SD-WAN efficace et

sécurisé : un guide
pour les professionnels
du réseau
Table des matières

Synthèse 3

Introduction 4

Un SD-WAN adapté aux besoins métiers 6

Une approche orientée applications pour optimiser les niveaux de service 7

Gestion simplifiée et maîtrise du TCO 10

Tempérer la complexité du multi-cloud 13

Un WAN cellulaire LTE/5G intégré 15

Une sécurité éprouvée et intégrale 16

Du SD-WAN au SD-Branch 18

Les critères du choix d’un SD-WAN 18

2
Synthèse
Ce ne sont pas moins que trois tendances majeures qui incitent les entreprises à remplacer leurs infrastructures
obsolètes de réseau étendu (WAN) par un WAN programmable, de type software-defined (SD-WAN).

§ L'accélération digitale, qui tire parti du SaaS (Software-as-a-Service) et du IaaS (Infrastructure-as-a-Service)

renchérit les volumes et les coûts, et pèse sur les performances des liens MPLS utilisés par des WAN
traditionnels.
§ Le mode de travail hybride, qui permet à tout un chacun de travailler d’où il le souhaite, devait être temporaire
aux premiers jours de la crise sanitaire. Les entreprises s’assuraient ainsi que les travailleurs distants
disposaient d’un accès sécurisé et fiable à l’ensemble de leurs ressources corporate.
§ Les cybercriminels continuent à affûter leurs armes et leurs innovations en matière de Cybercrime-as-a-
Service, pour exécuter des attaques sophistiquées, sans expertise technique importante.

Le choix d'une solution SD-WAN relève de trois critères essentiels qui permettent de juguler ces tendances. Une
solution efficace proposera toutes les fonctions intégrées qui simplifient les tâches de gestion et opérationnelles,
optimisent l’expérience utilisateur, et garantissent une sécurité intégrale.

3
Introduction
Avec l'accélération digitale, le travail hybride et des cyberattaques toujours plus sophistiquées, le niveau
d’expérience qu’attendent les utilisateurs exige une bande passante plus importante. Les exigences en matière de
SD-WAN ont ainsi gagné en maturité. Cependant, nombre de solutions du marché ne présentent pas les critères
nécessaires. Une évolutivité limitée, l'absence d'automatisation au niveau de l’opérationnel et une intégration
déficiente entre les hubs on-ramp vers le cloud, le cloud et le SaaS, aboutissent souvent à une expérience
utilisateur médiocre qui grève lourdement la valeur d’un environnement SD-WAN. De plus, la connexion directe
des sites distants à Internet, rendue possible par un SD-WAN, implique que le trafic n’est plus routé via le data
center à des fins d'analyse de sécurité. Ainsi, une solution de SD-WAN qui se veut efficace doit intégrer d’un panel
complet de fonctions réseau, de connectivité et de sécurité, capables de s'adapter à la nature dynamique des
réseaux actuels. Une telle solution doit accélérer l'adoption rapide du cloud, être opérationnelle à l’échelle locale
et mondiale, connecter les sites distants existants et nouveaux, et être à la disposition des télétravailleurs.

4
« Le marché mondial du
SD-WAN (Software-Defined
Wide Area Network) devrait peser
USD 8,4 milliards en 2025, avec
un taux moyen de croissance de
34,5 % par an sur cette période. »1

5
Un SD-WAN en phase avec les besoins métiers
Le SD-WAN permet d’utiliser les services WAN de manière plus efficace et économique, ce qui donne aux utilisateurs
des entreprises multisites la liberté de mieux s’engager avec leurs clients, d’optimiser les processus métiers et
d’innover. Le WAN peut bénéficier de liens opérateurs supplémentaires à des fins de redondance, de répartition
des charges et d'optimisation du trafic applicatif. D'autre part, la gestion du WAN devient plus économique. Autant
d'avantages qui font que le marché du SD-WAN est attendu en forte croissance dans un avenir proche.

Pour répondre à cette dynamique, de nombreuses solutions SD-WAN ont été commercialisées ces dernières
années. Mais toutes ne proposent pas le panel fonctionnel requis.

Le SD-WAN idéal pour une entreprise dépend des besoins de celles-ci en matière de :

§ Sécurité
§ Performances applicatives
§ Accès direct (on-ramp) vers les environnements multi-cloud
§ Gestion centralisée à grande échelle

Pour répondre à ces besoins métiers, les entreprises doivent disposer d'un SD-WAN qui propose des fonctions de
sécurité et qui se dimensionne à l’ensemble de leur périmètre organisationnel, quelle qu’en soit l’envergure. Cette
solution doit également centraliser les fonctions de visibilité et de gestion.

Alors que les sites distants se connectent directement à Internet via les liens à haut débit du SD-WAN, la solution idéale
doit associer un SD-WAN et un pare-feu de nouvelle génération, au sein d’une seule appliance ou machine virtuelle.

Plutôt que de dissocier le routeur WAN du dispositif de sécurité (pare-feu, passerelle de sécurité web), un pare-
feu NGFW va assurer toutes ces fonctions, et notamment un lien WAN cellulaire en LTE/5G.

6
Identifier les applications pour améliorer les niveaux de service

De hautes performances permettent à un SD-WAN d’identifier et de piloter plus rapidement des applications.
L’inspection approfondie de la couche SSL/TLS doit s’effectuer sans ralentir les performances. Chaque paquet du
trafic chiffré doit être inspecté pour assurer un routage efficace du trafic via le SD-WAN.

D’un point de vue technique, une solution SD-WAN procède au routage des applications par l’intermédiaire de la
connexion WAN filaire ou sans fil (LTE/5G) la plus performante du moment. Pour des performances applicatives
optimales, les solutions SD-WAN doivent être capables d’identifier une large gamme d’applications et d’appliquer
des règles de routage granulaires pour chacune d’entre elles. Sans ces capacités, les applications SaaS, vidéo et
voix peuvent être ralenties, ce qui obère la productivité de l’utilisateur final.

Les solutions SD-WAN sophistiquées peuvent être configurées pour identifier les applications selon leur niveau de
criticité pour l’entreprise. Les applications critiques (Office 365, SalesForce, SAP), les applications générales de
productivité (Dropbox) et les médias sociaux (Twitter, Instagram) peuvent se voir attribuer des priorités de routage
différentes. Des politiques spécifiques peuvent être appliquées à un niveau plus granulaire, au niveau des sous-
applications (par exemple, Word ou OneNote dans Office 365).

Cette visibilité applicative approfondie et étendue sur les schémas de trafic et d’utilisation permet de mieux
allouer les ressources WAN en fonction des besoins de l’entreprise.

7
Les fonctionnalités clés d’un SD-WAN sont les suivantes :

Sélection dynamique du routage. L’identification des applications permet de hiérarchiser le routage du trafic applicatif
par rapport à la bande passante du réseau, en fonction de l’application et de l’utilisateur. Les accords de niveau de
service applicables au SD-WAN doivent pouvoir être définis pour une sélection en temps réel du meilleur lien WAN
filaire ou sans fil, en fonction du contexte. Pour les applications de priorité basse à moyenne, les entreprises peuvent
spécifier des critères de qualité et la solution sélectionnera le routage correspondant. Pour les applications prioritaires
et critiques, les entreprises peuvent définir des SLA stricts, basés sur des paramètres de gigue, de perte de paquets
et de latence.

Failover automatique. La technologie multipath permet, lorsque nécessaire, de basculer (failover) automatiquement
le trafic vers le WAN filaire ou cellulaire le plus performant. Cette automatisation en temps réel optimise l’expérience et
la productivité des utilisateurs et doit donc être fournie par la solution de SD-WAN.

Sélection intelligente des liens WAN. La sélection intelligente des liens WAN utilise la correction d’erreurs sans voie
de retour (FEC) et la duplication des paquets pour pallier certaines carences du WAN (lien de qualité médiocre par
exemple). Ceci améliore la fiabilité des données et l’expérience utilisateur pour des applications telles que les services
voix et vidéo. La FEC ajoute des données de correction d’erreurs au trafic sortant, permettant au destinataire de
corriger la perte de paquets et autres erreurs survenant pendant la transmission. La duplication de paquets permet de
router des copies de paquets vers des chemins alternatifs disponibles, et notamment des liens cellulaires LTE/5G. La
qualité des applications temps-réel est ainsi renforcée.

Prioritisation des applications. Avec des règles définies pour chaque application, l’utilisation de la bande passante
devient optimale grâce à la prioritisation QoS des applications critiques. Les applications non critiques sont, quant à
elles, limitées en bande passante pour ne grever ni les performances, ni l’expérience utilisateur.

Agrégation de la bande passante de tunnels. Pour les applications qui exigent une bande passante plus importante,
le SD-WAN doit assurer une répartition des charges en associant deux tunnels superposés, ce qui renchérit les
capacités du réseau.

8
« Une erreur classique
par rapport au SD-WAN
est de penser que toutes
les solutions se valent. »2

9
Gestion simplifiée et maîtrise du TCO

Les responsables de l’ingénierie et de l’exploitation des réseaux sont souvent confrontés à un dilemme lors
du déploiement de dispositifs SD-WAN sur différents sites distants. Les interventions physiques sur site sont
onéreuses et le nombre de techniciens est souvent limité. D’un autre côté, l’expédition de dispositifs entièrement
configurés est risquée. En outre, une fois que les dispositifs edge sont déployés, les équipes IT doivent gérer à la
fois le WAN et les fonctions de sécurité, souvent à partir de deux interfaces différentes.

Un SD-WAN sécurisé résout ces problématiques de déploiement et de gestion afin de réduire le coût total de
possession (TCO).

Déploiement automatisé. Des capacités de déploiement simplifiées permettent aux entreprises de livrer
des appliances SD-WAN non configurées sur chaque site distant. Une fois branché, le dispositif FortiGate se
connecte automatiquement à un service qui authentifie les dispositifs distants et les connecte à un système
de gestion centralisé.

Gestion à partir d’une interface unique. Une visibilité sur tous les dispositifs de SD-WAN sécurisé est essentielle.
D'autre part, un workflow simplifié s’impose pour déployer et mettre à jour les règles en quelques clics/étapes.

Une solution de SD-WAN doit être capable de gérer différents types de liaisons, et notamment des liens cellulaires
LTE/5G, pour une connectivité sécurisée entre les sites.

À l'aide de workflows guidés, d’une couche d'automatisation et de règles métiers simplifiées, les équipes IT
accélèrent le déploiement et les modifications d’infrastructure.

10
SD-WAN - Reporting et traitement analytique. Des traitements analytiques des données associées à la
disponibilité du lien WAN, aux performances des SLA et au trafic applicatif doivent permettre à l’équipe IT de
traiter rapidement toute problématique réseau.

Les fonctionnalités nécessaires sont les suivantes :

§ Reporting et surveillance de la bande passante du SD-WAN

§ Monitoring de l’historique et des logs SLA via des référentiels de données, des graphiques et des rapports
§ Alertes personnalisables sur les SLA
§ Reporting et tableau de bord sur les usages applicatifs
§ Réponse sur mesure aux évènements du SD-WAN, mise en log des évènements et archivage des SLA pour
toutes les applications et interfaces

Proxy d'accès. La solution SD-WAN idéale doit bénéficier d’une fonction de proxy d'accès, à l'image du ZTNA
(zero-trust network access). Les entreprises peuvent ainsi héberger des applications où elles le souhaitent et
néanmoins leur appliquer les mêmes règles. Le travail hybride devient ainsi sécurisé et les utilisateurs optimisent
leur expérience.

11
« En déployant une solution
SD-WAN pertinente, les
entreprises bénéficient de
nombreux avantages : pare-feu
NGFW, proxy d'accès ZTNA,
automatisation, lissage de
trafic, etc. »3

12
Maîtriser la complexité du multi-cloud

Accès à faible latence aux environnements cloud multisites. Une solution idéale de SD-WAN offre un accès
instantané à des applications mutualisées comme Office 365 notamment. Parallèlement, une sécurité intégrée
déploie une couche supplémentaire pour protéger l'accès à ces applications, tout en offrant une connexion à
faible latence via l'Internet public, qui fait ainsi partie de l’infrastructure WAN de confiance.

Ceci est d'autant plus essentiel que les télétravailleurs utilisent des applications multifonctions et basées dans
le cloud pour mener des conférences voix et vidéo. Ces applications collaboratives exigent une bande passante
importante. Dans de nombreux cas, leur trafic est chiffré, ce qui freine leur inspection. La détection des sous-
applications et une inspection SSL du trafic applicatif chiffré permettent de s'assurer que ces applications
bénéficient du lien WAN le plus performant.

Connectivité au cloud public. Le SD-WAN est une technologie clé pour la connectivité cloud. Les passerelles de
SD-WAN permettent de piloter les applications sur des liens gérés par des règles et de créer automatiquement
des tunnels IPSec vers des fournisseurs de services cloud ou entre eux. Toutes ces opérations sont assurées à
partir d'une console centralisée.

Le SD-WAN devient ainsi une couche réseau cloud pour connecter les sites distants aux services cloud et réseaux
virtuels, au sein d’un seul cloud public, voire pour interconnecter de multiples clouds entre eux. La prioritisation
du trafic par application donne la priorité au trafic le plus critique, tandis que la répartition du trafic sur différentes
routes à des fins de performances optimisées font du SD-WAN une solution idéale pour le multi-cloud. Les règles
d'accès et de sécurité sont centralisées et les administrateurs disposent d'une visibilité totale sur le trafic, les
performances et la sécurité des applications.

13
“Les trois géants du cloud
public ont agi pour faciliter
la prise en charge des
passerelles SD-WAN.”4

14
Un WAN cellulaire LTE/5G intégré

Un WAN cellulaire LTE/5G constitue un lien supplémentaire de qualité pour les accès au cloud. Il est donc plus
simple pour le SD-WAN d'assurer les niveaux de performances définis par les administrateurs réseau, ce qui
optimise l’expérience utilisateur. Les entreprises peuvent également rendre leur réseau plus fiable en assurant un
failover rapide sur un lien LTE/5G, avec répartition des charges en mode actif/actif ou en pérennisant les fonctions
de gestion sur les sites distants en cas de dysfonctionnement du réseau filaire.

Lorsqu’aucun lien filaire n’est disponible sur un site ayant besoin d'accéder au cloud, un lien LTE/5G peut faire
office de lien primaire et doit, à ce titre, être proposé par toute solution SD-WAN pertinente. Tout site ainsi équipé
disposera de la même connectivité performante que ses pairs.

15
Une sécurité éprouvée et intégrale

Une sécurité cloisonnée et non intégrée en natif génère des failles qui ouvrent la porte aux cybermenaces.
De plus, ceci génère de la complexité pour les équipes IT et pèse sur les capacités de ces équipes à fournir des
services pertinents à leur entreprise.

Il en résulte qu’un SD-WAN sécurisé doit disposer d'une protection robuste contre les menaces, avec notamment
des fonctions de sécurité pour les couches 3 à 7. Il doit pouvoir appliquer ces fonctions automatisées de sécurité
à tous les types de liens, et notamment les liens WAN cellulaires LTE/5G. La sécurité doit assurer :

§ Une protection complète contre les menaces, via un pare-feu, un antivirus, un système de prévention des
intrusions (IPS) et un contrôle applicatif
§ Un déchiffrement à haut débit et une inspection des paquets chiffrés par SSL/TLS (TLS 1.3 inclus), avec un
impact minimal sur les performances : les entreprises n'ont, en effet, pas à arbitrer entre performances et
protection complète contre les menaces
§ Le filtrage web pour renforcer la sécurité Internet sans faire appel à un dispositif SWG distinct
§ Des performances WAN élevées pour les applications cloud, avec des performances optimales des VPN pour
une expérience utilisateur supérieure et une faible latence.

Le SD-WAN sécurisé doit surveiller les règles et politiques du pare-feu et pointer les meilleures pratiques,
celles qui améliorent la sécurité globale de l’entreprise. Ceci assure le respect des normes de sécurité et la
conformité au cadre réglementaire de la protection des données personnelles et aux réglementations sectorielles.
L’automatisation des processus d’audit et de reporting permet de gagner du temps tout en réduisant le risque
d’omissions et d’erreurs.

16
Une identification précise des
applications est essentielle pour
prioritiser les applications métiers
critiques. Pour autant, la majorité
des plateformes de SD-WAN ne gère
pas le trafic chiffré.5
Sur Google, plus de 90 % du trafic
est chiffré.6

17
Du SD-WAN au SD-Branch

Il arrive que plusieurs sites distants d’entreprise décident de remplacer simultanément leurs dispositifs WAN
et LAN au profit d’une solution plus intégrée et qui simplifie la gestion de leurs opérations du site. L’utilisation
d’infrastructures WAN et LAN distinctes accentue la complexité au sein des sites distants (davantage de dispositifs
à déployer et à mettre à jour via plusieurs consoles de gestion). Ceci réduit également la visibilité et le contrôle sur
les opérations, tout en induisant un risque de failles de sécurité susceptibles d’être exploitées par les hackers. Une
solution SD-WAN pertinente saura traiter ces problématiques et accélérer le déploiement du SD-Branch, avec des
services essentiels dont une sécurité multicouche et une connectivité WAN cellulaire LTE/5G.

Les critères pour choisir son SD-WAN

Alors que les applications et outils cloud, de voix et de vidéo notamment, deviennent de plus en plus essentiels
pour les entreprises multisites, les entreprises doivent pouvoir tirer parti de l'innovation digitale sans faire courir de
risque à leur sécurité, ni grever les performances applicatives ou impacter la productivité des utilisateurs finaux.

Pour tirer parti des avantages du SD-WAN, les entreprises doivent évaluer les solutions avec soin. Rares sont
les plateformes SD-WAN qui utilisent un seul système d’exploitation pour la fonction de SD-WAN et pour la
sécurité, ce qui favoriserait pourtant une vraie intégration. Des fonctions SD-WAN et de sécurité, intégrées,
intégrales et gérées à partir d’une seule console et évolutives sont essentielles. Mais peu d’éditeurs proposent
cette perspective. De plus, un SD-WAN efficace doit disposer de fonctions avancées pour garantir la qualité
d’expérience attendue par les utilisateurs et les équipes IT, tout en améliorant la productivité opérationnelle sur
l’ensemble du WAN et sur les edges cloud.

18
1
“Software-Defined Wide Area Network (SD-WAN) Market by Component (Solutions (Software and Appliances) and Services), Deployment Type (On-Premises and Cloud), End User
(Service Providers and Verticals), and Region - Global Forecast to 2025,” Markets and Markets, consulté le 22 août 2021.
2
Robert Herriage, “How to Choose the Right SD-WAN Solution,” CDW, 23 avril 2020.
3
Renee Tarun, “Secure SD-WAN Has an Important Role to Play in Financial Services,” Fortinet, 15 avril 2021.
4
“SD-WAN Enables a Multi-cloud Freeway,” Fortinet, 28 août 2021.
5
Nirav Shah, “Enabling Self-Healing SD-WAN from the WAN Edge to the Cloud Edge,” Fortinet, 22 juin 2021.
6
“Google Transparency Report,” Google, consulté le 22 août 2021.

www.fortinet.com/fr

Copyright © 2022 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres noms Fortinet mentionnés dans le présent document peuvent également être des marques déposées et/ou
des marques de droit commun de Fortinet. Tous les autres noms de produit ou d’entreprise peuvent être des marques commerciales de leurs détenteurs respectifs. Les données de performances et autres indicateurs de mesure figurant dans le présent document ont été obtenus au cours de tests
de laboratoire internes réalisés dans des conditions idéales, et les performances et autres résultats réels peuvent donc varier. Les variables de réseau, les différents environnements réseau et d’autres conditions peuvent affecter les performances. Aucun énoncé du présent document ne constitue
un quelconque engagement contraignant de la part de Fortinet, et Fortinet exclut toute garantie, expresse ou implicite, sauf dans la mesure où Fortinet conclut avec un acheteur un contrat écrit exécutoire, signé par le directeur des affaires juridiques de Fortinet, qui garantit explicitement que les
performances du produit identifié seront conformes à des niveaux de performances donnés expressément énoncés et, dans un tel cas, seuls les niveaux de performances spécifiques expressément énoncés dans ledit contrat écrit exécutoire ont un caractère obligatoire pour Fortinet. Dans un souci
de clarté, une telle garantie sera limitée aux performances obtenues dans les mêmes conditions idéales que celles des tests de laboratoire internes de Fortinet. Fortinet rejette intégralement toute convention, déclaration ou garantie en vertu des présentes, qu’elle soit expresse ou implicite. Fortinet
se réserve le droit de changer, de modifier, de transférer ou de réviser par ailleurs la présente publication sans préavis, et c’est la version la plus à jour de la publication qui est applicable.

novembre 17, 2022 3:31 PM

372656-B-0-FR