Le choix d’une plateforme SASE est l’une des décisions d’infrastructure les plus importantes que prend une équipe informatique de taille moyenne. Si vous choisissez une plateforme conçue pour une échelle différente, vous passerez des années à gérer une complexité dont votre équipe n’a jamais eu besoin. Si vous choisissez une plateforme qui n’offre pas une sécurité suffisante, vous serez contraint d’ajouter des produits ponctuels en moins d’un an.
Palo Alto Prisma Access et Jimber représentent deux réponses fondamentalement différentes à la même question. Prisma Access apporte l’héritage des pare-feu d’entreprise dans le nuage, soutenu par une position de leader Gartner et plus de 100 points de présence dans le monde. Jimber est une plateforme SASE belge conçue dès le départ pour les organisations européennes de 50 à 400 utilisateurs. Cette comparaison analyse l’architecture, le prix, la couverture OT et les implications en matière de conformité afin que vous puissiez évaluer les deux solutions en fonction des besoins réels de votre équipe. Si vous avez déjà lu notre comparaison de Zscaler ou de Cato Networks, cet article complète le tableau des trois plus grands fournisseurs de SASE d’entreprise.
Palo Alto Prisma Access vs Jimber : quel SASE pour le mid-market ?
Prisma Access exécute PAN-OS dans des points de présence hébergés dans le nuage, offrant des capacités de pare-feu de niveau entreprise à partir du nuage. Jimber est une plateforme SASE native dans le nuage conçue pour les organisations de 50 à 400 utilisateurs. La différence fondamentale : Prisma Access étend une architecture de pare-feu dans le cloud, tandis que Jimber a été conçu dès le départ en mode cloud, avec une simplicité radicale comme principe de conception. Pour les équipes du mid-market, cette distinction détermine tout, des délais de déploiement aux frais de gestion quotidiens.
| Critère | Palo Alto Prisma Access | Jimber |
|---|---|---|
| Architecture | Pare-feu d’abord (PAN-OS dans le nuage) | SASE natif dans le nuage |
| Marché cible | Entreprise (plus de 1 000 postes typiques) | Marché intermédiaire (50-400 utilisateurs) |
| Modèle de tarification | Basé sur le crédit, devis requis | Fixe par utilisateur, transparent |
| Durée de déploiement | Semaines à mois | Jours |
| Support sans agent/OT | Agent GlobalProtect requis ; sans client limité à HTTP/HTTPS | Isolation en ligne NIAC (TCP + UDP) |
| Console de gestion | Panorama + Strata Cloud Manager | Console unique |
| Souveraineté des données | Siège aux États-Unis (application de la loi CLOUD) | Traitement des données en Belgique et dans l’UE |
| Position d’analyste | Gartner SSE Magic Quadrant Leader | Non évalué (axé sur le marché intermédiaire) |
Architecture : firewall-first vs cloud-native
Chaque point de présence Prisma Access fonctionne sous PAN-OS, le même système d’exploitation que les pare-feu physiques de Palo Alto. C’est à la fois la plus grande force de la plate-forme et sa plus grande limite pour les acheteurs du marché intermédiaire.
Le point fort est la parité des fonctionnalités. Si vous connaissez PAN-OS pour avoir géré des pare-feu Palo Alto équivalents à FortiGate sur site, le langage des politiques et la structure des règles de Prisma Access vous sembleront familiers. Le même moteur de prévention des menaces, la même identification des applications, les mêmes capacités d’inspection approfondie des paquets.
La limite est la complexité héritée. PAN-OS est un système d’exploitation de pare-feu d’entreprise. L’exécuter dans des conteneurs cloud signifie que chaque PoP est effectivement une instance de pare-feu hébergée. La mise à l’échelle se fait par l’ajout d’unités de calcul, et non par la création de microservices légers. La configuration repose toujours sur des concepts tels que les zones de sécurité, les hiérarchies de règles et les piles de modèles qui ont un sens dans un ensemble de 50 pare-feux, mais qui créent des frais généraux inutiles pour une organisation à site unique.
Cette complexité n’est pas théorique. Palo Alto propose la certification PCNSE (Palo Alto Certified Network Security Engineer) spécifiquement parce que la plateforme nécessite une expertise dédiée pour fonctionner efficacement. Les évaluateurs de Gartner Peer Insights notent systématiquement la courbe d’apprentissage abrupte, la gestion étant décrite comme « encombrante » et « pas très fluide par rapport à d’autres fournisseurs ».
Il existe un effet de second ordre que les acheteurs du marché intermédiaire négligent souvent : le marché des talents. Les ingénieurs certifiés PCNSE sont très demandés. Les entreprises disposant d’un budget dédié à la sécurité peuvent les attirer et les retenir. Une entreprise de 200 personnes en concurrence pour le même vivier de talents devra soit payer une prime, soit faire appel à des consultants, ce qui, dans les deux cas, gonfle le coût réel de fonctionnement de Prisma Access au-delà de ce que suggère le prix de la licence.
La base PAN-OS façonne également le cycle de mise à jour. Prisma Access exécutant un système d’exploitation de pare-feu complet, les mises à jour suivent les schémas traditionnels de publication de micrologiciels. Les vulnérabilités critiques de PAN-OS ont nécessité des correctifs urgents au cours des dernières années, et les équipes du marché intermédiaire doivent surveiller et répondre à ces avis, parallèlement à toutes les autres responsabilités informatiques. Une architecture native dans le nuage utilise des microservices qui peuvent être mis à jour de manière indépendante et continue, sans redémarrer les tunnels ni interrompre les sessions des utilisateurs.
La plateforme Jimber a été conçue sans cet héritage. Il n’y a pas de zones de pare-feu à configurer, pas de hiérarchies de modèles à gérer, et pas de serveurs de gestion secondaires à maintenir. Les politiques sont définies une seule fois et appliquées à tous les utilisateurs, appareils et sites à partir d’une seule console. Une équipe informatique de trois personnes peut gérer la plateforme dès le premier jour sans certification spécialisée. Les mises à jour de sécurité sont appliquées automatiquement par la plateforme, et non pas poussées sous forme de firmware que le service informatique doit programmer et tester. Pour un examen plus approfondi de la manière dont les composants de SASE fonctionnent ensemble, le guide de l’architecture de SASE sur jimber.io présente les modèles de flux de données et de déploiement.
Tarification : crédits ou par utilisateur
La tarification de Prisma Access est l’une des questions les plus fréquemment soulevées dans les évaluations indépendantes, et ce pour de bonnes raisons. La plateforme utilise un modèle basé sur la consommation où les organisations achètent des crédits ou des unités de calcul qui sont consommés en fonction des fonctionnalités activées, du nombre d’utilisateurs et de l’utilisation de la bande passante.
Pour une organisation de 200 utilisateurs, l’abonnement de base n’est que le point de départ. Les fonctionnalités essentielles que Jimber inclut en standard, telles que la prévention avancée des menaces, les modules de sécurité IoT et le Cortex Data Lake pour le stockage et l’analyse des logs, nécessitent chacune des crédits supplémentaires ou des licences distinctes. Les services professionnels pour le déploiement initial (programme QuickStart de Palo Alto) ajoutent des coûts supplémentaires. Selon des estimations indépendantes, le coût total de la première année pour un déploiement Prisma Access de 200 utilisateurs se situe entre 50 000 et 95 000 dollars, en fonction de l’ensemble des fonctionnalités et de la complexité du déploiement.
L’engagement minimum est un autre point de friction. Prisma Access exige généralement un minimum de 200 utilisateurs ou un niveau de bande passante spécifique pour les connexions au réseau à distance. Les organisations comptant 80 ou 120 utilisateurs finissent par payer pour une capacité qu’elles n’utilisent pas.
Jimber applique une tarification forfaitaire par utilisateur, sans supplément de bande passante, sans ajout d’emplacement PoP et sans licence de stockage de logs séparée. Pour une organisation de 200 utilisateurs, le calcul du coût total de possession sur trois ans est un exercice de cinq minutes. Avec Prisma Access, il faut une conversation commerciale, un devis personnalisé et une lecture attentive de ce que chaque niveau de crédit inclut et exclut.
Cette prévisibilité est également importante pour les partenaires de services. Un MSP qui met en place des services SASE gérés doit savoir exactement ce que coûte chaque siège client pour pouvoir fixer le prix de sa propre offre en toute confiance. Les modèles basés sur le crédit, qui fluctuent en fonction de la consommation de bande passante, rendent ce calcul fragile. Une société belge de gestion de patrimoine a constaté une réduction de 58 % des coûts totaux de sécurité après avoir consolidé ses activités sur la plateforme Jimber, en remplaçant plusieurs produits ponctuels et la complexité des licences associées par un seul abonnement par utilisateur.
Pour mieux comprendre pourquoi la consolidation des outils permet de réduire les coûts, l’analyse de rentabilité de SASE sur jimber.io présente l’argument financier en détail.
Dispositifs sans agent et support OT
Prisma Access s’appuie sur l’agent GlobalProtect pour la connectivité des points d’extrémité. Pour les ordinateurs portables et les appareils mobiles gérés par le service informatique, cela fonctionne bien. Le défi se pose avec tout le reste de votre réseau.
Imprimantes, caméras IP, systèmes de gestion des bâtiments, automates industriels, IHM dans les usines : aucun de ces éléments ne peut exécuter GlobalProtect. Palo Alto propose une option « Clientless VPN », mais elle est limitée aux applications web utilisant HTTP, HTTPS et JavaScript. Les protocoles non web tels que RDP, SSH et les protocoles industriels basés sur UDP nécessitent des solutions de contournement ou ne sont pas du tout couverts.
Pour les entreprises européennes de taille moyenne, cet aspect est plus important que ne le suggèrent les fiches techniques. Une entreprise manufacturière comptant 200 utilisateurs de bureau peut également avoir 50 automates programmables dans l’atelier, 30 imprimantes réparties sur trois sites et des capteurs de gestion des bâtiments contrôlant le chauffage, la ventilation et la climatisation ainsi que l’accès. Ces dispositifs représentent une véritable surface d’attaque. Ils communiquent par le biais de protocoles que l’approche sans client de Prisma Access ne couvre pas entièrement.
Le matériel NIAC de Jimber fournit une isolation en ligne pour les appareils sans agent, couvrant à la fois le trafic TCP et UDP. Un automate communiquant via Modbus TCP ou un système de gestion de bâtiment utilisant BACnet via UDP peuvent être isolés et contrôlés sans nécessiter de logiciel sur l’appareil lui-même. L’appareil ne communique qu’avec sa destination prévue. Les mouvements latéraux sont bloqués par la conception, et non par des règles de pare-feu qui doivent être maintenues.
Il s’agit du même avantage architectural que celui évoqué dans notre comparaison avec FortiSASE, où le mode sans agent de FortiSASE s’est avéré limité au trafic basé sur TCP. Prisma Access partage cette limitation. Si votre environnement comprend des appareils qui communiquent via des protocoles industriels basés sur UDP, Jimber’s NIAC est la seule option native de SASE qui les couvre.
Souveraineté européenne en matière de données et NIS2
Palo Alto Networks a son siège à Santa Clara, en Californie. En tant qu’entreprise américaine, elle tombe sous le coup du CLOUD Act, qui confère aux autorités américaines le pouvoir légal d’exiger l’accès aux données stockées sur ses serveurs, y compris les données stockées dans les points de contact européens. Pour les organisations réglementées par le NIS2, il ne s’agit pas d’une préoccupation juridique abstraite. Il s’agit d’un risque documenté qui doit être traité dans votre documentation de conformité.
L’article 21 de la NIS2 exige que les organisations évaluent les pratiques de sécurité de leurs fournisseurs de technologie, y compris les risques juridictionnels. En choisissant un fournisseur de SASE basé aux États-Unis, votre équipe chargée de la conformité doit expliquer pourquoi ce risque juridictionnel est acceptable et quelles sont les mesures d’atténuation mises en place. Certaines organisations acceptent ce compromis. D’autres, en particulier celles des secteurs de la santé, de l’administration et des services financiers, trouvent plus simple d’éliminer complètement la question.
Jimber a son siège en Belgique. Le traitement des données reste à l’intérieur des frontières de l’UE. Il n’y a pas de société mère américaine, pas de conflit juridictionnel dans le cadre du CLOUD Act et pas d’exposition à la section 702 de la FISA. Pour les organisations qui préparent la documentation NIS2 ou les auto-évaluations de la CyFun, cela supprime une catégorie entière de complexité réglementaire.
Palo Alto exploite des points d’accès en Belgique (via GCP Europe-West), aux Pays-Bas et en Allemagne. La latence pour les utilisateurs du Benelux est comparable. La différence ne réside pas dans le lieu où le trafic est traité, mais dans la juridiction dont relève l’opérateur de la plateforme. Pour une discussion plus large sur l’importance de cette distinction, l’article sur les alternatives SASE européennes sur jimber.io couvre la question de la souveraineté à travers de multiples fournisseurs. En ce qui concerne les exigences spécifiques de conformité NIS2 qui s’appliquent aux organisations du marché intermédiaire, ce guide présente les attentes des auditeurs.
Complexité du déploiement et de l’exploitation
Un déploiement typique de Prisma Access implique la mise en place de connexions de service (tunnels IPsec vers les centres de données et les environnements cloud), l’intégration de l’authentification via SAML et SCIM avec des fournisseurs d’identité comme Azure AD ou Okta, le déploiement de l’agent GlobalProtect sur tous les points d’extrémité et la configuration de la politique par l’intermédiaire de Panorama ou de Strata Cloud Manager. Les études sectorielles mesurent systématiquement ce processus en semaines ou en mois, de nombreuses organisations faisant appel à des services professionnels pour l’installation initiale.
L’expérience de gestion ajoute une couche de complexité permanente. Palo Alto est actuellement en train de passer de Panorama (l’ancienne plateforme de gestion conçue pour les pare-feu sur site) à Strata Cloud Manager (une interface native pour le cloud). Dans la pratique, de nombreuses organisations utilisent simultanément les deux plateformes, car certaines configurations avancées et certains flux de migration nécessitent encore Panorama, tandis que les nouvelles fonctionnalités basées sur l’IA ne sont disponibles que dans Strata Cloud Manager.
Pour une entreprise de 200 utilisateurs dotée d’une équipe informatique de cinq personnes, la gestion des modèles, des groupes d’appareils et des hiérarchies de zones de sécurité par le biais de deux interfaces de gestion est une charge qui entre directement en concurrence avec toutes les autres responsabilités informatiques. La charge opérationnelle n’augmente pas linéairement avec la taille de l’organisation. Elle évolue en fonction de la complexité de la plateforme, qui est fixe, que vous ayez 200 ou 20 000 utilisateurs.
La plateforme Jimber, gérée dans le cloud, se déploie en quelques jours. Il n’y a pas de connexions de service à configurer, pas de projets de déploiement d’agents et pas de serveurs de gestion secondaires. Les partenaires de service peuvent intégrer un nouveau client en quelques heures, et non en quelques semaines. Tout, de la création de politiques à l’analyse des journaux en passant par la surveillance de la posture des appareils, se fait à partir d’une seule console.
La différence de multi-location mérite d’être soulignée pour les partenaires de services qui évaluent ces plateformes pour leur base de clients. Prisma Access prend en charge le multi-locataire via Panorama, mais la gestion de locataires distincts nécessite une expertise en matière de groupes d’appareils, de piles de modèles et de configurations de domaines d’accès. L’architecture multi-locataires de Jimber a été conçue dès le départ pour les partenaires de services : changement rapide de client, modèles de politiques centralisés et visibilité par locataire sans les frais opérationnels liés à la gestion d’instances Panorama séparées.
Pour les équipes qui se reconnaissent dans la fuite du scénario Frankenstack, qui consiste à gérer trop d’outils avec trop peu de personnes, cette simplicité architecturale n’est pas un compromis. C’est la raison pour laquelle il faut changer.
Jimber est-il le bon choix pour votre équipe ?
Cette comparaison a porté sur l’architecture, le prix, le support technique, la souveraineté et le déploiement. La question qui se pose est de savoir si votre organisation correspond au profil pour lequel Jimber fournit systématiquement les meilleurs résultats.
Jimber convient lorsque votre organisation compte de 50 à 400 utilisateurs, principalement répartis sur des sites européens. Votre équipe informatique compte de trois à dix personnes qui gèrent la sécurité, le réseau, le service d’assistance et l’infrastructure. Vous avez besoin d’une tarification que votre directeur financier peut approuver sans devis personnalisé ou cycle de vente qui s’étend sur plusieurs trimestres. Votre environnement comprend des appareils qui ne peuvent pas exécuter d’agents, qu’il s’agisse d’automates, de capteurs IoT, d’imprimantes ou de systèmes de gestion des bâtiments, et ces appareils ont besoin d’une isolation en ligne qui couvre à la fois le trafic TCP et UDP. La souveraineté des données européennes est une exigence de conformité liée à NIS2, GDPR ou DORA, et non une case à cocher sur une liste de souhaits. Et vous voulez une plateforme qui fonctionne en quelques jours, pas un projet de déploiement mesuré en mois.
Questions fréquemment posées
Palo Alto Prisma Access est-il trop complexe pour le marché intermédiaire ?
Prisma Access a été conçu pour les centres d’opérations de sécurité d’entreprise dotés d’un personnel dédié. Le parcours de certification PCNSE, le modèle à double console Panorama et Strata Cloud Manager, et l’architecture de politique basée sur des modèles reflètent tous cet héritage. Pour une équipe de taille moyenne où les trois mêmes personnes s’occupent du réseau, de la sécurité et du service d’assistance, la profondeur de la plateforme devient une charge. Jimber est conçu exactement pour ce profil d’équipe : une console, des règles simples, aucune certification spécialisée n’est requise.
Comment fonctionne la tarification de Prisma Access ?
Prisma Access utilise un modèle de consommation basé sur les crédits. Les organisations achètent des crédits qui sont consommés en fonction du nombre d’utilisateurs, des fonctionnalités activées et de la bande passante. Les fonctionnalités de base telles que la prévention avancée des menaces, la sécurité IoT et le stockage des journaux nécessitent des crédits supplémentaires ou des abonnements distincts. Les engagements minimums commencent souvent à 200 utilisateurs. Jimber utilise une tarification forfaitaire par utilisateur avec toutes les fonctionnalités de base de SASE incluses et aucun supplément basé sur la bande passante.
Prisma Access peut-il sécuriser les appareils OT sans agents ?
Prisma Access propose un mode VPN sans client, mais il ne prend en charge que les applications web basées sur HTTP, HTTPS et JavaScript. Les protocoles non web et les communications industrielles basées sur UDP ne sont pas couverts par ce mode sans agent. Le matériel NIAC de Jimber fournit une isolation en ligne pour n’importe quel appareil, quel que soit le protocole, couvrant à la fois le trafic TCP et UDP sans nécessiter l’installation d’un logiciel sur l’appareil.
Prisma Access est-il conforme à NIS2 et GDPR ?
Prisma Access peut techniquement prendre en charge la conformité NIS2 et GDPR grâce à ses contrôles de sécurité. La complication est d’ordre juridictionnel. En tant qu’entreprise basée aux États-Unis, Palo Alto Networks relève du CLOUD Act, ce qui crée une tension juridique documentée avec les exigences de l’UE en matière de protection des données. Jimber a son siège en Belgique et traite des données de l’UE, ce qui élimine entièrement la question de la juridiction de votre documentation de conformité.
Combien de temps dure le déploiement de Prisma Access ?
Des études indépendantes et des estimations de services professionnels indiquent que les déploiements de Prisma Access prennent généralement des semaines, voire des mois, et impliquent la configuration de la connexion au service, le déploiement de l’agent GlobalProtect, l’intégration du fournisseur d’identité et la configuration de la politique dans Panorama ou Strata Cloud Manager. Jimber se déploie en quelques jours avec une gestion basée sur le cloud qui ne nécessite aucun déploiement d’agent pour l’accès par navigateur et aucune infrastructure sur site.
Jimber apparaît-il dans les rapports de Gartner ou de Forrester ?
Jimber n’apparaît pas dans les classements des analystes. Ces rapports évaluent l’exhaustivité des fonctionnalités dans les cas d’utilisation en entreprise, et leurs critères d’évaluation pondèrent des capacités que la plupart des équipes du marché intermédiaire n’activent jamais. Jimber peut en revanche se prévaloir de résultats concrets : une société belge de gestion de patrimoine a réduit ses coûts de 58 % après avoir migré vers la plateforme, les partenaires de service ont intégré les clients en quelques heures, et l’architecture à console unique permet à une équipe informatique de trois personnes de gérer la sécurité sans faire appel à des consultants externes.
Vous évaluez une plateforme SASE pour votre entreprise ? Réservez une démonstration et voyez comment la plateforme SASE de Jimber fonctionne pour les organisations qui ont besoin d’une sécurité de niveau entreprise sans complexité de niveau entreprise.
