Inscrivez-vous gratuitement à la Newsletter BFM Business
Du fabricant de routeurs à l'opérateur internet, tout le monde aujourd'hui fait du VPN (Virtual Private Network), au point que ces trois lettres sont devenues un véritable fourre-tout qui plonge les DSI dans une
joyeuse confusion.
" VPN IP est une appellation marketing derrière laquelle se cachent plusieurs offres distinctes. C'est cela qui plonge les clients dans la confusion ", résume Frédéric-Luc Pouligny, consultant chez
Cesmo. Faute d'une sémantique ou d'une définition bien établie dès le départ, les réseaux privés virtuels (Virtual Private Network) regroupent aujourd'hui deux grandes catégories d'infrastructures.Les premières, proposées par les opérateurs au travers de leurs propres liens, répondent à des problématiques de "réseaux privés". Les secondes, reprises par des fabricants de routeurs ou de coupe-feu, par certains
éditeurs de logiciels et parfois par des opérateurs, répondent à des concepts de "réseaux virtuels".Cette appellation est celle qui provoque le plus de controverse, car elle regroupe aussi bien des utilitaires de chiffrement de données que des accès téléphoniques autorisant les itinérants à se connecter à distance. Finalement, la
meilleure définition que l'on peut donner des VPN s'appuie sur le dénominateur commun de toutes ces offres : fournir un réseau sécurisé aux entreprises.
Une alternative aux liaisons louées
" Établir un réseau privé consiste à dire à un routeur A d'envoyer ses paquets à un routeur B, en utilisant un câble dédié. Un réseau privé virtuel fonctionne de la même manière, mais il utilise l'infrastructure réseau
partagée d'un opérateur ", martèle doctement Jean-Jacques Vigne, responsable produits accès et avant-vente chez Colt.Chez les opérateurs, un VPN est stricto sensu un "réseau privé" qui relie différents sites d'une entreprise, mais aussi "virtuel" puisqu'il s'appuie sur l'infrastructure
partagée d'un opérateur, par opposition aux véritables réseaux privés qui recourent à des câbles dédiés reliant les sites du client. Les opérateurs parlent même de VPN IP lorsque ce réseau privé virtuel utilise de bout en bout le protocole IP en
lieu et place des technologies Frame Relay, SNA ou X.25.Par rapport à ces dernières, l'avantage de VPN IP est avant tout financier puisqu'il génère une économie de 5 à 30 % sur les coûts directs. Thibaut Bechetoille, p-dg de Maiaah!, estime même que " le VPN IP procure une
économie de 20 à 40 % par rapport au Frame Relay ".
IP, garant d'une interopérabilité de bout en bout
Enfin, la technologie IP offre une parfaite interopérabilité entre les réseaux internes et externes des entreprises, d'où " une grande souplesse dans le déploiement et l'administration du réseau ",
confirme Gilles Cornillère, directeur technique de Fontaine Consultants. Lorsque le réseau d'un seul opérateur relie tous les sites d'une entreprise, on parle de VPN opérateur.Quand un segment du réseau traverse internet, c'est-à-dire une zone où l'opérateur ne maîtrise pas le routage des données, c'est un VPN internet. La distinction entre les deux est importante, puisqu'aucune garantie de service n'est
assurée sur un VPN internet. En revanche, le client d'un VPN opérateur peut contractuellement obtenir des engagements sur les temps de transit et les débits par exemple [voir tableau page suivante], définis selon des classes de
service. Globalement, il en existe quatre.
Des classes de service par type d'usage
La première est celle du Best Effort, où les paquets de données passent dans les tuyaux uniquement lorsqu'il y a de la place. Selon les analystes et les opérateurs, cette classe de service convient aux besoins de type web et messagerie
électronique, qui concernent principalement les PME. La deuxième, baptisée Standard, constitue la première classe de service où un opérateur peut s'engager sur des débits et des temps de transit, généralement de l'ordre de 60 ms (millisecondes),
avec une certaine tolérance aux interruptions de service.Quant à la troisième, dénommée Critique, elle ne supporte en revanche aucun dysfonctionnement. Cette classe est requise lorsque la société a besoin d'échanger des flux transactionnels avec des applications de type ERP ou CRM, entre
autres. Les temps de transit se révèlent ici un peu meilleurs puisqu'ils sont compris entre 40 et 50 ms. Enfin, la quatrième classe Multimédia s'adresse aux applications de voix sur IP ou à la visioconférence." Bien entendu, un client demandeur de services garantis procédera d'abord à une phase d'audit afin d'identifier parfaitement ses flux métier ", conseille Frédéric-Luc Pouligny de Cesmo. Excepté si
ses besoins se limitent au web et à la messagerie. Encore que, mieux vaut peut-être suivre le conseil de Gilles Cornillère, de Fontaine Consultants, " ne jamais se lancer tête baissée dans un appel d'offres ".
Contrôler les engagements
Exiger contractuellement des engagements sur la qualité de service (QoS) est une chose, les contrôler en est une autre. Certes, les opérateurs mettent à la disposition de leurs clients des tableaux de bord truffés d'indicateurs, mais
ces données ne proviennent finalement que de l'opérateur lui-même. Un client soucieux du bon respect des garanties souscrites reste libre de faire appel à une société tierce comme Keynote, IP Label, Nielsen/NetRatings, Jupiter MMXI ou encore Witbe,
pour réaliser un ou deux audits par an. Philippe Poisson, p-dg de Claranet, les propose d'ailleurs de son propre chef aux clients d'offres haut de gamme. Des audits qui, nuance-t-il prudemment, " donnent une idée de la qualité de
nos services ".Si l'entreprise cliente dispose des compétences en interne, elle peut toujours réaliser quelques mesures en transférant des fichiers par FTP, notamment, ou en utilisant un logiciel de trace route. Les résultats devraient être assez
significatifs.
MPLS, le faux débat
" Du côté des technologies de transport, nous commençons à recevoir des appels d'offres VPN mentionnant le MPLS (Multi Protocol Label Switching) comme prérequis ! ", s'étonne
Jean-Jacques Vigne de Colt.Ce système de commutation multiprotocole avec étiquetage des flux serait-il donc aussi indispensable à la réalisation de VPN ? Pas sûr. Michel Paulin, un des vice-présidents de LDCom, opérateur qui a mis en ?"uvre le MPLS sur une
partie de son réseau, estime " [ne] pas [être] convaincu que le discours MPLS apporte quoi que ce soit aux entreprises. Ce n'est qu'un moyen parmi d'autres pour produire une QoS voulue.
Mieux vaut parler temps de réponse, débits et disponibilité qu'entrer dans ce débat technologique. "Même Cable & Wireless ne propose du MPLS qu'à l'international et non sur le territoire français... En fait, si les esprits associent aussi étroitement MPLS et VPN, c'est certainement plus la réussite d'une campagne marketing
dont Cisco, l'ex-Newbridge (Alcatel) ou Nortel sont à l'origine que le signe d'une réelle complémentarité.Qu'on se le dise, ce système de commutation multiprotocole avec étiquetage des flux est employé par les opérateurs dans les dorsales de leur réseau. Aux extrémités du réseau, c'est la technologie Diffserv qui est mise en ?"uvre. Voilà
pourquoi les entreprises ne recourront jamais au MPLS de bout en bout. Bien sûr, cela reste possible, mais il faut alors y consacrer des moyens pharaoniques : chez Cisco par exemple, un routeur MPLS d'entrée de gamme coûte près de 6 500 ?,
auxquels s'ajoutent 10 % de ce montant, par an, pour son administration et sa maintenance.Relier tout un réseau d'entreprise avec du MPLS de bout en bout représenterait une somme considérable, pour un très modeste bénéfice. En soi, un c?"ur de réseau MPLS apporte déjà quelques avantages, " en offrant
notamment une différence perceptible en matière de temps de réponse ", affirme Frank Pharose, chef produit chez Maiaah!.
Les alternatives au MPLS
Certains proposent donc des solutions alternatives. Les offres de Packeteer, Ipanema ou Streamcore sont des boîtiers capables de gérer les flux applicatifs selon différentes priorités. Il n'est pas évident que ces technologies se
révèlent très avantageuses en terme de rapport coût/efficacité.En effet, installer ces dispositifs sur chaque point d'accès d'une entreprise multisite n'apporte rien si " ces gestions de priorités ne sont pas reprises sur chaque point du réseau ", analyse David
Brett, chef produit Data et VPN chez Cable & Wireless.Or, mettre en ?"uvre ce type de solution de bout en bout nécessite la pose et l'administration de boîtiers dédiés chez l'opérateur, ce qui risque de coûter plus cher qu'un VPN opérateur avec classe de service. Qu'il s'agisse de MPLS,
de logiciels gestionnaires de bande passante ou de signaux de fumée, l'entreprise cliente aura sans doute intérêt à se focaliser sur les services et non sur les technologies.
Une offre de chiffrement est parfois plus économique
C'est évident, les VPN d'opérateurs aideront ces derniers à sortir de la crise en transformant leur métier de fournisseurs d'accès en celui de fournisseurs de services. Ce projet ambitieux repose sur le besoin des entreprises de se
concentrer sur leur c?"ur de métier et d'externaliser la gestion de leur réseau." Des sociétés qui ont décidé d'outsourcer leur informatique, il y en a et il y en aura encore, analyse Michel Paulin de LD Com. Toutefois, il n'est pas du tout évident que toutes les entreprises
empruntent cette voie. Je crois davantage à la banalisation des prestations de service vers les entreprises, via des packages d'offres qui vont plus loin dans la prestation. "Typiquement, une offre VPN d'opérateur comprendra, outre l'accès, la location et l'administration des routeurs, ce qui soulagera l'entreprise d'un certain nombre de contraintes humaines et matérielles avec, en prime, un avantage de coût
pour la prestation de service. Une délicate alchimie qui devra répondre aux trois problématiques que sont la connexion des sites distants, la sécurité des informations et une bonne gestion des flux de données métier.Chez Cable & Wireless et chez France Télécom, connecter des utilisateurs nomades au site de la société entre dans les offres VPN. Michel Paulin appelle "réseau virtuel virtuel" ce type de besoin, puisque
l'itinérant ne sait pas où il se trouve. En y regardant de près, " la connexion des nomades repose sur deux problématiques : l'accès et la sécurité ", et non sur la gestion des flux métier.Soit. Plutôt que d'entrer dans la polémique VPN/pas VPN, mieux vaut éviter les débats techniques et sémantiques pour se focaliser sur les besoins. Dans certains cas, l'installation d'un utilitaire de chiffrement/déchiffrement sur les
ordinateurs portables des commerciaux suffira à satisfaire le besoin de l'entreprise, sans qu'il soit nécessaire de souscrire à un VPN opérateur.
Aucune garantie de service sur internet
Lorsqu'il s'agit de faire du VPN internet, " il ne peut y avoir aucun engagement sur la QoS, tranche Frédéric-Luc Pouligny, de Cesmo. Tout au plus dispose-t-on d'une garantie de l'étanchéité des
données avec un chiffrement IPSec. " Sur ce point, tous les opérateurs s'accordent à dire que le VPN internet n'est plus le marché des opérateurs, qui ne le maîtrisent pas, mais celui des équipementiers qui vendent des routeurs ou
des coupe-feu dotés de fonctions VPN, lesquelles se chargent des opérations de chiffrement/déchiffrement visant à réaliser des tunnels IPSec.Sur ce secteur, les entreprises se trouvent surtout confrontées au choix de l'achat ou de la prestation de service. L'achat d'équipements spécialisés implique son administration et sa maintenance, avec le risque d'un dépassement
technologique rapide, mais offre l'avantage d'être le maître d'?"uvre de son infrastructure réseau.En revanche, la location et la souscription à un service de maintenance, assuré par un intégrateur ou un opérateur, déchargent le client des compétences requises et de fastidieuses opérations. Cependant, au regard de l'échec des
applications proposées en mode ASP, nombre d'opérateurs ont une petite idée sur la façon dont réagiront les entreprises. Mais, au fond, le besoin des sociétés n'est-il pas simplement de connecter les différentes entités qui la composent ?
Votre opinion