La virtualisation offre un monde de possibilités aux opérateurs pour améliorer leurs réseaux fixes et mobiles. Mais elle a des impacts importants sur les performances, les finances, la sécurité et la souveraineté. L'Arcep dresse un état des lieux.
Dans le cadre de l'analyse des réseaux du futur, l'Arcep s'est penchée sur la voiture connectée (lire notre analyse) et la virtualisation des réseaux fixes et mobiles. Elle est déjà en marche depuis plusieurs années chez au moins un opérateur français. Si elle apporte de la souplesse dans la gestion des ressources, elle n'est pas pour autant exempte de défauts.
Cet état des lieux est le fruit d’un premier cycle d’auditions qui « détaille ces questions afin de permettre l’identification des enjeux qui devront faire l’objet d’une analyse plus approfondie ». Alors qu'il fallait historiquement un équipement pour se charger du contrôle d’accès au réseau, des pare-feux, des routeurs, des passerelles, etc. La virtualisation permet de briser cette association avec des logiciels d'un côté et des serveurs banalisés de l'autre.
La virtualisation en deux mots : NFV et SDN
Avant d'entrer dans le vif du sujet, il faut comprendre deux notions importantes :
- NFV (Network Function Virtualization). La capacité de dissocier le matériel du logiciel pour les équipements réseau : plusieurs fonctions réseau peuvent par exemple s’exécuter de manière indépendante sur un même matériel générique. Les fonctions réseau peuvent également migrer d’un matériel à un autre. Ce concept a été introduit en 2012 dans un livre blanc cosigné par treize opérateurs.
- SDN (Software Defined Networks). La capacité de configurer les équipements réseau à la volée en fonction des besoins de l’application/service au moyen d’un « contrôleur de réseau ».
Bien qu'indépendante l'une de l'autre, leur déploiement se fait généralement en simultané. « NFV vise à rendre polyvalents les équipements physiques utilisés en leur permettant de multiplier les fonctions qu’ils peuvent remplir (chaque fonction devenant un logiciel plutôt qu’un équipement physique propre) ; SDN vise pour sa part à rendre programmables l’acheminement et le traitement de flux », explique le gendarme des télécoms.
Pour les exploitants des réseaux, il y a un intérêt financier. Ils peuvent « espérer réduire les coûts fixes en s’approvisionnant, en lieu et place d’équipements spécifiques, avec des équipements génériques sur lesquels s’exécuteront des fonctions logicielles ». Mais attention à bien prendre en compte les coûts éventuels des licences logicielles, de leur intégration et de la formation du personnel.
Problème de la virtualisation : la latence
Le régulateur explique que les « machines virtuelles intègrent leurs propres systèmes d’exploitation et ne permettent généralement pas un accès direct à la ressource physique », elles sont donc légèrement moins réactives qu'une machine physique. Si ce n'est pas problématique pour un ordinateur classique, la chanson est différente avec certaines fonctions réseau ayant des contraintes strictes.
Une alternative est mise en avant par certains : les conteneurs. Il s'agit d'une « variante miniature de la machine virtuelle qui s’appuie sur une isolation moins étanche entre la machine virtuelle et l’infrastructure physique ». Les conteneurs sont ainsi plus réactifs que les machines virtuelles, mais ils sont plus volatiles : « Contrairement à une machine virtuelle, le container est un micro composant, ce qui induit des risques spécifiques : traçabilité plus complexe, risque de défaillance plus distribué, complexité pour coordonner et orchestrer l’ensemble... ».
Des logiciels open-source... nécessitant des compétences
La bonne nouvelle pour les opérateurs, c'est que de nombreux logiciels utilisés pour la virtualisation « sont disponibles en open-source sous forme de composants logiciels qu’il est nécessaire d’assembler pour créer un équipement réseau virtualisé complet ». Simple et économique en théorie, cette opération demande des compétences particulières pour la mise en œuvre et le suivi.
D'un autre côté, des équipementiers proposent des solutions clés en main avec des licences payantes. Ce genre de service entraine une baisse prévisible des revenus fixes et une hausse de ceux variables. La virtualisation ouvre aussi la porte à de nouveaux acteurs pour entrer en concurrence avec les équipementiers : les spécialistes de la virtualisation et du cloud.
Des sociétés comme VMWare ont ainsi « développé des versions "premium" et optimisées de leurs logiciels pour bénéficier des avantages de la virtualisation (flexibilité, mutualisation) tout en atténuant les inconvénients (diminution des performances, fiabilité amoindrie) ».
Impact sur les opérateurs télécoms
Pour l'Arcep, « la virtualisation des réseaux permettra probablement de réaliser des gains financiers à terme. Toutefois l’ampleur et l’horizon de ces gains restent incertains et dépendants des situations propres et des scénarios retenus ». Il ne faut pas non plus exclure la mise en lumière ultérieure de coûts cachés.
Et une solution hybride combinant l’intégration de logiciels open-source et des licences achetées aux équipementiers ne semble pas simple à mettre en œuvre : « en pratique cette approche pourrait potentiellement faire perdre aux opérateurs les garanties que les équipementiers leur offrent ».
Ce n'est pas la seule problématique et trois défis opérationnels doivent être pris en compte : « la requalification de leurs équipes, une possible dégradation de leur qualité de service, et la redéfinition des responsabilités contractuelles en cas de panne sur le réseau ».
Ce dernier point rejoint un peu la problématique des voitures autonomes en cas d'accident : qui est responsable entre le fabricant de la voiture, l'éditeur du logiciel, l'intégrateur, le vendeur, le client, etc. ?
Network slicing et neutralité du Net
La virtualisation aura un impact important sur la fourniture de service. Elle permet en effet de mettre en place des tranches de réseaux cloisonnées (network slicing) avec des qualités de service différentes. La 5G s'en servira par exemple pour des réseaux avec une latence très faible.
Sur cette question, l'Arcep soulève la question de la neutralité du Net : « le BEREC n’identifie pas à ce jour le network slicing comme une atteinte à la neutralité du Net en tant que tel, dès lors qu’il est utilisé conformément aux possibilités de différenciation de qualité de service autorisée par le règlement européen sur l’internet ouvert ».
Il appartient aux autorités de régulation de vérifier que ce principe est correctement appliqué. Le problème réside dans la manière de procéder à cette analyse. L'Arcep évoque une première piste complexe et longue : « la consultation des fichiers de configuration au niveau du contrôleur et de l’orchestrateur, ainsi que la consultation des journaux d’événements réseau ».
Permettre une ouverture à de nouveaux acteurs
Les opérateurs pourront également partager avec des tiers l'accès à leurs infrastructures réseau. Techniquement, les clients pourront « opérer leurs propres réseaux virtuels sur sa plateforme, soit en conservant une certaine maîtrise de l’intelligence de la plateforme (orchestration, contrôle, vision de bout en bout…), soit en se désengageant complètement de l’intelligence et en se confinant à un rôle d’opérateur d’infrastructure ».
Conséquence : de nouveaux opérateurs pourront se lancer en s'appuyant sur un réseau entièrement virtualisé sans détenir la moindre infrastructure physique en propre. Un bon point pour la concurrence, au moins pour les acteurs disposant d’une expertise dans la virtualisation et le cloud.
Pour le régulateur, « le paysage concurrentiel des télécommunications pourrait être profondément modifié »... à condition que les opérateurs jouent le jeu. En effet, « la nécessité d'obtenir un accord d’accès auprès de détenteurs d’infrastructures physiques demeure ».
Cette possibilité de nouveaux acteurs du cloud était déjà clairement mise en avant par Sébastien Soriano lors d'une interview sur l'attribution des fréquences 5G : « On ne peut pas exclure qu'il y ait des acteurs, notamment du cloud, qui puissent se lancer dans cette couche-là. Il y a des mutualisations évidentes, on est dans une couche réseau qui ressemble beaucoup à celle du cloud, on utilise des infrastructures télécom et on gère l'algorithmique, le stockage et la data. C'est beaucoup plus du service informatique que des télécoms en fin de compte ».
Un autre enjeu de la virtualisation est l'interopérabilité, aussi bien à l'intérieur d'un même réseau que pour des interconnexions. « Des travaux de standardisation, menés notamment par l’industrie – par exemple au sein de l’ETSI ou d’organisations/consortiums ad-hoc – et le monde de l’open-source pourraient aider à répondre, techniquement parlant, à cette problématique d’interopérabilité ».
Quatre principaux problèmes sur la sécurité
Tout n'est pas rose pour autant et le gendarme met en garde contre quatre problématiques de sécurité :
- Création d’un point unique de défaillance (SPOF) due à la centralisation du contrôle des fonctions de réseau
- Nécessité de garantir l’étanchéité entre applications
- Augmentation des surfaces d’attaques
- Hétérogénéité des configurations.
Mais il est également possible que le SDN « permette une meilleure maîtrise des configurations et favorise la modification rapide de celles-ci ». L'élaboration d'un cadre sécurisé fait partie des actions de l'ANSSI.
Enfin, dernier point, mais pas des moindres, la question de souveraineté : « Certains opérateurs français pourraient choisir de réaliser certaines de ces activités en dehors du territoire national, soit pour des raisons de coût, soit pour les mutualiser avec les activités similaires de filiales ou de sociétés sœurs exerçant dans d’autres pays ».
Pour l'instant, la réglementation prévoit que certaines opérations aient lieu sur le territoire national, « notamment la mise en œuvre des moyens nécessaires aux interceptions de correspondances ». La délocalisation pourrait également « avoir un impact sur la capacité de l’État à mettre en œuvre ses capacités en matière de détection de cyberattaques ou de réaction en cas de crise ».
Sans compter que les opérateurs ou leurs partenaires pourraient alors être assujettis à des réglementations étrangères. Pour finir, l'Arcep explique que « ces questions de souveraineté relèvent davantage des compétences notamment du gouvernement (ANSSI et SGDSN entre autres) ».
Orange et Bouygues Telecom sur les rangs
En France, Orange a déjà commencé à virtualiser son réseau depuis plusieurs années : au MWC 2017 par exemple, le FAI exposait déjà certains services virtualisés. Lors d'une interview, Jehanne Savi, responsable mondial du programme « on-demand network », nous affirmait qu'Orange avait virtualisé huit datacenters un peu partout dans le monde en 2016. L'opérateur prévoit d'en déployer quelques dizaines supplémentaires en 2017, dont deux ou trois en France.
L'opérateur était dans une logique de mise à jour, pas de faire table rase du passé : la virtualisation est mise en place lors d'un « changement de matériel en cas de panne, le besoin de déployer des services exploitant la virtualisation, et enfin l'ajout d'un nouveau datacenter pour absorber la croissance du trafic »
À cette époque, Bouygues Telecom nous confirmait avoir « effectivement entamé la préparation de la virtualisation du cœur de réseau, nous commençons par la mise en place de l’infrastructure NFV (NFVi = Network Functions Virtualisation Infrastructure), sur laquelle viendront se poser les applications du cœur de réseau, tout d’abord 4G et ensuite 5G », sans plus de détails.
SFR et Free n'avaient pas répondu à nos sollicitations.
