Manuloc résout son problème réseau en adoptant le SASE

Le SASE (Secure Access Service Edge) est une approche qui est habituellement adoptée dans le cadre d’une évolution de la cybersécurité. Mais sa caractéristique essentielle est d’amener à gérer de manière intégrée non seulement la cybersécurité elle-même mais aussi le réseau, le tout avec un pilotage dans le cloud. Chez Manuloc, le SASE est arrivé, justement, pour régler un problème réseau. Manuloc est une entreprise spécialisée dans la location, la vente et la maintenance de matériels de manutention. Il peut ainsi s’agir des classiques nacelles et chariots élévateurs mais aussi de transpalettes, de tracteurs de cour, d’engins aéroportuaires (escaliers mobiles, chariots pour bagages et colis…), etc. Par la nature même de sa spécialité, Manuloc a une activité dispersée géographiquement.

Le groupe dispose ainsi d’une trentaine d’agences en propre et d’environ autant de points de présence chez des partenaires. Ses 1000 collaborateurs lui permettent d’être présent dans trois pays (France surtout mais aussi Luxembourg et Roumanie) et de générer 400 millions d’euros de chiffre d’affaires. L’entreprise a aussi comme caractéristique de connaître une assez forte croissance externe, ce qui implique de régulièrement devoir intégrer des établissements tiers à son SI et son réseau.

Un SI mêlant le fait-maison et le SaaS

Le système d’information de Manuloc tient bien sûr compte de ses particularités, notamment d’une activité ayant peu d’acteurs et donc aucun progiciel pour la gérer spécifiquement. Le coeur du SI repose ainsi sur un ERP maison permettant d’opérer de la gestion d’actif à la facturation en passant par les fonctions financières générales. Celui-ci est développé en interne sur IBM Power Systems (ex-AS/400) et évolue régulièrement grâce à sept développeurs appuyés par sept exploitants. Bien sûr, l’hébergement de cet ERP est interne, l’entreprise disposant de deux datacenters hébergés en deux lieux distants pour des raisons de sécurité et de continuité d’activité. Le CRM était lui aussi un produit interne mais est en cours de migration pour un SaaS du marché mondial.

Le SI de Manuloc mêle ainsi le SaaS (Google Workspace pour la messagerie et la collaboration, des progiciels pour des fonctions support…), le recours à du IaaS/PaaS et un coeur de métier sur du développement propre hébergé en interne. « Notre coeur de métier est très spécifique et il nous faut une maîtrise totale de ce coeur » insiste Vincent Balle, responsable informatique de Manuloc. L’entreprise assurant à la fois la location et la maintenance des matériels, Manuloc a notamment 60 commerciaux itinérants et 650 techniciens intervenant en clientèle partout dans les pays d’implantation. Ces derniers disposent d’ailleurs de tablettes pour gérer leurs interventions et leurs suivis.

La cybersécurité, une préoccupation constante mais non-déterminante pour le SASE

Bien entendu, la cybersécurité est une priorité chez Manuloc comme dans la plupart des entreprises. De ce fait, le groupe a accru ses investissements en la matière et, depuis longtemps, dispose d’outils habituels sur le marché. « Les détails sont confidentiels » note Vincent Balle. L’entreprise procède, de même, à une forte et régulière sensibilisation de ses personnels, à des tests de phishing… et a développé une fonction de responsable en charge de la sécurité des systèmes d’information. Enfin, une identification multifactorielle a été mise en œuvre, pour l’heure à l’attention du personnel itinérant lorsqu’il est en dehors des locaux de l’entreprise. Il n’y avait donc pas de problème majeur de cybersécurité à résoudre.

En revanche, son réseau reposait sur un MPLS d’un opérateur à dimension nationale. Cela avait plusieurs inconvénients. Tout d’abord, le groupe ne pouvait recourir qu’à un seul opérateur télécom pour tous ses sites, même ceux acquis dans le cadre de la croissance externe. Et l’architecture était peu flexible. Vincent Balle relève : « nous recherchions de l’agilité, de la flexibilité et une optimisation de nos coûts. Et c’était très gênant de ne dépendre que d’un seul opérateur. »

Le SASE plutôt que le seul SDWAN

Logiquement, l’entreprise s’est donc intéressée au SDWAN. Cette approche de virtualisation des réseaux est la réponse traditionnelle à ce type de problème. « Nous avons interrogé de multiples acteurs » se souvient Vincent Balle. Il ajoute : « mais nous n’étions pas satisfaits des réponses apportées. Beaucoup supposaient que l’on garde le MPLS. Et, surtout, le temps de maintenance et la complexité de celle-ci étaient trop importantes, notamment à cause des boîtiers à placer dans tous nos sites mais nécessitant des mises à jour régulières. »

Courant 2021, Manuloc est amené à discuter avec Cato Networks. La solution de cet acteur repose, bien sûr, sur des boîtiers sur chaque site mais sans grande intelligence, plus de simples routeurs. Toute la complexité est centralisée dans les systèmes de l’éditeur, hébergés dans le cloud. « Je dois vous avouer que cela semblait trop beau, trop simple à déployer, pour que l’on y croit, car c’était quasiment de la magie » sourit Vincent Balle. Mais, pour s’assurer de juger correctement la solution, « nous avons mis en place un démonstrateur et la magie s’est révélée réelle ! »

Une réponse simple à tous les problèmes

Le SASE inclut notamment le SDWAN. « Mais c’est beaucoup plus simple » se réjouit Vincent Balle. Outre la simplicité et la centralisation de l’administration (bien utile quand on a des sites dispersés), la flexibilité est aussi garantie pour le réseau. Vincent Balle rappelle : « nous avons régulièrement des opérations de croissance externe et, à chaque acquisition, nous n’avons que quelques mois pour intégrer les sites concernés à notre SI et à notre réseau. Mais, avec Cato Networks, il suffit de poser le boîtier dans le site et nous pouvons garder l’opérateur télécom déjà en place. »

De plus, Manuloc a désormais recours à un méta-opérateur télécom. Celui-ci gère et optimise les liens télécoms dans chaque agence en fonction des besoins locaux et des disponibilités techniques. Le groupe reçoit une seule facture et dispose d’un seul support. « Nous avons divisé nos coûts réseaux ! » martèle Vincent Balle. Même s’il reconnaît : « Cato Networks est une solution plus onéreuse qu’un simple SDWAN, avec l’obligation de payer un abonnement, mais le coût total de possession (TCO) est inférieur car on réduit les coûts RH et celui des infrastructures. Au bout d’un an, nous avons déjà fait des économies avec, notamment, l’abandon du MPLS. »

Un projet qui se poursuit

Pour gérer le déploiement, Manuloc a eu recours à son prestataire habituel, Anetys. Cette ESN a aidé à la configuration initiale et à mettre en place le processus industriel de déploiement avec seulement deux jours de prestation. « Cato Networks est quasiment du clé en main et est administrable aisément sans que nous ayons besoin d’un expert réseau, des connaissances de base suffisent » se réjouit Vincent Balle. Alors que, à l’époque, la pénurie de matériel sévissait, la soixantaine de boîtiers de Cato Networks a été livrée en quatre jours tandis que d’autres commandes mettaient jusqu’à six mois à parvenir à l’entreprise. En moins de quatre mois, tous les sites ont basculé, Manuloc ayant été autonome sur les opérations de terrain.

Vincent Balle relève : « ce choix est l’un de ceux dont je suis le plus fier sur le plan professionnel depuis des années. Nous avons réellement gagné en réactivité et en flexibilité tout en faisant des économies. » Des fonctionnalités restent cependant à déployer ou à généraliser, comme le VPN inclus dans la solution. Ce module est actuellement en cours de déploiement sur tous les terminaux de tous les collaborateurs mobiles. Au delà du seul SASE, Cato Networks est également en mesure de proposer le ZTNA (Zero Trust Network Area). Avec cette nouvelle approche, chaque utilisateur aurait des droits et suivrait des règles constantes quels que soient ses modes variables de connexion au SI de l’entreprise. Manuloc s’y intéresse pour une éventuelle évolution de son SI.

Sur le même sujet

- Retrouvez le sujet du SASE sur le Club Hacktiv’Talk du 8 février 2023.