Cloud
5G, satellites, IOT… Quand les réseaux réinventent les usages
Par Alain Clapaud, publié le 14 février 2023
Des métiers aux pouvoirs étendus grâce au SD-WAN
L’approche SD-WAN apporte une bouffée d’oxygène aux entreprises en recherche d’agilité. Plus rapide à déployer, plus souple d’utilisation, elle lève les contraintes les plus pesantes des WAN tout en apportant une nouvelle approche en termes de sécurité, le SASE.
Jusqu’à ces dernières années, lorsqu’on concevait un réseau d’entreprise à l’échelle internationale, MPLS s’avérait la réponse la plus efficace. Seulement, avec la montée en puissance des applications SaaS, puis le lancement des projets « move to cloud », le rôle du WAN d’entreprise est en train de changer. Un responsable réseau l’affirme : « 95 % de nos usages sont aujourd’hui de la navigation web. Dans un modèle full web, un réseau MPLS est contre-productif du fait de ses limites en termes de bande passante et d’agilité. » Les réseaux MPLS des grands opérateurs internationaux sont jugés coûteux. Leurs délais de déploiement sont aussi pointés du doigt face à la rapidité de mise en place de liens FTTH ou ADSL/SDSL. Et si les GTR (Guaranteed time to restore) et la fiabilité de ces derniers est considérée comme insuffisante, agréger plusieurs liens d’opérateurs différents permet d’accroître la disponibilité d’un accès.
C’est l’option choisie par Samir Slimani, responsable du pôle numérique infrastructure et SI de l’UCPA. L’association compte 150 sites répartis en France et Outre-mer. Son business model est de gagner des délégations de service public (DSP) afin d’exploiter les installations qui appartiennent aux villes ou aux régions. Un appel d’offres peut être gagné du jour au lendemain et si l’UCPA veut en tirer parti rapidement, pas question d’avoir à attendre jusqu’à huit mois pour que le lien MPLS soit opérationnel… Cette situation a poussé le responsable à basculer son réseau sur l’offre SD-WAN de Sayse : « Un premier POC a été mené sur deux établissements, l’un en MPLS et l’autre ne disposant que d’un lien internet. Ce POC ayant donné satisfaction, le déploiement a été mené auprès de nos 150 centres en un peu plus d’un an. La différence de coût est énorme : nous sommes passés de 2 000 € par mois pour un lien MPLS à 300 euros par mois pour deux liens FTTH pro. »
De nombreuses entreprises suivent le même chemin. Les analystes de Markets&Markets estiment que le marché mondial du SD-WAN va être multiplié par quatre sur la période 2020-2025, passant de 1,9 Md$ seulement à 8,4 Md$. Selon les analystes, deux moteurs principaux en seront l’essor des terminaux mobiles et les applications cloud au sein des digital workplaces. Ces mêmes analystes pointent néanmoins un des points faibles de l’approche SD-WAN : ses limites en matière de gestion de la qualité de service. Si l’UCPA a pallié ce manque inhérent à la technologie SD-WAN par l’agrégation de liens (jusqu’à cinq liens possibles), certaines entreprises préféreront conserver leur WAN MPLS entre leurs gros sites et limiter les déploiements SD-WAN aux plus petits sites (petites agences et points de vente), où l’équation économique ne justifie pas un lien MPLS.
C’est le choix que Jean-Philippe Capoucin, responsable support points de vente chez Maisons du Monde, a fait en déployant l’offre SD-WAN Meraki sur 360 magasins en Europe, dont les deux tiers en France. « Que le magasin soit en Belgique, en Autriche ou en France, cela n’affecte en rien ma gestion des flux réseau. L’approche m’affranchit de la complexité et de la contrainte de gérer chaque lien internet. Chaque magasin dispose de deux liens. Ainsi, je peux basculer le trafic sur le second lien si la latence est trop élevée sur le premier, jusqu’à ce que les métriques reviennent à la normale. » Le responsable a créé un modèle spécifique afin de gérer tous les sites qui ont un problème de débit du fait d’une mauvaise desserte réseau sur leur localisation géographique. « Nous sommes pleinement autonomes et il n’est pas nécessaire d’avoir une forte expertise réseau pour administrer le réseau au quotidien. Grâce à une phase d’accompagnement menée par Waycom lors de la mise en place, je n’ai pas à écrire de lignes de code dans la gestion de VLAN des appliances pour optimiser le fonctionnement de notre réseau. L’interface cloud du SD-WAN Cisco Meraki me donne cette autonomie. »
Comme l’explique Jean-Philippe Capoucin, cette autonomie dans le contrôle et l’évolution du réseau est capitale alors que les métiers demandent de plus en plus d’agilité à la DSI. Les SD-WAN apportent cette flexibilité au niveau du réseau, mais aussi sur le plan de la cybersécurité.
Une cybersécurité simplifiée
Cela fait partie des services à « haute valeur ajoutée » que les fournisseurs adossent à leurs solutions. Le prestataire SD-WAN peut ainsi délivrer un service de type « Firewall as a Service » ; jouer le rôle de SWG (Secure Web Gateway) afin de filtrer les contenus ; intégrer un antimalware ; fournir une brique CASB (Cloud Access Security Broker) pour suivre l’activité des utilisateurs sur les services SaaS, etc. Certains éditeurs proposent même des offres de MDR (Managed Threat Detection and Response) afin de lutter contre les attaques de type « Zero Day », très difficiles à contrer avec les moyens de protection classiques. Cette approche a été formalisée par les analystes de Gartner sous le vocable SASE (Secure Access Service Edge).
Disposer de fonctions de sécurité en mode « as a Service » permet d’activer très rapidement une nouvelle option. Ainsi, en 2020, au début du premier confinement lié à la Covid, l’industriel Haulotte qui déployait l’offre SD-WAN de Cato Networks a tiré profit de son choix dès lespremières heures. Thomas Chejfec, son DSI Groupe se souvient : « Lors du premier confinement, nous avons maintenu en activité notre VPN existant. Mais comme activer plus de licences VPN chez notre opérateur MPLS allait engendrer des coûts additionnels et des délais de mise en œuvre longs, nous avons activé le VPN de Cato Networks. 300 personnes ont ainsi pu bénéficier d’un VPN en moins d’une journée. »
L’approche SASE répond particulièrement bien à la problématique des entreprises qui ont du mal à dégager des budgets conséquents pour monter en puissance sur la cybersécurité. C’est un moyen d’externaliser tout le volet « run » des briques de cybersécurité et de disposer d’une console de supervision unifiée et bien moins complexe que celles des outils de cybersécurité. Une simplification bien accueillie lorsque l’équipe sécurité est de taille limitée et que ne cohabitent pas des dizaines de solutions comme dans le système d’information des grandes entreprises.
Accompagner la création de nouveaux services
JEAN-PHILIPPE CAPOUCIN, responsable support points de vente chez Maisons du Monde
« Le retail est un secteur qui bouge très vite et la DSI se doit d’anticiper les innovations. Si accompagner les usages de Teams lors du confinement a eu des répercussions sur nos réseaux, il nous faut plus globalement être capables de travailler la QoS des flux en permanence pour supporter les nouveaux usages, comme l’intégration de la vidéo pour interagir avec nos clients, tout en priorisant le trafic lié aux encaissements qui reste bien évidemment prioritaire. Nous sommes actuellement en train de déployer notre marketplace. Nous connecter avec des partenaires sur de multiples sujets va aussi, bien sûr, solliciter nos liens réseau. Avec le SD-WAN, je ne suis pas sans solution et je peux accompagner ces évolutions : marketplace, click and collect, appels vidéo en direct avec les clients, demain prises de rendez-vous… Nous allons par exemple nous servir de cette infrastructure pour déployer une nouvelle solution de téléphonie. Et en 2023, nous allons renouveler notre parc Wi-Fi. Tout sera alors administré depuis un dashboard unique. »
Une supervision et des interventions simplifiées
THOMAS CHEJFEC, DSI Groupe de Haulotte
« C’est la facilité d’utilisation qui, pour nous, a fait la différence en faveur de Cato Networks. Ils s’appuient sur leur propre réseau, avec une forte densité de points de présence qui nous permettait de bénéficier de bons accès au bon prix. La simplicité de l’interface est impressionnante : nous pouvons visualiser en quelques secondes le trafic généré par telle ou telle application sur nos 40 sites. Cette solution offre également la capacité à couper l’intégralité du réseau en moins de 30 secondes sur un simple appel. C’est un point important face aux attaques de type cryptolocker. »
Une garantie de réactivité par rapport aux besoins métiers
SAMIR SLIMANI, responsable du pôle numérique infrastructure et SI de l’UCP
« Notre objectif était de disposer d’un WAN à la fois multi-opérateurs et multi-technologies. Les opérateurs historiques ne nous permettaient pas d’être indépendants sur le choix des liens, avec la contrainte de repasser par leur backbone. Nous avons rapidement écarté cette option et opté pour la solution Sayse. Celle-ci nous apporte l’agrégat de liens, le filtrage d’URL, le VPN, les services DHCP et DNS, ainsi qu’une supervision centralisée. En outre, les règles de routage permettent de ne pas faire passer le trafic Google ou Youtube par le VPN, mais d’utiliser directement le lien internet. Aussi, tous les boîtiers sont équipés d’une carte 4G qui offre un lien supplémentaire de secours. Le SD-WAN nous apporte une grande agilité dans le déploiement d’un nouveau centre. Nous avons la capacité de connecter un nouveau site en 48 heures seulement via la 4G ou la 5G en attendant que les liens FTTH pro ou xDSL soient activés par les opérateurs. Il suffit de brancher l’appliance Sayse sur le réseau local du site en question et celui-ci devient nativement connecté à notre SD-WAN UCPA. J’estime que nous réalisons ainsi une économie de 30 % à 40 % par rapport à notre réseau MPLS. Et encore ne s’agit-il que de l’économie réalisée sur les coûts réseau. »
