Haulotte migre son réseau MPLS vers le SD-WAN

L’industriel met fin à sa relation avec son opérateur MPLS et divise par deux sa facture WAN en allant vers l’offre SD-WAN de Cato Networks. Une démarche qui marque aussi une étape vers une cybersécurité « Cloud Native ».

C’est une situation pour le moins paradoxale que trouve Thomas Chejfec lors de son arrivée à la DSI groupe d’Haulotte. En 2019, le groupe industriel français vient de migrer son réseau mondial sur le réseau MPLS d’un grand opérateur international, mais les premiers sites déployés arrivent déjà en fin de contrat.

Le déploiement s’est en effet éternisé sur trois ans et, accumulant les retards de tous ordres et les surcoûts, le DSI se désole de constater que le contrat avec cet acteur international absorbe près de 10 % de son budget. « En fin de déploiement, le réseau MPLS rendait le service attendu », reconnaît le DSI, « mais au vu du prix de ce contrat, j’ai lancé une consultation pour savoir comment faire évoluer ce réseau MPLS et lui chercher des alternatives. »

« Changer d’opérateur MPLS nous permettait d’atteindre une réduction de coût de 20 %, et aller vers le SD-WAN représentait un gain de 50 %. »
Thomas ChejfecDSI, groupe Haulotte

Si à l’époque du choix de MPLS en 2016 le SD-WAN n’était pas encore très répandu, le DSI compte bien jouer cette carte pour abaisser de manière très significative sa facture réseau : « Changer d’opérateur MPLS nous permettait d’atteindre une réduction de coût de 20 %, et aller vers le SD-WAN représentait un gain de 50 % ! »

Le DSI va confronter les offres SD-WAN de SilverPeak, de VMware (VeloCloud) et de Cato Networks, et c’est finalement ce dernier qui est choisi. « Je me suis rendu à Tel Aviv pour les rencontrer, voir leurs pratiques en termes de supervision et avoir une visibilité sur leur roadmap. C’est une entreprise qui a l’esprit d’une licorne, ce sont des jeunes très réactifs, qui se maintiennent à la pointe, avec une solution logicielle ultrasimple. Leur approche est d’implémenter des fonctionnalités réseau et sécurité, qui sont réellement repensées de façon “user-centric” pour les équipes IT. »

C’est notamment la qualité de l’interface utilisateur qui a fait pencher la balance en faveur de l’Israélien. « Sur ces offres SD-WAN, il y a d’une part des acteurs traditionnels du WAN face à des acteurs spécialisés, et l’approche de Cato Networks vient clairement bousculer les solutions SD-WAN proposées par les acteurs traditionnels, qui ont des interfaces de supervision plutôt lourdes. Ce qui a vraiment fait la différence pour nous, ce sont leurs approches en termes de monitoring et de facilité. Et bien évidemment le coût. Cette facilité d’utilisation a clairement fait la différence en faveur de Cato Networks : ils s’appuient sur leur propre réseau, avec une forte densité de points de présence (PoP) qui nous permettaient de bénéficier de bons accès au bon prix. »

L’interface Web de supervision permet à la petite équipe réseau composée de trois personnes, dont deux dans le centre de services d’Haulotte en Roumanie, de visualiser l’ensemble du trafic sur l’ensemble des sites en temps réel. La cartographie indique les typologies d’utilisation pour savoir, par exemple, quels sont les sites qui utilisent le plus YouTube, avec le nombre de vues ou le nombre de Giga-octets transférés.

L’autre volet du déploiement de Cato Networks porte sur la cybersécurité, un domaine où la réputation des éditeurs israéliens n’est plus à faire, et a joué à plein en faveur de Cato Networks. Haulotte a démarré avec l’offre standard de Cato networks incluant l’accès et le VPN qui est, estime le DSI, d’une simplicité exemplaire. « Pour le premier confinement, nous avons maintenu notre VPN précédent, mais nous ne disposions pas d’assez de licences. Activer de nouvelles licences VPN auprès de notre ancien opérateur allait engendrer des coûts additionnels, mais aussi des délais de mise en œuvre bien trop longs. Nous avons décidé d’activer le VPN Cato Networks. Cela nous a permis de déployer 300 personnes en moins d’une journée. »

Dans un deuxième temps, le DSI compte déployer de nouvelles briques de sécurité plus évoluées, notamment les briques dédiées à la sécurité réseau. Autre différenciant apprécié par le DSI, en faveur de la solution Cato Networks, la capacité de la plateforme à pouvoir couper l’intégralité du réseau en moins de 30 secondes sur un simple appel. Une réactivité jugée indispensable en cas d’attaques de cryptolocker afin d’en couper la propagation dans le système d’information.

Un déploiement sans douleur pour les sites

« Nous aurions pu mener le déploiement complet en moins de trois mois, mais pour ne pas avoir à payer de pénalité de sortie, nous avons étalé le déploiement sur 1 an et demi. »
Thomas ChejfecDSI, groupe Haulotte

Si le DSI estime que le déploiement de Cato Networks sur les 40 sites de l’industriel était possible en moins de 3 mois, la réalité contractuelle l’a vite rattrapé : « en termes de déploiement, nous étions contraints par les dates de fin de contrat. Nous aurions pu mener le déploiement complet en moins de trois mois, mais pour ne pas avoir à payer de pénalité de sortie, nous avons étalé le déploiement sur 1 an et demi. » Pour l’heure, le groupe continue à utiliser son réseau MPLS sur 30 de ses 40 sites. Les sites restants seront migrés au fur et à mesure des dates d’échéance des contrats de chacun, et dès qu’un contrat arrive à échéance chez l’opérateur MPLS celui-ci est basculé chez Cato Networks.

La procédure de basculement est particulièrement légère, comme l’explique Thomas Chejfec : « l'opérateur international n'est pas un fournisseur end-to-end et s'appuyait sur des contrats tiers qui doivent être résiliés. En parallèle à cela, nous provisionnons des liaisons Internet de type SDSL ou fibre et nous envoyons le boîtier avec une page A4 d’instructions à nos filiales. Celui-ci est réellement de type Plug & Play : il est installé par notre correspondant local, nous prenons le relais derrière et le site est connecté ! »

La procédure est désormais bien rodée et les trois plus importantes usines du groupe ont été migrées le même mois sans incident : « nous les avons informées par un simple email, leur disant que le réseau allait être coupé entre 19h et 22h pour changement d’opérateur. À 22 heures le réseau fonctionnait et les collaborateurs ont pu reprendre le travail sur les sites le lendemain matin, sans impact. »

Pour les utilisateurs finaux, le basculement du MPLS vers le SD-WAN était théoriquement transparent, avec toutefois des améliorations notables en qualité de service. Alors que le groupe venait de migrer vers Office 365, le passage de Skype à Teams a par exemple été ressenti comme une amélioration de la qualité des visioconférences, alors que le DSI estime qu’elle est plus du fait de Cato Networks.

« Lors de mes premiers mois chez Haulotte, le réseau était un problème quotidien. Plaintes vis-à-vis des performances, coupures fréquentes, retours négatifs des équipes internes vis-à-vis de notre opérateur. Depuis ce choix de migrer vers Cato Networks, le réseau est devenu un non-sujet. À chaque migration de site, les utilisateurs gagnent en performances, en sécurité, et la DSI n’en entend plus parler. Sur mes 10 dernières années en tant que DSI, c’est le seul projet majeur qui s’est transformé en projet mineur. Dans toutes les entreprises, un projet de migration réseau affecte tous les étages et tout le monde en parle, la migration vers Cato Networks est totalement transparente. »

Pour l’équipe réseau, le changement est de taille. Cato Networks anticipe les problèmes de liens internet et les algorithmes de l’opérateur SD-WAN détectent les problèmes de liaisons Internet avant qu’ils n’affectent les utilisateurs. Des alertes permettent à l’équipe réseau d’intervenir au plus tôt. 

Désormais, le groupe Haulotte mise sur l’Asie pour assurer la croissance future du groupe. Une usine est en cours de construction en Chine et celle-ci sera connectée au réseau du groupe par Cato Networks qui dispose déjà de plusieurs PoPs dans l’Empire du Milieu.

Pour approfondir sur WAN, SDWAN, SASE

Close