sd-wan-cybersecurite-exiptel

Le SD-WAN, brique essentielle de la Cybersécurité d’une entreprise

Le SD-WAN (“Software Defined Wide Area Network”) est une solution logicielle permettant de piloter les réseaux d’entreprise. Il a décollé commercialement il y a un peu plus de 5 ans, et la plupart des grandes entreprises en sont d’ores-et-déjà dotées car il propose des avantages économiques et stratégiques considérables. C’est une révolution silencieuse qui a permis aussi de contribuer à la cybersécurité des organisations, à condition d’être correctement paramétrée et pilotée.

Fonctionnement et atouts du SD-WAN 

Le SD-WAN centralise et optimise l’ensemble des liens réseau disponibles dans une entreprise, depuis les réseaux de cuivre à la fibre optique professionnelle. Il permet de mieux tirer partie des bandes passantes disponibles, en fonction des besoins et au plus près des priorités de l’entreprise. Largement boosté par les confinements qui ont accéléré le télétravail, 80% des grandes organisations utilisent déjà un SD-WAN, c’est maintenant un marché d’un milliard d’euros en 2021 qui devrait quintupler dans les 5 prochaines années horizon auquel la quasi-totalité des grandes organisations seront équipées.

L’évolution massive des applications des entreprises vers les Clouds, les fameux projets “Move-to-Cloud » (M2C), induisent une augmentation des besoins en bande passante. La sécurisation des flux de production est donc devenue une priorité absolue : la qualité d’accès au réseau sont maintenant un levier majeur de productivité, dans le cadre de la transformation digitale des entreprises.

Le SD-WAN optimise en temps réel la bande passante et la qualité de service nécessaire sur le réseau WAN de l’organisation. Il va exploiter tous les débits disponibles et réconcilie les accès en se basant sur la réalité des usages. Les applications les plus critiques ou exigeantes seront orientées vers les liens les plus performants à chaque instant. Les activités moins exigeantes en termes de temps de latence, comme le mail, seront dépriorisées lorsque c’est nécessaire.

Ce pilotage constant permet d’optimiser les flux, sur la base de règles qui peuvent être définies en fonction de l’application et même en fonction du profil d’utilisateur. Il est adapté à une architecture distribuée. Son prédécesseur principal, le MPLS (Multi Protocol Label Switching), nécessitait une architecture concentrée, et généralement géré par l’opérateur télécom de référence de l’entreprise. Le SD-WAN offre une indépendance totale par rapport aux opérateurs puisque quel que soit le fournisseur du lien internet, il peut être agrégé et donc géré par l’entreprise, qui bénéficie au passage d’un fort levier d’optimisation de sa facture de connectivité.

Cette réalité vaut également dans le cadre d’un développement multi sites, en France comme à l’international. Le SD-WAN peut être mis en place “au-dessus” d’un MPLS existant, cela a été une des clés essentielles de son succès commercial très rapide.

Une solution plus flexible, et plus sûre également 

Le pilotage du SD-WAN est au cœur des stratégies d’administration du réseau d’entreprise. La gestion des règles de sécurité devient plus centralisée, tout comme la détection d’incidents de sécurité. Il fournit aux services informatiques en entreprise une vue panoramique sur les performances et les éventuelles menaces. La surveillance des performances du SD-WAN, bien qu’elle ne soit pas une solution de sécurité à proprement parler, peut aider à détecter des comportements inhabituels, à identifier des comptes d’administrateur compromis et à identifier des menaces potentielles.

Les SD-WAN peuvent inclure une protection des données garantissant l’étanchéité des liaisons entre les utilisateurs et le service des applications Cloud qu’ils seront amenés à utiliser. Ils suivent alors le modèle de sécurité dit Zero Trust Network Access (ZTNA), qui vise à ne faire confiance à personne par défaut. Il permet un cloisonnement des données en se focalisant directement sur les accès aux applications plutôt qu’au niveau du réseau. Il inclut un système de veille constant qui permet au réseau à s’adapter aux principaux types d’attaques en ligne. Au global, le SD-WAN permet alors aux entreprises d’utiliser Internet de manière plus sécurisée.

Le SD-WAN propose aussi des tunnels chiffrés de bout en bout, construits sur l’ensemble du réseau et qui constituent une base idéale pour les pare-feux virtuels pour faire face aux cybermenaces en temps réel.

Les limites des SD-WAN 

Première limite : le SD-WAN n’est pas en soi une solution de firewalling : si presque tous les fournisseurs incluent dans leur produit un pare-feu dynamique, les organisations ont aussi tout intérêt à mettre en œuvre un pare-feu de nouvelle génération qui procède par inspection approfondie des paquets, et met en œuvre une prévention des intrusions, un filtrage Web et une protection contre les logiciels malveillants pour compléter le dispositif de cybersécurité.

Ensuite, si la solution centralisée SD-WAN améliore et simplifie la gestion de la Cybersécurité d’une entreprise, sa fonction principale n’est pas d’identifier les événements de sécurité. Il est donc utile d’également intégrer un dispositif de détection d’incident, ou SIEM (Security Information and Event Manager).  

Enfin, les SD-WAN impliquent aussi des évolutions culturelles dans les équipes infrastructures car il existe de nombreuses façons dont un attaquant peut exploiter une solution mal configurée : les configurations défaillantes peuvent ouvrir des vulnérabilités et avec le travail à distance, l’organisation doit anticiper le fait que l’équipement d’un des collaborateurs peut être compromis. L’utilisation optimisée du réseau SD-WAN suppose que l’équipe en charge du réseau acquière de nouvelles compétences : il est donc important que l’entreprise les fasse former par des experts. 

In fine, la gestion du SD-WAN demande plus de ressource en exploitation qu’un MPLS, et c’est à inclure dans l’équation économique.

En conclusion 

La mise en place des SD-WAN constitue l’évolution majeure de ces dernières années dans les communications des entreprises, tant dans sa dimension technologique que culturelle. Si leur fonctionnement est largement intégré par les responsables des infrastructures des grandes organisations, les impacts sur la cybersécurité n’ont pas encore tous été intégrés dans leur dimension stratégique.  

Les principaux fournisseurs de SD-WAN sont listés et comparés dans l’étude Gartner de Septembre 2022 qui fournit de nombreuses informations additionnelles sur la perpétuelle évolution des technologies commercialisées.