Quelle est la différence fondamentale entre SD-WAN et MPLS ?

Le SD-WAN est une couche logicielle qui pilote des liens Internet publics via un contrôleur centralisé. Le MPLS est un service réseau opéré sur une infrastructure privée avec QoS native et engagements de performance contractuels. Le SD-WAN apporte de la flexibilité sur le choix des liens, le MPLS apporte des garanties de performance mesurables.

Le SD-WAN remplace-t-il le MPLS ?

Non. Le SD-WAN complète le MPLS sur les sites à faible criticité, mais ne le remplace pas sur les usages vitaux. Les flux temps réel (voix, visio, ERP) nécessitent une QoS de bout en bout que seul le MPLS fournit avec des engagements contractuels.

Le SD-WAN est-il vraiment moins cher que le MPLS ?

Le coût d'accès Internet est inférieur à celui d'une liaison privée. Mais les licences logicielles SD-WAN, les boîtiers par site, la complexité d'administration et les interruptions de service génèrent des coûts indirects qui réduisent l'écart. Avec une collecte multi-opérateurs, l'écart de coût entre MPLS et SD-WAN se réduit significativement.

Pourquoi choisir une architecture hybride SD-WAN + MPLS ?

L'hybridation raccorde les sites critiques en MPLS avec QoS et SLA, et les sites secondaires en SD-WAN sur Internet. Le MPLS porte les usages vitaux, le SD-WAN absorbe les flux non prioritaires à moindre coût.

Réseau

SD-WAN vs MPLS : quel réseau pour interconnecter vos sites en 2026 ?

Le SD-WAN séduit par sa promesse de flexibilité et de réduction des coûts réseau. Après plusieurs années de déploiements, le bilan est plus nuancé que les prévisions de l'époque. Ce comparatif analyse les forces réelles de chaque technologie, leurs limites mesurables, et les architectures hybrides qui tirent le meilleur des deux selon le profil de chaque site.

Une entreprise industrielle française, qui deviendra par la suite notre client, choisit de migrer l’intégralité de son infrastructure réseau en SD-WAN. À cette période, les médias spécialisés vantaient les mérites du SD-WAN tandis que de nombreux prestataires improvisaient des offres pour surfer sur la tendance. Pour beaucoup, le MPLS vivait ses derniers moments de gloire. Trois ans plus tard, cette entreprise a choisi de reconstruire son réseau autour d’un backbone MPLS. La téléphonie IP était devenue inutilisable aux heures de pointe, les visioconférences avec les clients se coupaient régulièrement, et l’ERP ralentissait à chaque synchronisation de données entre sites. Le SD-WAN tenait ses promesses de coût, mais pas celles de performance.

Ce retour d’expérience n’est pas isolé. Après plusieurs années de déploiements massifs, le bilan du SD-WAN est plus contrasté que les prévisions initiales. La technologie a sa place dans un réseau multi-sites, mais cette place n’est pas celle que le marché lui avait assignée en 2017. Ce comparatif analyse les promesses, les limites réelles et les cas d’usage légitimes du SD-WAN face au MPLS, pour que votre choix d’architecture repose sur un retour terrain, pas sur un discours commercial.

Le SD-WAN, une couche logicielle séduisante sur des liens Internet publics

Comment fonctionne le SD-WAN et pourquoi il séduit

Le SD-WAN (Software-Defined Wide Area Network) est une application de gestion centralisée du WAN, le réseau étendu qui relie les sites d’une entreprise entre eux et à Internet. Techniquement, le SD-WAN superpose une couche logicielle sur les liens physiques (fibre, ADSL, 4G/5G) pour piloter le routage depuis un contrôleur central, généralement hébergé dans le cloud. Ce contrôleur décide en temps réel quel lien transporte quel flux, en fonction de la qualité mesurée de chaque chemin.

Le principal argument du SD-WAN est la liberté dans le choix des opérateurs. Chaque site peut être raccordé via le lien le moins cher ou le plus performant localement, sans dépendre d’un opérateur unique. En cas de panne d’un lien, le SD-WAN bascule automatiquement le trafic sur un autre. En 2024, 26 % des organisations avaient déployé le SD-WAN, 19 % étaient en cours de déploiement et 44 % prévoyaient de le faire (source : Command Link). Cette adoption confirme que l’argument économique fonctionne à l’étape du devis.

Le coût d’accès est effectivement inférieur. Les liens Internet publics coûtent moins cher que des liaisons privées opérées. Le déploiement est rapide, et la console centralisée promet de piloter l’ensemble du réseau depuis une interface unique. Sur le papier, le SD-WAN offre le meilleur des deux mondes, à savoir la performance du réseau privé au prix de l’Internet public.

La promesse de QoS du SD-WAN ne résiste pas à la réalité d’Internet

Le point de rupture se situe précisément là où la promesse est la plus ambitieuse. La couche logicielle du SD-WAN peut prioriser les flux à l’entrée du tunnel, mais elle ne contrôle absolument rien de ce qui se passe entre les deux extrémités. Si le lien Internet est saturé, si un nœud de transit est congestionné, si un peering entre opérateurs subit un incident, le SD-WAN ne peut pas garantir que les paquets voix arriveront dans l’ordre, sans gigue et avec une latence constante. Il peut détecter la dégradation et basculer le flux sur un autre lien, mais le temps de détection (plusieurs secondes) suffit à couper un appel ou à geler une visioconférence.

Cette limitation n’est pas un défaut du SD-WAN en tant que technologie. C’est une conséquence structurelle du fait qu’il opère sur Internet public. Aucune couche logicielle, aussi sophistiquée soit-elle, ne peut créer de la QoS sur un réseau qu’elle ne contrôle pas. Le SD-WAN gère intelligemment l’imprévisibilité d’Internet, mais il ne la supprime pas. Pour les flux qui tolèrent cette imprévisibilité (navigation web, messagerie, transfert de fichiers), le SD-WAN est pertinent. Pour les flux qui l’exigent (voix, visio, ERP temps réel), il prend un risque que le MPLS n’introduit pas.

Les coûts cachés du SD-WAN que le devis initial ne montre pas

Licences logicielles, boîtiers et coûts récurrents par site

Le SD-WAN n’est pas un simple paramétrage réseau. Chaque site doit disposer d’un boîtier SD-WAN (CPE) ou d’un équipement convergé qui intègre la fonction. Ces boîtiers sont liés à un éditeur (Fortinet, Cisco Viptela, VMware VeloCloud, Versa Networks) et soumis à des licences logicielles annuelles. Le coût de licence SD-WAN par site et par an représente un poste récurrent qui n’existe pas en MPLS, où la couche de routage et la QoS sont incluses dans le service opérateur. Sur un réseau de vingt sites, ce poste de licence peut représenter plusieurs dizaines de milliers d’euros par an.

La complexité d’administration, un coût en temps IT sous-estimé

L’administration centralisée promise par le contrôleur se heurte à la réalité terrain. Configurer les politiques de routage par application, par site et par plage horaire demande une expertise technique spécifique que beaucoup d’équipes IT internes ne possèdent pas. Former les équipes ou recourir à un intégrateur spécialisé a un coût. Quand le réseau combine des liens de trois ou quatre opérateurs différents, identifier l’origine d’un incident mobilise un temps de diagnostic sans commune mesure avec celui d’un réseau MPLS à guichet unique.

Prenons un cas concret. Un utilisateur du site de Lyon signale une mauvaise qualité d’appel VoIP. En SD-WAN, l’équipe IT doit vérifier si le problème vient du lien Internet de l’opérateur A, du lien de secours chez l’opérateur B, du boîtier SD-WAN, du tunnel de chiffrement, du contrôleur cloud ou d’une règle de routage applicatif mal configurée. Chaque couche est un suspect potentiel. En MPLS, le même incident se diagnostique depuis le portail de supervision centralisé : le lien du site de Lyon affiche sa latence, sa gigue et sa disponibilité, et l’opérateur est alerté automatiquement si les seuils SLA sont dépassés.

La dépendance à l’éditeur, un risque stratégique pour le réseau

Le réseau SD-WAN est piloté par un contrôleur logiciel propriétaire. Si ce contrôleur tombe (panne cloud, incident éditeur, erreur de configuration), l’ensemble du réseau managé par le SD-WAN devient inaccessible, y compris les outils critiques. Cette dépendance à un éditeur tiers est un risque structurel que le MPLS n’introduit pas, puisqu’il repose sur un protocole de routage standard ouvert.

La pérennité de l’éditeur lui-même est un paramètre à intégrer dans le choix. Le marché du SD-WAN a connu des rachats majeurs ces dernières années (VMware SD-WAN racheté par Broadcom, Silver Peak par HPE Aruba, CloudGenix par Palo Alto Networks). Chaque rachat entraîne des repositionnements de roadmap, des changements de politique de licence et parfois des fins de support qui contraignent les entreprises à migrer de plateforme. Un réseau MPLS ne subit pas ces aléas de marché logiciel. Le protocole est standardisé, interopérable, et sa pérennité ne dépend pas de la stratégie commerciale d’un éditeur.

Le MPLS, un réseau opéré dont les garanties sont contractuelles et mesurables

La QoS MPLS opère de bout en bout, pas seulement à l’entrée du tunnel

Le détail du fonctionnement technique du MPLS (commutation par labels, mécanismes de routage) est traité dans notre article dédié au protocole MPLS. Pour ce comparatif, le point central est la différence de modèle de garantie entre les deux technologies.

Le MPLS opère sur une infrastructure privée où l’opérateur maîtrise chaque nœud du parcours, du premier au dernier routeur. Cette maîtrise permet de réserver de la bande passante par classe de trafic, de maintenir la gigue sous un seuil contractuel et de garantir un taux de perte de paquets inférieur à 0,1 %. La QoS MPLS classe les flux en cinq niveaux de priorité, de la voix temps réel (priorité absolue) au best effort (navigation, mises à jour). Chaque classe dispose d’une bande passante réservée, et les classes prioritaires peuvent déborder sur les classes inférieures sans que l’inverse soit possible.

Quand une entreprise fait transiter voix, visio et ERP sur le même réseau, ces garanties ne sont pas un luxe technique. Elles sont la condition pour que la téléphonie IP fonctionne sans coupure, que les visioconférences avec les clients restent fluides et que les applicatifs métiers répondent en temps réel. Un commercial qui passe deux heures par jour en appel ne perçoit pas la différence entre MPLS et SD-WAN les jours calmes. Il la subit frontalement le jour où une sauvegarde de serveur sature un lien Internet partagé.

La sécurité centralisée, un avantage opérationnel autant que technique

Contrairement au SD-WAN qui distribue la sécurité sur chaque site (firewall local ou fonction intégrée au boîtier CPE), le MPLS centralise la sortie Internet et le firewall en cœur de réseau. Une seule modification de politique de sécurité s’applique à tous les sites simultanément. Les logs sont centralisés, les audits de conformité sont simplifiés, et le risque d’incohérence entre sites est supprimé.

En SD-WAN, la sécurité repose soit sur des firewalls distribués par site (avec le même problème de cohérence que l’IPsec), soit sur une fonction de sécurité intégrée au boîtier SD-WAN, ce qui lie la qualité de la sécurité à l’éditeur du boîtier. Quand l’éditeur SD-WAN et l’éditeur du firewall sont différents, l’intégration ajoute une couche de complexité supplémentaire. Quand ils sont identiques (Fortinet, par exemple), la dépendance à un éditeur unique pour le réseau ET la sécurité concentre les risques.

La supervision comme outil de pilotage, pas seulement de détection

Le portail de supervision MPLS fournit des indicateurs de performance par site, par VLAN et par application, depuis une interface unique. Latence, gigue, perte de paquets, disponibilité et consommation de bande passante sont mesurés en continu et comparés aux seuils SLA contractuels. Les alertes signalent une dégradation avant qu’elle n’impacte les usages, ce qui transforme la supervision en outil de pilotage proactif. L’historique des métriques permet de justifier des arbitrages de dimensionnement auprès de la direction, données à l’appui.

En SD-WAN, la supervision dépend de la console de l’éditeur. Cette console affiche les métriques des tunnels SD-WAN et des boîtiers CPE, mais pas nécessairement l’état des liens opérateurs sous-jacents ni les métriques de performance du firewall. Avoir une vision complète du réseau en SD-WAN demande de croiser plusieurs outils, ce qui allonge le temps de diagnostic et complique la prise de décision.

Notre page dédiée au VPN MPLS d’entreprise détaille les capacités du portail de supervision et les engagements contractuels associés (99,8 % de disponibilité, GTR 4 h, prise en charge d’un incident bloquant en 30 minutes).

Le MPLS continue d’évoluer et absorbe les cas d’usage du SD-WAN

Le reproche historique fait au MPLS était sa rigidité : ajout de site lent, dépendance à un opérateur unique, absence de visibilité applicative. Ces reproches étaient fondés il y a dix ans. Ils ne le sont plus aujourd’hui.

Le Segment Routing (SR-MPLS) permet un provisionnement de service plus rapide et plus flexible, comparable à la souplesse du SD-WAN. La virtualisation des fonctions réseau (NFV) déporte les fonctions de routage et de sécurité sur des infrastructures logicielles, sans sacrifier les garanties de performance du backbone physique. La collecte multi-opérateurs, telle que Napsis la pratique, supprime la dépendance à un opérateur unique tout en conservant le bénéfice du réseau privé.

Le MPLS de 2026 n’est plus le MPLS rigide de 2015. Il absorbe progressivement les cas d’usage qui justifiaient l’adoption du SD-WAN (flexibilité de provisionnement, visibilité applicative, agrégation multi-liens) tout en conservant ce que le SD-WAN ne peut pas offrir : une QoS de bout en bout contractuellement garantie.

Comparatif SD-WAN vs MPLS sur les critères opérationnels

Comparaison technique SD-WAN et MPLS pour réseaux multi-sites
Critère	SD-WAN	MPLS
Transport	Internet public, liens agrégés	Réseau privé opéré, infrastructure maîtrisée
QoS	Priorisation locale, aucune garantie de bout en bout	5 classes, SLA contractuel, taux de perte < 0,1 %
Sécurité	Chiffrement par tunnel + firewall par site ou intégré au boîtier	Cloisonnement privé + firewall centralisé en cœur de réseau
Résilience	Basculement dynamique entre liens Internet	Double lien natif (fibre + SDSL ou 4G), basculement transparent avec QoS maintenue
Supervision	Console éditeur, vision partielle du réseau	Portail opérateur unifié, métriques SLA temps réel
Coût d'accès	Plus faible (liens Internet publics)	Comparable en collecte multi-opérateurs
Coûts récurrents	Licences logicielles + boîtiers CPE par site	Inclus dans le service opérateur, pas de surcoût logiciel
Complexité diagnostic	Élevée (opérateur + boîtier + contrôleur + tunnel + firewall)	Faible (un portail, un interlocuteur, un service unifié)
Dépendance éditeur	Forte (contrôleur propriétaire, risque de rachat/fin de support)	Aucune (protocole standard ouvert, interopérable)
Évolutivité	Ajout de site rapide mais avec CPE + licence	Ajout de site sans interruption, configuration centralisée

Architecture hybride : le MPLS comme socle, le SD-WAN en complément

La question n’est pas “SD-WAN ou MPLS” mais “quels sites méritent la garantie MPLS, et lesquels peuvent s’en passer”. L’architecture hybride raccorde les sites critiques (siège, datacenter, plateformes de production, sites avec téléphonie IP intensive) en MPLS avec QoS et SLA, et les sites à faible criticité (agences commerciales à trois postes, showrooms, sites temporaires de chantier) en SD-WAN ou en tunnel IPsec sur Internet.

Le MPLS porte les usages qui exigent une QoS contractuelle. Le SD-WAN ou l’IPsec couvre les sites où la garantie de performance n’est pas un prérequis métier. Les deux coexistent dans le même portail de supervision, ce qui maintient une vision consolidée du réseau malgré l’hétérogénéité des accès.

Collecte multi-opérateurs et couche MPLS native : l’approche Napsis

Notre approche repose sur un constat d’ingénierie. La couche MPLS est native sur notre backbone, ce qui ne crée pas de surcoût majeur d’activation. Cette architecture élimine le surcoût que pratiquent les opérateurs historiques quand ils facturent le MPLS comme une option premium sur un réseau conçu pour Internet.

Grâce à une collecte sur plus de quinze opérateurs nationaux et cinquante opérateurs locaux, nous proposons le meilleur ratio éligibilité/coût pour chaque site. Le coût d’un accès MPLS multi-opérateurs se compare directement à celui d’un accès Internet + licence SD-WAN + boîtier CPE, et l’écart est souvent plus faible qu’attendu. Sur un réseau de vingt sites, la suppression des licences logicielles et des boîtiers CPE compense régulièrement le surcoût de l’accès privé.

Toutes les lignes sont privées, supervisées et couvertes par des SLA mesurables. Quand un site ne justifie pas un accès MPLS, un tunnel IPsec sur Internet l’intègre au réseau privé sans rupture de supervision et sans ajout de couche logicielle propriétaire. Pour comprendre les différences entre ces deux protocoles d’interconnexion, notre comparatif MPLS vs IPsec analyse chaque critère opérationnel en détail.

Guichet unique et supervision centralisée, quel que soit le type d’accès

En cas de problème sur un lien, un seul interlocuteur traite la sollicitation, quel que soit l’opérateur physique du lien concerné. L’interface de supervision unique permet de contrôler l’ensemble des liens, leur débit, la consommation de bande passante et les indicateurs de QoS par site. Cette visibilité globale est précisément ce qui manque aux architectures SD-WAN multi-éditeurs où chaque couche (opérateur, boîtier CPE, contrôleur cloud, firewall) dispose de sa propre console et de son propre support technique.

Cette stabilité de l’infrastructure se reflète dans la durée moyenne de nos relations clients, qui approche les dix ans.

Infographie sur la différence entre VPN MPLS et SD-WAN — Infographie comparant les architectures SD-WAN et VPN MPLS pour les réseaux multi-sites