Pourquoi, quand et comment équiper les télétravailleurs d’un SD-WAN ?
Dans un contexte où les accès VPN se noient sous les connexions de télétravailleurs devenus majoritaires, le SD-WAN domestique apparaît bien plus fiable. Mais son prix le réserve à une élite.
La pandémie de coronavirus a changé la manière d’aborder la périphérie du réseau. On s’attendait à ne parler de Edge Computing qu’à propos des succursales et des équipements informatiques installés sur les sites d’activité. Et voilà que les principes du Edge s’appliquent en définitive majoritairement aux domiciles des télétravailleurs. Le SD-WAN étant une technologie réseau propre au Edge Computing, la question du SD-WAN chez le télétravailleur se pose.
Normalement, les télétravailleurs se connectent au SI de l’entreprise en utilisant un VPN, un dispositif réseau qui crée un tunnel vers les ressources dont ils ont besoin, de l’autre côté du pare-feu de l’entreprise. Un VPN fonctionne par session : l’utilisateur initie une connexion, puis se déconnecte une fois son travail terminé. Ce processus est a priori adapté aux collaborateurs en déplacement ou occasionnellement distants – il n’a pas été pensé pour une utilisation permanente.
De fait, le passage rapide à la situation de confinement, qui a suivi la crise pandémique de Covid-19, a mis la grande majorité des collaborateurs en télétravail et a pris la plupart des DSI au dépourvu. Avec une telle quantité d’utilisateurs connectés en même temps sur le VPN, les directions informatiques ont en effet constaté à quel point leurs services d’accès à distance étaient difficiles à utiliser, difficiles à dépanner, lents et pas nécessairement sécurisés.
De son côté, le SD-WAN résidentiel offre une sécurité plus souple qu’un VPN, ce qui en fait un meilleur choix pour une connexion permanente. Un autre avantage est qu’un SD-WAN gère aussi le trafic vers les services en cloud, alors qu’un VPN ne créera un tunnel que vers le datacenter de l’entreprise. Dans le cadre d’un VPN, l’utilisateur accède à des services comme Office 365 ou Salesforce en passant par la connexion de l’entreprise. Dans le cadre d’un SD-WAN, il y accède directement.
D’ailleurs, le VPN traite de manière basique l’accès à distance : il achemine la totalité du trafic sur sa connexion, de sorte que même le trafic non professionnel finit par passer par les passerelles de l’entreprise.
Avec un SD-WAN, le service informatique peut adopter une approche plus fine, en définissant ce qui doit arriver au siège, ce qui doit aller directement vers le cloud sous le contrôle et les paramètres de l’entreprise. De plus, il soumet les applications à différentes règles de bande passante pour garantir une expérience optimale aux activités professionnelles.
Le domicile, cette nouvelle succursale
À bien des égards, le domicile est semblable à une petite succursale. Les utilisateurs sont multiples – membres de la famille ou colocataires – et partagent un même accès Internet. Travailler à domicile nécessite d’échelonner les applications selon leurs exigences en matière de latence et de performances. L’utilisateur doit également être protégé contre les menaces externes, comme les logiciels malveillants et les attaques de phishing, et la perte de données sensibles. Enfin, pour les travaux les plus critiques, le bureau à domicile peut avoir besoin d’une connexion de secours, typiquement 4G, afin d’assurer la fiabilité et la continuité de la connexion.
Un SD-WAN répond à toutes ces problématiques. Il accorde des priorités de bande passante aux applications critiques ou à celles qui sont sensibles aux temps de latence. Il intègre différents dispositifs de sécurité, dont du chiffrement, un pare-feu, un tunnel VPN aussi, ainsi qu’un fonctionnement direct avec les systèmes de sécurité en cloud. Et puis, il est fourni avec des outils d’administration centralisés pour que les administrateurs informatiques configurent tout à distance.
Notons que le service informatique peut envoyer directement des appliances SD-WAN aux collaborateurs. Une fois branché, l’appareil s’autoconfigure en se connectant au siège de l’entreprise, avec peu ou pas d’interaction du côté de l’utilisateur. Même la voix sur IP peut être configurée, ce qui permet d’acheminer les appels arrivés au siège de l’entreprise directement vers le domicile du collaborateur.
Quand l’utilisation d’un SD-WAN à domicile est-elle judicieuse ?
Problème, le SD-WAN a un coût qui le positionne comme une solution de succursales, avec plusieurs utilisateurs connectés sur le même accès. L’équipement type coûte au moins dans les 1 000 €, contre quelques euros à peine pour la licence utilisateur d’un VPN.
Néanmoins, le SD-WAN présente techniquement un intérêt dès lors que le télétravailleur est un ingénieur ou tout autre collaborateur hautement qualifié qui a besoin d’un accès permanent à des fichiers volumineux, sensibles ou critiques. À partir du moment où ces collaborateurs travaillent en permanence depuis un lieu déterminé, les relier au système d’information via un SD-WAN, qui différencie leurs flux de ceux des personnes vivant avec eux, et qui éventuellement garantit leurs transmissions de données avec une connexion de secours, typiquement un accès 4G, peut devenir rentable.
Les avantages et les inconvénients de l’extension d’un réseau jusqu’au domicile d’un salarié se résument à trois facteurs clés.
Le premier est le type d’usages. La plupart des tâches basées sur la productivité, comme l’utilisation d’Office 365, ne nécessitent pas de connexion SD-WAN. En revanche, des applications comme l’ingénierie assistée par ordinateur en bénéficient.
Le deuxième facteur est la valeur financière du travail du salarié. Elle doit être suffisamment élevée pour que le coût de déploiement d’un SD-WAN soit rentabilisé.
Le dernier facteur est l’infrastructure à distance existante. Si l’entreprise dispose déjà d’une stratégie de télétravail éprouvée, avec des connexions fiables, il est certainement judicieux de poursuivre sur la voie du VPN. En revanche, si l’infrastructure VPN est mise à mal par la nécessité de déployer de nouvelles règles de sécurité, alors il est pertinent d’inclure certains salariés dans la stratégie de Edge Computing.
Enfin, il ne faut pas perdre de vue que, bien que la technologie SD-WAN soit relativement facile à déployer, certaines DSI se heurteront au défi de mettre rapidement en place des centaines de nouveaux sites. Chaque fournisseur de SD-WAN a ses propres méthodes pour configurer les priorités, la sécurité et la gestion des applications. De plus, une simple mise à jour peut prendre du temps.
Les solutions du marché
Un certain nombre de fournisseurs de SD-WAN proposent des options pour le télétravail :
Aruba Networks, une marque de HPE, propose le point d’accès Wifi 303H, qui se connecte sur une box Internet existante. Il fournit aux télétravailleurs un Wi-Fi haute performance, du chiffrement, un pare-feu et un filtrage du trafic. Il se pilote via Aruba Central, un portail d’administration en SaaS.
Palo Alto a récemment racheté CloudGenix et a annoncé son intention d’intégrer à terme le SD-WAN de CloudGenix dans l’offre commerciale de sa suite de sécurité Prisma. L’appliance Instant-On Network (ION) de CloudGenix se connecte à une box Internet existante et fournit des services SD-WAN, notamment le VPN, la priorisation des applications. Son administration est centralisée sur un portail SaaS. Palo Alto relie par ailleurs le client VPN à son service de sécurité Prisma, lequel fonctionne en cloud.
Fortinet propose une appliance FortiGate taillée pour les foyers, disposant de toutes les fonctionnalités SD-WAN et de pare-feu, et livrée avec ou sans modem 4G.
VMware VeloCloud dispose à son catalogue d’une petite appliance appelée SD-WAN Work@Home. À l’instar du boîtier FortiGate, elle offre un ensemble complet de fonctionnalités SD-WAN et est livrée avec ou sans modem 4G.
Citons également des solutions qui se dispensent d’une appliance matérielle :
Apcela propose le client Arcus Secure. Elle sert à étendre un VPN existant vers des fonctions de SD-WAN. Cette solution crée des tunnels sécurisés et les relie à d’autres dispositifs de sécurité, comme des passerelles web sécurisées et des plateformes de prévention des pertes de données en ligne.
Aryaka fournit un service de SD-WAN en ligne, sans client à installer. Son Aryaka Secure Remote Access sert surtout à accélérer les performances de certaines applications en ligne pour les collaborateurs en déplacement, y compris quand ils se connectent via un réseau mobile.