Dans un univers de service, le système d’information (SI) est nécessairement ouvert tous azimuts. Qui dit transformation numérique, pense « hypercloudification » et qui prononce Cloud généralisé conclut logiquement réseau. En ces temps de Transformation Numérique, le SI repose littéralement sur un ensemble de réseaux interconnectés dépassant les limites du simple périmètre physique interne. Dès qu’une requête est émise, qu’un transfert de données est réalisé, qu’un échange d’information a lieu, qu’une application tourne, des flux de données parcourent non seulement le Lan mais transitent également via le WAN. Alors comment maintenir l’illusion d’un SI local quand il est disséminé de par le monde ? Comment fonctionner dans un monde de plus en plus virtuel et Software Defined pour maintenir le nouveau SI étendu, s’assurer de sa résilience, de ses performances et de sa sécurité ?
Pour répondre à ces questions, deux experts de la Transformation Numérique font aujourd’hui le point. Regards croisés sur le contexte dans lequel les entreprises doivent évoluer aujourd’hui.
Un contexte propice au SD Wan
Le quotidien de Grégory Bigard, ingénieur Sécurité et Réseaux chez Hisi Group, consiste à optimiser le SI d’une entreprise et déployer des réseaux, notamment dans un cadre de transformation numérique. « Historiquement, il n’y avait qu’un WAN par entreprise, une solution MPLS la plupart du temps gérée par un unique opérateur. Une solution performante certes mais coûteuse et longue à mettre en place. La connexion à un nouveau site distant pouvant prendre plusieurs mois. Nous avions donc une architecture centralisée sur ce réseau MPLS, sortie Internet comprise. Cette architecture répondait aux besoins de l’époque où le SI était également centralisé sur 1 voire 2 Datacenter, hébergés par l’entreprise, voire l’opérateur. Mais avec l’hypercloudification et donc l’apparition de Clouds privés et publics, le SI est désormais éclaté entre des Datacenter internes et d’autres privés ou publics à l’extérieur. On a par conséquent besoin de modifier la gestion du Wan pour s’adapter à un SI dont de larges portions se trouvent à l’extérieur notamment quand les applications, celles métier comprises, sont de plus en plus en mode SaaS ce qui nécessite internet pour y accéder. L’ancien mode de fonctionnement avec un Wan Opérateur et une sortie internet centralisée est loin d’être un « chemin » optimisé pour les sites distants. Ainsi un unique opérateur avec une sortie centralisée privée qui coûte très cher ne suffit plus et ce même si la qualité de service proposée était excellente. » explique-t-il.
David Fonseca, expert en cybersécurité chez Fortinet, insiste, quant à lui, sur « l’expérience utilisateur, un véritable enjeu pour l’entreprise numérique. Or un réseau WAN unique sur lequel tout est centralisé la pénalise en termes de temps de latence. Autre point à considérer en défaveur du MPLS : avec un unique routeur MPLS en sortie d’un site distant, à la moindre défaillance de ce dernier, le site est plongé dans le « noir ». Un cas totalement inenvisageable dans le contexte actuel et ce, même si le MPLS est hautement disponible avec un SLA de seulement quelques heures. »
Des réflexions qui rendent attractive la migration vers un SD WAN (Software Defined WAN). Pour Grégory Bigard, il existe une notion de redondance des liaisons avec un SD Wan et ce, quel que soit le site considéré : avec 2 au minimum voire 3 ou 4 liens et en mélangeant les technologies : un accès de base MPLS, internet ADSL fibre publique, technologie DSL fibre grand public, voire un réseau internet mobile sans fil en 4G-5G.
Le SD Wan c’est aussi l’assurance d’une meilleure expérience utilisateur sans oublier une optimisation des coûts car les lignes MPLS sont toujours onéreuses et souvent dotées d’un débit assez faible. Et David Fonseca d’ajouter : « Si l’on considère l’aspect franco-français, on est très bien desservi en termes de lignes avec la 3G et la 4G, l’ADSL ... Mais lors d’un déploiement à l’international, Afrique, Amérique du sud ou Asie par exemple, on ne trouve pas les mêmes qualités de service et non plus les mêmes contraintes. L’enjeu devient alors de savoir comment gérer un Wan intelligemment et simplement or aujourd’hui c’est très compliqué. Par exemple, une entreprise avec 800 sites répartis dans le monde s’appuyant sur des réseaux différents en 3G-4G ou de la fibre, est difficile à contrôler pour une DSI. En revanche, une solution SD Wan permet de devenir agnostique de l’opérateur local sur les sites distants car elle s’adapte à tout environnement et possède une gestion globale centrale via l’unique plateforme de contrôle. »
Mais alors que le SD Wan va répondre aux différents besoins de l’entreprise numérique, il va cependant engendrer un nouveau challenge : comment apporter le même niveau de sécurité que dans l’environnement hérité? « Dans ce schéma, les flux ne remontent plus de manière centralisée. Le Wan et Internet ont été déportés sur les sites distants. Chaque site distant étant par conséquent connecté vers un réseau non sécurisé. Le SD Wan devra permettre d’obtenir le même niveau de sécurité qu’en « central » sur les sites distants. » estime David Fonseca.
Automatisation et Optimisation de la gestion des réseaux
Avec un SI ouvert et géographiquement éclaté, la DSI porte une attention particulière sur le quotidien de l’utilisateur et les performances du réseau SD Wan mis en place. Ceci dans l’optique d’une meilleure gestion en fonction des applications et des temps de réponse. « La DSI doit s’assurer qu’on oriente sur les bons liens les applications et ce, en fonction de leurs besoins. Elle doit également mesurer les performances des réseaux sur lesquels reposent la solution SD Wan, à savoir les réseaux Internet et en fonction des résultats gérer le routage des applications. Cela correspond à garantir une SLA par application. Son rôle est également de fournir de la qualité de service identique à celle rencontrée sur les réseaux MPLS et de garantir de la bande passante aux applications en nécessitant. Brider les applications non métier et donc non citrique fait aussi partie des tâches qui lui incombent. » détaille Grégory Bigard.
Pour David Fonseca, deux enjeux supplémentaires sont à prendre en compte: « la gestion du déploiement notamment lorsqu’il y a de nombreux sites à superviser. Et là, il s’agit de ZTP ou ZTD, Zero Touch provisionning ou Zero Touch Deployement. En d’autres termes le déploiement massif de solutions SD Wan dégagé de toute technologie trop poussée afin de ne pas engendrer de coûts trop élevés et gagner également en agilité. Le second défi auquel doit répondre la DSI est de faire évoluer le site en termes de capacité et ce, quand elle le désire et sans contrainte. »
Concrètement, pour répondre à ces enjeux, « il existe des mécanismes de ZTP et ZTD qui favorisent le déploiement et l’agilité. En ce qui concerne l’optimisation et l’automatisation des flux, autrement dit profiter d’une supervision globale du réseau, des dashboard (écrans de contrôle) peuvent faire le nécessaire en offrant, en temps réel, une visibilité sur l’état de l’ensemble des sites et sur tous les liens de chaque site. Dès qu’un problème de qualité de service est détecté (ou un problème de lien), une action corrective peut être engagée. Avoir une politique unifiée en central est important car l’industrialisation des tâches devient possible comme la gestion des exceptions : création de templates de typologie de configuration SD Wan, de sécurité, de Lan (automatiser la gestion des commutateurs et du wifi en central par exemple). Une gestion par application est également nécessaire avec des fonctions comme pouvoir identifier les applications métier afin de donner des niveaux de priorité mais aussi de savoir qui utilise une application et où. »
Tendance SD Branch
Le SD Wan, par définition, concerne le lien Wan : gestion du lien, utilisation du lien, gestion du flux qui transite via les liens. Le SD Branch, quant à lui, propose en outre une visibilité sur le SD Lan en plus d’une automatisation et gestion du Wan offrant ainsi une visibilité de bout en bout, de l’usager au Cloud. Pour David Fonseca, La console centrale qui gère l’ensemble, Wan, Lan et Sécurité existe et offre l’avantage de pouvoir consolider l’ensemble des données récupérées et donc de simplifier la gestion du tout. Mais cette simplification a un prix aujourd’hui : un déploiement mono-marque côté équipements SD Wan et SD Lan ...
Pourquoi Accompagner ?
Un projet SD Wan est une évolution majeure de la gestion d’un projet Wan pour une entreprise affirme Grégory Bigard, « La DSI devient alors son propre opérateur et bien que la solution SD Wan propose une gestion centralisée et beaucoup de moyens pour simplifier cette administration, il lui reste de nombreuses nouvelles notions techniques à appréhender. Sans compter la complexité de migration à savoir la définition de l’architecture cible, la manière d’y arriver, la mise en place d’un ZTP qui nécessite de passer via des APIs ... Face à l’ampleur de la tâche, il existe deux types d’entreprises : celles qui se font accompagner pour la mise en oeuvre et la migration puis demanderont un transfert de compétence afin de rester autonome dans la gestion du cycle de vie de la solution. Ces entreprises ont la plupart du temps un service interne étoffé côté réseau et sécurité, prêt à gérer ce quotidien. L’autre profil d’entreprise se fera aussi accompagner pour la définition de l’architecture comme celles des méthodes de mise en oeuvre de ZTP. Mais elle souhaitera également se faire accompagner dans la gestion du cycle de vie du projet et pour ce faire, elle souscrira auprès de son intégrateur à un « SD Wan as a Service ». Elle bénéficiera dans ce cas de l’expertise et de la compétence de l’intégrateur dans la gestion au quotidien : gestion des incidents, gestion de la supervision (solution, incidents et nombreuses montées en version) ». Ajoutons à cela que l’intégrateur peut jouer le rôle de guichet unique entre l’entreprise et ses différents opérateurs pour ce qui concerne les connexions internet. Ainsi en cas de problème sur un site, il peut à la fois agir sur la solution SD Wan et gérer les opérateurs en cas de perte d’un ou plusieurs liens internet.
Par Grégory Bigard, Groupe Hisi & David Fonseca, Fortinet