Qu’est-ce qu’un réseau MPLS ?
Un réseau MPLS (Multiprotocol Label Switching) achemine les paquets de données à l’aide d’étiquettes courtes au lieu d’adresses IP longues. Les routeurs lisent ces étiquettes pour envoyer le trafic le long de chemins prédéterminés, offrant ainsi des performances prévisibles avec une qualité de service intégrée. MPLS a été l’épine dorsale des réseaux étendus d’entreprise pendant plus de vingt ans, mais le SD-WAN est en train de prendre sa place dans la plupart des organisations du marché intermédiaire.
Depuis la fin des années 1990, la technologie MPLS relie les succursales et les centres de données. Si vous avez géré un réseau multisite en Europe, vous avez certainement eu affaire à un contrat MPLS de Proximus, KPN, BT ou Orange Business. Cette technologie répondait exactement aux besoins des équipes informatiques de l’époque : une connectivité fiable, à faible latence et à largeur de bande garantie entre les sites fixes.
Cette époque est révolue. Les applications en nuage représentent désormais la majorité du trafic des entreprises, le travail à distance est la norme et l’écart de coût entre les circuits MPLS et l’internet de qualité professionnelle ne cesse de se creuser. Ce guide explique comment fonctionne le MPLS, où il est encore utile et pourquoi le SD-WAN est devenu le choix par défaut pour les entreprises qui ont besoin d’une connectivité sécurisée et flexible sur plusieurs sites.
Comment fonctionne MPLS
Le routage IP traditionnel exige que chaque routeur de la chaîne inspecte l’adresse de destination et effectue une recherche dans sa table de routage. MPLS simplifie cette opération en attachant une étiquette courte à chaque paquet à la périphérie du réseau.
Voici le processus, étape par étape :
- Un paquet entre dans le réseau MPLS et atteint un routeur de bordure d’étiquette (LER). Le LER lit l’adresse IP de destination, assigne le paquet à une classe d’équivalence de transfert (FEC) et attache une étiquette.
- Le paquet suit un chemin à commutation d’étiquettes (LSP) à travers le réseau du fournisseur. Chaque routeur intermédiaire, appelé routeur à commutation d’étiquettes (LSR), ne lit que l’étiquette, la remplace par une nouvelle et transmet le paquet. Aucune recherche d’IP n’est nécessaire.
- Au point de sortie, le LER de sortie retire l’étiquette et transmet le paquet IP original à sa destination.
Imaginez un système autoroutier avec des voies réservées. Lorsque votre voiture entre sur l’autoroute à la bretelle d’accès, un transpondeur (l’étiquette) détermine la voie dans laquelle vous circulez. Tous les postes de péage lisent instantanément le transpondeur au lieu de vérifier vos documents d’immatriculation. Vous arrivez plus vite car personne ne s’arrête pour vérifier quoi que ce soit.
MPLS se situe entre la couche 2 (Ethernet) et la couche 3 (IP) dans la pile du réseau. Cette position de « couche 2,5 » signifie qu’elle peut transporter plusieurs types de trafic, y compris IP, des trames Ethernet et même des protocoles hérités.
Pour les entreprises de taille moyenne, la configuration MPLS la plus courante est un VPN de niveau 3, dans lequel le fournisseur s’occupe de tout le routage entre les sites. Vos bureaux semblent se trouver sur un réseau privé unique, même si le trafic traverse l’infrastructure partagée du fournisseur. Certaines organisations ayant des besoins spécifiques utilisent le VPLS (Virtual Private LAN Service), qui étend un segment Ethernet de couche 2 entre les sites pour un contrôle total du routage.
Ce que MPLS fait de bien
MPLS a acquis sa position dominante pour de bonnes raisons. Comprendre ses atouts permet d’expliquer pourquoi les décisions de migration nécessitent une évaluation minutieuse plutôt qu’un remplacement général.
Qualité de service garantie. MPLS prend en charge la hiérarchisation du trafic par le biais de bits expérimentaux dans l’en-tête de l’étiquette. Un appel VoIP est plus prioritaire qu’un transfert de fichier. Pour les organisations qui utilisent des applications en temps réel, cela signifiait une qualité d’appel constante et des vidéoconférences stables bien avant que des solutions basées sur l’informatique en nuage n’existent.
Ingénierie de la circulation. Les administrateurs de réseau peuvent définir exactement le chemin que le trafic emprunte à travers le réseau fédérateur du fournisseur. Si le chemin le plus court est encombré, le trafic peut être dirigé vers un autre chemin ayant une capacité disponible. Ce niveau de contrôle est difficile à atteindre sur l’internet public.
Des performances prévisibles. Comme MPLS fonctionne sur la dorsale privée du fournisseur, il évite la congestion et la latence variable de l’internet public. La perte de paquets est minimale. La gigue reste dans des limites de tolérance étroites. Pour les applications qui ne peuvent tolérer les fluctuations, comme le commerce à haute fréquence ou la télémétrie en temps réel, c’est important.
Des accords de niveau de service stricts. Des opérateurs européens tels que Proximus, KPN et BT proposent des contrats MPLS avec des garanties de temps de fonctionnement soutenues financièrement, des plafonds de latence définis et des clauses de compensation en cas de dépassement des objectifs. Les connexions à large bande standard sont assorties de conditions « best-effort » tout au plus.
| La force | Ce que cela signifie en pratique |
|---|---|
| Priorité à la qualité de service | La VoIP et la vidéo bénéficient d’une bande passante dédiée, même pendant les heures de pointe. |
| Ingénierie du trafic | Les administrateurs contrôlent les chemins exacts à travers le réseau fédérateur de l’opérateur. |
| Backbone privé | Le trafic ne passe jamais par l’internet public |
| Accords de niveau de service (SLA) fermes | Garanties contractuelles de performance assorties de pénalités financières |
| Flexibilité du protocole | Transporte les protocoles IP, Ethernet et anciens sur une infrastructure unique |
Les points faibles de MPLS en 2026
Le monde pour lequel MPLS a été conçu n’existe plus. Les applications ont été transférées dans le nuage. Les utilisateurs travaillent de n’importe où. Et l’économie a changé de manière décisive.
Coût. En Europe occidentale, les circuits MPLS coûtent généralement entre 1 100 et 1 300 euros par mois pour une connexion de 1 Gbps. Une ligne DIA (Dedicated Internet Access) comparable coûte entre 700 et 900 euros. Le haut débit professionnel avec un débit similaire ne coûte qu’une fraction de ce prix. Pour les organisations comptant cinq ou dix sites, la différence annuelle est substantielle. Les anciennes lignes MPLS en cuivre peuvent coûter jusqu’à 14 fois plus cher par Mbps que les connexions modernes en fibre optique.
Le problème de l’acheminement de l’information dans le nuage. La plupart des entreprises de taille moyenne dirigent désormais 50 % ou plus de leur trafic vers des plateformes SaaS telles que Microsoft 365, Salesforce ou des systèmes ERP hébergés dans le nuage. Dans une configuration MPLS classique en étoile, ce trafic doit aller de la succursale au centre de données central, être inspecté par le pare-feu central, puis partir vers l’internet. Ce détour, appelé backhauling ou hairpinning, ajoute une latence inutile, gaspille une bande passante MPLS coûteuse pour un simple trafic internet et crée des goulets d’étranglement au niveau de la passerelle centrale. Un employé de Gand qui accède à un serveur Microsoft 365 à Amsterdam voit son trafic passer d’abord par Bruxelles. Cela ajoute 80 à 120 ms de latence sans aucun avantage en termes de sécurité.
Vitesse de déploiement. L’ajout d’un nouveau site à un réseau MPLS implique la commande d’un circuit de transport. En Europe, des délais de quatre à douze semaines sont normaux. Les sites temporaires, les bureaux provisoires ou les acquisitions qui ont besoin d’une connectivité immédiate ne peuvent tout simplement pas attendre aussi longtemps. Le SD-WAN peut mettre un site en ligne en quelques heures en utilisant n’importe quelle connexion internet disponible ou un modem 4G/5G.
Pas de cryptage natif. La technologie MPLS elle-même ne crypte pas le trafic. Il repose sur l’hypothèse que la dorsale du fournisseur est privée et donc fiable. Si votre cadre de conformité exige le cryptage des données en transit, ce que NIS2 et GDPR exigent de plus en plus, vous devez ajouter IPsec ou TLS en plus de MPLS. Il s’agit là d’une nouvelle couche de complexité et de coûts.
Verrouillage des fournisseurs. Les contrats MPLS ont généralement une durée de trois à cinq ans et prévoient d’importantes pénalités en cas de résiliation anticipée. Changer de fournisseur signifie commander des circuits entièrement nouveaux et migrer le réseau à partir de zéro. Cela crée une dépendance qui limite votre position de négociation et votre capacité à répondre à l’évolution des besoins de l’entreprise.
Pourquoi le SD-WAN remplace-t-il le MPLS ?
Le changement global est indubitable. Selon les données de TeleGeography, le MPLS était présent sur 82 % des sites WAN des entreprises en 2018. En 2024, ce chiffre avait chuté à 41 %, les connexions basées sur l’internet (DIA et haut débit) prenant la part majoritaire avec 49 %. Selon les prévisions, le MPLS sera inférieur à 20 % d’ici 2030, tandis que le marché du SD-WAN devrait passer d’environ 8,8 milliards USD en 2024 à 42 milliards USD en 2030.
Le SD-WAN remplace l’acheminement rigide basé sur les étiquettes du MPLS par un routage contrôlé par logiciel qui s’adapte en temps réel.
Routage en fonction de l’application. Alors que le MPLS hiérarchise le trafic à l’aide d’étiquettes statiques, le SD-WAN reconnaît l’application elle-même. Un appel Zoom, une synchronisation SharePoint et un téléchargement de micrologiciel sont tous acheminés sur la liaison la plus appropriée en fonction des conditions actuelles. Si la liaison principale en fibre optique se dégrade, le trafic critique est transféré vers une liaison de secours 4G sans que personne ne s’en aperçoive.
N’importe quel transport, n’importe quelle connexion. Le SD-WAN utilise des tunnels superposés cryptés, quelle que soit la connexion internet disponible : fibre, câble, haut débit, 4G, 5G ou un mélange des deux. Vous n’êtes plus lié à la dorsale d’un seul opérateur. Cette flexibilité signifie également que les nouveaux sites sont mis en ligne plus rapidement et à une fraction du coût.
Accès direct au nuage. Au lieu de faire transiter tout le trafic par un centre de données central, le SD-WAN envoie le trafic lié à l’informatique dématérialisée directement au point d’accès à l’internet le plus proche. Le trafic de Microsoft 365 en provenance de Gand va directement au centre de données d’Amsterdam. La latence diminue. L’expérience utilisateur s’améliore. La passerelle centrale n’est plus un goulot d’étranglement.
Cryptage intégré. Les tunnels SD-WAN sont cryptés par défaut en utilisant AES-256 ou équivalent. Contrairement à MPLS, vous n’avez pas besoin d’une couche de cryptage séparée pour répondre aux exigences de conformité.
La dimension SASE. Le SD-WAN autonome résout le problème de la connectivité, mais il n’aborde pas la question de la sécurité. C’est là que le passage du SD-WAN au SASE (Secure Access Service Edge) devient pertinent. Une plateforme SASE comme Jimber intègre le SD-WAN avec Zero Trust Network Access, Secure Web Gateway et Firewall-as-a-Service dans une console unique gérée dans le cloud. Vous remplacez non seulement MPLS, mais aussi les pare-feu, les concentrateurs VPN et les passerelles web qui l’accompagnent. Pour les entreprises de taille moyenne qui gèrent cinq à quinze sites avec une petite équipe informatique, cette consolidation élimine le problème de la pile de Franken qui consiste à jongler avec des outils distincts qui ne partagent pas les données.
Gartner estime que d’ici 2026, 60 % des nouveaux achats de SD-WAN feront partie d’une offre SASE d’un seul fournisseur. La tendance est claire : le SD-WAN sans sécurité intégrée devient l’exception et non la règle. L’architecture SASE de Jimber est construite autour de ce principe, combinant la connectivité et la sécurité dans un cadre de politique unique, de sorte que les décisions de routage et l’application de la sécurité se produisent au même endroit.
| Facteur | MPLS | SD-WAN (au sein de SASE) |
|---|---|---|
| Coût mensuel (1 Gbps, Europe occidentale) | €1,100 – €1,300 | 400 € – 800 € (internet + plateforme) |
| Déploiement d’un nouveau site | 4 à 12 semaines | Heures à jours |
| Traitement du trafic dans le nuage | Backhauled via DC central | Répartition directe au niveau local |
| Cryptage | Non inclus, nécessite une surcouche | Intégré par défaut |
| Intégration de la sécurité | Appareils séparés nécessaires | Intégrées (ZTNA, SWG, FWaaS) |
| La gestion | Dépendance à l’égard du fournisseur, visibilité limitée | Console unique dans le nuage |
| Flexibilité des contrats | Blocage de 3 à 5 ans | Mensuel ou annuel, sans contrainte de transport |
Pour les organisations qui utilisent des architectures VPN parallèlement à MPLS, le passage à SASE élimine d’un seul coup les deux dépendances héritées du passé. Le SD-WAN de Jimber connecte les sites en toute sécurité via des liens Internet standard, tandis que le ZTNA remplace le VPN pour l’accès à distance. Une plateforme, une console, un modèle de politique.
MPLS est-il complètement mort ?
Non. Et prétendre le contraire serait malhonnête.
MPLS a encore un rôle à jouer dans des scénarios spécifiques. Les bureaux de négociation à haute fréquence ont besoin de garanties de latence inférieures à la milliseconde que l’internet public ne peut pas fournir de manière fiable. La réarchitecture de certaines applications patrimoniales dont les dépendances réseau sont codées en dur est coûteuse. Les environnements réglementés, comme la messagerie SWIFT dans les services financiers, imposent parfois des circuits privés dans le cadre de leur conformité. Une société belge de gestion de patrimoine qui a migré vers la plateforme SASE de Jimber a conservé un circuit MPLS dédié spécifiquement au trafic SWIFT, tout en transférant le reste vers le SD-WAN.
Dans les régions où l’infrastructure internet n’est pas fiable, le MPLS offre une stabilité de base que le SD-WAN ne peut pas égaler. Certaines parties de l’Europe rurale et certains marchés africains bénéficient encore du MPLS pour les liaisons critiques.
Mais pour la grande majorité des entreprises de taille moyenne du Benelux et de l’Europe de l’Ouest, l’équation est résolue. L’adoption de la fibre optique est élevée. La qualité de l’internet est excellente. L’écart de performance entre MPLS et DIA de qualité professionnelle est négligeable pour les charges de travail standard des entreprises. En revanche, l’écart de coût ne cesse de se creuser.
L’approche pratique pour la plupart des organisations est une migration par étapes. Commencez par les sites dont les contrats MPLS arrivent à échéance. Déployez le SD-WAN sur des connexions internet standard. Validez les performances. Étendez ensuite la migration aux autres sites. Tenter de remplacer tous les circuits d’un seul coup présente des risques inutiles. Le guide SD-WAN de Jimber couvre le processus de déploiement en détail, y compris la façon de faire fonctionner MPLS et SD-WAN en parallèle pendant la transition.
Pour une comparaison complète des relations entre SASE, SSE et SD-WAN, et pour savoir quelle approche correspond à votre situation spécifique, ce guide décompose le cadre de décision.
Quelle est la différence entre MPLS et SD-WAN ?
MPLS achemine les paquets à l’aide d’étiquettes le long de chemins fixes à travers le réseau fédérateur privé d’un opérateur. Le SD-WAN utilise un logiciel pour acheminer le trafic de manière dynamique à travers n’importe quelle connexion internet disponible, en fonction des performances en temps réel. Le MPLS nécessite des circuits spécifiques aux opérateurs et des contrats à long terme. Le SD-WAN fonctionne sur des connexions à large bande, à fibre optique ou mobiles de n’importe quel fournisseur.
Le MPLS est-il plus sûr que le SD-WAN ?
Pas intrinsèquement. Le trafic MPLS est isolé sur la dorsale du fournisseur mais n’est pas crypté. Le SD-WAN chiffre tout le trafic par défaut à l’aide de tunnels AES-256. Dans un cadre SASE, le SD-WAN ajoute des contrôles d’accès Zero Trust, un filtrage web et des politiques de pare-feu en plus du cryptage, fournissant une posture de sécurité plus complète que le MPLS seul.
Quel est le coût du MPLS par rapport au SD-WAN ?
En Europe occidentale, un circuit MPLS de 1 Gbps coûte généralement entre 1 100 et 1 300 euros par mois. Une connectivité SD-WAN équivalente via un accès Internet dédié coûte entre 700 et 900 euros, et le haut débit professionnel coûte nettement moins cher. Les entreprises qui passent du MPLS au SD-WAN réalisent généralement des économies de 30 à 60 % sur leurs coûts de réseau.
Le SD-WAN peut-il remplacer complètement le MPLS ?
Pour la plupart des organisations du marché intermédiaire avec des charges de travail d’entreprise standard, oui. Le SD-WAN atteint ou dépasse les performances du MPLS pour les applications en nuage, la VoIP et la vidéo. Les exceptions concernent les cas d’utilisation à très faible latence tels que les plateformes commerciales et les flux réglementés spécifiques tels que la messagerie SWIFT. La plupart des entreprises adoptent une approche hybride pendant la transition, en conservant le MPLS pour certaines liaisons et en transférant la majeure partie du trafic vers le SD-WAN.
Que signifie MPLS ?
MPLS signifie Multiprotocol Label Switching (commutation multiprotocole d’étiquettes). Le terme « multiprotocole » fait référence à sa capacité à transporter différents types de trafic réseau (IP, Ethernet, protocoles hérités). Le terme « commutation d’étiquettes » décrit le mécanisme de transfert : les routeurs lisent des étiquettes courtes au lieu d’effectuer des recherches d’adresses IP complètes.
Combien de temps faut-il pour passer de MPLS à SD-WAN ?
Une migration typique pour un marché intermédiaire prend de 3 à 12 mois, en fonction du nombre de sites et des obligations contractuelles. Les sites individuels peuvent être mis en service sur le SD-WAN en quelques heures grâce à l’approvisionnement sans contact. Le calendrier global est généralement déterminé par les dates d’expiration des contrats MPLS plutôt que par la complexité technique.
Prêt à aller au-delà du MPLS ? La plateforme SASE de Jimber combine SD-WAN, Zero Trust Network Access, Secure Web Gateway et Firewall-as-a-Service dans une console gérée dans le cloud et conçue pour les entreprises européennes de taille moyenne. Réservez une démonstration pour cartographier votre réseau actuel et concevoir un chemin de migration adapté à la capacité et au calendrier de votre équipe.
