Pour commencer, pouvez-vous vous présenter ?
J’évolue depuis près de 30 ans dans les domaines de l’infrastructure réseau, sécurité et télécoms. Titulaire d’un DESS en génie logiciel, j’ai démarré ma carrière en tant qu’administrateur système et réseaux dans un contexte international ou j’ai piloté la mise en place d’une des premières connexions Internet sécurisée en France et un des premiers réseaux mixte Internet & MPLS pour 35 filiales dans le monde. J’ai ensuite rejoint la Direction des Systèmes d’informations et de l’Organisation de la Ville de Bordeaux ou j’ai assuré durant 9 ans la direction du pôle réseaux, télécoms, intégration et sécurité.
Consultant Senior au sein du cabinet ETIC depuis 2008, j’interviens dans des projets stratégiques et structurants en lien avec l’Infrastructure Réseau, les Communications Unifiées, ou encore la Sécurité des systèmes d’information. Au-delà de mon expérience de terrain, je suis certifié ITIL, EBIOS Risk Manager et LA ISO 27001, je suis très attaché aux bonnes pratiques mais toujours dans une approche contextualisée et pragmatique.
Quelle est votre définition d’une infrastructure réseau ?
Le terme réseau est très souvent utilisé par les utilisateurs d’une entreprise lorsqu’ils ont des problèmes de connexion à leur application ou à Internet. Finalement, pour eux, le réseau est le moyen technique qui permet à leur poste de travail de fonctionner correctement. Si vous souhaitez connaître nos missions ainsi que nos domaines d’intervention sur le sujet, vous pouvez cliquer ici pour en savoir plus.
Finalement, ils sont assez proches de la réalité, même si les problèmes de performance et de connexion peuvent avoir de nombreuses autres causes que le réseau stricto sensu.
On pourrait résumer la définition infrastructure réseau à l’ensemble des équipements, câblages et logiciels permettant le transport des données (data, voix, vidéo, …).
Comme toutes les technologies liées aux systèmes d’information, des évolutions majeures sont apparues ces 10 dernières années pour répondre aux besoins croissant de transmission de données et de connexion de différents équipements.
Ces évolutions portées par les constructeurs et les organismes de normalisation visent notamment :
- À faciliter l’administration et l’exploitation de son infrastructure.
- À répondre à des besoins croissant de connectivité
- À sécuriser davantage les infrastructures sensibles.
Ceci étant dit, on distingue en général plusieurs niveaux d’infrastructures réseaux dans les entreprises, collectivités et Hôpitaux :
Il y a bien sûr avec un vocabulaire plutôt grand public les catégories suivantes :
- Le LAN (Local Area Network) : c’est un réseau informatique à échelle locale (un bâtiment, plusieurs bâtiments proches)
- Le MAN (Metropolitan Area Network) : c’est un réseau qui regroupe plusieurs réseaux LAN géographiquement proches, souvent dans une dimension de campus, ou de ville / Métropole.
- Le WAN (Wide Area Network) : c’est un réseau « étendu » capable de couvrir une grande zone géographique (national ou international) principalement porté par les opérateurs télécoms.
Sans oublier, des infrastructures plus spécifiques :
- Internet
- Réseau IoT : réseau de connexion d’objets communicants avec de faibles besoins en bande passante, s’appuyant pour partie sur des protocoles spécifiques (LoRA, Sigfox, …)
- Le PAN (Personal Area Network) : c’est un réseau informatique personnel.
- SD-WAN déclinaison spécifique de connexion WAN et Internet
- WLAN : réseau Wi-Fi
Pour ma part, à la place de LAN, MAN, WAN, je préfère évoquer :
- Le réseau d’accès
- Le réseau de collecte ou de transport
- Le réseau de datacenter
Ils correspondent à des besoins et des usages différents et souvent à des gammes d’équipements et logiciels différents chez les constructeurs.
Il va sans dire qu’aujourd’hui on ne peut pas aborder un projet autour d’une infrastructure réseau sans intégrer la dimension sécurité.
Le schéma suivant illustre de manière macro un réseau complexe déployé à l’échelle d’un campus et qui répond aux besoins de raccordement de plusieurs milliers d’utilisateurs.
Comment améliorer son infrastructure réseau ?
Pour répondre au mieux aux interrogations de nos clients sur l’amélioration de leur infrastructure réseau, il faut bien comprendre ce qui motive cette question :
- Une obsolescence des équipements ?
- Des problèmes de disponibilité et/ou de performance ?
- Un niveau de sécurité insuffisant ?
- Des besoins de connectivité complémentaires ?
- Des besoins d’intégration de réseaux de Cloud public ?
- Des évolutions des infrastructures serveurs et stockage ?
- Des problèmes de gestion et d’exploitation, de compétences, de ressources ?
Les réponses passent donc par un travail de fond :
- D’identification des réseaux existant mais également serveurs, stockage et sécurité.
- De définitions de leurs besoins, de leurs attentes.
- D’analyse des scénarios d’évolutions possibles tant sur les dimensions techniques qu’organisationnelles.
Dans tous les cas, les projets d’évolutions d’infrastructure réseau doivent intégrer le triptyque habituel :
- Quelles solutions y compris dans les dimensions supervision, administration, automatisation ?
- Quelle gestion de projet pour la mise en œuvre ?
- Quelles prestations de Maintien en Condition Opérationnelle doit-on mettre en œuvre ?
Quelles sont les attentes principales de nos clients à ce jour ?
- Comment améliorer l’accessibilité de mon Système d’Information en déployant un réseau Wi-Fi sans mettre en péril le niveau de sécurité existant, voir en l’améliorant ?
- Comment structurer mon infrastructure de datacenter pour prendre en compte 2 Datacenter/2 salles machines dans une logique de PCA et les évolutions d’architecture d’hyperconvergence des serveurs et du stockage ?
- Comment augmenter la performance et la disponibilité de mon réseau de collecte (cœur de réseaux) ?
- Comment sécuriser les accès à mon réseau et mettre en œuvre les préconisations de l’ANSSI sur la segmentation des réseaux ?
- Comment mieux gérer mon réseau et optimiser l’exploitation et l’administration en automatisant certaines tâches ?
Pour apporter quelques bribes de réponse à ces différentes questions :
1- Le Wi-Fi est devenu un service essentiel à mettre en œuvre dans un réseau d’entreprise. Il offre la mobilité et possède aujourd’hui des qualités qui rivalisent avec le réseau filaire Ethernet. Les débits en Wi-Fi ne sont donc plus un obstacle au déploiement de cette solution avec les dernières normes Wi-Fi 5 (802.11 ac) et Wi-Fi 6 (802.11 ax). La question principale à régler est la sécurité. De part sa nature propre d’onde radio, un réseau Wi-Fi peut difficilement être circonscrit aux locaux de l’entreprise, il est visible de l’extérieur de l’entreprise ce qui représente un risque complémentaire. De plus, les différentes failles de sécurité des protocoles de chiffrement WPA, WPA2, … Ne facilitent pas un bon niveau de confiance dans ce type de réseau. C’est pourquoi il est aujourd’hui essentiel de coupler l’utilisation d’un réseau Wi-Fi avec des solutions de gestion des accès basées sur le protocole 802.1X. Cette approche permet de simplifier la gestion et de sécuriser plus fortement les connexions au réseau. On peut noter que ces outils ont également tout leur rôle à jouer dans le contrôle d’accès au réseau filaire.
2- Le besoin en bande passante des serveurs vers les utilisateurs et des serveurs entre eux, ainsi que la sécurisation de l’infrastructure sur au moins 2 Datacenters/Salles machine ont conduit les constructeurs à développer de nouvelles solutions basées sur des approches dite de « fabric ». Ces solutions permettent une évolutivité simplifiée et une administration simplifiée. Elles permettent également pour certaines de s’interconnecter aux solutions de réseau du Cloud public. (Amazon, Google, …)
3- Un réseau de campus comme celui d’une métropole est une entité vivante au sens où des évolutions permanentes sont demandées aux équipes réseaux. Dans la logique des solutions de « fabrics » des datacenters, les constructeurs proposent maintenant la même approche sur les campus. Ces offres étant relativement récentes, il convient de faire la part des choses entre le discours Marketing des constructeurs et la réalité opérationnelle.
4- L’ANSSI à travers son guide d’hygiène, les directives NIS et NIS 2, préconise la segmentation des réseaux afin de limiter et de contrôler les échanges entre des périmètres différents, comme par exemple, séparer le réseau d’accès du réseau datacenter. Deux grandes approches permettent ces segmentations tout en conservant une gestion efficiente : la mise en œuvre de Firewall en coupure ou la mise en œuvre de Firewall sur l’ensemble des serveurs via notamment la solution NSX de VMware. Ces deux approches doivent être comparées et évaluées au regard de l’existant et/ou des choix de constructeur sur la partie Datacenter.
5- Les ressources et les compétences réseaux sont rares et chères, l’infogérance de l’infrastructure réseau peut être une réponse afin de moins solliciter ces ressources sur des actions sans grande valeur ajoutée comme la gestion des changements standard, le diagnostic de 1er niveau, … L’automatisation est également une approche permettant un gain de temps et une homogénéisation des actions. L’intégration du périmètre réseau dans des solutions existantes ou pas d’automatisation type Ansible peut être une réponse à la charge croissante des équipes réseaux. Ce mouvement s’inscrit en cohérence avec les évolutions d’organisation de type devops ou l’automatisation est recherchée au maximum. Cette démarche soulève en parallèle des questions d’organisation et de responsabilité entre les équipes réseaux et systèmes qu’il ne faut pas sous-estimer.
Que pensez-vous de l’engouement autour du SD-WAN et des évolutions SASE ?
C’est une excellente question et je vous propose d’en reparler lors d’un prochain échange 😉
