Opposer réseau privé virtuel IPSec et réseau privé virtuel SSL revient à mettre face à face le train et la voiture. Ils sont concurrents pour certains usages, mais se complètent pour d'autres. C'est pourquoi les réseaux privés virtuels (RPV ou VPN en anglais pour Virtual Private Network) fondés sur IPSec (IP Security) et ceux basés sur SSL (Secure Socket Layer) couvrent pratiquement tous les besoins de connexion de l'entreprise.

Le premier usage du réseau privé virtuel a consisté à relier entre eux les sites d'une entreprise, sans avoir à louer à des opérateurs des liaisons de bout en bout, souvent très coûteuses. L'utilisateur partage avec d'autres usagers les ressources d'un réseau télécoms ou d'internet. Ce qui génère des économies. Malgré cette mise en commun des ressources, la confidentialité des échanges reste garantie par le cryptage des données.

Les premiers protocoles utilisés étaient de niveau 2. Le plus connu fut L2TP (Layer 2 Tunneling Protocol), issu du croisement de Point-to-Point Tunneling Protocol, de Microsoft, et de Layer 2 Forwarding, de Cisco. Mais c'est IPSec qui a réellement contribué à l'essor du RPV, grâce à sa simplicité de mise en oeuvre. Plus récemment, l'arrivée de SSL a ouvert plus largement encore l'usage du RPV au personnel itinérant en facilitant toujours plus la connexion au site central. A la différence d'IPSec, SSL ne nécessite aucun client spécifique sur le PC, puisque c'est le navigateur qui est utilisé. Enfin, l'essor du DSL a donné un coup de fouet au développement des RPV en autorisant un raccordement bon marché au réseau de l'opérateur ou du fournisseur d'accès à internet.

Connexion entre sites pour IPSec, et raccordement des nomades pour SSL. Voilà, dans les grandes lignes, les domaines d'utilisation respectifs des deux protocoles. Mais, dans le détail, les choses ne sont pas aussi simples. SSL, idéal pour se connecter à une messagerie web ou à un intranet, s'avère très difficile à utiliser dans le cas d'applications métier non « webisées » . Seul IPSec transporte tous les types de trafic. C'est pourquoi la branche Europe de l'Ouest de l'industriel allemand Mellita l'a choisi afin d'équiper ses vendeurs nomades. Ceux-ci ne disposent pas de bureau et sont équipés de PC portables. Leur principal outil est le module de gestion de la relation client de SAP. Ils se connectent chaque soir au site central, via IPSec, afin de rapatrier leurs données et de télécharger les dossiers du lendemain. Grâce au client SAP installé sur le PC, les vendeurs travaillent hors ligne pendant la journée. « S'ils se connectaient en SSL, il leur faudrait rester branchés en permanence via une liaison sans fil ­ GPRS, par exemple. Ce qui générerait des coûts prohibitifs », explique Augustin de Souza, responsable informatique pour l'Europe de l'Ouest. Le client IPSec a pour autre atout de verrouiller le PC. « Les vendeurs ne peuvent se connecter qu'au site central  » , souligne Augustin de Souza. Outre le proxy, ce client embarque un pare-feu.

Autre adepte d'IPSec, la CFDT. En 2000, l'organisation syndicale décide de refondre son réseau et d'abandonner Global Intranet, de l'opérateur France Télécom. Elle bâtit un RPV afin de relier ses principaux sites parisiens. Cette opération se traduit par une économie de 20 % sur la facture, pour une bande passante doublée. Le raccordement des correspondants de province au site central devient ainsi plus facile et moins onéreux. Pour pierre angulaire du RPV, la CFDT retient le logiciel VPN-1 de Check Point, dans un boîtier IP300 de Nokia. Il est jugé plus complet que les produits de Cisco, de Netscreen et du Français Arkoon. Le syndicat en profite pour équiper ses collaborateurs nomades de PC portables dotés de clients IPSec. « A l'époque, on ne parlait pas de SSL » , explique Alain Chetboun, directeur informatique de la CFDT. Principaux bénéficiaires, les techniciens de la maintenance informatique. Ils se connectent de n'importe où pour prendre la main sur des machines distantes, effectuer de la télémaintenance et aider les utilisateurs.

D'autres poussent jusqu'au bout la logique de complémentarité entre IPSec et SSL, et combinent les deux protocoles. C'est ainsi que la chambre de commerce et d'industrie (CCI) de Brest a retenu IPSec pour interconnecter ses douze sites. « Il nous paraît plus sûr, parce que fondé sur l'échange de certificats » , estime Pierre-Yves Nicolas, directeur informatique de la CCI. En revanche, pour les nomades, elle a retenu la solution SSL, parce qu'il n'y a rien à installer sur le PC. SSL nécessite toutefois une passerelle spécifique. Ce qui rend l'architecture plus complexe au niveau du site central ­ question qui ne se pose pas en IPSec, car la plupart des pare-feu incluent d'office une passerelle.

Cette difficulté peut être contournée en recourant à la formule de la passerelle hébergée. Une spécialité de la jeune pousse française IPDiva. Cette option a été retenue par Flywest, une compagnie aérienne brestoise à bas coût. Celle-ci compte trois salariés travaillant sur le site de l'aéroport et deux directeurs associés. L'un d'eux, Jean-Louis Aze, se déplace beaucoup. Il doit être en mesure d'accéder aux serveurs qui gèrent les réservations de chez lui en ADSL, depuis son mobile, ou par des réseaux radio publics (hotspots). « Je ne suis pas informaticien et ne cherche pas à le devenir, précise-t-il. Je veux une solution clés en main. » D'où le choix d'IPDiva. La passerelle se trouve chez le prestataire. Toutes les requêtes y aboutissent. Elle effectue l'authentification et autorise l'utilisateur distant à se connecter. Une fois que celui-ci a reçu le feu vert, les ressources aux-quelles il a le droit d'accéder s'affichent sur son navigateur. Lorsqu'il clique sur l'une d'elles, la requête est prolongée, via un tunnel SSL, jusqu'au site de Flywest. C'est un boîtier, placé sur le réseau local de la compagnie aérienne, qui établit automatiquement ce tunnel. Cette simplicité a toutefois un coût. La mise en service se monte, en effet, à 1 500 euros, et l'abonnement coûte 50 euros par mois pour deux utilisateurs simultanés. « C'est un choix, affirme Jean-Louis Aze. De plus, cette solution offre une sécurité maximale, car notre site n'est pas visible sur internet. »

En fait, la décision d'opter pour IPSec ou SSL relève autant de la culture d'entreprise que de la technique. « D'un point de vue technique, IPSec se prête mieux aux architectures en mode client-serveur. SSL, quant à lui, s'avère plus adapté à celles organisées en troistiers » , conclut Stéphane Bézenval, consultant réseaux chez Nextira One.