UMB-SEC-SUB) |
Deux autres voies de fin de vie se déroulent en parallèle. Le logiciel Umbrella Roaming Client est arrivé en fin de vie le 2 avril 2025, forçant la migration vers Cisco Secure Client (le successeur d’AnyConnect). Le module complémentaire Umbrella Reserved IP a atteint sa fin de vie le 3 janvier 2025.
Les organisations qui utilisent Umbrella DNS Security Essentials ou Advantage dans le cadre de la structure SKU actuelle (non héritée) ne sont pas directement concernées par ce bulletin. Mais Cisco oriente l’ensemble de la base installée d’Umbrella vers l’emballage Cisco Secure Access, et la feuille de route des fonctionnalités pour les UGS Umbrella autonomes diminue en faveur de la plate-forme Secure Access.
Ce que Cisco Secure Access offre (et ce qu’il n’offre pas)
Cisco présente Secure Access comme le successeur d’Umbrella et d’AnyConnect. Il combine la sécurité DNS, Secure Web Gateway, ZTNA et les fonctionnalités de pare-feu dans le nuage en une seule plateforme fournie par l’infrastructure Security Cloud de Cisco. Sur le papier, cela semble être un chemin de mise à niveau propre. En pratique, la transition introduit une complexité que les équipes du marché intermédiaire doivent évaluer avec soin.
Ce qui permet de passer directement d’Umbrella à Secure Access :
La sécurité de la couche DNS est reprise sous le nom de « DNS Defense » dans Secure Access. Le filtrage Web, l’inspection des logiciels malveillants et la catégorisation du contenu sont transférés au composant SWG. L’intelligence des menaces Talos reste le moteur de détection dans les deux produits.
Ce qui change de manière significative :
Le proxy intelligent, une fonction qui achemine sélectivement le trafic suspect par le biais d’un proxy en nuage sans tout acheminer par proxy, n’existe pas sous la même forme dans Secure Access. Le nouveau modèle proxie l’ensemble du trafic web via une pile SWG complète. Pour les organisations qui s’appuyaient sur l’approche DNS légère des niveaux inférieurs d’Umbrella, il s’agit d’un changement architectural fondamental qui affecte la latence, la gestion des certificats et la configuration des points d’extrémité.
La console de gestion passe du tableau de bord Umbrella au Security Cloud Control. Les structures des politiques, la présentation des rapports et les points d’extrémité de l’API sont tous différents. Les pages de blocage personnalisées construites pour le modèle de redirection DNS Umbrella doivent être reconstruites pour une architecture basée sur le proxy où le blocage se produit en ligne plutôt qu’au niveau de la couche de résolution DNS.
ZTNA dans Secure Access nécessite Cisco Secure Client sur chaque terminal géré. Les organisations qui utilisaient auparavant Umbrella avec un déploiement DNS uniquement (pointez vos résolveurs et partez) sont maintenant confrontées à un déploiement d’agents par appareil.
Ce qui nécessite des licences Cisco supplémentaires :
La couverture complète de SASE au sein de l’écosystème Cisco nécessite encore l’assemblage de plusieurs produits. Cisco Duo assure le MFA et la vérification de l’identité. Cisco Meraki ou Catalyst gère le SD-WAN pour la connectivité multi-sites. ThousandEyes assure la surveillance de l’expérience numérique. Chaque produit possède sa propre licence, sa propre interface de gestion et son propre cycle de renouvellement. Une organisation de 200 utilisateurs visant la couverture SASE qu’une plateforme unifiée fournit de bout en bout pourrait gérer quatre à cinq abonnements Cisco distincts.
Trois voies de migration réalistes
Voie 1 : migrer vers Cisco Secure Access
C’est la voie par défaut que Cisco préconise, et elle présente de réels avantages pour les organisations profondément ancrées dans l’écosystème Cisco. Si vous utilisez déjà des commutateurs Meraki, Duo pour l’identité et Catalyst pour le SD-WAN, Secure Access s’intègre dans cette pile sans introduire une nouvelle relation avec un fournisseur.
Quand cela fonctionne bien : Les grands environnements natifs de Cisco avec un personnel de sécurité dédié et des EA (Enterprise Agreements) pluriannuels de Cisco qui regroupent les licences.
Là où cela crée des frictions : Les organisations du marché intermédiaire qui utilisaient Umbrella comme couche de sécurité DNS autonome. Passer d’un outil DNS léger à une plateforme SSE complète signifie plus de complexité, plus de points de terminaison à gérer et plus de licences à coordonner. La réalité multi-console de Duo plus Security Cloud Control plus Meraki Dashboard ne simplifie pas les opérations pour une équipe informatique de trois personnes.
Voie 2 : consolidation dans une plateforme SASE d’un seul fournisseur
Pour les organisations qui considèrent la fin de vie d’Umbrella comme un déclencheur pour repenser entièrement leur architecture de sécurité, les plates-formes SASE à fournisseur unique offrent le champ de remplacement le plus large. Au lieu d’assembler la sécurité DNS, la passerelle web, le pare-feu, le ZTNA et le SD-WAN à partir de produits distincts, une plateforme unifiée les fournit tous à partir d’une seule console et sous une seule licence.
Plusieurs fournisseurs desservent ce marché. Zscaler propose une pile SSE mature avec une portée mondiale, mais une complexité de niveau entreprise et une tarification opaque. Cloudflare One s’appuie sur l’un des plus grands réseaux de périphérie au monde et offre un point d’entrée freemium, mais la localisation des données nécessite des contrats d’entreprise. Netskope est le leader en matière de CASB et de DLP, mais il cible les déploiements des grandes entreprises. Jimber propose une plateforme SASE européenne conçue pour des organisations de 50 à 400 utilisateurs, avec une tarification transparente par utilisateur, la souveraineté des données de l’UE et l’isolation des appareils sans agent grâce au matériel NIAC.
Quand cela fonctionne bien : Les organisations qui souhaitent éliminer la prolifération des outils, réduire le nombre de consoles de gestion et aligner leur architecture de sécurité sur un cadre clair d’évaluation des fournisseurs.
Là où cela crée des frictions : Les organisations liées par des contrats pluriannuels avec Cisco pour les réseaux et les identités peuvent se heurter à des obstacles contractuels qui les empêchent de changer complètement de fournisseur.
Voie 3 : approche hybride
Certaines organisations divisent la migration : la sécurité DNS avec un fournisseur, un SASE ou un SSE plus large avec un autre. Cette solution est judicieuse lorsque des contraintes contractuelles imposent une transition progressive ou lorsqu’une exigence de conformité spécifique (telle que la résolution DNS locale pour la souveraineté des données) requiert un fournisseur spécialisé.
Quand cela fonctionne bien : Environnements réglementés où le filtrage DNS doit rester dans une juridiction spécifique, ou organisations à mi-chemin d’une EA Cisco qui ne peut pas sortir proprement.
Risques à gérer : Deux plans de gestion, deux langages de politique, deux flux de travail d’enquête sur les incidents. Les frais généraux d’exploitation d’une approche hybride peuvent dépasser le coût de l’une ou l’autre plateforme prise individuellement, en particulier pour les équipes informatiques réduites.
Les décisions de migration qui prennent les équipes au dépourvu
C’est le choix du fournisseur qui retient le plus l’attention, mais ce sont les détails opérationnels de la migration elle-même qui ont tendance à causer le plus de perturbations. Cinq domaines surprennent systématiquement les équipes informatiques qui quittent Umbrella.
Les pages de bloc personnalisées ne sont pas portables. Les pages de blocage à redirection DNS d’Umbrella utilisent un mécanisme de livraison fondamentalement différent de celui des pages de blocage SWG basées sur le proxy. Si vous avez créé des pages de blocage de marque avec des instructions pour le service d’assistance et des explications sur la politique, elles doivent être reconstruites à partir de zéro, quelle que soit la plate-forme que vous choisissez. Prévoyez un budget de deux à trois jours pour cette opération.
Étudier les possibilités d’intégration de l’API. Les organisations qui ont automatisé les recherches de renseignements sur les menaces ou l’enrichissement des incidents par le biais de l’API Umbrella Investigate sont confrontées à un effort de réarchitecture. Le Security Cloud de Cisco utilise l’authentification OAuth 2.0 et une structure de point final différente. Les intégrations SIEM tierces qui s’appuient sur Investigate doivent être mises à jour.
La migration du client itinérant vers le client sécurisé est plus lourde que prévu. Cisco Secure Client est un agent plus grand et plus gourmand en ressources que l’original Umbrella Roaming Client. Les équipes informatiques sur les sites Reddit r/sysadmin et r/Cisco signalent des conflits avec des agents DLP tiers et des configurations VPN. Pour les organisations qui ne disposent pas d’un MDM centralisé, l’installation du nouveau client sur chaque point de terminaison représente un projet important.
Le passage au DNS nécessite un séquençage minutieux. Le passage des résolveurs DNS des adresses anycast d’Umbrella à un nouveau fournisseur affecte simultanément tous les appareils du réseau. Un basculement par étapes, en commençant par un site ou un groupe d’utilisateurs, réduit le rayon d’action si la parité des politiques n’est pas parfaite dès le premier jour.
Les connecteurs SAML SSO et Active Directory doivent être reconfigurés. L’intégration de l’identité entre Umbrella et votre IdP n’est pas automatiquement transférée. Attendez-vous à reconstruire les relations de confiance SAML et à reconfigurer les Appliances Virtuelles qui gèrent la synchronisation AD.
Les plateformes conçues dès le départ comme des SASE à fournisseur unique, y compris Jimber, évitent certains de ces problèmes de par leur conception. Un moteur de politique unique signifie un ensemble de modèles de pages de bloc, une structure API et une intégration d’identité, plutôt que des configurations distinctes pour chaque produit Cisco.
Ce que cela signifie pour votre cycle de passation de marchés 2026
Avec quatre mois avant la date limite de maintenance du logiciel, le délai d’approvisionnement est réduit. Les entreprises de taille moyenne devraient travailler à rebours à partir du 30 septembre 2026 et prévoir trois à six mois pour une migration typique comprenant la validation du concept, la migration des politiques, le déploiement des points d’extrémité et la validation.
Cela signifie que l’évaluation doit déjà être en cours. Si vous n’avez pas encore commencé, la séquence pratique est la suivante :
Jusqu’en juin 2026 : effectuez une validation de principe avec deux ou trois plates-formes présélectionnées. Incluez Cisco Secure Access si vous êtes investi dans l’écosystème Cisco. Incluez au moins une alternative neutre par rapport au fournisseur pour faire une comparaison. Jimber propose un PoC qui couvre CASB, SWG et ZTNA en une seule évaluation.
Juin à août 2026 : prendre la décision d’achat et commencer le déploiement progressif. Commencez par les utilisateurs distants (ce sont eux qui ressentent le plus la friction du VPN) et une succursale.
Septembre 2026 : Achever la migration avant la date limite de maintenance du logiciel. Mettez hors service les configurations du résolveur DNS Umbrella.
Trois questions à poser à chaque fournisseur figurant sur votre liste de sélection :
- De combien de consoles de gestion votre plateforme a-t-elle besoin pour assurer la sécurité DNS, SWG, ZTNA et SD-WAN ?
- Quel est le coût par utilisateur, y compris tous les modules, sans supplément de bande passante ?
- Sous quelle juridiction l’inspection du trafic a-t-elle lieu et êtes-vous soumis à la loi américaine CLOUD Act ?
Pour les organisations européennes qui évaluent la souveraineté en même temps que la sécurité, cette troisième question détermine de plus en plus la liste des candidats retenus.
Questions fréquemment posées
Mes contrats Cisco Umbrella existants seront-ils honorés jusqu’à leur expiration ?
Les abonnements actifs avec des contrats valides continuent à bénéficier du support TAC jusqu’au 30 septembre 2030, conformément au bulletin EOL15688 de Cisco. Toutefois, aucune nouvelle version de maintenance logicielle ne sera publiée après le 30 septembre 2026. Vous conservez l’assistance, mais pas les correctifs.
Cisco Secure Access comprend-il tout ce que faisait Umbrella ?
Les fonctions principales de filtrage DNS, de sécurité web et de renseignement sur les menaces sont maintenues. La fonction Intelligent Proxy n’existe pas sous la même forme. Les pages de blocage personnalisées, les intégrations API et la structure de rapport du tableau de bord Umbrella changent toutes. Une démonstration de faisabilité est le seul moyen fiable de confirmer la parité fonctionnelle pour votre configuration spécifique.
Pendant combien de temps puis-je continuer à utiliser l’Umbrella patrimoniale après septembre 2026 ?
Le logiciel continuera à fonctionner, mais sans correctifs ni versions de maintenance. Cisco ne corrigera pas les bogues et ne s’attaquera pas aux nouvelles vulnérabilités. L’exécution d’un logiciel de sécurité non corrigé après la date de fin de maintenance crée un risque qui augmente chaque mois.
Quels sont les coûts réels du passage d’Umbrella à Cisco Secure Access ?
Cisco propose un prix de migration qui vise à correspondre aux coûts d’abonnement existants à Umbrella. Les coûts cachés se situent dans les licences adjacentes nécessaires pour une couverture complète : Duo pour l’identité, Meraki ou Catalyst pour le SD-WAN et ThousandEyes pour la surveillance. Une comparaison complète des passerelles Web sécurisées aide à définir ce qu’un remplacement complet de la sécurité Web exige réellement.
Puis-je migrer vers une plateforme SASE autre que celle de Cisco ?
Oui. Umbrella utilise le transfert DNS standard et, aux niveaux supérieurs, les tunnels IPsec et les configurations de proxy. Il s’agit d’intégrations au niveau du protocole, et non d’un verrouillage propriétaire. La migration vers n’importe quelle plateforme SASE ou SSE implique de repointer le DNS, de reconfigurer les tunnels, d’enregistrer un nouvel agent sur les terminaux et de reconstruire les intégrations des fournisseurs d’identité.
Mes intégrations API Umbrella fonctionneront-elles avec Cisco Secure Access ?
Pas directement. Les API Umbrella Reporting, Management et Investigate utilisent des structures d’authentification et de point de terminaison différentes de celles des API Security Cloud. Prévoyez un effort de refonte si vous avez des flux de travail automatisés qui dépendent de ces API.
Qu’advient-il de mes données de renseignement sur les menaces d’Umbrella Investigate ?
Les capacités d’investigation sont intégrées dans la plateforme plus large de Cisco Security Cloud. Les données d’interrogation historiques et les flux de renseignements sont transférés vers la nouvelle plateforme, mais la méthode d’accès à l’API change. Si vous utilisez Investigate pour l’enrichissement automatisé dans votre SIEM, cette intégration doit être retravaillée.
Pour une comparaison détaillée de Cisco Umbrella par rapport à une approche SASE unifiée, lisez l’analyse complète de Cisco Umbrella contre Jimber. Ou si vous voulez voir à quoi ressemble une migration vers une console unique dans la pratique, réservez une démonstration et apportez votre configuration Umbrella.
