SD-WAN vs MPLS : que choisir ?

SD-WAN remplace ou complète MPLS via Internet (FAI multiples). Avantages : coût réduit, agilité, sécurité intégrée. MPLS reste pertinent pour SLA stricts ou applications temps réel critiques.

Quel débit pour mon site SD-WAN ?

Site agence (<50 utilisateurs) : 100-500 Mbps. Site régional (50-200) : 500 Mbps - 1 Gbps. Datacenter ou siège : 1-10 Gbps. Toujours dimensionner avec 30% de marge.

Combien coûte une solution SD-WAN ?

Hardware : 500-5000€ par site selon débit. Licence annuelle : 200-2000€/site. Ajouter orchestrateur cloud (Velocloud, Versa, Cisco vManage) et formation initiale.

Comment choisir un routeur SD-WAN

Q: Quel débit pour mon site SD-WAN ?

Site agence (<50 utilisateurs) : 100-500 Mbps. Site régional (50-200) : 500 Mbps - 1 Gbps. Datacenter ou siège : 1-10 Gbps. Toujours dimensionner avec 30% de marge.

Q: Combien coûte une solution SD-WAN ?

Hardware : 500-5000€ par site selon débit. Licence annuelle : 200-2000€/site. Ajouter orchestrateur cloud (Velocloud, Versa, Cisco vManage) et formation initiale.

15 avril 2026·5 min de lecture·973 mots

SD-WAN : pourquoi remplacer (ou compléter) le MPLS

Le SD-WAN (Software-Defined WAN) virtualise le transport WAN en agrégeant plusieurs liens (fibre Internet, MPLS, 4G/5G) dans un overlay sécurisé. L'appliance SD-WAN sur chaque site applique des politiques applicatives intelligentes : Office 365 prend le meilleur lien Internet du moment, l'ERP critique reste sur le MPLS, les sauvegardes passent sur Internet en heures creuses. Le tout avec mesure SLA continue (latence, jitter, packet loss) et failover automatique en cas de dégradation.

En 2026, 60% des entreprises multi-sites ont un projet SD-WAN actif (vs 15% en 2022). Le driver n'est plus seulement l'économie WAN — c'est l'intégration cloud (Office 365, AWS, Azure), le besoin SASE (sécurité distribuée), et l'agilité de déploiement de nouveaux sites (1 semaine vs 3 mois pour un MPLS).

Les trois plateformes SD-WAN leaders

Cisco SD-WAN (Viptela) sur Catalyst 8000

Cisco a racheté Viptela en 2017 pour construire sa solution SD-WAN enterprise. L'architecture repose sur 4 composants : vManage (orchestration UI), vBond (zero-touch provisioning), vSmart (control plane OMP), et cEdge (data plane sur Catalyst 8000, ISR 4000). Le control plane utilise OMP (Overlay Management Protocol) propriétaire.

Catalyst 8200 (C8200-1N-4T) : branche basique, 250 Mbps SD-WAN. Pour petites agences. Prix OPTINOC : ~3 000€ HT.
Catalyst 8300 (C8300-2N2S-6T) : branche enterprise, 2.5 Gbps SD-WAN. Pour agences moyennes. Prix : ~6 000€ HT.
Catalyst 8500 (C8500-12X) : datacenter/hub, 10+ Gbps. Prix : ~18 000€ HT.
Licence : Network Essentials (NE), Network Advantage (NA), ou Network Premier (NP). Compter 100-400€/site/an selon niveau.
Forces : orchestration vManage mature (1000+ sites), Cloud OnRamp pour SaaS/IaaS, écosystème Cisco.
Faiblesses : complexité de déploiement (4 composants), coût licences élevé, pas de NGFW intégré (besoin Umbrella/Firepower séparé).

Fortinet Secure SD-WAN sur FortiGate

Fortinet intègre le SD-WAN directement dans FortiOS — le même OS que le firewall NGFW. Un FortiGate fait firewall + SD-WAN + IPS + VPN nativement, sans composant séparé. FortiManager orchestre, FortiAnalyzer log/analytics. C'est l'approche la plus intégrée du marché.

FortiGate 60F (FG-60F) : branche PME, 700 Mbps Threat + SD-WAN. Prix OPTINOC : ~700€ HT.
FortiGate 100F (FG-100F) : branche enterprise, 1 Gbps Threat + SD-WAN. Prix : ~2 800€ HT.
FortiGate 200F (FG-200F) : hub/datacenter, 3 Gbps Threat + SD-WAN. Prix : ~5 500€ HT.
SD-WAN inclus nativement dans FortiOS — PAS de licence supplémentaire. C'est un avantage économique majeur.
Forces : SD-WAN + NGFW intégré (pas de chaînage), rapport prix/performance imbattable, FortiManager simple à déployer, ZTP via FortiCloud.
Faiblesses : pas d'orchestration multi-vendor, compétences NSE moins répandues que CCNP SP.

Juniper SRX + Session Smart Router (SVR)

Juniper combine le SRX (firewall Junos) avec SVR (Session Smart Router, ex-128 Technology racheté en 2020). SVR apporte une approche unique : routing session-aware (pas de tunnel overlay). Chaque session applicative est routée individuellement en fonction de la qualité du lien, sans encapsulation IPsec/GRE — économie de 30% de bande passante vs les SD-WAN à tunnels.

SRX380 : branche avec SD-WAN SVR intégré. Prix OPTINOC : ~4 000€ HT.
SRX1500 : datacenter/hub. Prix : ~8 000€ HT.
Mist AI : gestion cloud-managed unifiée (Wi-Fi + wired + SD-WAN).
Forces : session-aware routing unique (pas de tunnels), intégration Junos (BGP/OSPF avancé), Mist AI cloud.
Faiblesses : part de marché faible (compétences rares), SVR encore jeune (adoption croissante mais pas encore mainstream).

Comparatif TCO multi-sites (50 sites)

Scénario : 50 sites (40 petits + 8 moyens + 2 hubs DC), fibre Internet dual-WAN par site, sécurité NGFW activée :

Fortinet : 40× FG-60F (28K€) + 8× FG-100F (22K€) + 2× FG-200F (11K€) + FortiManager VM (5K€) + licences UTP 3 ans (45K€) = ~111K€ HT.
Cisco Viptela : 40× C8200 (120K€) + 8× C8300 (48K€) + 2× C8500 (36K€) + vManage/vBond/vSmart (25K€) + licences NA 3 ans (90K€) + Umbrella/Firepower séparé (50K€) = ~369K€ HT.
Juniper SVR : 40× SRX380 (160K€) + 8× SRX1500 (64K€) + 2× SRX4100 (70K€) + Mist (30K€) + licences 3 ans (40K€) = ~364K€ HT.

Fortinet revient à 30% du coût de Cisco Viptela sur ce scénario. La différence : 258K€ d'économie. Pour les très grands déploiements (500+ sites), Cisco vManage offre une orchestration plus mature, mais le FortiManager scale aussi à 500+ sites.

Sécurité intégrée vs SASE

Le SD-WAN seul ne suffit pas — il faut sécuriser les flux Internet locaux (DIA, Direct Internet Access) et les accès cloud. Deux approches :

Sécurité intégrée (Fortinet, Juniper SRX) : le firewall NGFW est intégré à l'appliance SD-WAN. Chaque site a son NGFW local. Simple, économique, mais chaque site doit être managé.
SASE cloud (Cisco Umbrella, Palo Alto Prisma, Zscaler) : la sécurité est déportée dans le cloud (SWG, CASB, ZTNA, FWaaS). Le SD-WAN envoie le trafic Internet vers des POPs cloud pour inspection. Plus scalable mais ajoute de la latence et des coûts récurrents.
Hybride (recommandé) : NGFW local pour le trafic LAN + SASE cloud pour les utilisateurs nomades et le trafic SaaS direct.

Dimensionnement par taille de site

Très petite branche (5-20 users) : FortiGate 40F ou Catalyst 8200. 1 lien fibre + 1 lien 4G failover.
Branche standard (20-100 users) : FortiGate 100F ou Catalyst 8300. 2 liens fibre Internet de 2 opérateurs différents.
Site moyen (100-300 users) : FortiGate 200F ou Catalyst 8300. Fibre 1Gbps + MPLS + 4G failover.
Hub datacenter : FortiGate 600F ou Catalyst 8500. Agrégation de tous les tunnels sites. Prévoir 10× la bande passante d'un site moyen.

Notre recommandation OPTINOC

Pour 80% des projets SD-WAN multi-sites : Fortinet Secure SD-WAN. Le SD-WAN + NGFW intégré sans licence supplémentaire, le FortiManager pour orchestration, et le TCO 3× inférieur à Cisco rendent cette solution imbattable. Pour les très grands comptes (500+ sites) avec écosystème Cisco et budget OpEx : Cisco SD-WAN sur Catalyst 8000 reste la référence d'orchestration.

OPTINOC distribue FortiGate, Cisco Catalyst 8000, et Juniper SRX en garantie constructeur. Demandez une étude TCO comparative sur votre périmètre multi-sites.