Connecter plusieurs sites via Internet demeure une nécessité fondamentale pour de nombreuses entreprises, même si le contexte a considérablement évolué. Il ne s’agit plus simplement de relier un siège central à deux filiales ; aujourd’hui, il faut aussi gérer des utilisateurs hybrides, des applications cloud, des caméras, des points de vente, des entrepôts, de la téléphonie IP, des services SaaS, des bureaux à distance, des sauvegardes, de la supervision et des équipements qui doivent fonctionner comme s’ils étaient dans un même réseau.
Dans ce contexte, une architecture VPN IPsec hub-and-spoke avec FortiGate reste une solution pratique pour créer une connectivité cryptée entre sites, sans dépendre nécessairement de circuits privés dédiés. Le concept est simple : un site central ou centre de données agit comme le « hub », chaque bureau distant ou « spoke » établit un tunnel IPsec vers ce point central. Fortinet présente les VPN site-à-site comme des connexions permettant à des sites fixes d’établir des liens sécurisés via un réseau public tel qu’Internet.
La force de cette configuration réside dans son équilibre. Elle est relativement facile à comprendre, permet de centraliser les politiques et facilite l’accès aux ressources partagées dans le siège principal, comme les ERP, fichiers, bases de données, services internes ou outils d’administration. Cependant, elle présente aussi des limites. Avec l’expansion du nombre de sites ou une forte communication inter-sites, le modèle traditionnel peut commencer à entraîner de la latence, des goulets d’étranglement et une surcharge du hub.
Le modèle hub-and-spoke : simple, sécurisé et facile à gérer
Dans une VPN hub-and-spoke, chaque site distant conserve son propre réseau local et se connecte de façon cryptée au centre via IPsec. Le hub se trouve généralement dans le centre de données, au siège principal ou dans un lieu doté d’une meilleure connectivité, avec une capacité de pare-feu accrue et des services partagés.
Un exemple classique serait une entreprise avec un siège à Madrid et des bureaux à Valence, Bilbao et Séville. Chacun de ces bureaux aurait son propre FortiGate, son réseau local et un tunnel IPsec vers le FortiGate central. Le trafic en direction des applications d’entreprise passerait par le hub. Si un site doit communiquer avec un autre, le trafic transite d’abord vers le hub, puis sort vers la autre filiale, selon la configuration des routes et politiques.
Fortinet décrit ce schéma comme une configuration où les connexions VPN partent d’un point central vers plusieurs partenaires distants. Il indique aussi que le trafic peut circuler entre réseaux privés situés derrière le hub ou derrière les spokes, voire même entre sites distants via le hub.
| Élément | Rôle dans l’architecture |
|---|---|
| Hub | Point central de terminaison VPN et de gestion des politiques de sécurité |
| Spoke | Site distant établissant un tunnel IPsec vers le hub |
| Tunnel IPsec | Cipher le trafic entre sites via Internet |
| Routes et politiques | Définissent les réseaux accessibles et le trafic autorisé |
| Supervision | Permet de vérifier l’état des tunnels, la latence, les coupures et l’utilisation |
L’avantage principal réside dans la gestion centralisée. Toutes les filiales disposent d’un chemin clair vers le centre. Les règles peuvent être conçues de manière structurée et la sécurité concentrée dans une architecture compréhensible. Pour beaucoup de PME, chaînes de retail, cliniques, cabinets, écoles, hôtels ou entreprises multi-sites, cette configuration est suffisante et évite des complications inutiles.
Elle facilite aussi la phase de croissance initiale. Ajouter un nouveau site consiste généralement à déployer un nouveau FortiGate, créer le tunnel vers le hub, publier ses réseaux internes, ajuster les politiques et vérifier la connectivité. Avec FortiManager, la gestion centralisée peut également aider à maintenir des modèles, objets, politiques et configurations avec moins d’efforts manuels.
Les limites de l’architecture
Le modèle traditionnel hub-and-spoke présente une faiblesse naturelle : le hub devient le centre de tout, ce qui peut compliquer le rendement.
Si une filiale doit principalement accéder au siège, le modèle fonctionne bien. Mais si plusieurs sites doivent communiquer entre eux, tout passer par le hub ajoute des trajets. Par exemple, le trafic de Séville à Bilbao pourrait passer par Madrid, même si les deux sites disposent d’une bonne connexion Internet. Cela augmente la latence et surcharge le pare-feu central.
On observe aussi un point de concentration critique. Si le hub tombe en panne, de nombreux sites peuvent se retrouver isolés. C’est pourquoi, dans des environnements moyens ou grands, il est conseillé d’envisager des hubs redondants, des opérateurs doubles, des routes de secours, une supervision active, des tests de basculement et des politiques de continuité claires. La haute disponibilité ne consiste pas seulement à déployer deux pare-feu, mais aussi à vérifier que les routes, DNS, services, certificats, tunnels et dépendances continuent de fonctionner en cas de panne.
Un autre aspect souvent sous-estimé concerne l’adressage IP. Pour qu’un réseau multi-sites soit propre, chaque site doit disposer de plages d’adresses clairement définies et sans chevauchement. Utiliser le même sous-réseau (par exemple 192.168.1.0/24) dans plusieurs bureaux peut paraître pratique au début, mais complique rapidement les routes, NAT, support et diagnostic. Dans une architecture VPN, le plan d’adressage constitue une décision de conception essentielle, pas un détail mineur.
La sécurité ne s’arrête pas au tunnel. IPsec chiffre le trafic entre sites, mais ne décide pas seul ce qui doit être autorisé. Il faut établir des politiques de pare-feu, segmenter les réseaux, limiter les accès, enregistrer les événements, analyser les logs et appliquer le principe du moindre privilège. Une VPN mal segmentée peut transformer une incidente locale en un problème d’entreprise.
ADVPN : quand les sites doivent communiquer directement entre eux
Pour les déploiements plus étendus, Fortinet propose ADVPN, VPN à découverte automatique. Son objectif est de dépasser la limite classique du modèle hub-and-spoke : permettre aux spokes d’établir des tunnels directs entre eux selon la demande, sans faire transiter tout le trafic par le hub. Fortinet définit ADVPN comme une technologie IPsec qui autorise aux spokes d’une VPN hub-and-spoke traditionnelle de créer des tunnels directs et dynamiques entre eux, selon les besoins.
Cela est particulièrement pertinent lorsque plusieurs sites doivent souvent échanger, ou lorsque le trafic latéral est important. Par exemple, une entreprise avec entrepôts, bureaux commerciaux et centres régionaux peut nécessiter des communications fréquentes entre filiales. Dans ce cas, faire transiter tout par le centre devient inefficace. ADVPN conserve le hub comme point de contrôle, mais établit des raccourcis directs entre sites pour réduire la latence et la charge.
Fortinet intègre aussi ADVPN dans son assistant de configuration IPsec VPN hub-and-spoke. Lors de la vérification des tunnels, la documentation précise que chaque spoke maintient son tunnel vers le hub, mais qu’un tunnel direct peut aussi être établi entre deux spokes si l’un d’eux est actif, permettant ainsi d’accélérer la communication.
Associé à la SD-WAN, ce concept peut encore améliorer la conception. Si un site dispose d’une fibre principale, d’une 5G de secours et d’un second lien, la politique SD-WAN pourra décider le meilleur chemin en fonction de la latence, de la perte ou de la disponibilité. La clé est de ne pas confondre facilité de déploiement et absence de planification. ADVPN et SD-WAN apportent flexibilité mais demandent une bonne documentation, une surveillance attentive et des tests réguliers.
Pour choisir entre une architecture hub-and-spoke simple ou ADVPN, une question essentielle : les sites distants consomment principalement des services centraux ou ont-ils besoin une communication intensive entre eux ? Si la majorité du trafic converge vers le centre, un hub-and-spoke classique suffit. Si beaucoup d’échanges se font entre filiales, ADVPN devient alors d’un grand intérêt.
L’architecture multi-sites idéale n’est pas toujours la plus avancée, mais celle qui s’adapte le mieux à la réalité opérationnelle. Un réseau de trois bureaux n’a pas besoin de la même complexité qu’une organisation avec 80 sites, plusieurs fournisseurs, des applications critiques et des exigences de continuité. Fortinet propose des solutions pour ces différents scénarios, mais le choix doit commencer par le business : combien de sites, quelles applications, quel volume de trafic, quelle latence acceptable et que faire en cas de panne ?
Une VPN IPsec solidement conçue peut réduire les coûts par rapport à des modèles WAN plus traditionnels, exploiter des liens Internet, tout en maintenant le chiffrement entre sites. Cependant, pour que cela fonctionne réellement, il faut un plan d’adressage organisé, des politiques restrictives, de la redondance si nécessaire, une supervision constante et une gestion centralisée. La sécurité ne se résume pas au tunnel : elle repose sur la gouvernance de l’ensemble du trafic.
Questions fréquentes
Qu’est-ce qu’un VPN IPsec site-à-site ?
Une connexion cryptée entre deux ou plusieurs réseaux fixes, généralement des sites d’une entreprise, utilisant un réseau public comme Internet.
Que signifie hub-and-spoke ?
Une topologie où un site central agit comme hub, et les sites distants, appelés spokes, s’y connectent via des tunnels VPN.
Quand est-il pertinent d’utiliser ADVPN ?
Lorsque plusieurs sites doivent souvent communiquer directement entre eux, sans que tout le trafic transite obligatoirement par le hub central.
IPsec garantit-elle la sécurité à elle seule ?
Non. IPsec chiffre le trafic, mais il faut aussi mettre en œuvre des politiques de pare-feu, de segmentation, de contrôle d’accès, de monitoring et assurer une configuration correcte.
Quels sont les pièges à éviter dans une VPN multi-sites ?
Utiliser des plages IP en chevauchement, ne pas documenter les routes, ouvrir trop de trafic entre sites, dépendre d’un seul hub sans redondance et omettre la surveillance des tunnels.