Apparu en 2014, le sigle SD-WAN (Software-Defined Wide Area Network) renvoie à une technologie permettant aux entreprises d’améliorer la qualité des débits de leurs infrastructures. Mais cette technologie s’est aussi et surtout imposée en y ajoutant des services complémentaires comme la cybersécurité ou encore le monitoring de ces infrastructures. Retour sur l’émergence du Trusted SD-WAN.
Quel parcours pour le terme SD-WAN ? C’est quoi un SD-WAN de confiance ? Petite histoire du SD-WAN et de la gestion des réseaux dans cet article.
Origines du SD-WAN
Rapide histoire du SD-WAN et son évolution. Au tout début des années 2000, les besoins d’accès Internet concernaient essentiellement le web et les services de messagerie. Les plus grandes entreprises hébergeaient leurs serveurs mails dans leur infrastructure, quand les plus petites entreprises reposaient sur des services dédiés. Les liaisons intersites comme les réseaux étendus (Wide Area Network - WAN) reposent alors sur des liens MPLS (Multi-Protocol Label Switching). Si ce protocole permet d’offrir une bonne qualité de service, la configuration et le déploiement des liaisons MPLS restent un processus fastidieux. L'autre inconvénient est contractuel. De par sa topologie en cœur de réseau, l'entreprise cliente reste entièrement dépendante de son opérateur dont les services peuvent devenir très coûteux. La démocratisation des accès internet pour les entreprises va alors changer la donne. Plus rapides, d'une qualité en progression et surtout moins chers, ces accès internet vont devenir la norme côté entreprise.
Mais une telle utilisation des accès internet soulève de nouveaux besoins, comme les VPN pour la confidentialité des données échangées, la mutualisation de liens pour avoir une continuité de service et de l’augmentation de débit, ou encore de la QoS pour prioriser les flux les plus importants. « Ce sont ces fonctionnalités logicielles permettant l’établissement de réseaux WAN "par-dessus" Internet qui ont conduit à la définition-même du SD-WAN : le Software-Defined Wide Area Network était né », précise Julien Paffumi, Portfolio Product Manager chez Stormshield.
Les entreprises ont ensuite accéléré le mouvement et commencé à se reposer sur Internet pour leurs activités et métiers, autour des services de visioconférence ou encore des premiers cas de Software-as-a-Service ; la qualité de service d’accès à Internet devient alors centrale. C'est dans ce contexte que la technologie SD-WAN apparaît comme une alternative flexible et capable de répondre aux besoins changeants des entreprises en matière de connectivité. Mais il faut attendre 2014 pour que le SD-WAN gagne officiellement sa place en tant que nouvelle catégorie de technologie de réseau WAN. « En plus de la gestion de liens WAN, il est attendu que la technologie SD-WAN assure une bonne qualité de service », précise Julien Paffumi. Ainsi, le SD-WAN apporte une flexibilité de mise en place car il est agnostique en matière de fournisseurs d’accès internet. Surtout, il permet de prioriser les flux sortants vers Internet.
Qualité et disponibilité sont alors deux promesses du SD-WAN, mais qu’en est-il de la sécurité des données ? L’année 2016 voit alors l'entrée en jeu des éditeurs de cybersécurité autour d’une promesse simple : bénéficier à la fois de la sécurité réseau et des fonctions SD-WAN.
Principes fondamentaux du SD-WAN
Des fonctions qui se traduisent par de nombreux avantages pour les entreprises. Dans un premier temps, en s’appuyant sur des routeurs intelligents qui utilisent des connexions internet standards (ADSL, Internet haut débit, 5G), les algorithmes de gestion de trafic optimisent la qualité de service (QoS). Ensuite, à l’aide de la répartition de charge ou de reconnaissance d’applications, la technologie SD-WAN améliore la performance globale du réseau. En parallèle, le SD-WAN facilite la supervision et le contrôle des réseaux. Enfin, en optant pour des connexions Internet moins coûteuses et en adoptant une approche multi-opérateurs, les entreprises adoptent une posture plus résiliente. Une liste non-exhaustive.
Sur le marché, deux types d’offres SD-WAN se distinguent. La plus répandue est une offre SD-WAN sous la forme d’un boîtier qui s'installe facilement sur n'importe quelle terminaison de connexion internet. Une seconde offre, définie comme SD-WAN-as-a-Service, se décline sous la forme d’un SD-WAN virtualisé et hébergé dans le cloud. Une approche qui permet la création d'un réseau privé virtuel accessible depuis n'importe quel endroit dans le monde, sur lequel il est possible de retrouver toutes les applications SaaS critiques pour le business de l’entreprise (CRM, comptabilité, environnement collaboratif…).
Mais cette connectivité vers des applications tierces pose la question de la surface d’attaque de l’infrastructure au global et de sa sécurité. Car ces nouveaux usages web / SaaS entrainent une augmentation des risques (intrusions et surveillance des communications sensibles) et la nécessaire implémentation de couches de sécurité complémentaires au sein de l’architecture SD-WAN.
Enjeux sécuritaires du SD-WAN
D’après Gartner, ce sont 80% des déploiements de SD-WAN qui intégreront des impératifs de services de sécurité dans les prochaines années. Car la criticité des communications WAN au cœur de tous les échanges au sein d’une entreprise requiert une couche de sécurité et de confiance afin de garantir la confidentialité des données. Pour le réseau et les échanges intersites mais aussi les postes des collaborateurs et leurs accès directs à Internet, regrouper les fonctionnalités de SD-WAN et de cybersécurité sur un seul et même boitier est gage d’une meilleure efficacité dans la protection de votre activité.
La souscription à une offre SD-WAN sous-entend que vos données passent par un tiers. Cela pose la question de la confiance à attribuer dans ce dernier
Julien Paffumi, Portfolio Product Manager chez Stormshield
Ainsi, l’offre SD-WAN doit proposer un chiffrement robuste et de bout-en-bout. « Mais la souscription à une telle offre SD-WAN sous-entend que vos données passent par un tiers, souligne Julien Paffumi. Cela pose la question de la confiance à attribuer dans ce dernier ». Dès lors, une question légitime se pose : existe-t-il des architectures SD-WAN certifiées et/ou homologuées par un organisme de certification indépendant ? Sans surprise, la réponse est négative : à l’heure actuelle, il n’existe pas de certifications ou de qualifications SD-WAN indépendantes des fournisseurs prônant cette approche technologique. Par conséquent, il est important de disposer d’éléments concrets pour juger objectivement la solution SD-WAN choisie. À l’heure de sélectionner un éditeur parmi plusieurs solutions matérielles et logicielles, il faut se questionner, entre autres, sur la robustesse du produit et la confiance au regard des enjeux géopolitiques et économiques. La notion de robustesse est définie par l’ANSSI comme une évaluation des produits qui « consiste à éprouver leur capacité à résister à des attaques informatiques selon un contexte d’emploi et un niveau de menace définis ». La notion de confiance est quant à elle à retrouver de façon claire dans la stratégie produit des différents éditeurs. Performance, coût, sécurité, confiance : ce sont les quatre aspects qui doivent guider votre choix pour une offre de Trusted SD-WAN.
Aujourd’hui intégré avec des solutions telles que le CASB (Cloud Access Security Broker), les passerelles web sécurisée (SWG) ou encore les firewalls nouvelle génération (NGFW), le SD-WAN forme la base réseau de l'infrastructure de sécurité SASE (Secure Access Service Edge). Le SASE permet de connecter en toute sécurité les utilisateurs, les systèmes et terminaux (poste de travail, téléphone) aux réseaux distants et applications, quelle que soit leur localisation. Un autre modèle de sécurité à suivre.
