alors, j'ai une grosse réponse (désolé, j'aime écrire!)
en fait c'est principalement une question de structure de l'entreprise.
pfsense & co c'est nickel pour quelques sites, mais ça impose de déployer en plus la partie matériel (un serveur), et en plus il ne me semble pas qu'il y ai de solution de gestion en masse (pas vraiment sûr, je n'ai pas plus creusé que ça).
or, dans le cadre de la boite que je gère, au moment ou j'ai du choisir quelle solution de sécurité déployer, je devais prendre en compte le fait que, si le succès était au rdv, en 2-3 ans il faudrait déployer plusieurs dizaines de petites (4-5 utilisateurs de pc par site) agences aux 4 coins de la france, voir même a l'international.
donc des sites trop petits pour justifier le cout d'installation et de maintenance d'un serveur sur chacun.
il me fallait en plus un matériel gérable dans le cloud, avec déploiement rapide, facile et automatisé de la conf a distance, ainsi que gérant les vpn "locaux" pour les commerciaux et l'établissement quasi-automatique de vpn site to site pour la connexion au siège (car on héberge en local nos outils, mail, intranet etc)
du coup, le plus simple c’était de s'orienter vers une solution type UTM matériel (cisco, watchguard & co), lors de l'ouverture d'une agence j'ai juste a commander un boitier et a le faire expédier a l'agence, il suffit de le brancher et il rapatrie sa conf directement du cloud, y'a presque rien a faire
c'est sûr que je préfère largement un pfsense, pour le plaisir de mettre les mains dans le cambouis (au début, pour le siège, la sécurité je la gérait via iptable/fail2ban/squid/clamav ), mais c'est pas jouable sur une multitude de sites, trop gourmand en temps, en ressources et en budget.
en plus coté sécurité, en cas de crash de l'utm, c'est ultra rapide a remettre en place, des backups de la conf sont fait directement sur le cloud, j'ai juste a faire livrer une utm de remplacement et en 15mn tout est revenu a la normale, pratique
de plus, je peut gérer toutes les confs via le cloud (ou un outil local de centralisation, WSM) ,et y'a un outil de gestion/monitoring/reporting global (dimension dans le cas de watchguard).
bref, un gros tas de fonctions tout en un, appréciable!
après, j'ai l'impression que toutes les solutions UTM proprio se valent plus ou moins (fortinet, stromshield, cisco & co), moi c'est surtout l'outil dimension qui m'a fait préférer watchguard, même si coté ergonomie du bouzin y'a du progrès a faire
c'est sûr que ça représente un budget pas négligeable, mais le confort de gestion est incomparable quand on a un tas de sites a gérer.
par contre, on me fera pas lâcher l'open source coté sécurité quand il n'y a que quelques sites!