Si les atouts du SD-Wan en termes d’agilité et de coût sont évidents, sécuriser ces architectures demande de revoir les approches traditionnelles et surtout miser sur l’automatisation des solutions.
La vague SD-Wan est en train de monter auprès des entreprises qui se tournent vers cette nouvelle approche du Wan. Les atouts de cette nouvelle technologie sont évidents : c’est l’opportunité de connecter leurs sites à un coût bien inférieur aux liens MPLS traditionnels et accompagner les métiers qui réclament de plus en plus de débit. Le SD-Wan offre notamment une bien plus grande souplesse puisqu’il devient possible de panacher dynamiquement fibres, SDSL et bientôt 5G dans un même réseau.
Le SD-WAN implique plus d’intelligence dans les équipements
Comme dans tout changement d’architecture, la sécurité doit être adaptée à cette nouvelle approche, d’autant plus que l’approche SD-WAN suppose que tous les sites de l’entreprise sont connectées entre eux via Internet. Christophe Auberger, Cybersecurity Evangelist chez Fortinet, souligne cette évolution : « Nous avons assisté à l’évolution du WAN hybride vers le SD-WAN à partir de 2015, notamment poussé par les nouveaux usages et particulièrement l’essor du Cloud. Cumuler des liens réseaux ne suffit plus, il faut y mettre de l’intelligence et de la simplicité. La solution doit reconnaitre chaque application et identifier dynamiquement quel est le meilleur chemin réseau réel pour transmettre ses données en fonction de leur nature et de l’état de chaque lien. » La gamme Fortigate de l’éditeur intègre ces fonctions de routage intelligent en temps réel et la reconnaissance des applications dès le premier paquet de données.
« La gestion des VPN est capitale dans une architecture SD-WAN étendue. »
David Brillant
Comme ses principaux concurrents, Forcepoint a implémenté des fonctions SD-WAN dans ses pare-feux de dernière génération, leur donnant la capacité de gérer plusieurs liens SD-WAN. Pour David Brillant, directeur pour la zone EMEA Sud de Forcepoint, la gestion des VPN doit être un critère clé dans le choix d’un firewall SD-Wan :
« Cette gestion des VPN est capitale car dans une architecture SD-WAN étendue, ce sont jusqu’à plusieurs milliers de firewall qui vont devoir échanger entre eux et le nombre de VPN établi augmente selon une courbe exponentielle. »
Les fonctions de détection d’intrusion
« Cette capacité à gérer un très grand nombre de firewalls et de VPN est capitale dans le ROI d’un projet SD-WAN car les coûts de maintenance de l’infrastructure de sécurité peuvent littéralement exploser et réduire à néant les économies attendues côté réseau. » Autre évolution directement dictée par l’évolution des usages, l’embarquement de fonctions de détection d’intrusion dans les firewalls ainsi que de proxification des flux web vers le Cloud « Nous savons analyser finement le trafic web afin d’identifier qui accède à quels services Cloud et pour y faire quoi » ajoute David Brillant. Orange, qui est partenaire de Forcepoint a couplé cette offre à des fonctions de DLP pour aller plus loin et tenter de localiser les fichiers sensibles que les collaborateurs pourraient avoir imprudemment stockés dans le Cloud.
Avec un débit potentiel de 20 Gbit/s, la 5G pourrait bien bouleverser à nouveau les réseaux d’entreprise et s’imposer dans les bureaux pour remplacer le Wifi, mais aussi comme un réseau incontournable dans les SD-WAN.