MAIANO Informatique
Blog Technique
Réseau et sécuritéArchitecture WAN13 min de lecture

SD-WAN, MPLS, FTTO, FTTH : les bonnes briques WAN pour une PME multi-sites

Accès, transport, service : trois couches que beaucoup de dirigeants confondent. Grille de décision architecturale pour un DSI qui doit trancher sans se faire vendre une religion.

TL;DR, lecture 90 secondes
  • Trois couches à séparer mentalement : l'accès (FTTH, FTTO, 4G, 5G FWA, Starlink), le transport (L2 Ethernet opérateur ou L3 routé) et le service (MPLS-VPN, SD-WAN, VPN IPsec). Confondre les trois, c'est signer un contrat qu'on ne sait pas lire.
  • FTTH et FTTO ne sont pas la même fibre. La première est mutualisée sans GTR effective. La seconde est dédiée symétrique avec GTR 4 h ouvrées. Rapport de prix typique de 1 à 10 selon l'offre et la zone.
  • Le MPLS reste utile pour la QoS bout-en-bout contractuelle et la voix critique multi-sites. Il coûte 3 à 5 × le prix d'une FTTO équivalente, se déploie en 8 à 12 semaines, et ne chiffre pas nativement.
  • Le SD-WAN intégré au pare-feu agrège des accès hétérogènes, route par application, bascule en sub-seconde et chiffre nativement. Il ne garantit pas la QoS bout-en-bout sur internet, et engage sur un éditeur unique.
  • La vraie question n'est pas « SD-WAN ou MPLS », c'est « quelle classe de trafic sur quel transport ». L'hybride est souvent la réponse en phase de transition 12 à 18 mois.

Les trois couches qu'il faut séparer mentalement

Avant de comparer quoi que ce soit, il faut poser les briques. Un WAN d'entreprise se décompose en trois couches indépendantes, et la confusion entre les trois est la cause principale des mauvais arbitrages budgétaires.

  • Couche 1, l'accès physique. C'est le tuyau jusqu'au site. FTTH grand public, FTTO fibre dédiée, 4G et 5G mobile, 5G FWA fixe, Starlink en zone blanche. Chaque accès a un débit nominal, une garantie de temps de rétablissement (GTR) et un coût mensuel très différents.
  • Couche 2, le transport. C'est la manière dont les paquets circulent entre vos sites. Soit en Ethernet opérateur L2 (VPLS, E-Line, EVPL), soit en IP routé L3 (dont MPLS-VPN est le cas le plus courant), soit en internet public. Le choix du transport conditionne ce que vous pouvez faire côté client en matière de routage, de multicast et de VLAN.
  • Couche 3, le service réseau. C'est la valeur ajoutée logicielle au-dessus du transport. MPLS-VPN opéré, SD-WAN overlay, VPN IPsec site-à-site. Le service définit la QoS effective, le chiffrement, la résilience et la manière dont les flux sont orchestrés.

Analogie simple : l'accès est la route, le transport est le code de la route, le service est le GPS qui optimise votre itinéraire. Sans GPS, on roule moins bien. Sans route, on ne roule pas du tout.

Schéma 1, les trois couches d'un WAN d'entreprise
Les trois couches d'un WANSuperposition accès, transport, service. L'accès est la fibre ou la radio. Le transport est ethernet L2 ou IP L3. Le service est MPLS ou SD-WAN.COUCHE 3 · SERVICE RÉSEAUMPLS-VPN · SD-WAN · VPN IPsec · SASECOUCHE 2 · TRANSPORTEthernet L2 (VPLS, E-Line) · IP L3 routé · Internet publicCOUCHE 1 · ACCÈS PHYSIQUEFTTH · FTTO · 4G · 5G · 5G FWA · Starlink

FTTH, FTTO, 5G FWA, Starlink : l'accès n'est jamais neutre

La confusion la plus coûteuse commence ici. Un commercial qui vend une « fibre pro » à 80 € HT livre presque toujours une FTTH grand public sans garantie effective. Vérifier le contrat est toujours moins cher que réparer une coupure d'une journée ouvrée.

  • FTTH (Fiber to the Home). Fibre mutualisée en GPON (1 fibre pour 32 ou 64 clients), débit nominal partagé, débit asymétrique fréquent (1 Gb/s descendant, 300 Mb/s montant), GTR très faible ou inexistante, rétablissement en « jours ouvrés, meilleurs efforts », prix 30 à 60 € HT par mois.
  • FTTO (Fiber to the Office). Fibre dédiée point à point, débit symétrique garanti (100 Mb/s à 10 Gb/s selon offre), GTR 4 h en heures ouvrées classique (option 24/7 en supplément), adresse IP fixe, prix 200 à 600 € HT par mois selon débit et zone.
  • 5G FWA (Fixed Wireless Access). Box 5G opérateur sur antenne extérieure, débits 200 à 800 Mb/s selon couverture, GTR variable, utile en accès de secours ou en attente de raccordement FTTO, sensible à la météo et à la saturation de cellule.
  • Starlink Business. Liaison satellite basse orbite, latence 35 à 60 ms typique, débit 100 à 350 Mb/s, utile en zone blanche terrestre ou sur site mobile (chantier, base vie). Ne remplace pas une FTTO sur un site sédentaire.
Schéma 2, FTTH (GPON mutualisé) vs FTTO (point à point dédié)
Architecture FTTH vs FTTOLa FTTH partage une fibre entre 32 clients via un splitter GPON. La FTTO est une fibre dédiée de bout en bout entre l'OLT opérateur et le site client.FTTH · GPON mutualisé1 fibre partagée entre 32 à 64 clients, pas de GTR effectiveOLTopérateurSplitter1:32client 1client 2client 3client 4client 5client 6client 7client 8... jusqu'à 32 clientsFTTO · point à point dédié1 fibre dédiée de bout en bout, GTR 4 h ouvrées contractuelleOLTopérateurfibre dédiée symétriqueSiteclient unique30 à 60 €/mois · débit nominal200 à 600 €/mois · débit garanti

À noter : la fermeture commerciale et technique du cuivre engagée par Orange (plan 2023 à 2030) rend les offres cuivre (ADSL, VDSL, SDSL) progressivement indisponibles. Sur les sites non encore éligibles à la fibre, la 5G FWA ou Starlink Business sont désormais les options viables en attendant le raccordement.

Le bon réflexe côté DSI tient en trois vérifications. Exiger la copie de la fiche de service et du contrat d'accès. Contrôler le débit garanti symétrique et la GTR (heures ouvrées comme non ouvrées). Lire les pénalités effectives en cas de manquement. Une « fibre pro à 80 € » sans GTR contractuelle n'est pas une fibre pro, c'est une FTTH renommée.

WAN L2 ou WAN L3 : ce que chacun permet et interdit

Le deuxième niveau de confusion concerne le transport que vous achetez à l'opérateur. Deux familles bien distinctes, deux usages différents.

Ethernet opérateur L2 (VPLS, E-Line, EVPL)

L'opérateur livre un segment ethernet étendu. Tous vos sites voient un même domaine de broadcast, comme s'ils étaient sur le même LAN. Avantages :

  • Routage géré entièrement côté client, l'opérateur est transparent
  • Multicast natif, utile pour la téléphonie SIP ou la vidéoprotection multi-sites
  • VLAN traversés sans modification (trunk 802.1Q porté de bout en bout)
  • Idéal pour les réplications SAN synchrones, les clusters applicatifs multi-sites, les plans d'adressage IP étendus entre sites

Limite principale : l'opérateur ne garantit pas la QoS par application. Il garantit le débit et la disponibilité du segment ethernet, pas la priorisation fine entre voix, vidéo et data.

IP routé L3 (IP-VPN, MPLS-VPN)

L'opérateur livre un service IP routé. Chaque site a son propre sous-réseau, l'opérateur gère les annonces BGP entre sites. La QoS est contractualisée par classe de service (CoS) : voix prioritaire, vidéo temps réel, data critique, data standard, best effort.

  • Priorisation fine de la voix et de la vidéo, avec SLA effectifs
  • Routage simplifié côté client, BGP délégué à l'opérateur
  • Convient à tout trafic IP multi-sites avec exigence de qualité
  • Ne convient pas aux usages L2 (clusters, VLAN traversés, multicast natif sans artifice)

L'erreur fréquente en comité de direction : demander « un MPLS » en pensant obtenir du L2. MPLS est une technologie de commutation par labels dans le cœur de réseau opérateur, elle sert majoritairement à livrer du L3 (IP-VPN) mais peut aussi porter du L2 (VPWS, VPLS). Ce qui compte côté client, c'est le service livré, pas la mécanique du cœur opérateur.

Ce que le MPLS fait bien, honnêtement

Le MPLS-VPN L3 n'est pas obsolète. Il offre trois qualités que ni le SD-WAN ni un VPN IPsec sur internet public ne reproduisent à l'identique.

  • QoS bout-en-bout contractuelle. Les classes de service sont tenues par l'opérateur sur tout le chemin, avec SLA chiffré. En cas de manquement, des pénalités effectives s'appliquent.
  • Latence déterministe. Entre Royan et Paris, ou entre Bordeaux et Paris, la latence typique est de 8 à 15 ms en MPLS opéré, avec un jitter inférieur à 1 ms. Sur internet public, la même liaison oscille entre 15 et 40 ms avec un jitter de 2 à 10 ms selon l'heure.
  • SLA opérateur avec GTR. Les engagements de rétablissement sont contractuels, pas commerciaux. Les plus grands opérateurs publient leurs taux de disponibilité annuels réels.

Un point de vigilance : le MPLS n'est pas « sécurisé » par magie, il est privé, cloisonné par VRF dans le cœur opérateur. Cela n'équivaut pas à un chiffrement bout-en-bout. Pour NIS2 et le RGPD, une couche IPsec ou TLS reste nécessaire sur les flux sensibles.

Ce que le MPLS coûte, concrètement

Le prix du MPLS explique à lui seul pourquoi le marché WAN bouge depuis cinq ans.

  • Coût mensuel : 3 à 5 × le prix d'une FTTO de débit équivalent, pour un site régional typique.
  • Délai de raccordement : 8 à 12 semaines en zone dense, 4 à 6 mois en zone peu dense ou sur site neuf non précâblé.
  • Rigidité contractuelle : engagements 36 mois renouvelables, avenants coûteux, changement de débit facturé, clôture anticipée assortie de pénalités.
  • Chiffrement : non natif, à rajouter par-dessus (IPsec site-à-site ou SD-WAN overlay sur MPLS).
  • Dépendance : un opérateur unique, une seule main sur le routage inter-sites.

Ce que le SD-WAN apporte réellement

Le SD-WAN n'est pas un type de réseau, c'est un overlay logiciel qui vit au-dessus de n'importe quel accès (FTTH, FTTO, 4G, 5G, Starlink). Il apporte de la valeur à plusieurs niveaux.

  • Agrégation multi-accès hétérogènes. Un site peut combiner une FTTO primaire, une FTTH secondaire et une 4G de secours. L'overlay voit les trois tunnels et route dynamiquement.
  • Routage par application. La voix SIP part sur le lien au jitter le plus bas. Une sauvegarde part sur le lien au débit le plus large. Un flux vidéoprotection part sur le lien le plus stable. Le tout mesuré en continu (latence, jitter, perte de paquets).
  • Failover sub-seconde. Rupture d'un lien, bascule sur le secondaire sans coupure de session voix. Quelques éditeurs atteignent réellement le seuil des 100 ms.
  • Chiffrement natif. IPsec ou TLS systématique entre tous les sites, indépendamment du transport sous-jacent.
  • Orchestration centralisée. Un portail unique, des politiques poussées sur N sites, un gain opérationnel important pour une équipe réseau de petite taille.
  • Convergence avec le pare-feu. Dans le cas Sophos XGS, le SD-WAN vit dans le même boîtier que l'inspection TLS, l'IPS, le ZTNA et la segmentation applicative. Une seule pile à administrer, une seule politique de sécurité.

L'évolution SASE en 2026

Le SASE (Secure Access Service Edge) est la convergence du SD-WAN et du SSE (Security Service Edge : SWG, CASB, ZTNA, DLP) sur une plateforme cloud unifiée. Pour une PME ou ETI multi-sites avec télétravail et applications SaaS, le SASE unifie la posture de sécurité. Un seul portail gouverne le trafic des sites et celui des utilisateurs nomades. La même politique s'applique quel que soit le point d'entrée. C'est la direction logique du marché à trois à cinq ans, même si l'adoption PME reste progressive en 2026.

Les limites du SD-WAN que les éditeurs évoquent peu

  • Pas de QoS bout-en-bout garantie sur internet. Le FAI n'a aucun engagement sur la priorisation de votre trafic dans son cœur. Le SD-WAN ne peut prioriser que ce qu'il voit sur le lien d'accès, pas le cœur opérateur.
  • Dépendance à la qualité des accès locaux. En zone rurale, une 4G instable ou une FTTH mutualisée saturée ne sont pas rattrapables par l'overlay. L'intelligence logicielle ne fabrique pas de bande passante.
  • Complexité du diagnostic multi-transport. En cas d'incident, il faut distinguer quatre types de panne : accès (fibre coupée), transport (perte de paquets opérateur), overlay (tunnel instable) ou application. La supervision doit être outillée en conséquence.
  • Dépendance éditeur. Sophos, Fortinet, Cisco Meraki, Velocloud, Versa : aucune interopérabilité entre overlays. Changer d'éditeur, c'est redéployer tous les sites.
  • Coût licences, variable selon l'éditeur. Chez Sophos XGS et Fortinet FortiGate, le SD-WAN est natif dans la licence pare-feu (Xstream Protection côté Sophos, UTM Bundle côté Fortinet), sans SKU supplémentaire. Chez Cisco Meraki, il nécessite la licence Advanced Security ou SD-WAN Plus (~ 400 à 1 200 € par site par an selon modèle). Chez VMware Velocloud ou Versa Networks, c'est un abonnement par site (400 à 900 € par an). À arbitrer sur la durée, pas seulement au prix du boîtier.

Arbre de décision : quel profil d'architecture pour votre cas

Trois questions discriminantes, prises dans l'ordre. Chaque branche conduit directement à l'un des trois profils d'architecture décrits ensuite.

Schéma 4, arbre de décision WAN (3 questions discriminantes)
Arbre de décision WANTrois questions oui/non conduisent aux profils A, B ou C selon le contexte réglementaire, la criticité voix et la couverture fibre.Q1 · Secteur régulé imposantun réseau privé opéré ?(santé HDS, défense, finance)OUINONPROFIL CMPLS maintenuSD-WAN ou SASE en surcoucheoptionnelle, site par siteQ2 · Voix critique inter-sites(> 10 postes + call center) ?ou jitter intolérant > 30 msOUINONPROFIL BHybride MPLS voix+ SD-WAN datatransition 12 à 18 moisQ3 · FTTO ou FTTH garantiedisponible sur tous les sites ?(ou 5G FWA + Starlink acceptables)OUIPARTIELLEPROFIL ASD-WAN purintégré au pare-feurésiliation MPLS intégralePROFIL B bisSD-WAN + 4G/5G FWAsur sites non éligiblesou Starlink en zone blancheLes profils sont des orientations d'architecture, pas des prescriptions. L'arbitrage final s'affineavec la mesure terrain (latence, jitter, perte) et la maturité de l'équipe d'exploitation.

Profil A : SD-WAN pur intégré au pare-feu

Qui ? PME de 2 à 10 sites, budget serré, voix SIP Wildix ou Teams Phone, FTTO ou FTTH disponible partout, équipe réseau modeste.
Pourquoi ? Le SD-WAN couvre 95 % des besoins, le pare-feu unifie la pile sécurité, le coût est maîtrisé, le déploiement se fait en quelques jours par site.

Profil B : hybride MPLS voix + SD-WAN data

Qui ? ETI multi-sites (> 10 sites), voix critique ou call center, latence stricte sur certaines applications (SAP GUI, ERP temps réel), transition à étaler sur 12 à 18 mois.
Pourquoi ? On garde la QoS MPLS pour la voix et les flux sensibles, on bascule la data en SD-WAN sur accès internet, on résilie le MPLS site par site quand les métriques SD-WAN prouvent la bascule tenable.

Profil C : MPLS maintenu

Qui ? Secteur régulé (santé, défense, services financiers) avec cahier des charges client ou tutelle imposant un réseau privé, ou contraintes de latence extrêmes (trading, temps réel industriel).
Pourquoi ? Le MPLS reste la référence, on ajoute une surcouche SD-WAN ou SASE en optimisation locale sur certains sites, on ne bascule pas l'ensemble.

Schéma 3, topologies comparées des trois profils
Topologies MPLS, SD-WAN et hybrideÀ gauche MPLS en hub-and-spoke via cœur opérateur. Au centre SD-WAN en mesh internet avec overlay chiffré. À droite hybride combinant MPLS voix et SD-WAN data.PROFIL C · MPLS hub-and-spokeCœur MPLSopérateurSiègeSite 2Site 3Site 41 opérateur, QoS contractuellecoût élevé, rigidité 3 ansPROFIL A · SD-WAN meshInternet(overlay chiffré)SiègeSite 2Site 3Site 4N accès hétérogènes, routage par appchiffrement natif, 1 éditeurPROFIL B · hybrideMPLSvoix/SAPInternetSD-WAN dataSiègeSite 2Site 3Site 4transition 12 à 18 moisvoix sur MPLS, data sur SD-WAN

Migration pragmatique en trois phases

Pour les profils A et B, la bascule MPLS vers SD-WAN se fait rarement en un week-end. Trois phases s'imposent pour éviter l'effet tunnel.

  1. Phase 1, audit et cartographie (4 à 6 semaines). Inventaire des sites, des accès actuels, des contrats opérateur, des flux applicatifs critiques, de la téléphonie et de la vidéoprotection. Mesure de la latence, du jitter et des débits réels (pas contractuels) par axe.
  2. Phase 2, déploiement SD-WAN en parallèle (8 à 16 semaines). Chaque site reçoit un accès internet secondaire (FTTO ou FTTH selon budget), le pare-feu SD-WAN est déployé, l'overlay est monté. Le MPLS reste actif en parallèle. On qualifie les métriques réelles du SD-WAN pendant 4 à 8 semaines.
  3. Phase 3, bascule et résiliation (site par site). Quand les métriques SD-WAN sont stables sur un site, on bascule le trafic production et on résilie le MPLS de ce site. On conserve un délai de sécurité de 30 jours avant résiliation ferme.

Cinq pièges classiques à éviter

Sous-dimensionner le lien secondaire

Une FTTH 300 Mb/s asymétrique en secondaire ne tient pas le trafic primaire si la FTTO tombe. Secondaire = au moins 70 % du primaire.

Négliger la supervision active

Un overlay SD-WAN sans supervision des tunnels, c’est un réseau aveugle. Prévoir un outil de NOC ou un service MSP dédié.

Oublier la téléphonie SIP

La voix SIP est le test le plus cruel d’une bascule SD-WAN. Tester les codecs, les priorités DSCP et la coupure sub-seconde avant résiliation MPLS.

Omettre l’audit de routage applicatif

Certaines applications métier (SAP, ERP industriel) ont des sessions longues qui tolèrent mal une bascule de tunnel mal paramétrée.

Négliger la vérification du contrat d’accès secondaire

Commander une « fibre pro » qui s’avère FTTH grand public sans GTR est le piège le plus fréquent. Lire chaque contrat.

Ce qu'il faut retenir

La question n'est pas idéologique, elle est architecturale. Une PME de trois sites avec voix Wildix SIP, fibre partout et 4G de secours n'a plus besoin de MPLS. Le SD-WAN intégré au pare-feu couvre le besoin, avec une économie substantielle et une meilleure résilience.

À l'inverse, une PME industrielle régulée cumule souvent trois contraintes : un site en zone blanche à 4G instable, une exigence client de réseau privé, des flux critiques à latence serrée. Elle a tout intérêt à conserver le MPLS sur ces flux critiques, et à basculer le reste en SD-WAN.

Avant toute décision, séparer les trois couches : quel accès par site, quel transport par axe, quel service par classe de trafic. C'est à cette échelle que se prennent les bons arbitrages WAN, pas à l'échelle des catalogues éditeur.

Cadrer votre architecture WAN

Un échange technique pour poser les trois couches accès, transport, service sur votre contexte réel, et repartir avec une grille de décision chiffrée.