Déployer un FortiGate 60F en 1h chrono pour PME 20 postes

Vous avez reçu votre FortiGate 60F et vous avez 1h devant vous avant la fin de la journée. C'est jouable. Voici la séquence qu'on applique sur le terrain pour avoir un firewall opérationnel et raisonnablement sécurisé en 60 minutes.

Pré-requis (5 min)

• FortiGate 60F déballé, alimenté
• Câble RJ45 sur le port WAN1 vers la box opérateur
• Câble RJ45 sur le port LAN vers le switch interne
• Laptop connecté en LAN avec IP DHCP par défaut (192.168.1.x)
• Compte FortiCloud créé (gratuit, requis pour licence)

Étape 1 — Première connexion + reset mot de passe (5 min)

• Naviguer vers https://192.168.1.99 depuis le laptop
• Login : admin / pas de mot de passe par défaut
• Définir un mot de passe admin fort (16+ caractères)
• Activer immédiatement le 2FA via FortiToken Mobile (gratuit)

Étape 2 — Enregistrement licence + mises à jour (10 min)

• System > FortiGuard : enregistrer le device sur FortiCloud avec le serial
• Vérifier que les services FortiGuard remontent en vert (AV, IPS, Web Filter)
• System > Firmware : passer en dernière version stable LTS si nécessaire (reboot ~3 min)

Étape 3 — Configuration WAN (5 min)

• Network > Interfaces > wan1 : DHCP si box opérateur fournit une IP, sinon Manual avec IP/passerelle/DNS
• Vérifier connectivité internet : Diagnostics > Ping vers 1.1.1.1

Étape 4 — Configuration LAN (5 min)

• Network > Interfaces > internal : 192.168.10.1/24 (changer du défaut 192.168.1.x pour éviter conflit avec d'autres réseaux)
• Activer DHCP server : pool 192.168.10.100-199, DNS 192.168.10.1 (FortiGate fait DNS)
• Reconnecter le laptop, attendre nouvelle IP

Étape 5 — Politique de sécurité de base (15 min)

Policy & Objects > Firewall Policy. Créer 3 règles minimum :

• LAN → WAN : Source internal, Destination wan1, Service ALL, Action ACCEPT, Inspection : AV + IPS + Web Filter + Application Control + DNS Filter activés
• WAN → LAN : aucune règle (tout est bloqué par défaut, parfait)
• LAN → LAN segments : si VLAN serveurs séparé, créer règles inter-VLAN strictes

Étape 6 — Web filtering + bloquer catégories à risque (5 min)

• Security Profiles > Web Filter : bloquer Adult, Gambling, Malware, Phishing, Cryptomining, Unrated
• Activer SafeSearch sur Google/YouTube (option en bas)
• Lier ce profile à la règle LAN → WAN

Étape 7 — VPN SSL pour télétravail (10 min)

• VPN > SSL-VPN Settings : interface wan1, port 10443 (pas 443 pour éviter conflit), authentification certificat self-signed initial
• Créer un user group "remote-users" + utilisateurs de test
• Créer firewall policy ssl.root → internal pour le groupe
• Tester depuis FortiClient sur smartphone 4G

Étape 8 — Logging + alerting (5 min)

• Log & Report > Log Settings : envoyer vers FortiCloud Free (logs 7 jours gratuits)
• Activer alertes email pour : login admin, IPS critique, AV critique, faille découverte
• Tester alerte avec faux login admin échoué

Récap : 60 minutes pour quoi ?

Vous avez en sortie : firewall avec règles strictes, IPS + AV + web filter actifs, VPN SSL fonctionnel, logging cloud, alertes email, 2FA admin, mot de passe fort. C'est largement au-dessus du niveau de sécurité de 80% des PME françaises.

Ce qu'il reste à faire la semaine suivante

• Remplacer le certificat self-signed par un Let's Encrypt
• Segmenter en VLANs (serveurs / postes / IoT / invités)
• Activer SD-WAN si plusieurs liens internet
• Documenter dans un runbook (qui change quoi, comment restaurer config)
• Backup config FortiGate vers cloud externe (config encrypted)

Conclusion

Un FortiGate 60F bien configuré en 1h est un saut de sécurité massif pour une PME. Si vous n'avez ni le temps ni l'envie, KOLOSALTech déploie ce type de configuration en 1/2 journée incluant documentation et formation utilisateur final.