IPsec : une technologie dépassée pour les entreprises modernes ?

Dans l’univers du SASE et du SD-WAN, les grands acteurs américains comme Fortinet, Palo Alto ou Cato Networks se présentent comme ultra innovants. Pourtant, derrière les discours marketing, une technologie vieille de plus de 25 ans continue d’être utilisée massivement dans leurs solutions : IPsec. Ce protocole, créé à l’origine pour relier deux datacenters via Internet dans les années 90, n’a pas été pensé pour le cloud, les fibres gigabit ni le travail hybride actuel.

IPsec souffre aujourd’hui de limites structurelles. Ses performances plafonnent souvent entre 300 et 600 Mb/s sur des équipements standards, bien loin des capacités offertes par les fibres FTTH ou FTTO qui atteignent 1 à 5 Gb/s en France. Il impose des configurations complexes (IKEv2, gestion MTU, NAT-T), une latence supplémentaire liée aux encapsulations et une faible résilience : à la moindre coupure, il faut renégocier la connexion, avec parfois une perte de session utilisateur. C’est une technologie robuste… mais lente, lourde et mal adaptée aux besoins actuels.

Plus grave encore : l’IPsec devient un goulot d’étranglement lorsque les fonctions de sécurité sont activées. Chez Fortinet, Cato Networks ou Palo Alto, les débits chutent drastiquement dès que l’on active le chiffrement avancé, le DLP, le SSL inspection ou l’IPS. Certaines appliances descendent sous les 200 Mb/s, alors même que les entreprises paient pour des fibres à 1 Gb/s. Résultat : la technologie de sécurité censure la performance du réseau.

À l’inverse, des protocoles modernes comme WireGuard, intégré nativement à la solution WANUP, offrent une alternative plus adaptée aux besoins actuels. WireGuard utilise des algorithmes modernes (ChaCha20, Curve25519), se configure en quelques lignes et atteint facilement 1 à 2 Gb/s sur un CPU standard. La reconnexion est instantanée, le protocole est léger, compatible Zero Trust et parfait pour des environnements cloud et hybrides.

Conclusion
IPsec n’est pas “mauvais”, mais il appartient à un autre temps. Continuer à bâtir des architectures modernes dessus, c’est accepter de brider la fibre, de subir des latences inutiles et de complexifier les infrastructures. En France, où la connectivité est parmi les plus performantes d’Europe, les entreprises ont besoin d’un SD-WAN pensé pour leur réalité — pas d’une technologie héritée des années 90. WANUP fait ce choix en adoptant WireGuard et en rompant avec l’inertie d’IPsec.