Accueil · Guides de révision · NSE7

Guide complet NSE7 — Fortinet

Fortinet NSE 7 Enterprise Firewall · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La certification Fortinet NSE 7 Enterprise Firewall valide les competences avancees en deploiement, gestion et depannage de solutions FortiGate en environnement entreprise. Destinee aux ingenieurs reseau et securite ayant 2-3 ans d'experience FortiGate, elle requiert NSE 4 comme prerequis recommande. L'examen comprend 35 questions QCM en 60 minutes. Debouches : Ingenieur Securite Senior, Architecte Firewall, Consultant Fortinet, avec salaires entre 55k et 80k EUR en France en 2026.

Pourquoi passer la certification NSE7 ?

Passer la NSE 7 Enterprise Firewall en 2026 represente un investissement strategique majeur. Fortinet detient plus de 35% du marche mondial des firewalls d'entreprise, devancant Palo Alto et Cisco sur le segment SMB et mid-market. La demande pour des experts FortiGate explose avec l'adoption massive du SD-WAN, du SASE et de la Security Fabric. En France, plus de 70% des entreprises du CAC 40 utilisent des equipements Fortinet, et le marche europeen connait une croissance de 18% annuelle. La certification valide votre capacite a concevoir des architectures complexes : clusters HA, routage avance BGP/OSPF, VPN IPsec/SSL haute performance, inspection SSL profonde, et integration FortiManager/FortiAnalyzer. Le ROI est immediat : +15 a +25% sur le salaire post-certification selon les etudes Robert Half 2026. Les profils certifies NSE 7 sont systematiquement priorises par les ESN comme Orange Cyberdefense, Capgemini, Atos et Sopra Steria. Avec la directive NIS2 entree en vigueur et le renforcement reglementaire DORA, les competences pointues en firewalling enterprise sont devenues critiques. La cert positionne aussi pour evoluer vers NSE 8 (expert) ou se specialiser en Cloud Security et OT Security, deux segments en forte tension sur le marche francais.

Caractéristiques de l'examen

Format QCM 35 questions
Duree 70 minutes
Score requis 70% (variable, scaled scoring)
Prix officiel 400 EUR HT
Langues Anglais uniquement (japonais partiel)
Validite 2 ans
Prerequis NSE 4 recommande, 2-3 ans d'experience FortiGate

Programme détaillé par domaine

Domain 1 : System and Session Information 20%

Objectifs
Ce domaine evalue la capacite a analyser le comportement systeme du FortiGate et a interpreter les informations de session pour resoudre des problemes complexes. Le candidat doit maitriser les commandes CLI de diagnostic, comprendre la table de sessions, le NP/SP offloading, et savoir investiguer les flux de trafic. L'objectif est de pouvoir identifier rapidement la cause racine d'un dysfonctionnement reseau ou securite, en utilisant les bons outils de troubleshooting natifs au FortiOS. La maitrise du conserve mode, de la gestion memoire et CPU est egalement evaluee.
Concepts clés
Conserve mode (memory conserve), kernel conserve mode, session table, session helpers, dirty flag, NPU/SPU offloading, ASIC processing, sniffer packet, debug flow, diagnose sys top, diagnose hardware sysinfo, fnsysctl, diagnose npu np6 session-stats. Comprendre la difference entre slow path et fast path, le role du CPU vs ASIC, les limites de capacite par modele (FortiGate 100F, 200F, 600F, 1800F). Savoir interpreter diagnose sys session list, identifier les sessions bloquees, les timeouts TCP/UDP, et reconnaitre les patterns d'attaques DDoS via l'analyse de sessions.
Services / outils
FortiOS CLI (diagnose, get, execute), FortiView, NP6/NP7 processors, Content Processor (CP9), diagnose debug flow, packet sniffer, diagnose sys session, diagnose firewall iprope.
Temps estimé
10-12h

Domain 2 : OSPF and BGP Routing 25%

Objectifs
Domaine central evaluant les competences en routage dynamique avance sur FortiGate. Le candidat doit savoir concevoir, deployer et depanner OSPF multi-area et BGP iBGP/eBGP dans des architectures multi-sites. Capacite a integrer le routage dynamique avec des VPN IPsec (route-based), implementer des politiques de redistribution, manipuler les attributs BGP (local-preference, AS-path, MED, communities) et garantir une convergence rapide en cas de defaillance.
Concepts clés
OSPF areas (backbone, stub, NSSA, totally stubby), OSPF LSA types (1-7), DR/BDR election, virtual links, OSPF over IPsec, BGP peering, route reflectors, confederations, BGP path selection algorithm, AS-path prepending, communities, route-maps, prefix-lists, ECMP, graceful restart, BFD pour convergence rapide. Comprendre le ADVPN (Auto-Discovery VPN) avec BGP en topologie hub-and-spoke, le shortcut tunneling, et l'utilisation de loopback pour la stabilite des sessions BGP.
Services / outils
FortiOS routing engine, get router info ospf, get router info bgp, diagnose ip router, diagnose ip rtcache, ADVPN, BFD, route-maps.
Temps estimé
20-25h

Domain 3 : Site-to-Site IPsec VPN 20%

Objectifs
Maitrise complete des VPN IPsec en architecture entreprise : route-based vs policy-based, IKEv1/IKEv2, redondance, performance et troubleshooting. Le candidat doit savoir concevoir des topologies hub-and-spoke complexes avec ADVPN, implementer le dial-up VPN pour sites distants dynamiques, gerer la NAT-Traversal et optimiser le throughput via NPU offloading. Le depannage approfondi via debug commands est central.
Concepts clés
IKE phase 1 et phase 2, PFS (Perfect Forward Secrecy), DPD (Dead Peer Detection), NAT-T, IKEv2 (avantages vs IKEv1), VPN redondants avec monitor, ADVPN avec shortcut, dial-up VPN, mode-config, XAUTH, certificats vs PSK. Algorithmes de chiffrement (AES-GCM, ChaCha20), integrite (SHA256/384), groupes DH (14, 19, 20, 21). NPU IPsec offloading limitations, fragmentation MTU, anti-replay window. Diagnose vpn ike gateway, diagnose vpn tunnel list.
Services / outils
FortiOS IPsec engine, IKE daemon, NPU crypto offloading, FortiManager VPN Manager, ADVPN shortcut.
Temps estimé
15-18h

Domain 4 : Fortinet Single Sign-On (FSSO) 15%

Objectifs
Implementation et depannage de FSSO en environnement Active Directory complexe. Le candidat doit comprendre les differents modes de deploiement (DC Agent, Collector Agent, polling), gerer les groupes AD, et integrer FSSO dans les politiques de securite. Connaissance approfondie du fonctionnement avec RADIUS Single Sign-On, Kerberos, et environnements multi-domaines/forest.
Concepts clés
Collector Agent, DC Agent mode, polling mode (WMI, WinSecLog, NetAPI), agentless polling, FSSO architecture distribuee, FSSO HA, group filters, workstation verification, NTLM authentication, Kerberos authentication, RSSO (RADIUS Single Sign-On), FSSO sur FortiGate vs FortiAuthenticator. Troubleshooting via diagnose debug authd fsso, verification des logons, gestion des cas de stale sessions et users not detected.
Services / outils
FSSO Collector Agent, FortiAuthenticator, Active Directory, LDAP, RADIUS, Kerberos, FortiGate user fsso-polling.
Temps estimé
10-12h

Domain 5 : High Availability and Diagnostics 20%

Objectifs
Conception et exploitation de clusters FortiGate HA en mode actif-passif et actif-actif. Le candidat doit maitriser le protocole FGCP, gerer les sessions synchronisees, comprendre les mecanismes de failover et election du primary. Capacite a deployer du VRRP, gerer des clusters multi-VDOM et resoudre les split-brain. Le diagnostic avance des problemes HA et de performance est evalue.
Concepts clés
FGCP (FortiGate Cluster Protocol), HA heartbeat, override, priority, monitor interfaces, session synchronization (session-pickup), session-pickup-connectionless, virtual cluster, VDOM partitioning, active-active load balancing, FGSP (FortiGate Session Life Support Protocol) pour clusters geographiques, VRRP. Split-brain detection, HA reserved management interface, unicast HA pour cloud (Azure, AWS).
Services / outils
FGCP, FGSP, VRRP, diagnose sys ha status, diagnose sys ha checksum, FortiManager pour gestion centralisee HA.
Temps estimé
12-15h

Plan de révision hebdomadaire

Plan de revision sur 8 semaines, environ 12h/semaine. Semaine 1 : Lecture du study guide officiel NSE 7 EFW 7.2/7.4 et revue des fondamentaux NSE 4 (routage statique, politiques, NAT). Mise en place du lab : FortiGate VM (eval license) sur EVE-NG ou GNS3 avec 4 FortiGates minimum et un Windows Server pour AD/FSSO. Semaine 2 : Domain 1 (System/Session). Pratique intensive des commandes diagnose, analyse de packet captures, simulation de conserve mode. Lecture du Fortinet Cookbook section troubleshooting. Semaine 3-4 : Domain 2 (OSPF/BGP). Configuration de topologies multi-area OSPF, deploiement iBGP avec route reflector, integration ADVPN. Realiser 5 labs progressifs avec failover et redistribution. Semaine 5 : Domain 3 (IPsec VPN). Construire un hub-and-spoke ADVPN avec BGP, tester IKEv2, debug complet d'un tunnel defaillant. Verifier NPU offloading sur hardware si disponible. Semaine 6 : Domain 4 (FSSO). Deploiement Collector Agent avec AD, tests des trois modes de polling, integration FortiAuthenticator. Semaine 7 : Domain 5 (HA). Cluster actif-passif puis actif-actif, simulation failover, deploiement FGSP, gestion split-brain. Semaine 8 : Revision finale et examens blancs. Realiser au minimum 3 examens blancs sur ExamTopics ou Boson, analyser chaque erreur. Relire les sections faibles, refaire les labs problematiques. 48h avant : repos, relecture des cheat sheets CLI uniquement.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Fortinet

Reference absolue avec les Administration Guides, CLI Reference et Cookbook FortiOS 7.4.

Fortinet Training Institute (NSE 7 EFW)

Cours officiel auto-paced gratuit avec videos, labs virtuels et study guide PDF telechargeable.

Fortinet NSE Demo Labs

Labs pratiques inclus avec le cours officiel, accessibles via la plateforme NSE Training.

Communaute Fortinet et Reddit r/fortinet

Forum officiel pour echanger sur les cas concrets, et subreddit actif pour retours d'experience NSE 7.

5 erreurs classiques à éviter

  • Erreur 1 : Negliger la pratique CLI au profit du GUI. L'examen teste des scenarios de troubleshooting necessitant la maitrise des commandes diagnose et get. Solution : passer 70% du temps de revision en CLI pure.
  • Erreur 2 : Confondre route-based et policy-based VPN. Memoriser que NSE 7 se concentre sur route-based avec routage dynamique. Toujours utiliser interfaces tunnel virtuelles et BGP/OSPF over IPsec.
  • Erreur 3 : Sous-estimer BGP. C'est le plus gros bloc de l'examen. Ne pas se contenter de la theorie : pratiquer route-maps, communities et ADVPN shortcut en lab reel.
  • Erreur 4 : Oublier les specificites NPU/SPU. Beaucoup de questions portent sur l'offloading hardware. Comprendre quand une session est offloaded vs slow-path et comment le forcer ou le desactiver via auto-asic-offload.
  • Erreur 5 : Mal comprendre FSSO Collector Agent vs DC Agent. Les modes de polling (WMI, WinSecLog, NetAPI) ont des prerequis differents. Etudier la matrice de compatibilite et les ports requis.

5 questions types corrigées

Q1. Dans une topologie ADVPN hub-and-spoke avec BGP, quel mecanisme permet a deux spokes d'etablir un tunnel direct sans passer par le hub ?
Réponse : C
ADVPN repose sur le mecanisme de shortcut : lorsqu'un spoke detecte du trafic vers un autre spoke via le hub, il declenche une negociation IKE directe pour creer un tunnel dynamique point-a-point. Le hub joue uniquement le role de facilitateur initial. BGP est utilise comme protocole de signalisation pour annoncer les prefixes, mais ce n'est pas lui qui cree le shortcut. La configuration requiert auto-discovery-sender sur le hub et auto-discovery-receiver et auto-discovery-shortcuts sur les spokes.
Q2. Un FortiGate entre en conserve mode kernel. Quelle est la consequence immediate sur le trafic ?
Réponse : B
Le kernel conserve mode est declenche quand l'utilisation memoire depasse le seuil rouge (par defaut 88%). Dans ce mode, le FortiGate refuse les nouvelles sessions pour proteger le systeme, mais les sessions etablies continuent de fonctionner. Le firewall sort du conserve mode quand la memoire repasse sous le seuil vert (82%). Il faut investiguer la cause racine via diagnose hardware sysinfo memory et diagnose sys top pour identifier le processus consommateur.
Q3. Dans un cluster FortiGate HA actif-passif, quelle commande permet de verifier l'integrite de la synchronisation des configurations entre les membres ?
Réponse : B
diagnose sys ha checksum show affiche les checksums de configuration de chaque VDOM et globalement pour tous les membres du cluster. Si les checksums different entre primary et secondary, cela indique une desynchronisation qu'il faut resoudre via execute ha synchronize all. diagnose sys ha status affiche l'etat general (priorite, role, uptime). C'est l'outil de reference pour valider une synchronisation reussie apres un changement de configuration.

Voir plus de questions gratuites →

Carrière & salaire après NSE7

Le marche francais des experts FortiGate certifies NSE 7 est en forte tension en 2026. Salaires constates : Ingenieur Securite Reseau NSE 7 entre 55k et 70k EUR brut/an en province, 65k a 80k EUR en Ile-de-France. Architecte Securite Senior : 75k a 95k EUR. Consultant Fortinet en ESN : TJM entre 600 et 850 EUR. Les debouches couvrent les ESN (Orange Cyberdefense, Thales, Capgemini), les grands comptes (banques, industrie, retail) et les MSSP. Evolution naturelle vers NSE 8 (expert, ~1500 candidats mondiaux), specialisations Cloud (NSE 7 Public Cloud), SD-WAN ou OT Security. Certifications complementaires recommandees : Cisco CCNP Security, CISSP, ou Palo Alto PCNSE pour profiler multi-vendor.

Détail des salaires NSE7 en 2026 →

FAQ — NSE7

Combien de temps faut-il pour preparer NSE7 ?

Avec une experience FortiGate de 2 ans, comptez 8 a 10 semaines a raison de 10-12h/semaine. Sans experience prealable solide NSE 4, prevoir 4 mois minimum incluant la mise a niveau.

Cette certification est-elle reconnue en France ?

Oui, tres largement. Fortinet est leader sur le marche francais des firewalls. La certification est exigee ou fortement valorisee dans la majorite des offres d'ingenieur securite reseau en ESN et grands comptes.

Quel est le taux de reussite a NSE7 ?

Le taux de reussite officiel n'est pas publie par Fortinet, mais les retours communautaires l'estiment autour de 55-65% au premier essai. La preparation pratique en lab est le facteur cle de succes.

Quel est le salaire apres NSE7 ?

Entre 55k et 80k EUR brut annuel en France selon l'experience et la region. Une augmentation moyenne de 15-25% est constatee dans les 12 mois suivant l'obtention de la certification.

Faut-il une experience prealable ?

Fortinet recommande 2-3 ans d'experience operationnelle sur FortiGate et la certification NSE 4. Sans cette base, l'examen est tres difficile car oriente troubleshooting concret.

NSE7 ou cert concurrente : laquelle choisir ?

Si vous travaillez en environnement Fortinet, NSE 7 est incontournable. Pour une carriere multi-vendor, completer ensuite avec Palo Alto PCNSE ou Cisco CCNP Security selon votre marche cible.

Combien coute l'examen NSE7 ?

L'examen coute 400 USD HT (environ 400 EUR HT en Europe) via Pearson VUE. Aucun voucher de retake n'est inclus. Des promotions ponctuelles offrent des reductions de 20% via le programme Fortinet Training.

Combien de fois peut-on repasser NSE7 ?

Apres un echec, il faut attendre 15 jours avant la 2eme tentative, 30 jours pour la 3eme, et 90 jours pour les suivantes. Aucune limite totale, mais chaque tentative coute le prix plein.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc NSE7 → Test d'orientation