Les risques des réseaux VPN IP

05/09/2002 à 10h00

Du fabricant de routeurs à l'opérateur internet, tout le monde aujourd'hui fait du VPN (Virtual Private Network), au point que ces trois lettres sont devenues un véritable fourre-tout qui plonge les DSI dans une joyeuse confusion.

" VPN IP est une appellation marketing derrière laquelle se cachent plusieurs offres distinctes. C'est cela qui plonge les clients dans la confusion ", résume Frédéric-Luc Pouligny, consultant chez Cesmo. Faute d'une sémantique ou d'une définition bien établie dès le départ, les réseaux privés virtuels (Virtual Private Network) regroupent aujourd'hui deux grandes catégories d'infrastructures.Les premières, proposées par les opérateurs au travers de leurs propres liens, répondent à des problématiques de "réseaux privés". Les secondes, reprises par des fabricants de routeurs ou de coupe-feu, par certains éditeurs de logiciels et parfois par des opérateurs, répondent à des concepts de "réseaux virtuels".Cette appellation est celle qui provoque le plus de controverse, car elle regroupe aussi bien des utilitaires de chiffrement de données que des accès téléphoniques autorisant les itinérants à se connecter à distance. Finalement, la meilleure définition que l'on peut donner des VPN s'appuie sur le dénominateur commun de toutes ces offres : fournir un réseau sécurisé aux entreprises.

Une alternative aux liaisons louées

" Établir un réseau privé consiste à dire à un routeur A d'envoyer ses paquets à un routeur B, en utilisant un câble dédié. Un réseau privé virtuel fonctionne de la même manière, mais il utilise l'infrastructure réseau partagée d'un opérateur ", martèle doctement Jean-Jacques Vigne, responsable produits accès et avant-vente chez Colt.Chez les opérateurs, un VPN est stricto sensu un "réseau privé" qui relie différents sites d'une entreprise, mais aussi "virtuel" puisqu'il s'appuie sur l'infrastructure partagée d'un opérateur, par opposition aux véritables réseaux privés qui recourent à des câbles dédiés reliant les sites du client. Les opérateurs parlent même de VPN IP lorsque ce réseau privé virtuel utilise de bout en bout le protocole IP en lieu et place des technologies Frame Relay, SNA ou X.25.Par rapport à ces dernières, l'avantage de VPN IP est avant tout financier puisqu'il génère une économie de 5 à 30 % sur les coûts directs. Thibaut Bechetoille, p-dg de Maiaah!, estime même que " le VPN IP procure une économie de 20 à 40 % par rapport au Frame Relay ".

IP, garant d'une interopérabilité de bout en bout

Enfin, la technologie IP offre une parfaite interopérabilité entre les réseaux internes et externes des entreprises, d'où " une grande souplesse dans le déploiement et l'administration du réseau ", confirme Gilles Cornillère, directeur technique de Fontaine Consultants. Lorsque le réseau d'un seul opérateur relie tous les sites d'une entreprise, on parle de VPN opérateur.Quand un segment du réseau traverse internet, c'est-à-dire une zone où l'opérateur ne maîtrise pas le routage des données, c'est un VPN internet. La distinction entre les deux est importante, puisqu'aucune garantie de service n'est assurée sur un VPN internet. En revanche, le client d'un VPN opérateur peut contractuellement obtenir des engagements sur les temps de transit et les débits par exemple [voir tableau page suivante], définis selon des classes de service. Globalement, il en existe quatre.

Des classes de service par type d'usage

La première est celle du Best Effort, où les paquets de données passent dans les tuyaux uniquement lorsqu'il y a de la place. Selon les analystes et les opérateurs, cette classe de service convient aux besoins de type web et messagerie électronique, qui concernent principalement les PME. La deuxième, baptisée Standard, constitue la première classe de service où un opérateur peut s'engager sur des débits et des temps de transit, généralement de l'ordre de 60 ms (millisecondes), avec une certaine tolérance aux interruptions de service.Quant à la troisième, dénommée Critique, elle ne supporte en revanche aucun dysfonctionnement. Cette classe est requise lorsque la société a besoin d'échanger des flux transactionnels avec des applications de type ERP ou CRM, entre autres. Les temps de transit se révèlent ici un peu meilleurs puisqu'ils sont compris entre 40 et 50 ms. Enfin, la quatrième classe Multimédia s'adresse aux applications de voix sur IP ou à la visioconférence." Bien entendu, un client demandeur de services garantis procédera d'abord à une phase d'audit afin d'identifier parfaitement ses flux métier ", conseille Frédéric-Luc Pouligny de Cesmo. Excepté si ses besoins se limitent au web et à la messagerie. Encore que, mieux vaut peut-être suivre le conseil de Gilles Cornillère, de Fontaine Consultants, " ne jamais se lancer tête baissée dans un appel d'offres ".

Contrôler les engagements

Exiger contractuellement des engagements sur la qualité de service (QoS) est une chose, les contrôler en est une autre. Certes, les opérateurs mettent à la disposition de leurs clients des tableaux de bord truffés d'indicateurs, mais ces données ne proviennent finalement que de l'opérateur lui-même. Un client soucieux du bon respect des garanties souscrites reste libre de faire appel à une société tierce comme Keynote, IP Label, Nielsen/NetRatings, Jupiter MMXI ou encore Witbe, pour réaliser un ou deux audits par an. Philippe Poisson, p-dg de Claranet, les propose d'ailleurs de son propre chef aux clients d'offres haut de gamme. Des audits qui, nuance-t-il prudemment, " donnent une idée de la qualité de nos services ".Si l'entreprise cliente dispose des compétences en interne, elle peut toujours réaliser quelques mesures en transférant des fichiers par FTP, notamment, ou en utilisant un logiciel de trace route. Les résultats devraient être assez significatifs.

MPLS, le faux débat

" Du côté des technologies de transport, nous commençons à recevoir des appels d'offres VPN mentionnant le MPLS (Multi Protocol Label Switching) comme prérequis ! ", s'étonne Jean-Jacques Vigne de Colt.Ce système de commutation multiprotocole avec étiquetage des flux serait-il donc aussi indispensable à la réalisation de VPN ? Pas sûr. Michel Paulin, un des vice-présidents de LDCom, opérateur qui a mis en ?"uvre le MPLS sur une partie de son réseau, estime " [ne] pas [être] convaincu que le discours MPLS apporte quoi que ce soit aux entreprises. Ce n'est qu'un moyen parmi d'autres pour produire une QoS voulue. Mieux vaut parler temps de réponse, débits et disponibilité qu'entrer dans ce débat technologique. "Même Cable & Wireless ne propose du MPLS qu'à l'international et non sur le territoire français... En fait, si les esprits associent aussi étroitement MPLS et VPN, c'est certainement plus la réussite d'une campagne marketing dont Cisco, l'ex-Newbridge (Alcatel) ou Nortel sont à l'origine que le signe d'une réelle complémentarité.Qu'on se le dise, ce système de commutation multiprotocole avec étiquetage des flux est employé par les opérateurs dans les dorsales de leur réseau. Aux extrémités du réseau, c'est la technologie Diffserv qui est mise en ?"uvre. Voilà pourquoi les entreprises ne recourront jamais au MPLS de bout en bout. Bien sûr, cela reste possible, mais il faut alors y consacrer des moyens pharaoniques : chez Cisco par exemple, un routeur MPLS d'entrée de gamme coûte près de 6 500 ?, auxquels s'ajoutent 10 % de ce montant, par an, pour son administration et sa maintenance.Relier tout un réseau d'entreprise avec du MPLS de bout en bout représenterait une somme considérable, pour un très modeste bénéfice. En soi, un c?"ur de réseau MPLS apporte déjà quelques avantages, " en offrant notamment une différence perceptible en matière de temps de réponse ", affirme Frank Pharose, chef produit chez Maiaah!.

Les alternatives au MPLS

Certains proposent donc des solutions alternatives. Les offres de Packeteer, Ipanema ou Streamcore sont des boîtiers capables de gérer les flux applicatifs selon différentes priorités. Il n'est pas évident que ces technologies se révèlent très avantageuses en terme de rapport coût/efficacité.En effet, installer ces dispositifs sur chaque point d'accès d'une entreprise multisite n'apporte rien si " ces gestions de priorités ne sont pas reprises sur chaque point du réseau ", analyse David Brett, chef produit Data et VPN chez Cable & Wireless.Or, mettre en ?"uvre ce type de solution de bout en bout nécessite la pose et l'administration de boîtiers dédiés chez l'opérateur, ce qui risque de coûter plus cher qu'un VPN opérateur avec classe de service. Qu'il s'agisse de MPLS, de logiciels gestionnaires de bande passante ou de signaux de fumée, l'entreprise cliente aura sans doute intérêt à se focaliser sur les services et non sur les technologies.

Une offre de chiffrement est parfois plus économique

C'est évident, les VPN d'opérateurs aideront ces derniers à sortir de la crise en transformant leur métier de fournisseurs d'accès en celui de fournisseurs de services. Ce projet ambitieux repose sur le besoin des entreprises de se concentrer sur leur c?"ur de métier et d'externaliser la gestion de leur réseau." Des sociétés qui ont décidé d'outsourcer leur informatique, il y en a et il y en aura encore, analyse Michel Paulin de LD Com. Toutefois, il n'est pas du tout évident que toutes les entreprises empruntent cette voie. Je crois davantage à la banalisation des prestations de service vers les entreprises, via des packages d'offres qui vont plus loin dans la prestation. "Typiquement, une offre VPN d'opérateur comprendra, outre l'accès, la location et l'administration des routeurs, ce qui soulagera l'entreprise d'un certain nombre de contraintes humaines et matérielles avec, en prime, un avantage de coût pour la prestation de service. Une délicate alchimie qui devra répondre aux trois problématiques que sont la connexion des sites distants, la sécurité des informations et une bonne gestion des flux de données métier.Chez Cable & Wireless et chez France Télécom, connecter des utilisateurs nomades au site de la société entre dans les offres VPN. Michel Paulin appelle "réseau virtuel virtuel" ce type de besoin, puisque l'itinérant ne sait pas où il se trouve. En y regardant de près, " la connexion des nomades repose sur deux problématiques : l'accès et la sécurité ", et non sur la gestion des flux métier.Soit. Plutôt que d'entrer dans la polémique VPN/pas VPN, mieux vaut éviter les débats techniques et sémantiques pour se focaliser sur les besoins. Dans certains cas, l'installation d'un utilitaire de chiffrement/déchiffrement sur les ordinateurs portables des commerciaux suffira à satisfaire le besoin de l'entreprise, sans qu'il soit nécessaire de souscrire à un VPN opérateur.

Aucune garantie de service sur internet

Lorsqu'il s'agit de faire du VPN internet, " il ne peut y avoir aucun engagement sur la QoS, tranche Frédéric-Luc Pouligny, de Cesmo. Tout au plus dispose-t-on d'une garantie de l'étanchéité des données avec un chiffrement IPSec. " Sur ce point, tous les opérateurs s'accordent à dire que le VPN internet n'est plus le marché des opérateurs, qui ne le maîtrisent pas, mais celui des équipementiers qui vendent des routeurs ou des coupe-feu dotés de fonctions VPN, lesquelles se chargent des opérations de chiffrement/déchiffrement visant à réaliser des tunnels IPSec.Sur ce secteur, les entreprises se trouvent surtout confrontées au choix de l'achat ou de la prestation de service. L'achat d'équipements spécialisés implique son administration et sa maintenance, avec le risque d'un dépassement technologique rapide, mais offre l'avantage d'être le maître d'?"uvre de son infrastructure réseau.En revanche, la location et la souscription à un service de maintenance, assuré par un intégrateur ou un opérateur, déchargent le client des compétences requises et de fastidieuses opérations. Cependant, au regard de l'échec des applications proposées en mode ASP, nombre d'opérateurs ont une petite idée sur la façon dont réagiront les entreprises. Mais, au fond, le besoin des sociétés n'est-il pas simplement de connecter les différentes entités qui la composent ?

L'avis de l'expert : Auditer ses besoins métier, un préalable indispensable à un projet VPN

Points à respecter avant de lancer un appel d'offres sur le VPN.

1?" Bien identifier ses besoins applicatifs métier. Inutile de réaliser un audit s'il s'agit uniquement de navigation internet et de messagerie électronique, bien que cela soit essentiel pour distinguer les flux prioritaires (exemple : application vente) des flux non prioritaires (exemple : transfert de fichiers).

2?" Étudier la sécurité à mettre en ?"uvre, identifier les flux et les sites à protéger. Un VPN IP géré sur le réseau privé d'un opérateur assure l'étanchéité du réseau vis-à-vis du monde extérieur ; mais un VPN internet, créé à partir de tunnels privés mis en place au sein de l'infrastructure publique, n'offre aucune garantie de base. Dans ce cas, il faudra envisager un chiffrement de type IPSec.

3?" Définir la qualité de service (QoS) souhaitée et le temps de réponse. Les principaux engagements de QoS concernent le temps de transit, la disponibilité ou encore le taux de perte des paquets et la gigue. Pour les délais, outre le déploiement, il faut demander des engagements sur la GTR (temps de rétablissement) et la GTI (temps d'intervention) qui conditionnent la durée de l'indisponibilité du réseau sur votre activité.

Comment ils ont fait : Un important VPN à peu de frais

" Dès 1997, la Chambre des notaires de Paris a déployé un intranet, dénommé Réseau IntraNotaires, à l'intention des 250 études notariales de Paris et de la Petite couronne. Hébergé chez Fluxus, cet intranet compte aujourd'hui 3 400 utilisateurs. Au printemps dernier, le passage au haut débit a remplacé les modes de connexion RTC ou Numéris qui présentaient le double inconvénient du coût prohibitif d'utilisation et du faible débit. Les offres du marché de type "ADSL intranet" étant inadaptées (coût élevé, obligation pour la Chambre de refacturer les accès aux études, etc.), nous avons mis en ?"uvre une alternative originale : nous avons fait réaliser par la société Navista une émulation de VPN entre les études et le Réseau IntraNotaires. Plus de 100 études bénéficient d'un accès haut débit sécurisé à notre réseau ; il leur en coûte entre 45 et 400 ? par mois en fonction de la qualité de service et des débits souhaités. "

Comment ils ont fait : Le MPLS nous apporte la qualité de service désirée

" Notre problème consistait à relier 30 sites en France et à l'étranger. Nous souhaitions également connecter nos usines, équipées par des lignes classiques, et migrer vers IP et MPLS. Enfin, nous voulions une gestion de priorité de flux afin de privilégier le temps réel vis-à-vis de la messagerie. Le MPLS n'était pas un prérequis, juste une technologie qui nous a permis d'obtenir une gestion des priorités ?" gestion difficile à assurer avec des lignes classiques, onéreuses et délicates à manipuler. En outre, le MPLS servira, à terme, à déployer des applications de voix ou de visioconférence. Actuellement, nous avons externalisé la gestion du réseau, mais hébergeons tout ce qui concerne internet, car cela revient moins cher que loutsourcing. Nous sommes peut-être trop exigeants en matière de sécurité, mais restons maître de la politique de sécurité du groupe. "

Lionel Sarrès

Votre opinion