MPLS vs IPsec : quel protocole d'interconnexion pour vos sites distants ?

Interconnecter des sites distants implique un choix d’architecture qui engage la fiabilité des échanges, la qualité des usages temps réel et le niveau de supervision dont dispose l’équipe IT. Le comparatif MPLS vs IPsec ne se résume pas à “privé contre chiffré” : il porte sur six critères opérationnels que tout DSI ou responsable réseau doit évaluer avant de signer un contrat. Ce guide détaille chaque critère, chiffres et mécanismes à l’appui, pour que l’arbitrage repose sur des faits et non sur une plaquette commerciale.

Pour une vue d’ensemble de ce que couvre un réseau privé opéré au quotidien, la page dédiée au VPN MPLS d’entreprise avec QoS et supervision décrit l’offre complète, de la collecte multi-opérateurs au portail de pilotage.

MPLS et IPsec, deux logiques d’interconnexion radicalement différentes

Le VPN IPsec repose sur Internet public et un chiffrement par tunnel

L’interconnexion IPsec utilise l’accès Internet de chaque site. Les données transitent par le réseau public, ce qui impose un chiffrement systématique via le protocole IPsec pour créer un tunnel sécurisé entre deux équipements. Concrètement, chaque site doit disposer d’un firewall capable de monter le tunnel vers les autres sites, de gérer les clés de chiffrement et d’appliquer les politiques de sécurité locales.

Cette architecture est décentralisée par nature. Chaque firewall est un point d’administration indépendant. Les règles de filtrage, les VLAN, les contrôles d’accès doivent être configurés et maintenus sur chaque équipement. Pour une entreprise à cinq sites, cela reste gérable. À vingt ou trente sites, la charge d’administration devient un poste de coût à part entière, et le risque d’incohérence entre les configurations augmente avec chaque ajout.

Le principal atout de l’IPsec est son coût d’entrée. Puisqu’il s’appuie sur des liens Internet standards, les accès sont moins chers que des liaisons privées. Le déploiement est rapide, ne nécessite pas de relation contractuelle avec un opérateur MPLS, et permet d’interconnecter deux sites en quelques heures si les firewalls sont déjà en place. Pour des sites temporaires, des agences à faible criticité ou des interconnexions ponctuelles, cette agilité a une valeur réelle.

Le VPN MPLS fonctionne sur un réseau privé opéré avec commutation par labels

Le MPLS (Multi-Protocol Label Switching) n’utilise pas Internet. Chaque paquet reçoit un label dès l’entrée du réseau opérateur, ce qui détermine à l’avance son trajet complet à travers le backbone. Les routeurs intermédiaires lisent l’étiquette et transmettent instantanément, sans consulter de table de routage IP. Ce mécanisme de commutation par labels est ce qui distingue fondamentalement le MPLS du routage Internet classique : le chemin est prédictible, la latence est stable, et l’opérateur maîtrise chaque nœud du parcours.

Cette maîtrise du parcours est la condition technique qui rend possible une qualité de service contractuelle. Parce que l’opérateur contrôle l’ensemble des équipements traversés, il peut réserver de la bande passante par classe de trafic, maintenir la gigue sous un seuil garanti et s’engager sur un taux de disponibilité mensuel. Ces engagements prennent la forme de SLA mesurables, avec des indicateurs suivis en temps réel dans un portail de supervision centralisé.

La sortie Internet est mutualisée et hébergée en cœur de réseau chez l’opérateur. Un seul firewall centralisé protège l’ensemble des sites. Cette centralisation simplifie radicalement l’administration de la sécurité, puisqu’une modification de politique s’applique partout simultanément, sans risque d’oubli sur un site.

Sécurité réseau : chiffrement de tunnel vs cloisonnement en cœur d’opérateur

Le modèle de sécurité IPsec repose sur le chiffrement. Chaque paquet est encapsulé dans un tunnel ESP (Encapsulating Security Payload) qui garantit la confidentialité et l’intégrité des données en transit. C’est un mécanisme éprouvé, standardisé et auditable. La contrepartie est que chaque site gère sa propre politique de sécurité via un firewall local. Lorsqu’il faut bloquer l’accès à un nouveau service cloud non conforme, la règle doit être déployée sur les dix, vingt ou trente firewalls de l’infrastructure. Un oubli sur un site crée une faille que les autres configurations correctes ne compensent pas.

Prenons un cas concret. Une entreprise de distribution avec quinze agences en IPsec détecte un accès non autorisé à un service de stockage cloud grand public. L’équipe IT doit se connecter à quinze consoles de firewall distinctes pour ajouter la règle de blocage. Si une agence est oubliée, le trafic non conforme continue de transiter depuis ce site pendant des semaines, parfois des mois, avant qu’un audit ne le détecte.

Le modèle de sécurité MPLS repose sur le cloisonnement. Les données ne quittent jamais le réseau privé opéré, elles ne transitent pas sur Internet, et elles ne sont donc pas exposées aux attaques de surface (DDoS, interception, man-in-the-middle) qui ciblent les flux publics. Le MPLS ne chiffre pas nativement les données en transit, ce qui est parfois présenté comme une faiblesse. En pratique, le cloisonnement physique du réseau privé élimine la menace contre laquelle le chiffrement protège. Pour les environnements soumis à des contraintes réglementaires imposant un chiffrement de bout en bout (données de santé, données bancaires), il est possible de superposer un chiffrement IPsec sur le MPLS, ce qui combine les deux couches de protection.

La cohérence de la cybersécurité est structurellement plus simple à maintenir en MPLS. Un firewall centralisé en cœur de réseau applique des politiques uniformes, journalise les flux en un point unique et simplifie les audits de conformité. En IPsec, la même rigueur demande un outil de gestion centralisée des firewalls (type FortiManager), qui ajoute une couche logicielle et un coût de licence.

QoS et priorisation des flux critiques : le critère qui tranche pour les usages temps réel

La qualité de service est le critère où la différence entre MPLS et IPsec est la plus tangible au quotidien. Un tunnel IPsec transporte tous les flux dans le même tube chiffré, sans hiérarchisation. Voix, vidéo, ERP, navigation web et sauvegardes partagent la même bande passante. Quand une sauvegarde de serveur ou une synchronisation CRM sature le lien à 17 h, la téléphonie IP subit des coupures, la visioconférence pixellise et les applications métiers ralentissent. Le firewall peut appliquer une priorisation locale en amont du tunnel, mais il ne contrôle pas ce qui se passe sur les nœuds Internet entre les deux extrémités. La QoS IPsec est une intention, pas une garantie.

La QoS MPLS opère de bout en bout sur cinq classes de service distinctes. La voix et la visioconférence bénéficient d’une priorité absolue (classe Temps Réel), puis viennent les applicatifs métiers critiques (Business 1 et 2), les flux standards (Business 3) et enfin la navigation et les téléchargements (Best Effort). Chaque classe dispose d’une bande passante réservée, et les classes prioritaires peuvent déborder sur la bande passante des classes inférieures sans que l’inverse soit possible. Un réseau MPLS de niveau opérateur délivre un taux de perte de paquets inférieur à 0,1 %, là où un lien Internet peut connaître des pics à 1 % ou 2 % en heures de pointe.

Pour une entreprise qui fait transiter voix, visio et ERP sur le même réseau, cette différence se traduit en qualité d’appel, en productivité des équipes et en satisfaction des interlocuteurs externes. Un commercial qui passe deux heures par jour en appel ne perçoit pas la différence entre MPLS et IPsec les jours calmes, mais il la subit frontalement quand le réseau est sollicité.

Débit et overhead : impact du chiffrement sur la bande passante utile

Le chiffrement IPsec ajoute un overhead à chaque paquet. L’en-tête ESP, l’authentification, le padding et l’encapsulation consomment entre 10 % et 15 % de la bande passante utile selon la taille des paquets. Sur un lien à 10 Mbit/s, cela représente 1 à 1,5 Mbit/s perdus en encapsulation, soit l’équivalent de 15 à 20 appels VoIP simultanés.

L’impact est proportionnellement plus important sur les petits paquets, qui sont précisément ceux de la voix et de la signalisation SIP. Un paquet voix G.711 fait 200 octets ; l’overhead IPsec ajoute 50 à 70 octets, soit 25 à 35 % de surcharge. Sur un lien SDSL à 2 Mbit/s alimentant un site de 15 personnes, cette perte de bande passante peut suffire à dégrader la qualité d’appel aux heures de pointe, même sans congestion Internet.

Le MPLS n’ajoute qu’un label de 4 octets par paquet. L’overhead est négligeable quelle que soit la taille des paquets, et la totalité du débit souscrit reste disponible pour les usages métier. Cette efficacité technique se traduit directement en performance applicative, surtout sur les liens à faible capacité (SDSL, 4G de secours).

Accès nomade et télétravail : un protocole commun, un modèle de sécurité différent

L’accès distant pour les collaborateurs nomades repose dans les deux architectures sur un tunnel IPsec Dialup raccordé au firewall. Le collaborateur installe un client sur son poste (FortiClient, par exemple), s’authentifie avec ses identifiants renforcés et accède au réseau comme s’il était sur site.

La différence se situe au point de terminaison du tunnel. En MPLS, le tunnel aboutit sur le firewall centralisé en cœur de réseau, ce qui signifie que le collaborateur distant bénéficie de la même politique de sécurité, du même filtrage et de la même supervision que les utilisateurs sur site. Le trafic qui entre dans le réseau privé via le tunnel est soumis aux mêmes règles que le trafic local. Si le collaborateur tente d’accéder à une ressource bloquée par la politique de sécurité, le blocage s’applique sans configuration supplémentaire.

En IPsec, le tunnel aboutit sur le firewall local d’un site spécifique. La disponibilité de l’accès distant dépend de celle de ce site. Si le firewall du site A tombe, les collaborateurs configurés pour s’y connecter perdent leur accès, même si les vingt-neuf autres sites fonctionnent normalement. La politique de sécurité appliquée est celle du firewall local, qui peut diverger de celle des autres sites si les configurations ne sont pas parfaitement synchronisées.

Pour le télétravail, les déplacements et les astreintes, le protocole d’accès est identique. Ce qui diffère, c’est le niveau de service en aval du tunnel. La téléphonie IP d’un collaborateur distant raccordé via le cœur MPLS bénéficie de la QoS du réseau privé. Le même appel, raccordé via un firewall IPsec local, traverse Internet sans garantie de qualité.

Supervision et pilotage réseau : vision consolidée vs administration distribuée

En architecture IPsec, la supervision se fait équipement par équipement. Chaque firewall génère ses propres logs, ses propres alertes, ses propres métriques de performance. Corréler un incident réseau entre deux sites demande de croiser manuellement les données de deux consoles d’administration distinctes. Identifier si un problème de qualité d’appel provient du lien Internet, du tunnel IPsec, du firewall ou de l’application nécessite une investigation multi-outils qui peut prendre des heures.

En MPLS, le portail de supervision est centralisé. Latence, gigue, perte de paquets, disponibilité et consommation de bande passante sont visibles par site, par VLAN ou par application, depuis une interface unique. Les alertes SLA signalent une dégradation avant qu’elle n’impacte les usages. L’historique des métriques permet de justifier des arbitrages de dimensionnement auprès de la direction, données à l’appui. Ce niveau de visibilité transforme la supervision en outil de pilotage proactif, pas seulement en système de détection d’incidents.

Le portail de supervision du réseau privé MPLS inclut également la gestion des profils de QoS, les statistiques firewall, les alertes et les rapports consolidés, le tout depuis un guichet unique.

Résilience et continuité de service en cas de panne opérateur

Un tunnel IPsec dépend de la disponibilité de l’accès Internet de chaque site. Si le lien tombe, le tunnel tombe. La redondance est possible en déployant deux liens Internet chez deux opérateurs différents, mais cela double les tunnels à administrer, complexifie le routage de secours (failover) et nécessite un firewall capable de gérer le basculement automatique sans perte de session. En pratique, beaucoup d’entreprises n’activent la redondance que sur les sites principaux, laissant les agences secondaires vulnérables à une coupure unique.

En MPLS, la redondance est architecturalement native. Chaque site peut disposer de deux accès physiques (par exemple fibre FTTO + SDSL, ou fibre + 4G/5G) avec un basculement automatique transparent. La QoS est maintenue sur le lien de secours, le basculement se fait sans intervention utilisateur et sans rupture de session applicative. Les engagements contractuels couvrent le rétablissement en 4 heures sur les accès dédiés et la prise en charge en 30 minutes pour un incident bloquant. L’intégration de la 4G comme lien de secours dans le réseau privé renforce cette résilience sans ajouter de complexité d’administration.

Architecture hybride MPLS + IPsec : combiner les deux protocoles selon la criticité des sites

La réalité des réseaux multi-sites n’est pas binaire. L’approche hybride raccorde les sites critiques en MPLS avec QoS et SLA, et les sites secondaires, temporaires ou encore engagés chez un opérateur tiers en IPsec sur Internet. Le tunnel IPsec vient en complément du réseau privé, pas en remplacement. Un site qui ouvre en IPsec peut être basculé en MPLS à l’échéance de son contrat opérateur, sans interruption de service ni changement d’adressage.

Cette architecture est la plus fréquemment déployée. La couche MPLS est native sur le backbone opérateur, le tunnel IPsec intègre les cas particuliers. Les deux types de sites sont supervisés depuis le même portail, ce qui maintient une vision consolidée malgré l’hétérogénéité des accès. Le coût global est optimisé, puisque seuls les sites qui en ont besoin bénéficient de la QoS garantie du MPLS, tandis que les autres accèdent au réseau à moindre coût via IPsec.

Pour une comparaison avec le SD-WAN, qui est une autre approche de l’hybridation réseau, notre article détaille les différences entre SD-WAN et MPLS et les scénarios où chaque technologie prend le dessus.

Tableau comparatif MPLS vs IPsec sur les critères opérationnels