Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SD-WAN : Intox, Risque ou vrai opportunité ?

février 2019 par Benoît HUARD, Co-fondateur de SAYSE

Internet As A Wan… ou comment le plus grand réseau de la planète devient votre RÉSEAU WAN d’entreprise… ou pas !

Le mot SD-WAN est né en Inde en 2013. Ce marché, estimé à plus de 45 milliards de dollars en 2022 et en croissance annuelle de 40% selon IDC, déchaîne les passions des éditeurs, constructeurs et opérateurs du monde entier. Solution « marketing », « fake news » ou révolution industrielle ?

Vous allez découvrir ou redécouvrir le SD-WAN, 6 ans après sa venue au monde, sous un autre angle.

Nous avons recensé les 10 « à priori » les plus marquants, auprès de 500 directions informatiques interrogées, en France, depuis 2015. Le but est de mieux appréhender ce qui est adulé par certains et critiqué par d’autres et, surtout, que vous vous fassiez votre propre opinion.

Pour chaque « à priori », nous avons formulé une réponse permettant d’éclaircir le doute, la question ou parfois l’erreur posée par l’à priori. Afin que la chaîne ne soit pas rompue et que le débat continue d’exister, nous vous partageons, en fin de chaque paragraphe, les réactions type des personnes interrogées, l’une étant positive et l’autre « négative » ou dubitative.

Chaque réaction « négative » est accompagnée d’une réponse ou d’une pensée de l’acteur SD-WAN (français, indien ou américain). Nous espérons, par avance, que cette lecture vous éclaire sur le SD-WAN et qu’elle vous amuse aussi.

1. SD-WAN, c’est une technologie encore un peu jeune, non ?

Au risque de rendre obsolète un certain nombre de publications, il est temps que vous sachiez la vérité, le SD-WAN n’est pas une technologie. Le SD-WAN, c’est une nouvelle façon d’appréhender son réseau WAN. Grâce à une interface de gestion web, vous pouvez piloter, définir, un certain nombre d’actions de routage, de sécurité, de filtrage, … sur l’ensemble de vos établissements et ce partout dans le monde, dès lors que vous bénéficiez d’un accès à Internet. _Chaque éditeur possède donc sa propre interface.

Chacun de vos réseaux locaux se voit équipé d’au moins un « boîtier » SD-WAN et, pour les Centres de Données ou Cloud Provider, on privilégie une machine virtuelle, quasi exclusivement « clusterisée ».

En revanche, le SD-WAN utilise énormément de « briques » réseaux connues depuis toujours, ce qui est rassurant. Le SD-WAN n’invente rien en matière de réseau, ce sont toujours des adresses IP, des ports, des protocoles, des dns, du Dhcp, etc… Par contre, tout est accessible par le biais d’une interface de gestion unique, et c’est là la véritable révolution.

Réaction positive : « C’est rassurant d’utiliser ce qui fonctionne depuis toujours et en plus je vais pouvoir mieux maîtriser mon réseau grâce à une interface web de gestion… ».

Réaction « négative » : « c’est bien ce que je pensais, les briques réseaux sont standards, mais les interfaces appartiennent aux éditeurs… On est vraiment dans un monde où l’on ne maîtrise plus rien… » (réponse de l’acteur SDWAN : « et avec le MPLS, vous maîtrisiez quoi ? ;) »).

2. Le SD-WAN, c’est une sorte d’IPsec, ni plus ni moins…

C’est vrai pour partie, mais dit comme cela, ce serait un peu réducteur. Le SD-WAN est proche, philosophiquement, de la façon de créer un réseau en IPsec, dans le sens où on devient libre de choisir n’importe quel accès à Internet et n’importe quel opérateur télécom pour chacun de ses établissements et que les données sont chiffrées de bout en bout. Mais, le SD-WAN, c’est bien plus que cela.

C’est la 3ème génération de réseaux WAN dans le monde, après l’IPsec et le MPLS. Car, le SD-WAN bénéficie de tous les attraits du MPLS et notamment une de ses caractéristiques les plus fortes, la possibilité d’identifier un flux et de le prioriser par rapport à un autre (Cos – Class Of Services). En plus des fonctionnalités de routage avancées, le SD-WAN intègre aussi, dans la plupart des cas, des fonctionnalités de sécurité comme un parefeu, du filtrage web, des antivirus de flux et autres outils « UTM – Unified Threat Management ». Mais, bien sûr, il est possible de monter un tunnel IPsec entre un boîtier ou VM SD-WAN et une appliance VPN utilisant de l’Ipsec.

Réaction positive : « Le SD-WAN, c’est donc 20 ans d’expérience réseau, avec tous les avantages de mon MPLS actuel et je peux tout voir et tout gérer par une simple interface web… ».

Réaction « négative » : « c’est bien ce que je pensais, c’est une sorte d’Ipsec… Et puis avoir le meilleur choix opérateur pour chacun de mes sites, est ce que c’est vraiment ce dont j’ai besoin… ». (Pensée de l’acteur SD-WAN : On ne peut pas forcer les gens à faire évoluer leur réseau. Le trafic IP WAN des entreprises augmente de 15% par an et le MPLS ne peut pas suivre cette évolution. C’est une question de temps, toutes les entreprises évolueront vers le SD-WAN, comme elles l’ont fait vers MPLS à l’époque).

3. C’est moins performant qu’un réseau MPLS !

Le SD-WAN est plus performant qu’un réseau MPLS et à plusieurs titres. Premièrement, d’un point de vue des débits possibles par établissement, le SD-WAN prend naturellement la tête. C’est un de ses avantages premiers d’ailleurs. Il est possible de cumuler la bande passante totale au travers plusieurs liaisons et plusieurs technologies (filaires et sans fil). Le SD-WAN ne prévoit jamais de liaison « passive » ou « dormante ». Toutes les liaisons sont actives. Aujourd’hui, qui voudrait payer une ligne de secours, qu’en cas de secours ? Deuxièmement, le SD-WAN s’appuie sur des accès à Internet, directement raccordés au cœur de réseau de tous les opérateurs mondiaux. Plus besoin de traverser des centres de données capables de traiter les flux en MPLS par le biais de switch, routeurs et pare-feux spécifiques aux infrastructures MPLS. Résultat, avec le SD-WAN, on gagne des millisecondes de transit IP ! contrairement aux idées reçues…

Réaction positive : « C’est incroyable, il y a quelques années, on faisait évoluer son réseau d’IPsec vers le MPLS exactement pour les mêmes raisons… C’est une sorte de retour arrière, mais dans le futur… les performances de mon réseau vont littéralement exploser, mes utilisateurs ne vont pas en revenir… ». Réaction « négative » : « Je reste dubitatif… tout ça est à vérifier… plus de performances, ce n’est pas forcément ma volonté, pour que les utilisateurs fassent tout et n’importe quoi après… ». (Pensée de l’acteur SD-WAN : Si vous voulez tester, montez un POC-Proof Of Concept- pendant 1 mois, c’est aussi ça le SD-WAN, vous y passez que si vous en êtes convaincus…).

4. C’est moins sécurisé qu’un réseau MPLS !

Dans 75% des cas, les directions informatiques interrogées avouent que des accès à Internet existent dans leur entreprise, en parallèle de leur réseau MPLS, le plus souvent pour avoir un accès à Internet plus rapide. Ces accès ne sont pas toujours très bien sécurisés. Le SD-WAN permet de rationnaliser tous les accès au sein d’un seul équipement bien identifié, sécurisé et mis à jour automatiquement.

Grâce au SD-WAN, toutes les données qui transitent sur le réseau WAN de l’entreprise sont chiffrées. Quand l’entreprise utilise un service distant « Cloud », elle peut étendre son WAN jusqu’à cette destination (exemples : Amazon Web Services, Microsoft Azure, …) grâce à l’utilisation de machines virtuelles, sorte de concentrateur de leur WAN. Un boîtier ou une VM SD-WAN embarque ses propres fonctionnalités de sécurité ou permettent d’accéder à des services de sécurité distant (exemple : Zscaler).

Conclusion, le SD-WAN apporte un niveau de sécurité supérieur à un réseau MPLS : les données sont chiffrées, tous les sites sont sécurisés de la même façon, les backdoors (accès à Internet divers) sont supprimées, les fonctionnalités UTM – Unified Threat Management – sont embarquées ou en Cloud, le WAN peut être étendu jusqu’aux destinations Cloud.

Réaction positive : « Je croyais qu’il n’y avait pas plus sécurisé que mon MPLS… Mes usages Cloud sont de plus en plus nombreux, sans parler de la messagerie, le SD-WAN peut être LA solution… ça tombe bien, ma direction m’a demandé de faire des économies, sans compromis sur la sécurité de l’entreprise… ». Réaction « négative » : « ça fait 20 ans qu’on me dit qu’il n’y a pas plus sécurisé que mon MPLS… alors pourquoi changer… mon entreprise n’utilise pas de solutions Cloud, jamais je ne mettrai ma messagerie entre les mains de quelqu’un d’autre que moi… » (Réponse de l’acteur SD-WAN : Vous avez raison, le SD-WAN n’est pas fait pour vous).

5. Personne n’a un réseau « full SD-WAN », le réseau Hybride, c’est ça la vraie solution, non ?

C’est ce qui était dit dans la presse internationale jusqu’en 2015, voir 2016 pour certains pays.
Il est vrai qu’un réseau SD-WAN est hybride au sens où il utilise des liaisons de n’importe quel opérateur télécom et de n’importe quelle technologie. Il est vrai aussi que l’on peut brancher un routeur MPLS d’un opérateur en place sur un boîtier SD-WAN et choisir d’orienter certains flux vers le réseau MPLS plutôt que vers d’autres accès à Internet.

Ces deux facteurs sont aujourd’hui des atouts pour la phase de déploiement d’un SD-WAN puisque que cela permet de « s’intéropérer » naturellement avec l’architecture en place et basculer site après site.

Mais, en 2019, plus un seul réseau ne reste hybride, à long terme, entre MPLS et accès à Internet. Les atouts du MPLS ont été récupéré par le SD-WAN, donc au-delà des engagements contractuels, il n’y a plus aucune raison de conserver son MPLS. Une seule exception existe néanmoins pour quelques destinations dans le monde, afin d’interconnecter des établissements inter-continents, par exemple, et où il peut s’avérer nécessaire d’emprunter certains chemins historiques, non pas grâce à la technologie MPLS, mais plutôt à la façon dont avait été bâties les interconnexions entre les continents à l’époque. Réaction positive : « Je pensais que je serai obligé de conserver mes liaisons MPLS pour mes flux critiques… Savoir que le SD-WAN n’est pas que transitoire, mais qu’il va devenir mon réseau unique, bâti sur le réseau des réseaux Internet, ça c’est une excellente nouvelle… ».

Réaction « négative » : « Oui, d’accord… mais ça me rassure quand même de garder mes liaisons MPLS, même si vous me dites que cela ne sert à rien… la priorité n’est pas non plus de générer des économies, mais que cela fonctionne… ». (Réponse de l’Acteur SD-WAN : Si vous voulez tester, montez un POC-Proof Of Concept- pendant 1 mois, c’est aussi ça le SD-WAN, vous y passez que si vous en êtes convaincus).

Quand une façon de faire perdure depuis 20 ans, il est difficile d’en changer. En 2019, plus de 10 acteurs SD-WAN, « pure players », bénéficiant d’une expérience supérieure à 2 ans, peuvent vous faire témoigner leurs clients. Américains, Indiens ou Français, tous présentent de très bons produits. Ne laissez plus les autres juger à votre place ! Expérimentez la 3ème génération de réseau WAN mondiale.




Voir les articles précédents

    

Voir les articles suivants