Du MPLS à la connectivité Internet : pourquoi les entreprises françaises passent à la vitesse supérieure

Ces dernières années, un nombre croissant d'entreprises ont opéré un changement significatif dans leur infrastructure réseau en abandonnant la connectivité MPLS (Multiprotocol Label Switching) au profit d'une connectivité Internet en tant que réseau de transport, également appelé underlay.

Ce faisant, elles remplacent la fonction MPLS de connexion des sites par un réseau virtuel basé sur la technologie SD-WAN, également appelée overlay.

Le principal moteur de ce changement est la réduction des coûts, car la connectivité internet est nettement plus économique que les services MPLS traditionnels. Cependant, lorsque les entreprises envisagent d’engager cette transition, elles doivent garder à l'esprit plusieurs réalités essentielles.

Le MPLS a longtemps été le choix d’élection des entreprises en raison de sa fiabilité et de ses caractéristiques de sécurité. Toutefois, ces atouts ont un prix élevé, qui rend souvent la mise en œuvre à grande échelle trop coûteuse pour de nombreuses entreprises. La connectivité internet, en revanche, offre une alternative plus abordable. Elle constitue par conséquent une alternative attrayante pour les entreprises qui cherchent à réduire leurs dépenses en matière de réseau.

Si le coût est une motivation importante, les entreprises doivent placer le curseur entre exigence de fiabilité et impératifs budgétaires. La technologie MPLS est réputé pour sa fiabilité et sa prévisibilité, car elle délivre des connexions dédiées et privées qui ne sont pas sujettes à la congestion ou à des dégradations de performance. En revanche, la connectivité internet est un support partagé, mutualisé. La conséquence ? Une variabilité des performances et de la fiabilité qui ne doit pas être négligée.

Le rôle du SD-WAN

Le rôle de l’overlay SD-WAN permet d'atténuer la variabilité potentielle des performances de la connectivité Internet. En effet, l'un des principaux avantages du SD-WAN réside dans la possibilité d'utiliser le bon type et le bon nombre d'accès Internet en fonction du budget et de la criticité du site. Par exemple, un site très critique peut exploiter plusieurs liaisons internet intégrant un très haut niveau de service (SLA), tandis qu'un site moins critique peut n'utiliser qu'un ou deux accès internet ordinaires.

Le SD-WAN présente par ailleurs l’avantage de basculer, automatiquement et en temps réel vers  la liaison la plus performante (Internet ou MPLS) pour le type d'application ou d’activité donné. Toutes les liaisons ne se valent pas pour une application donnée. Ainsi, une liaison peut être plus performante pour le trafic Office 365, tandis qu’une autre se révèle plus adaptée pour la connectivité IaaS. Ces bascules automatiques, s’effectuent en temps réel en tenant compte de la disponibilité de chaque lien. Le principal avantage de cette approche, c’est son pragmatisme. Il n’est plus nécessaire de réserver certains liens à une seule dimension de secours (Active-Backup) mais, au  contraire de tirer parti de tous les liens disponibles en permanence dans une dimension « Active-Active ».

Dans cette configuration, la disponibilité des liaisons internet est cruciale puisqu'il s'agit désormais d'actifs critiques pour l'entreprise. En d'autres termes, si les connexions internet ne fonctionnent pas, l'entreprise ne peut pas produire. C'est là que les dispositifs de sécurité tels que les DDoS sont très importants, mais il s'agit là d'une discussion distincte.

Dans un monde où de plus en plus de services sont consommés sous une forme dématérialisée (IaaS – Infrastructure as a Service ou SaaS – Software as a Service), on pourrait discuter de l'utilité d'investir dans un réseau d’overlay qui vise à relier les sites entre eux. Ce point de vue, même s'il est tenable à très long terme, doit être nuancé.

Tout d'abord, le SD-WAN que nous prenons pour acquis aujourd'hui n'est pas le SD-WAN qui était à notre disposition il y a cinq ans. Par exemple, certaines fonctionnalités telles que l'accès On-Ramp ou les capacités d'observabilité n'étaient pas incluses à l'époque. De la même façon, nous ne savons pas exactement quelles seront les prochaines fonctionnalités des solutions SD-WAN dans 5 ans.

Par ailleurs, même si la gestion de l’overlay est l'un des rôles essentiels du SD-WAN, ce n'est pas le seul. Par exemple, même sans Overlay, l'appliance SD-WAN peut toujours être utilisée pour répartir le trafic sur plusieurs liens Internet en fonction de leur performance.

Enfin, pour les sites de taille moyenne, le dispositif SD-WAN est souvent utilisé pour la ségrégation du réseau, en séparant plusieurs VLAN ou en fournissant des fonctions de sécurité locales telles qu'un pare-feu en direct ou un IDS/IPS.

En utilisant des principes définis par logiciel, le SD-WAN offre aux organisations davantage de flexibilité, d'agilité et d'économies. C’est en cela, qu’il s’impose comme une alternative convaincante aux réseaux MPLS traditionnels.

Avec l'adoption croissante des services cloud et des environnements multi-cloud, le SD-WAN constitue une promesse de connectivité optimisée aux plateformes cloud en acheminant dynamiquement le trafic vers le chemin le plus approprié, améliorant d’autant les performances et minimisant les temps de latence.

Les entreprises devraient également s'intéresser aux fournisseurs qui intègrent la durabilité dans leurs services en transformant les dispositifs MPLS existants en dispositifs SD-WAN. Cela peut contribuer à réduire considérablement les émissions de carbone, étant donné que la plupart des émissions se produisent lors de la fabrication et de l'expédition des équipements.

Impact sur la sécurité de l'internet

Avec la transformation SD-WAN, l'un des principaux avantages est que chaque site est désormais équipé d'une connexion Internet. Cette connectivité peut être utilisée de deux façons :

  •  En tant que transport : dans ce cas, les liens Internet sont utilisés pour créer le réseau overlay qui remplace l'ancien réseau MPLS.
  •  En tant que destination : puisqu'il existe une route locale vers l'internet, il n'est plus nécessaire de renvoyer tout le trafic internet vers un hub central, il peut dès lors être envoyé directement à la destination.    

Ce deuxième cas d’usage pose un défi majeur en matière de sécurité, puisque tous les sites ayant désormais un accès à l'internet, ils doivent tous disposer d'une sécurisation propre de leur connectivité. Pour une entreprise possédant des centaines ou des milliers de sites, le déploiement d'un dispositif de sécurité sur chaque site n'est pas une option financièrement viable. C'est pourquoi, ces dernières années, les fournisseurs de services de sécurité en périphérie (Security Service Edge - SSE) ont vu leurs activités se multiplier.

Au lieu d'appliquer des règles de sécurité localement, tout le trafic Internet en tant que destination, est envoyé vers le nuage SSE où les règles de sécurité telles que le filtrage Web, la gestion des menaces, le pare-feu et autres sont appliquées dans le nuage. Cette approche présente de nombreux avantages, le premier d’entre eux étant que toutes les parties sont protégées par une politique de sécurité cohérente et homogène qui peut même être utilisée par des utilisateurs nomades.

Cette combinaison du SD-WAN et de SSE, appelée SASE (Secure Access Service Edge), est également définie comme un point de convergence du réseau et de la sécurité en tant que service.

L’épineuse question du choix

Lorsque les entreprises envisagent de passer à la connectivité internet, il est essentiel de ne pas se focaliser uniquement sur le coût. Il existe de nombreux fournisseurs de services internet, chacun ayant ses propres forces et faiblesses.

En ce qui concerne les SASE, il existe deux approches principales :

  1.    Fournisseurs uniques : utilisation d'un fournisseur de technologie pour le SD-WAN et l'ESSE.
  2.    Best of breed : utilisation d'un fournisseur de technologie pour le SD-WAN et d'un autre pour l'ESSE.

La deuxième approche présente l'avantage de permettre de choisir la technologie adaptée à un besoin spécifique sans la « rigidité » liée à l'utilisation d'une seule technologie. À partir de là, il incombera au fournisseur de service de présenter au client un portail SASE unifié.

Le choix de celui-ci  est une décision stratégique qui doit être mûrement réfléchie. Les entreprises devraient adopter une approche holistique et choisir un fournisseur de service qui offre une solution « à guichet unique ». Cela signifie qu'elles doivent s’orienter vers celui qui propose une structure digitale s'étendant sur un ensemble complet de services et de fonctionnalités, plutôt que de choisir la solution la moins chère pour chaque fonctionnalité individuelle. Cela peut simplifier la gestion du réseau et de la sécurité et réduire la complexité opérationnelle, ce qui permet aux entreprises de gagner du temps et d'économiser des ressources.

Enfin, il est important que les entreprises s'assurent que leur fournisseur de service offre une couverture étendue sur toutes les zones géographiques où elles opèrent. Un fournisseur mondial ou national disposant d'une infrastructure de réseau robuste peut fournir une connectivité cohérente et fiable dans différentes régions.

La flexibilité est essentielle pour les entreprises françaises

Bien que cette évolution se produise à l'échelle mondiale, les entreprises françaises, en particulier, ont des caractéristiques propres dans leur approche des tendances technologiques. Les entreprises françaises sont d’une nature prudente. Elles préfèrent observer de près le marché pour s'assurer qu'une technologie apporte de la valeur et de la rentabilité avant de l'adopter. Cette approche méthodique et rigoureuse peut leur être utile pour évaluer les avantages du passage de la connectivité MPLS à la connectivité internet.

Les entreprises françaises mettent souvent l'accent sur la flexibilité et peuvent souhaiter disposer à la fois d'une connectivité MPLS et d'une connectivité internet pour répondre à leurs besoins spécifiques. En combinant solutions MPLS et connectivité internet, elles peuvent bénéficier du meilleur des deux mondes et adapter leur infrastructure de réseau en fonction de leurs besoins fluctuants au fur et à mesure de l'évolution de la technologie… et de leurs usages.

Les fournisseurs de technologies de communication (commtech) peuvent aider à répondre à ces attentes uniques, en offrant à la fois des services SD-WAN et SEE. Pour les entreprises de taille moyenne, une approche gérée ou cogérée apportera encore plus de valeur en supprimant la pénibilité de la gestion des activités quotidiennes tout en gardant le contrôle des règles et des politiques.