mar, 29/03/2016 - 14:30
Les réseaux qu’utilisent actuellement les entreprises ne sont pas adaptés aux objets connectés. Pour répondre aux enjeux inédits de sécurité et de bande passante, une nouvelle génération de commutateurs voit aujourd’hui le jour pour permettre de gérer directement le trafic selon le contenu des paquets de données.
Des réseaux existants peu adaptés à l’arrivée des objets connectés
Actuellement les entreprises utilisent un amalgame de plusieurs réseaux internes, ce qui pose trois problèmes bien distincts : certaines applications subissent des coupures trop longues, les points d’entrée gérés différemment complexifient l’administration et il n’y a pas assez de performance pour supporter tous les terminaux et objets qui voient le jour. Avant de pouvoir basculer dans la révolution de l’Internet des objets, les entreprises doivent donc passer à un réseau unifié.
Bien souvent, l’infrastructure réseau en place n’est pas adaptée pour les usages à venir tels que les objets connectés, et n’est pas non plus suffisamment performante pour des utilisations modernes. Par exemple, la visioconférence ne tolère pas des temps de latence de plus de 50 millisecondes, alors qu’aujourd’hui les arrêts peuvent durer 1 seconde. Autre exemple très fréquent, le suréquipement avec des salariés qui se retrouvent avec trois ou quatre appareils différents (PC, téléphone de bureau, smartphone, tablette...), sachant que seule une vingtaine suffisent à saturer la borne Wifi d’un openspace. Par ailleurs, la sécurité des équipements, qui doivent alterner entre différents mots de passe sur des réseaux sans fil, se retrouve sans aucune protection d’accès via des câbles RJ45. Dans ce contexte ajouter et sécuriser, en plus des caméras de vidéosurveillance, des alarmes ou des dispositifs de maintenance dont la fonction sera d’envoyer des relevés fiables au bon moment, semble pour le moins difficile.
Un réseau unifié pour superviser les applications plutôt que les points d’entrée
Pour répondre au défi de croissance des appareils connectés, il est possible d’installer un réseau unifié. Ainsi, tous les points d’entrée, avec ou sans fil, sont gérés par une console centrale et plus besoin pour les entreprises de se demander comment sécuriser et fluidifier l’infrastructure à partir de tel accès Wifi ou telle connexion Ethernet. Cela permet de définir des règles et des priorités sur l’ensemble du réseau en fonction de l’utilisateur, de l’appareil et de l’application.
Cette approche, appuyée par exemple par la console de supervision graphique ALE OmniVista 2500 NMS, permet d’avoir une vue aérienne en HTML5 sur la manière dont la bande passante est véritablement consommée. Chez Alcatel, nous nous sommes rendu compte que Facebook représentait 57% du trafic réseau. Il est donc possible de configurer les curseurs depuis l’interface pour que Facebook soit considéré par nos équipements réseaux comme une application non prioritaire, sauf quand il est utilisé par des équipes qui ont besoin de se connecter pour des raisons professionnelles. En définitive, nos applications professionnelles sont redevenues réactives et il a
même été libéré suffisamment de bande passante pour connecter de nouveaux terminaux sur le réseau.
Si Facebook est un exemple des plus évidents, il existe aujourd’hui de nombreuses applications en exploitation en entreprise – environ 40 par terminaux, à raison de trois terminaux par utilisateur - il y a donc matière à multiplier les réglages pour gagner encore plus de bande passante. Les derniers équipements réseau qui existent sur le marché, savent identifier les signatures des paquets jusqu’au niveau 7 des couches OSI. Cela signifie qu’ils permettent même de savoir si un paquet est de la vidéo et dans quelle compression, ou s’il s’agit d’un trafic Facebook qui correspond à un chat plutôt qu’à de la simple consultation du fil d’actualités, par exemple.
Il est ainsi possible de faire des réglages très précis. De plus en plus de signatures sont aujourd’hui reconnues, parmi lesquelles celles des paquets des applications mobiles de celles en SaaS notamment. Il devient dès lors trivial d’apporter une expérience utilisateur plus fluide sur des solutions comme Salesforce, la virtualisation du poste de travail ou encore les communications vocales et vidéo en IP. Les équipements réseau généralement déployés en entreprises discernent uniquement les paquets au niveau des services : seul le trafic web des e-mails et du partage de fichiers sont différenciés.
Unifier la sécurité des objets connectés en analysant leurs paquets de données
Les commutateurs, situés aux différents points d’entrée du réseau, assurent également la sécurité. Lorsqu’un paquet arrive sur un port donné, celui-ci est fermé par défaut. Le commutateur ne l’ouvre qu’après avoir vérifié auprès de la base de règles que la signature du paquet était autorisée à entrer sur ce port et à cet endroit du réseau. Si les conditions ne sont pas remplies, le paquet est tout simplement jeté, et peut même produire une alerte sur la console d’administration.
Ce degré de sécurité est d’autant plus nécessaire dans le cadre des objets connectés, lesquels sont susceptibles d’être des capteurs qui envoient des relevés sur des équipements critiques. Grâce aux innovations sur le marché, il devient ainsi possible d’avoir l’assurance que le trafic d’une caméra de vidéosurveillance, par exemple, sera bien un flux vidéo qui n’ira s’enregistrer que sur un serveur précis et ne pourra donc être lu à la volée par un terminal tiers, connecté à un autre endroit du réseau. Les objets connectés représentent deux inconvénients : ils sont très variés et proposent, de fait, tous, une manière particulière pour assurer la sécurité de leurs flux de données. Garantir leur sécurité, en scrutant leur paquet, est la solution universelle qui évite de se retrouver dans une situation des plus complexes.
L’identification des terminaux connectés peut se faire de plusieurs manières (adresse Mac, identifiant utilisateur référencé dans l’annuaire d’entreprise, etc.). Le commutateur se charge lui-même d’envoyer la demande d’authentification puis segmente ensuite les terminaux (et/ou utilisateurs par VLAN) au moyen de listes ACL. Ces dernières indiquent alors ce que le client peut faire sur le réseau et avec quelle priorités de trafic dans la bande passante globale. Sur les réseaux qui équipent encore la majorité des entreprises, l’authentification et l’application des règles de sécurité comme de trafic se font au niveau du coeur de réseau, ce qui signifie que les paquets d’un appareil ne sont pas régulés dès leur entrée.
Des solutions de toute dernière génération
L’analyse des paquets en temps réel jusqu’au niveau 7, sans aucun ralentissement du trafic, est rendue possible par la présence de processeurs de dernière génération dans les récents commutateurs arrivés sur le marché.
L’entreprise peut se contenter de ne migrer qu’une partie de son réseau vers ces nouveaux commutateurs. Cette migration est déterminée par les segments de réseau sur lesquels l’entreprise ne peut plus tolérer d’avoir des coupures de l’ordre de la seconde. Les acteurs de l’industrie, des transports et de la santé font partie des entreprises qui ont déjà migré vers ces nouveaux équipements, disponibles depuis à peine un an. Chez certains industriels, une panne de réseau coûte 20 000 € la seconde ! Dans les aéroports, si le Wifi est saturé, la livraison des bagages passe de 1 minute par avion à 10 minutes…
De notre côté, afin de supporter toujours plus d’objets connectés, nous étudions de très près la nouvelle norme IEEE 802.11ah qui permettrait à nos commutateurs de communiquer avec des objets connectés situés à très longue distance, au travers d’un réseau Wifi spécial. La révolution des objets connectés n’a pas fini d’impacter le marché.
A propos de l'auteur