...
Accueil / Science Telecom / Le guide ultime de l’Interconnexion Satellite

Le guide ultime de l’Interconnexion Satellite

Par
17 février 2026
sciences radios télécommunication mobile

Le guide ultime de l’Interconnexion Satellite et réseaux hybrides pour les entreprises

Résumé de la procédure

Prérequis nécessaires :

  • Terminal satellite compatible (VSAT, LEO, ou hybride multi-constellation)
  • Accès Internet existant (fibre, 4G/5G ou xDSL) pour configuration hybride
  • Équipement réseau SD-WAN ou routeur compatible BGP/OSPF
  • Budget alloué : 3 000€ à 50 000€ selon déploiement (terminal, abonnement, installation)
  • Compétences requises : connaissances en routage IP, VPN, protocoles de tunneling et architecture réseau

Estimation : 4 à 12 semaines pour déploiement complet (étude, installation, mise en service)
Niveau de difficulté : Avancé (nécessite expertise réseaux et télécoms)

Internet haut débit en Afrique. Comment devenir opérateur mobile Internet en Afrique

Étape 1 : Auditez vos besoins de connectivité et contraintes opérationnelles

Pourquoi cette étape est cruciale : 60% des déploiements satellite échouent faute d’analyse précise des besoins réels. Une architecture hybride mal dimensionnée coûte 40% plus cher en exploitation qu’une solution correctement spécifiée.

Procédure d’audit :

  1. Cartographiez votre infrastructure existante
    • Recensez tous les sites à connecter avec coordonnées GPS précises (latitude/longitude)
    • Documentez les liens existants : type (fibre/xDSL/4G), bande passante, latence, disponibilité SLA
    • Identifiez les zones blanches (sans couverture terrestre) nécessitant satellite exclusif
    • Calculez les distances entre sites pour définir topologie hub-and-spoke ou full-mesh
  2. Quantifiez vos besoins applicatifs par site
    • Trafic voix : nombre d’utilisateurs simultanés × 100 Kbps (codec G.711) ou 30 Kbps (G.729)
    • Trafic data : applications critiques (ERP, CRM, bases de données) avec profil d’usage
    • Trafic vidéo : visioconférence (2-4 Mbps par flux HD), vidéosurveillance (500 Kbps-2 Mbps par caméra)
    • Volumes mensuels : estimez upload/download pour choisir le bon plan tarifaire
  3. Évaluez vos contraintes techniques et réglementaires
    • Latence tolérée :
      • VoIP : < 150 ms (GEO limite à 600 ms, préférer LEO)
      • Transactions financières : < 50 ms (nécessite fibre + satellite backup uniquement)
      • Consultation web/email : < 300 ms acceptable
    • Disponibilité requise (SLA) :
      • Critique 99,99% : architecture redondante obligatoire
      • Standard 99,5% : satellite + 4G backup suffisant
    • Contraintes réglementaires :
      • Vérifiez autorisation ARCEP pour terminaux satellite en France
      • Identifiez si sites en zone protégée (militaire, aéroportuaire) nécessitant dérogation
  4. Calculez votre coût total de possession (TCO) sur 3 ans TCO = (CAPEX + OPEX × 36 mois) / nombre_sites CAPEX (investissement initial) : - Terminal satellite : 2 000€ à 15 000€ - Installation antenne : 500€ à 3 000€ - Équipement SD-WAN : 800€ à 5 000€ par site - Câblage et génie civil : 1 000€ à 10 000€ OPEX (mensuel par site) : - Abonnement satellite : 150€ à 2 000€/mois - Liens terrestres : 50€ à 500€/mois - Maintenance et support : 100€ à 300€/mois
CritèreFibre seuleSatellite seulHybride Fibre+SatHybride 4G+Sat
Bande passante100 Mbps-10 Gbps5-200 Mbps100-500 Mbps agrégé10-100 Mbps agrégé
Latence5-20 ms20-600 ms (selon constellation)5-30 ms (fibre prioritaire)20-80 ms
Disponibilité99,9%99% (météo sensible)99,99% (failover)99,7%
TCO 3 ans15 000€25 000€35 000€22 000€
Déploiement4-12 semaines2-4 semaines6-14 semaines1-3 semaines

Étape 2 : Sélectionnez la technologie satellite adaptée à vos cas d’usage

Pourquoi cette étape est cruciale : Le choix entre satellite GEO, MEO ou LEO impacte directement la latence, la bande passante et les coûts opérationnels. Une mauvaise sélection peut rendre inutilisables certaines applications critiques comme la VoIP ou les transactions en temps réel.

Procédure de sélection :

  1. Comprenez les différences entre constellations
Type satelliteAltitudeLatence RTTCouvertureBande passante par terminalCoût mensuel
GEO (Géostationnaire)36 000 km550-650 msFixe (zones géographiques)5-50 Mbps150-800€
MEO (O3b mPOWER)8 000 km130-150 msMobile (constellation)50-500 Mbps800-3 000€
LEO (Starlink, OneWeb)550-1 200 km20-50 msGlobale dynamique50-250 Mbps300-1 500€
  1. Identifiez la constellation appropriée selon vos cas d’usageCas d’usage 1 : Sites miniers/pétroliers isolés
    • Solution recommandée : Starlink Business ou OneWeb Maritime
    • Justification : Couverture globale, latence acceptable (< 50 ms), installation rapide sans infrastructure lourde
    • Configuration : Terminal LEO en mode standalone + backup 4G via routeur Cradlepoint/Peplink
    Cas d’usage 2 : Réseau de succursales bancaires (backup)
    • Solution recommandée : GEO Ka-Band (Eutelsat Konnect, SES) + fibre prioritaire
    • Justification : Coût optimisé, latence non critique en mode backup, SLA bancaire disponible
    • Configuration : SD-WAN avec basculement automatique sur satellite si fibre coupée
    Cas d’usage 3 : Navires ou véhicules en déplacement
    • Solution recommandée : MEO O3b ou LEO multi-opérateurs avec antenne à pointage automatique
    • Justification : Handover entre satellites, maintien connexion en mouvement, latence compatible VoIP
    • Configuration : Modem satellite maritime (Intellian, KVH) + agrégation avec 4G/5G maritime
    Cas d’usage 4 : ONG en zones de crise humanitaire
    • Solution recommandée : Starlink Portability ou BGAN Explorer (Inmarsat)
    • Justification : Déploiement < 15 minutes, kit transportable, pas d’autorisation préalable nécessaire
    • Configuration : Terminal autonome avec routeur Wi-Fi intégré
  2. Vérifiez la disponibilité et les contraintes réglementaires
    • Starlink : Disponible en France métropolitaine, DROM-COM, nécessite ligne de vue dégagée (pas d’obstacle > 25° d’élévation)
    • OneWeb : Nécessite distributeur agréé (Eutelsat, Orange Business), priorité entreprises/gouvernements
    • GEO traditionnels : Licence ARCEP requise, déclaration ANFR obligatoire, installation par professionnel agréé
  3. Comparez les offres commerciales disponibles Starlink Business (LEO) : - Terminal : 2 500€ HT (parabole + routeur) - Abonnement : 250€/mois (priorité trafic, IP fixe en option +50€) - Bande passante : 40-220 Mbps download, 8-25 Mbps upload - Latence : 20-40 ms - Disponibilité : 99% (hors météo extrême) Eutelsat Konnect (GEO) : - Terminal : 1 500€ HT (installation incluse) - Abonnement : 150-600€/mois selon profil (30-100 Mbps) - Latence : 600 ms - Quota data : 100-500 GB/mois (surcoût au-delà) SES O3b mPOWER (MEO) : - Terminal : 15 000€ HT (antenne professionnelle) - Abonnement : Sur devis (>1 500€/mois) - Bande passante garantie : 100-500 Mbps symétriques - Latence : 130 ms - SLA : 99,5% avec compensation

Étape 3 : Concevez l’architecture réseau hybride avec redondance

Pourquoi cette étape est cruciale : Une architecture mal conçue entraîne des pertes de paquets (> 5%), des coupures lors du basculement (> 10 secondes) et une sous-utilisation des liens coûteux. Une topologie optimisée réduit la latence de 30% et améliore la disponibilité de 99,5% à 99,95%.

Procédure de conception :

  1. Définissez votre topologie réseau selon vos contraintesTopologie Hub-and-Spoke (Étoile)
    • Description : Tous les sites distants se connectent à un hub central (datacenter, siège)
    • Avantages : Simplicité, coût optimisé (1 seul terminal satellite au hub si backup), administration centralisée
    • Inconvénients : Point de défaillance unique, latence élevée pour communication inter-sites
    • Cas d’usage : PME avec siège + succursales accédant aux ressources centralisées
    [Site A] ──Fibre──┐ [Site B] ──4G────┤ [Site C] ──Sat───┼──> [HUB Central] ──Internet [Site D] ──xDSL──┤ (Datacenter) [Site E] ──Sat───┘Topologie Full-Mesh (Maillée)
    • Description : Chaque site communique directement avec tous les autres
    • Avantages : Résilience maximale, latence minimale inter-sites, pas de SPOF
    • Inconvénients : Complexité (n×(n-1)/2 tunnels), coût élevé, difficulté de débogage
    • Cas d’usage : Grands groupes avec datacenters multiples, applications temps réel critiques
    [Site A] ←──────────────→ [Site B] ↑ ╲ ╱ ↑ │ ╲ ╱ │ │ ╲ ╱ │ ↓ ↘ ↙ ↓ [Site C] ←──────────────→ [Site D]Topologie Partielle (Hybride)
    • Description : Maillage sélectif selon criticité et volumes de trafic
    • Avantages : Équilibre coût/performance, évolutivité, adaptation aux flux réels
    • Inconvénients : Nécessite analyse détaillée des flux (NetFlow/sFlow)
    • Cas d’usage : Entreprises multi-sites avec sites majeurs interconnectés + sites secondaires en étoile
  2. Dimensionnez vos liens selon la règle 60/40
    • Principe : Dimensionner pour 60% de charge normale, 40% de marge pour pics et basculement
    • Exemple calcul pour site avec 50 utilisateurs : Trafic moyen par utilisateur : 2 Mbps (applications SaaS + navigation)Besoin nominal : 50 × 2 = 100 MbpsAvec coefficient 60/40 : 100 / 0,6 = 167 Mbps minimumArchitecture recommandée :- Lien principal (fibre) : 200 Mbps- Lien backup (satellite) : 100 Mbps (permet 60% du trafic en dégradé)
  3. Configurez l’agrégation de liens (bonding) pour optimiser la bande passanteMéthode 1 : Load Balancing actif/actif (Round-Robin)
    • Les paquets sont répartis équitablement sur tous les liens disponibles
    • Configuration sur routeur Cisco : interface Tunnel0 description Tunnel-Fibre-Principal ip address 10.0.1.1 255.255.255.252 tunnel source GigabitEthernet0/0 tunnel destination 203.0.113.10interface Tunnel1 description Tunnel-Satellite-Backup ip address 10.0.1.5 255.255.255.252 tunnel source GigabitEthernet0/1 tunnel destination 198.51.100.50ip route 0.0.0.0 0.0.0.0 Tunnel0 10ip route 0.0.0.0 0.0.0.0 Tunnel1 20
    Méthode 2 : Failover actif/passif avec détection avancée
    • Le satellite reste en veille, activation uniquement si fibre coupée
    • Détection par SLA monitoring (ICMP/HTTP probe toutes les 5 secondes)
    • Exemple configuration Peplink Balance :
      • Algorithme : Prioritaire avec santé-check
      • Seuil basculement : 3 échecs consécutifs sur lien principal
      • Temps de bascule : < 3 secondes (précharge tunnel VPN)
  4. Implémentez le SD-WAN pour routage intelligent par application
    • Définissez des politiques de routage par classe de trafic :
    Application Priorité Lien préféré Tolérance latence Action si indisponible VoIP / Visio Critique Fibre < 150 ms Basculer sur LEO, bloquer si GEO ERP (SAP, Oracle) Haute Fibre < 100 ms Basculer sur satellite Sauvegarde / Sync cloud Normale Satellite (off-peak) < 500 ms Différer hors heures bureau Internet / Navigation Basse Load balance < 300 ms Répartir selon disponibilité
    • Solutions SD-WAN recommandées :
      • VMware VeloCloud : Excellente pour multi-cloud, SASE natif
      • Cisco Viptela : Idéal si infrastructure Cisco existante, intégration IOS-XE
      • Fortinet FortiGate SD-WAN : Sécurité intégrée (firewall, IPS)
      • Peplink SpeedFusion : Spécialisé bonding satellite+cellulaire, simplicité

Étape 4 : Déployez et installez l’infrastructure satellite

Pourquoi cette étape est cruciale : Une installation mal réalisée dégrade les performances de 40% (mauvais pointage antenne, câblage inadapté, interférences). 75% des tickets support première année proviennent d’erreurs d’installation évitables.

Procédure d’installation :

  1. Préparez le site d’installation
    • Étude de ligne de vue (Line of Sight – LoS) :
      • Utilisez une application mobile comme Starlink, SatFinder ou Dish Pointer
      • Vérifiez absence d’obstacles dans cône de 25° d’élévation (arbres, bâtiments)
      • Mesurez l’azimut et l’élévation requis (données fournies par opérateur satellite)
    • Préparation structurelle :
      • Fixation sur toiture : vérifiez capacité portante (antenne 15-30 kg + vent)
      • Protection parafoudre : installez parafoudre coaxial + terre < 10 Ω
      • Passage de câbles : privilégiez fourreaux IP67 pour extérieur, évitez coudes trop serrés
  2. Installez et orientez l’antenne satellite Pour terminal auto-orienté (Starlink, OneWeb) :
    • Positionnez la parabole sur support fourni
    • Alimentez via PoE injecteur (48V DC)
    • Laissez le terminal effectuer sa recherche automatique (10-15 minutes)
    • Vérifiez dans l’interface web que SNR (Signal-to-Noise Ratio) > 8 dB
    Pour antenne fixe manuelle (GEO, VSAT) : 1. Montez l'antenne sur mât avec niveau à bulle (parfaitement verticale) 2. Réglez azimut grossier avec boussole (corriger déclinaison magnétique) 3. Réglez élévation selon calculateur (ex: 42° pour Eutelsat 5 West A en France) 4. Connectez un analyseur de spectre satellite (ex: Satlink WS-6936) 5. Ajustez finement azimut jusqu'à pic de signal (> -65 dBm pour Ka-band) 6. Ajustez finement élévation pour maximiser SNR 7. Serrez toutes les fixations (couple recommandé: 25 Nm) 8. Appliquez graisse diélectrique sur connecteurs F
  3. Câblez et connectez les équipements
    • Schéma de connexion type : [Antenne Satellite] │ Câble coaxial RG-6 ou LMR-400 (max 50m) │ [Parafoudre coaxial] ──┬── [Terre physique] │ └── < 10 Ω résistance [Modem Satellite] │ Ethernet (Cat6) [Routeur SD-WAN] ├── [Switch LAN] └── [Lien principal Fibre/4G]
    • Règles de câblage :
      • Utilisez câble coaxial LMR-400 pour distances > 20m (faible perte)
      • Terminaisons F connecteurs : sertissage, pas de vissage simple
      • Câbles Ethernet Cat6 FTP blindé pour extérieur
      • Séparation > 30 cm entre câbles coaxial et électrique haute tension
  4. Configurez le modem satellite et validez la connectivité
    • Accédez à l’interface web du modem (généralement http://192.168.100.1)
    • Vérifiez les indicateurs de santé : SNR (Signal-to-Noise Ratio) : > 8 dB (optimal > 12 dB)Es/N0 (Energy per Symbol) : > 10 dBReceive Power : -55 à -75 dBm selon constellationSymbol Rate : Conforme à la valeur opérateurLock Status : Locked (verrouillage signal)
    • Effectuez un test de débit avec iPerf3 ou speedtest-cli : # Test depuis le routeuriperf3 -c speedtest.domain.com -t 60 -i 10 -P 4# Résultats attendus (Starlink Business) :Download : 100-220 MbpsUpload : 15-25 MbpsLatency : 20-50 msJitter : < 15 ms

Étape 5 : Configurez le SD-WAN et les politiques de routage avancées

Pourquoi cette étape est cruciale : Le SD-WAN mal configuré annule les bénéfices de l’architecture hybride. Une politique de routage optimisée réduit les coûts data satellite de 60% et améliore l’expérience utilisateur (QoE) de 40%.

Procédure de configuration :

  1. Créez les tunnels VPN entre sitesOption A : IPsec site-to-site (standard, compatible tout équipement)Configuration exemple sur routeur FortiGate : config vpn ipsec phase1-interface edit "tunnel-to-site-A" set interface "port1" set ike-version 2 set peertype any set proposal aes256-sha256 set dhgrp 14 set remote-gw 203.0.113.50 set psksecret "Votre-Clé-Pré-Partagée-Sécurisée-32-Caractères" next end config vpn ipsec phase2-interface edit "tunnel-to-site-A-p2" set phase1name "tunnel-to-site-A" set proposal aes256-sha256 set dhgrp 14 set auto-negotiate enable next endOption B : SD-WAN overlay natif (VMware VeloCloud, Cisco Viptela)
    • Provisionning automatique depuis contrôleur cloud
    • Établissement overlay multi-path automatique (fibre + satellite)
    • Chiffrement AES-256-GCM par défaut
    • Temps de déploiement : < 15 minutes par site
  2. Configurez les politiques de trafic (Traffic Steering) Exemple de politique SD-WAN sur Peplink Balance : Règle Source Destination Application Lien Algorithme 1 VLAN_VoIP Any SIP/RTP Fibre primaire Failover si latence > 100ms 2 VLAN_Utilisateurs SaaS (Office365, Salesforce) HTTPS Load balance actif/actif Weighted ratio 70/30 3 VLAN_Serveurs Cloud Backup (AWS S3) HTTPS Satellite off-peak (22h-6h) Scheduled 4 VLAN_IoT Telemetry server MQTT Satellite Always on 5 Any Any Other Least latency Dynamic Configuration CLI exemple (Cisco SD-WAN) : policy data-policy DP-Traffic-Steering vpn-list VPN-10 sequence 10 match source-ip 10.10.20.0/24 dscp 46 ! action accept set tloc-list FIBRE-PRIMARY tloc-action strict ! ! ! sequence 20 match protocol 17 source-port 5060-5061 ! action accept set preferred-color gold ! ! ! ! !
  3. Implémentez la QoS (Quality of Service) pour prioriser le trafic critique
    • Marquez le trafic avec DSCP (Differentiated Services Code Point) :
    Classe de trafic DSCP Priorité % bande passante garantie Latence max Voix (VoIP) EF (46) 7 20% < 150 ms Vidéo (Visio) AF41 (34) 6 25% < 200 ms Données critiques (ERP) AF31 (26) 5 30% < 300 ms Données standard AF21 (18) 4 15% < 500 ms Best Effort BE (0) 1 10% No guarantee
    • Configuration QoS sur switch Cisco Catalyst :
    mls qos class-map match-any VOIP match ip dscp ef class-map match-any VIDEO match ip dscp af41 class-map match-any CRITICAL-DATA match ip dscp af31 policy-map WAN-QOS-OUT class VOIP priority percent 20 set dscp ef class VIDEO bandwidth percent 25 set dscp af41 class CRITICAL-DATA bandwidth percent 30 set dscp af31 class class-default bandwidth percent 25 random-detect dscp-based interface GigabitEthernet0/1 description WAN-to-Satellite service-policy output WAN-QOS-OUT
  4. Activez les optimisations pour compenser la latence satelliteTCP Acceleration (obligatoire pour GEO) :
    • Principe : Le SD-WAN effectue l’accusé de réception TCP localement (split TCP)
    • Gain : Débit multiplié par 10 sur GEO (de 2 Mbps à 20 Mbps)
    • Configuration FortiGate : config wanopt settings set host-id "Site-Remote-01" set tunnel-ssl-algorithm highendconfig wanopt profile edit "satellite-optimization" set transparent enable config http set status enable set ssl-port 443 end config cifs set status enable end config ftp set status enable end nextend
    Compression de données :
    • Activez compression HTTP/HTTPS (gzip, brotli)
    • Réduction moyenne : 40-70% du volume de données
    • Attention : Ne compressez pas contenu déjà compressé (vidéo, images)
    Mise en cache locale (Web Caching) :
    • Installez proxy Squid ou utilisez fonctionnalité SD-WAN intégrée
    • Contenu mis en cache : pages web statiques, mises à jour logicielles, contenus CDN
    • Gain : 50-80% de réduction de trafic satellite pour sites avec consultation web intensive

Étape 6 : Déployez le monitoring et l’alerting proactif

Pourquoi cette étape est cruciale : 80% des pannes sont détectées par les utilisateurs finaux avant l’IT dans des infrastructures non monitorées. Un monitoring proactif réduit le MTTR (Mean Time To Repair) de 4 heures à 15 minutes.

Procédure de monitoring :

  1. Installez une plateforme de supervision centraliséeSolution open-source : Stack Prometheus + Grafana# Installation sur serveur Linux (Ubuntu/Debian) # 1. Installer Prometheus wget https://github.com/prometheus/prometheus/releases/download/v2.45.0/prometheus-2.45.0.linux-amd64.tar.gz tar xvfz prometheus-2.45.0.linux-amd64.tar.gz cd prometheus-2.45.0.linux-amd64 # 2. Configurer les cibles à monitorer cat << EOF > prometheus.yml global: scrape_interval: 30s scrape_configs: - job_name: 'satellite-modems' static_configs: - targets: ['192.168.100.1:9100', '192.168.101.1:9100'] - job_name: 'sd-wan-routers' static_configs: - targets: ['10.0.1.1:9100', '10.0.2.1:9100'] - job_name: 'ping-latency' metrics_path: /probe params: module: [icmp] static_configs: - targets: - 8.8.8.8 - 1.1.1.1 relabel_configs: - source_labels: [__address__] target_label: __param_target - source_labels: [__param_target] target_label: instance - target_label: __address__ replacement: localhost:9115 EOF # 3. Démarrer Prometheus ./prometheus --config.file=prometheus.yml # 4. Installer Grafana sudo apt-get install -y software-properties-common sudo add-apt-repository "deb https://packages.grafana.com/oss/deb stable main" wget -q -O - https://packages.grafana.com/gpg.key | sudo apt-key add - sudo apt-get update sudo apt-get install grafana sudo systemctl start grafana-server # 5. Accéder à Grafana : http://votre-serveur:3000 (admin/admin)Solution commerciale : SolarWinds NPM ou PRTG Network Monitor
    • Auto-découverte des équipements réseau via SNMP
    • Templates pré-configurés pour terminaux satellite (Starlink, VSAT)
    • Alerting intégré (email, SMS, webhook)
  2. Configurez les métriques critiques à surveiller Métrique Seuil Warning Seuil Critical Fréquence collecte Latence RTT > 100 ms > 200 ms 30 secondes Perte de paquets > 1% > 5% 30 secondes Jitter > 20 ms > 50 ms 30 secondes Utilisation bande passante > 70% > 90% 1 minute SNR satellite < 10 dB < 7 dB 5 minutes État tunnel VPN 1 down 2+ down 1 minute CPU routeur > 70% > 90% 1 minute Température équipement > 60°C > 75°C 5 minutes
  3. Créez des dashboards de visualisation en temps réel Exemple de dashboard Grafana pour réseau hybride : Panel 1 : Carte de santé des sites
    • Visualisation géographique avec code couleur (vert/orange/rouge)
    • Indicateur de lien actif (fibre/satellite/4G)
    • Clic sur site pour détails
    Panel 2 : Graphique latence multi-sites (24h)
    • Courbe par site sur même graphique
    • Zones de seuil colorées (vert < 50ms, orange 50-150ms, rouge > 150ms)
    • Annotations lors des basculements de lien
    Panel 3 : Utilisation bande passante agrégée
    • Graphique en aire empilée (download/upload)
    • Ligne de capacité maximale
    • Prédiction tendance sur 7 jours
    Panel 4 : Top 10 applications consommatrices
    • Tableau avec volume data + pourcentage total
    • Détection anomalies (hausse soudaine)
  4. Paramétrez l’alerting multi-canal Configuration exemple avec Alertmanager (Prometheus) : global: smtp_smarthost: 'smtp.gmail.com:587' smtp_from: 'alerts@votreentreprise.com' smtp_auth_username: 'alerts@votreentreprise.com' smtp_auth_password: 'votre-mot-de-passe-app' route: receiver: 'team-network' group_by: ['alertname', 'site'] group_wait: 30s group_interval: 5m repeat_interval: 4h routes: - match: severity: critical receiver: 'team-network-critical' continue: true - match: severity: critical receiver: 'sms-oncall' receivers: - name: 'team-network' email_configs: - to: 'network-team@votreentreprise.com' headers: Subject: '[{{ .Status }}] {{ .GroupLabels.alertname }}' - name: 'team-network-critical' slack_configs: - api_url: 'https://hooks.slack.com/services/VOTRE/WEBHOOK/URL' channel: '#alerts-critical' title: 'ALERTE CRITIQUE - {{ .GroupLabels.alertname }}' - name: 'sms-oncall' webhook_configs: - url: 'https://api.twilio.com/2010-04-01/Accounts/VOTRE_SID/Messages.json' Règles d’alerte exemple (Prometheus) : groups: - name: satellite_network interval: 30s rules: - alert: HighLatency expr: probe_duration_seconds{job="ping-latency"} > 0.2 for: 2m labels: severity: warning annotations: summary: "Latence élevée détectée sur {{ $labels.instance }}" description: "Latence = {{ $value }}s (seuil 200ms)" - alert: SatelliteLinkDown expr: up{job="satellite-modems"} == 0 for: 1m labels: severity: critical annotations: summary: "Lien satellite DOWN sur {{ $labels.instance }}" description: "Le modem satellite ne répond plus depuis 1 minute" - alert: BandwidthSaturation expr: rate(interface_bytes_total[5m]) / interface_speed > 0.9 for: 5m labels: severity: warning annotations: summary: "Saturation bande passante {{ $labels.interface }}" description: "Utilisation = {{ $value | humanizePercentage }}"

Étape 7 : Formez vos équipes et documentez les procédures opérationnelles

Pourquoi cette étape est cruciale : 65% des entreprises sous-estiment l’importance de la formation post-déploiement. Les équipes non formées génèrent 3x plus de tickets support et mettent 5x plus de temps à résoudre les incidents.

Procédure de formation :

  1. Créez un runbook opérationnel complet Structure recommandée du runbook : Section 1 : Architecture et topologie
    • Schéma réseau à jour avec adresses IP
    • Inventaire équipements (marque, modèle, numéro de série)
    • Informations de connexion (URLs, identifiants, localisation clés)
    Section 2 : Procédures de maintenance
    • Mise à jour firmware modem satellite (planning trimestriel)
    • Vérification pointage antenne après intempéries
    • Nettoyage parabole (élimination neige, feuilles, débris)
    • Test de basculement failover (mensuel)
    Section 3 : Résolution d’incidents courants
    • Flowchart de diagnostic : « Pas d’Internet » → étapes de vérification
    • Commandes CLI de diagnostic (ping, traceroute, show interfaces)
    • Numéros de contact support (opérateur satellite, intégrateur, constructeur)
    Section 4 : Procédures d’urgence
    • Plan de continuité (PCA) si panne totale des liens
    • Utilisation routeur 4G/5G de secours
    • Communication de crise aux utilisateurs
  2. Organisez des sessions de formation pratiquesFormation Niveau 1 : Utilisateurs finaux (1 heure)
    • Comprendre l’architecture hybride (liens fibre + satellite)
    • Signaler correctement un problème (ticket avec détails)
    • Bonnes pratiques d’utilisation (éviter gros téléchargements en heures pleines)
    Formation Niveau 2 : Helpdesk IT (1 jour)
    • Accès et navigation dans interfaces de monitoring (Grafana)
    • Diagnostic de premier niveau : Checklist de vérification :□ Vérifier dashboard : statut liens vert ?□ Tester connectivité locale : ping 192.168.1.1□ Tester connectivité Internet : ping 8.8.8.8□ Vérifier logs routeur SD-WAN (erreurs récentes ?)□ Consulter statistiques satellite (SNR > 8 dB ?)
    • Escalade vers Niveau 3 si problème non résolu en 30 minutes
    Formation Niveau 3 : Administrateurs réseau (2 jours)
    • Jour 1 Matin : Architecture détaillée et configuration SD-WAN
      • Exercice pratique : Créer une nouvelle policy de routage
      • Exercice : Ajouter un nouveau site dans la topologie
    • Jour 1 Après-midi : Optimisation et troubleshooting avancé
      • Lab : Analyser captures Wireshark pour identifier problème QoS
      • Lab : Configurer TCP acceleration sur lien satellite
    • Jour 2 Matin : Monitoring et analyse de performance
      • Créer un nouveau dashboard Grafana personnalisé
      • Configurer une alerte complexe multi-conditions
    • Jour 2 Après-midi : Gestion de crise et disaster recovery
      • Simulation panne satellite : procédure de basculement manuel
      • Restauration configuration depuis backup
  3. Mettez en place une documentation vivante et accessible
    • Utilisez un wiki collaboratif (Confluence, Notion, BookStack)
    • Incluez :
      • Schémas réseau éditables (draw.io, Lucidchart)
      • Vidéos screencast des procédures clés (Loom, OBS Studio)
      • Base de connaissance FAQ collaborative
      • Historique des incidents avec post-mortems (RCA – Root Cause Analysis)
    • Template de post-mortem incident : # Incident #2024-012 : Perte connectivité Site Marseille**Date** : 15/02/2024 14:23 - 16:47 CET**Durée** : 2h24min**Sévérité** : Majeure (site isolé complet)**Impact** : 45 utilisateurs sans accès Internet/Intranet## Chronologie- 14:23 : Première alerte latence élevée (Grafana)- 14:25 : Confirmation perte lien fibre principal- 14:27 : Basculement automatique sur satellite échoué (config erronée)- 14:35 : Technicien on-site dispatché- 15:10 : Identification problème : câble fibre sectionné par travaux- 15:15 : Reconfiguration manuelle basculement satellite- 16:30 : Rétablissement lien fibre réparé- 16:47 : Retour nominal, validation tous services## Cause racine- Failover automatique non fonctionnel (erreur firewall rule)- Absence détection travaux à proximité site## Actions correctives1. Correction configuration firewall (fait le 15/02 17:00)2. Test basculement automatique (planifié 20/02)3. Abonnement alertes travaux municipalité (à faire)4. Audit configurations failover autres sites (à faire)## Leçons apprises- Importance test régulier failover (recommandation : mensuel)- Besoin procédure notification anticipée travaux
  4. Établissez un plan d’amélioration continue
    • Revue trimestrielle des performances réseau (latence, disponibilité, coûts)
    • Mise à jour annuelle technologies (nouveaux satellites LEO, évolution SD-WAN)
    • Audit annuel de sécurité (test intrusion, revue configurations)
    • Benchmark biennal avec solutions concurrentes

Résolution des problèmes fréquents

Problème 1 : Latence satellite très élevée et variable (> 800 ms)

Symptôme précis : La latence mesurée dépasse 800 ms alors qu’elle devrait être de 550-650 ms pour un satellite GEO. Les utilisateurs se plaignent de coupures VoIP et timeouts applicatifs.

Cause : Congestion au niveau du gateway satellite (trop d’utilisateurs simultanés), ou routing sub-optimal (trafic passe par hub international au lieu de hub régional).

Solution :

  1. Identifiez le hub satellite utilisé avec traceroute : traceroute -I 8.8.8.8# Analysez le saut après votre modem satellite# Exemple mauvais : hub US (20 ms additionnel)# Exemple bon : hub EU (5 ms)
  2. Contactez votre opérateur pour migration vers hub régional plus proche
  3. Vérifiez votre profil de service (CIR – Committed Information Rate) :
    • Si plan « best effort », upgrade vers plan avec CIR garanti
  4. Activez TCP acceleration sur SD-WAN (split TCP) pour masquer latence : # Configuration Fortinetconfig wanopt profile edit "satellite-optimization" set transparent enable config http set status enable set tunnel-ssl-algorithm high end nextend
  5. Réévaluez si GEO adapté : pour VoIP, migrez vers LEO (Starlink 25-40 ms)

Problème 2 : Basculement lent entre liens (> 30 secondes de coupure)

Symptôme précis : Lorsque le lien fibre tombe, les utilisateurs subissent 30-60 secondes sans connectivité avant que le satellite ne prenne le relais. Les sessions TCP sont coupées et doivent être réinitialisées.

Cause : Absence de pré-établissement des tunnels VPN sur lien backup, ou détection trop lente de la panne (timeout routing protocol BGP/OSPF de 60-90 secondes par défaut).

Solution :

  1. Configurez les tunnels en mode always-on (établis en permanence) : # Cisco IOS interface Tunnel0 tunnel mode ipsec ipv4 keepalive 10 3 ip ospf hello-interval 1 ip ospf dead-interval 3
  2. Activez BFD (Bidirectional Forwarding Detection) pour détection rapide : # Configuration BFD sur Cisco interface GigabitEthernet0/0 bfd interval 300 min_rx 300 multiplier 3 router ospf 1 bfd all-interfaces
    • Résultat : Détection panne en < 1 seconde (au lieu de 60 secondes)
  3. Implémentez IP SLA avec track pour réaction immédiate : ip sla 10 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0 frequency 5 ip sla schedule 10 life forever start-time now track 10 ip sla 10 reachability ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 10 track 10 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 20
    • Basculement en < 5 secondes avec cette config
  4. Utilisez SD-WAN avec détection applicative :
    • VMware VeloCloud : réaction < 1 seconde via health check actif
    • Session persistence : maintien sessions TCP via session mirroring

Problème 3 : Dépassement quotas data satellite et surcoûts imprévus

Symptôme précis : Facture satellite explose (2 000€ au lieu de 400€ mensuels). Analyse montre dépassement quota de 500 GB vers 2 TB, principalement en heures bureau.

Cause : Trafic non critique (mises à jour Windows, sync cloud, streaming vidéo) consomme la bande passante satellite au lieu d’être routé via fibre ou différé.

Solution :

  1. Identifiez les top consommateurs avec NetFlow/sFlow : # Installation nfdump pour analyse NetFlow sudo apt-get install nfdump nfsen # Analyse trafic sur interface satellite (dernières 24h) nfdump -R /var/nfsen/profiles-data/live/router1/ -t 2024/02/16.00:00-2024/02/17.00:00 -s ip/bytes -n 20 # Exemple output problématique : # Top 3 : # 1. 10.0.5.42:443 → 52.96.0.0/12 (Microsoft) : 450 GB (backup OneDrive) # 2. 10.0.3.15:* → 13.107.0.0/16 (Microsoft) : 120 GB (Windows Update) # 3. 10.0.2.8:443 → 142.250.0.0/15 (Google) : 80 GB (YouTube)
  2. Créez des policies de routage pour exclure trafic non critique du satellite : # Configuration SD-WAN : bloquer streaming et forcer sur fibre policy-map SATELLITE-DATA-CONTROL class MICROSOFT-UPDATES action: route via fiber only, schedule 22:00-06:00 class CLOUD-BACKUP action: route via fiber, failover 4G, never satellite class VIDEO-STREAMING action: block on satellite, allow on fiber only class BUSINESS-CRITICAL action: allow all links
  3. Implémentez des quotas par utilisateur/VLAN : # Limitation 2 GB/jour par utilisateur sur lien satellite # Configuration via pfSense Traffic Shaper Limiters: - Name: Satellite_User_Quota Bandwidth: 2000 Mbit/s (pool partagé) Queue: Per-user quota 2048 MB daily Reset: 00:00 UTC
  4. Activez compression et caching agressif :
    • Proxy Squid avec cache 200 GB sur SSD local
    • Compression HTTP(S) via SSL-bump (attention RGPD)
    • Blocage mises à jour automatiques Windows (WSUS local obligatoire)
  5. Négociez avec opérateur satellite :
    • Plan « unlimited off-peak » (22h-6h tarif réduit)
    • CIR avec burst allowance pour pics ponctuels
    • Alertes SMS avant seuil 80% du quota

Problème 4 : Dégradation performances par mauvais temps (pluie, neige)

Symptôme précis : Chaque fois qu’il pleut fortement, la connexion satellite devient inutilisable (perte de paquets > 30%, débit divisé par 10). SNR chute de 12 dB à 4 dB.

Cause : Atténuation du signal en bande Ka (26-40 GHz) par précipitations (rain fade). Phénomène physique incontournable mais amplifiable si antenne mal orientée ou obstruée.

Solution :

  1. Vérifiez l’orientation et propreté antenne :
    • Nettoyez parabole (accumulation saleté amplifie rain fade de 30%)
    • Confirmez azimut/élévation optimaux (marge SNR maximale)
    • Vérifiez absence nouvelle obstruction (branche d’arbre, construction)
  2. Upgradez vers antenne plus large (gain supérieur) :
    • Antenne 1,2m → 1,8m : +3 dB de gain (compense partiellement rain fade)
    • Coût : 1 500-3 000€ selon modèle
  3. Implémentez Adaptive Coding and Modulation (ACM) si supporté :
    • Modem moderne ajuste automatiquement modulation selon conditions
    • Beau temps : 32APSK (haut débit)
    • Pluie : QPSK (bas débit mais robuste)
    • Vérifiez activation dans interface modem : Settings > ACM Mode : Enabled
  4. Configurez basculement automatique agressif en cas de météo : # SD-WAN policy : si SNR < 6 dB, basculer immédiatement health-check satellite-link probe-type snmp oid 1.3.6.1.4.1.12345.1.2.3 (SNR) threshold-down 6 failover-immediate
  5. Solution ultime : Multi-orbital diversity :
    • Déployez 2 terminaux satellites pointant vers satellites différents
    • Probabilité rain fade simultané : < 0,1% (nuages rarement identiques)
    • Coût : double abonnement (justifié pour sites ultra-critiques)

Problème 5 : Impossibilité de joindre certains services cloud ou VPN corporate

Symptôme précis : Les utilisateurs peuvent naviguer sur Internet mais impossible de se connecter au VPN corporate (Cisco AnyConnect, FortiClient). Certains services SaaS (Salesforce, SAP) timeout.

Cause : NAT Carrier-Grade (CGNAT) utilisé par opérateur satellite. Vous partagez une IP publique avec des centaines d’autres clients. Certains ports ou protocoles peuvent être bloqués. Les connexions VPN client-to-site échouent car impossible d’initier depuis CGNAT.

Solution :

  1. Vérifiez si vous êtes derrière CGNAT : # Votre IP vue par Internet curl ifconfig.me # Exemple : 100.64.5.42 (plage CGNAT : 100.64.0.0/10) # IP configurée sur modem satellite # Exemple : 10.123.45.67 (RFC1918 privé) # Si les deux diffèrent et IP publique dans 100.64.0.0/10 → CGNAT confirmé
  2. Demandez une IP publique dédiée à votre opérateur :
    • Starlink Business : IP publique fixe disponible (+50€/mois)
    • Opérateurs GEO : généralement inclus dans offres professionnelles
    • Résout immédiatement tous problèmes VPN et services entrants
  3. Si IP dédiée impossible, implémentez VPN site-to-site au lieu de client-to-site : Ancien modèle (ne fonctionne pas avec CGNAT) : [Utilisateur laptop] --VPN client--> [Serveur VPN corporate] Nouveau modèle (compatible CGNAT) : [Utilisateur laptop] --LAN--> [Routeur site] --VPN site-to-site--> [Gateway corporate]
    • Le routeur site initie le tunnel VPN (sortant, compatible CGNAT)
    • Les utilisateurs accèdent ressources corporate de façon transparente
  4. Utilisez SD-WAN avec tunnel cloud-native :
    • Solutions comme VMware VeloCloud, Cisco Viptela établissent tunnel vers orchestrator cloud
    • Overlay réseau virtuel insensible au CGNAT
    • Bonus : chiffrement et QoS end-to-end
  5. Pour services SaaS spécifiques, configurez split-tunneling :
    • Route directe via Internet pour Office 365, Google Workspace (Microsoft recommande)
    • Route via VPN uniquement pour apps internes corporate

FAQ : Questions fréquentes sur l’interconnexion satellite et réseaux hybrides

Comment choisir entre satellite GEO, MEO et LEO pour mon entreprise ?

Le choix dépend principalement de vos contraintes de latence et budget :

Choisissez LEO (Starlink, OneWeb) si :

  • Vous avez besoin de latence faible (< 50 ms) pour VoIP, visio, applications interactives
  • Budget mensuel : 250-1 500€ par site acceptable
  • Vous pouvez tolérer micro-coupures occasionnelles (handover entre satellites)
  • Pas de SLA contractuel strict requis

Choisissez MEO (SES O3b mPOWER) si :

  • Vous nécessitez bande passante garantie élevée (100-500 Mbps symétriques)
  • Budget : > 2 000€/mois acceptable
  • SLA 99,5% avec compensation financière obligatoire
  • Applications critiques (trading financier, télémédecine)

Choisissez GEO (Eutelsat, SES) si :

  • Budget contraint : < 200€/mois par site
  • Latence non critique (consultation web, email, backup)
  • Couverture zones très isolées (déserts, océans) où LEO/MEO limité
  • Solution de backup uniquement (pas de trafic permanent)

Tableau décisionnel simplifié :

CritèreGEOMEOLEO
Latence tolérée> 300 ms100-200 ms< 80 ms
Budget mensuelSerré (< 300€)Confortable (> 1500€)Moyen (300-1000€)
CriticitéBackupCritique avec SLAProduction standard
Bande passante5-50 Mbps50-500 Mbps50-250 Mbps

Où installer l’antenne satellite pour optimiser les performances ?

L’emplacement de l’antenne est critique pour performances optimales :

Règles de sélection site :

  1. Ligne de vue dégagée (LoS) :
    • Aucun obstacle dans cône de 25° d’élévation (arbres, bâtiments, pylônes)
    • Téléchargez l’app mobile de l’opérateur (ex: « Starlink » sur iOS/Android)
    • Utilisez AR (réalité augmentée) pour visualiser zone dégagée nécessaire
    • Pour GEO : vue dégagée fixe vers Sud (hémisphère Nord) ou Nord (hémisphère Sud)
    • Pour LEO : vue dégagée 360° idéale, minimum 180° vers Nord dans hémisphère Nord
  2. Stabilité structurelle :
    • Support capable de résister à vent 150 km/h
    • Évitez toitures fragiles (tôle ondulée, polycarbonate)
    • Privilégiez mât scellé dans bloc béton 50×50×60 cm (200 kg)
    • Distance maximale modem ↔ antenne : 50 m (câble coaxial LMR-400)
  3. Accessibilité maintenance :
    • Accessible pour nettoyage trimestriel (neige, feuilles, débris)
    • Proximité salle technique (< 30 m) pour limiter perte signal
    • Évitez zones de passage (risque choc, vandalisme)
  4. Protection environnementale :
    • Évitez accumulation neige excessive (montage incliné ou chauffage intégré)
    • Zone non inondable en cas de pluies torrentielles
    • Éloignez des sources d’interférences RF (antennes GSM, radar, émetteurs radio)

Emplacements à éviter absolument :

  • Sous des arbres (feuillage dense = blocage signal)
  • Façades Nord (hémisphère Nord) pour satellite GEO
  • Toits métalliques (réflexions et atténuation)
  • Proximité d’éoliennes (interférences électromagnétiques)
  • Zones industrielles avec fours électriques haute puissance

Pourquoi mon agrégation de liens n’atteint pas la somme des bandes passantes ?

L’agrégation (bonding) de liens ne produit jamais exactement la somme arithmétique des bandes passantes. Voici pourquoi :

Causes de la perte d’efficacité :

  1. Overhead protocole (10-15%) :
    • Encapsulation tunnel (GRE, IPsec, SD-WAN overlay)
    • Headers supplémentaires (IP, TCP, encryption)
    • Keepalives et health-checks
    • Exemple : 100 Mbps fibre + 50 Mbps satellite = 135 Mbps réels (pas 150 Mbps)
  2. Latency mismatch :
    • Fibre : 10 ms | Satellite LEO : 40 ms | Satellite GEO : 600 ms
    • TCP reordering requis côté destination (paquets arrivent dans désordre)
    • Buffering nécessaire → augmentation latence globale
    • Perte efficacité : 20-30% pour mix fibre/GEO, 5-10% pour mix fibre/LEO
  3. Asymétrie upload/download :
    • Fibre : 200/200 Mbps symétriques
    • Satellite : 100/20 Mbps (ratio 5:1)
    • Bonding limité par lien le plus faible en upload (20 Mbps)
    • Applications symétriques (VoIP, visio) utilisent uniquement 20 Mbps upload
  4. Algorithme de load balancing : Round-Robin pur : Efficacité 70-80% (simple mais reordering élevé) Weighted Round-Robin : Efficacité 80-85% (tient compte ratio BP) Least Latency : Efficacité 85-90% (routage intelligent par flux) SD-WAN application-aware : Efficacité 90-95% (optimal)

Optimisations pour maximiser l’agrégation :

  1. Utilisez SD-WAN avec routage par flux (pas par paquet)
  2. Assignez applications sensibles à la latence sur lien rapide uniquement
  3. Réservez satellite pour applications tolérantes (backup, IoT telemetry)
  4. Activez FEC (Forward Error Correction) sur lien satellite
  5. Configurez buffer sizing adaptatif (BBR congestion control)

Attentes réalistes :

  • Fibre 100 Mbps + Satellite LEO 50 Mbps = 130 Mbps effectifs (87%)
  • Fibre 100 Mbps + Satellite GEO 50 Mbps = 120 Mbps effectifs (80%)
  • 4G 50 Mbps + Satellite LEO 50 Mbps = 85 Mbps effectifs (85%)

Où trouver des installateurs certifiés pour déploiement satellite professionnel ?

Le choix d’un installateur qualifié est critique pour éviter 80% des problèmes post-installation.

Certifications à vérifier :

  1. Pour installations Starlink Business :
    • Recherchez installateurs agréés sur : https://www.starlink.com/business
    • Vérifiez certification « Starlink Commercial Installer » (badge sur site web)
    • Exigez expérience > 20 installations documentées avec photos
  2. Pour VSAT traditionnels (GEO/MEO) :
    • Certification constructeur (iDirect, Gilat, Hughes)
    • Agrément ARCEP (Agence française télécoms) obligatoire en France
    • Liste officielle : https://www.arcep.fr/operateurs-telecom
  3. Intégrateurs télécoms majeurs France :
    • Orange Business Services : Couverture nationale, support 24/7
    • Axians (Groupe VINCI) : Spécialisé infrastructures critiques
    • Telcoma : Expert VSAT et sites isolés (Afrique, Outre-mer)
    • SFR Business : Offres hybrides fibre + satellite
    • Bisatel Telecom : Spécialiste MVNO et solutions télécoms sur mesure avec expertise satellite
  4. Vérifications avant engagement :
    • Demandez 3 références clients vérifiables (avec contacts)
    • Exigez visite préalable site pour étude faisabilité (gratuite)
    • Contrat avec garantie performance (SNR mini, débit mini)
    • Assurance responsabilité civile professionnelle > 2M€
    • Support post-installation inclus (minimum 3 mois)
  5. Red flags (évitez ces installateurs) :
    • Pas de certification constructeur vérifiable
    • Devis sans visite site préalable
    • Garantie < 1 an
    • Pas de documentation technique fournie
    • Prix anormalement bas (< 1 500€ installation VSAT complète = suspect)

Annuaires professionnels :

  • AFNUM (Association Française du NUMérique) : https://afnum.fr/
  • Syntec Numérique : https://syntec-numerique.fr/annuaire-adherents
  • Fédération Française des Télécoms : https://www.fftelecoms.org/

Comment sécuriser une liaison satellite contre les cyberattaques ?

Les liaisons satellite présentent des vulnérabilités spécifiques nécessitant mesures de sécurité renforcées :

Vecteurs d’attaque spécifiques satellite :

  1. Eavesdropping (interception signal) :
    • Signal satellite diffusé sur large zone géographique
    • Interception possible avec parabole et récepteur adapté
    • Risque : Espionnage communications, vol données sensibles
  2. Jamming (brouillage) :
    • Émission signal puissant sur même fréquence
    • Déni de service temporaire ou permanent
    • Risque : Indisponibilité totale lien satellite
  3. Spoofing (usurpation) :
    • Injection fausses données ou commandes dans liaison
    • Risque : Prise contrôle terminal, corruption données

Contre-mesures obligatoires :

  1. Chiffrement end-to-end systématique : Niveau 1 : Modem satellite (généralement AES-128 ou AES-256) Niveau 2 : Tunnel VPN IPsec ou SSL/TLS (AES-256-GCM) Niveau 3 : Chiffrement applicatif (HTTPS, SFTP, etc.) Configuration IPsec recommandée : - Phase 1 : IKEv2, AES-256, SHA-384, DH Group 19 - Phase 2 : ESP, AES-256-GCM, PFS enabled - Rekey : 3600 secondes (1h)
  2. Authentification mutuelle forte :
    • Certificats X.509 pour tunnels VPN (pas de PSK)
    • Authentification 802.1X pour accès réseau local
    • MFA (Multi-Factor Authentication) pour administration
  3. Segmentation réseau stricte : [Internet Satellite] | [Firewall DMZ] -- IDS/IPS | ┌──────┴──────┐ │ VLAN 10: IoT (isolé) │ VLAN 20: Utilisateurs │ VLAN 30: Serveurs │ VLAN 99: Management (accès restreint) └─────────────┘
    • Blocage inter-VLAN par défaut
    • Whitelist explicite des flux autorisés
  4. Monitoring sécurité continu :
    • SIEM (Splunk, ELK Stack) pour corrélation logs
    • IDS/IPS (Suricata, Snort) sur interface satellite
    • Alerting sur anomalies :
      • Pics trafic anormaux (> 2× moyenne)
      • Tentatives connexion ports non standards
      • Changements configuration non autorisés
  5. Politique de mise à jour :
    • Firmware modem satellite : mise à jour < 30 jours après publication
    • Routeur SD-WAN : patch sécurité < 7 jours (vulnérabilités critiques)
    • Audit trimestriel avec scan vulnérabilités (Nessus, OpenVAS)

Conformité réglementaire :

  • NIS2 (2024) : Obligatoire pour infrastructures critiques UE
  • SecNumCloud (ANSSI) : Recommandé pour données sensibles France
  • ISO 27001 : Certification système management sécurité

Checklist sécurité minimale :

□ VPN IPsec/SSL actif avec chiffrement AES-256
□ Firewall configuré en deny-all + whitelist
□ Désactivation administration à distance modem satellite (ou via VPN uniquement)
□ Logs centralisés sur serveur syslog sécurisé
□ Sauvegarde configuration hebdomadaire chiffrée
□ Changement mots de passe par défaut équipements
□ Désactivation services inutiles (Telnet, SNMP v1/v2, HTTP)
□ Certificats SSL valides (pas auto-signés)

Ressources complémentaires

Documentation officielle des organismes de régulation

  • ARCEP – Agence de régulation des télécoms France : https://www.arcep.fr/demarches-et-services/utilisateurs/satellite.html
  • ANFR – Agence Nationale des Fréquences : https://www.anfr.fr/gestion-des-frequences-sites/espace/
  • ITU – Union Internationale des Télécommunications : https://www.itu.int/en/ITU-R/space/Pages/default.aspx
  • ETSI – European Telecommunications Standards Institute : https://www.etsi.org/technologies/satellite

Guides techniques et whitepapers

  • Starlink Business Technical Guide : https://api.starlink.com/public-files/Business_datasheet.pdf
  • SES Networks O3b mPOWER Architecture : https://www.ses.com/o3b-mpower/technology
  • Cisco SD-WAN Design Guide : https://www.cisco.com/c/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-design-guide.html
  • VMware VeloCloud Architecture Guide : https://docs.vmware.com/en/VMware-SD-WAN/index.html

Outils de calcul et simulation

  • Satellite Link Budget Calculator : https://www.satsig.net/linkbugt.htm (calcul atténuation, SNR)
  • Dishpointer : https://www.dishpointer.com/ (orientation antenne satellite GEO)
  • Starlink Obstruction Checker : Application mobile iOS/Android (analyse LoS avec AR)
  • RF Path Loss Calculator : https://www.pasternack.com/t-calculator-fspl.aspx

Standards techniques et protocoles

  • DVB-S2X : Standard modulation satellite de nouvelle génération
  • SCPC vs TDMA : Techniques d’accès multiple satellite
  • RFC 3819 : Advice for Internet Subnetwork Designers (satellite specific)
  • RFC 4838 : Delay-Tolerant Networking Architecture
  • MEF SD-WAN Service Attributes : Standard interopérabilité SD-WAN

Formations professionnelles certifiantes

  • Certified Satellite Installer (CSI) : https://www.sbe.org/certification_csi.php
  • Cisco SD-WAN Specialist : https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/specialist/sd-wan.html
  • VMware VeloCloud SD-WAN Specialist : https://www.vmware.com/learning/certification/vcp-nv-2024-exam.html
  • Formation VSAT Techniques : Proposée par Eutelsat Training, SES Academy

Communautés et forums techniques

  • Reddit r/Starlink : https://www.reddit.com/r/Starlink/ (retours d’expérience utilisateurs)
  • NANOG Mailing List : https://www.nanog.org/mailinglist/ (opérateurs réseau)
  • Satellite Industry Association : https://sia.org/
  • Bisatel Community Forums : Support et échanges techniques (si applicable)

Dernière mise à jour de ce guide : Février 2026
Prochaine révision prévue : Juin 2026 (intégration nouveaux satellites LEO Gen2, évolutions SD-WAN IA)

Edit1

Related Posts

sciences radios télécommunication mobile
Radios télécommunication Terahertz (THz)
6 juin 2025
Copyright © Ste 1.0 acola France / Bisatel