Ouvrir ou gérer une filiale en Chine, envoyer des collaborateurs en déplacement à Pékin ou Shanghai — dans les deux cas, le défi réseau et réglementaire est identique. La plupart des architectures d’entreprise n’ont pas été conçues pour y répondre, que l’utilisateur soit sédentaire ou nomade. Voici un état des lieux technique, et pourquoi l’approche de Cato Networks change la donne.
Le Grand Pare-feu n’est pas un mythe
Le Great Firewall of China — ou GFW — est l’infrastructure de contrôle d’internet la plus sophistiquée au monde. Toute connexion transfrontalière passe obligatoirement par des passerelles d’État soumises à une inspection profonde des paquets (DPI), des règles de throttling dynamique, et des listes de blocage mises à jour en temps réel.
Pour un DSI, cela se traduit concrètement par des perturbations sur des outils du quotidien :
Pour un DSI, cela se traduit concrètement par des perturbations sur des outils du quotidien :
// SaaS bloqués ou fortement dégradés
Microsoft 365, Salesforce, Google Workspace, Slack — inaccessibles ou quasi inutilisables sans infrastructure adaptée.
// VPN grand public hors-jeu
Les VPN non agréés sont illégaux en Chine. Ils sont activement détectés et coupés par le GFW. OpenVPN, IKEv2, WireGuard : tous concernés.
Jitter, perte de paquets, routing erratique : la qualité réseau fluctue selon les heures, les événements politiques et les périodes de l'année.
// Conformité réglementaire non négociable
MIIT, PIPL, Data Security Law — chaque flux de données transfrontalier doit être juridiquement encadré. L'ignorance de ces textes n'est pas une défense recevable.
// Collaborateurs nomades sans filet
Un salarié en déplacement à Pékin perd accès à ses outils professionnels dès l'atterrissage, si la DSI n'a pas anticipé une solution conforme.
⚠ Point d'attention réglementaire : En Chine, seuls les opérateurs détenant une licence MIIT sont habilités à fournir des services de connectivité transfrontalière. Utiliser une infrastructure non agréée expose l'entreprise à des sanctions, voire à une suspension des opérations.
───────────────────────────────────────────
Les trois voies légales — et leurs limites
───────────────────────────────────────────
Il n'existe que trois chemins autorisés pour faire transiter du trafic entre la Chine et le reste du monde. Aucun n'est idéal pris isolément.
// Internet public contrôlé par le GFW
Tout le trafic passe par des passerelles d'État. Inspection lourde, throttling, routage erratique. Performance dégradée, risque conformité élevé. Gratuit, mais inutilisable sérieusement pour un usage professionnel.
// MPLS via opérateur agréé
Plus stable, mais structurellement inadapté aux entreprises cloud-first : délais de déploiement de 3 à 6 mois, coûts élevés, rigidité totale. Chaque nouveau site ou évolution d'architecture devient un chantier.
// Overlays approuvés (AliCloud CEN, Zenlayer…)
Meilleures performances que l'internet public, mais l'entreprise hérite de la gestion de contrats régionaux multiples, de SLA morcelés et de risques de conformité propres à chaque provider. La complexité opérationnelle est simplement déplacée, pas résolue.
"Gérer la Chine comme un environnement réseau autonome n'est pas un choix stratégique. C'est la conséquence forcée d'une architecture qui n'a pas été pensée pour ce marché."
───────────────────────────────────────────
Ce que les approches classiques ne résolvent pas
───────────────────────────────────────────
La plupart des éditeurs réseau contraignent les entreprises opérant en Chine à des déploiements de sécurité séparés : SKU régionaux distincts, fonctions d'inspection déportées hors du pays, capacités CASB ou DLP indisponibles dans la région. Résultat : la posture de sécurité en Chine est structurellement inférieure à celle du reste du réseau mondial. Ce n'est pas un risque partiel, c'est une exposition systémique.
// Complexité opérationnelle
Deux consoles. Deux jeux de politiques. Des règles qui ne se synchronisent pas. Des équipes IT locales qui appliquent manuellement ce que le siège ne peut pas pousser automatiquement. Chaque mise à jour de politique devient un effort de coordination. Chaque incident demande une investigation dans des environnements disjoints. Le triage prend deux fois plus de temps.
// Charge réglementaire non mutualisée
La conformité avec le MIIT, le PIPL (Personal Information Protection Law) et le DSL (Data Security Law) est en constante évolution. Sans mécanisme natif d'alignement, chaque changement réglementaire génère un chantier : cartographie manuelle des flux de données, déploiement de correctifs régionaux, préparation d'audit en silo. C'est du temps DSI absorbé par de la gestion réglementaire ad hoc — sans valeur ajoutée pour le business.
───────────────────────────────────────────
Le cas particulier des salariés nomades en déplacement
───────────────────────────────────────────
La connectivité en Chine n'est pas uniquement un enjeu d'infrastructure fixe. Chaque collaborateur qui s'envole pour Pékin, Shanghai ou Shenzhen constitue un endpoint nomade entièrement hors du périmètre de sécurité habituel — et souvent, la DSI ne l'a pas anticipé.
// Le piège du VPN d'entreprise classique
La réponse instinctive de beaucoup d'équipes IT est de demander au collaborateur de se connecter via le VPN d'entreprise. En Chine, cette approche échoue à deux niveaux. D'abord, les protocoles VPN standards sont activement détectés et bloqués par le GFW. Ensuite, même si la connexion s'établit, le trafic remonte jusqu'au siège européen avant de redescendre vers les services cloud — ajoutant une latence rédhibitoire pour des outils comme Teams ou Outlook.
⚠ Risque réglementaire pour le salarié : Utiliser un VPN non agréé en Chine est une infraction au droit chinois. En cas de contrôle, c'est le collaborateur sur place qui est en première ligne — pas la DSI au siège. La responsabilité de fournir une solution légale appartient à l'entreprise.
// Ce que vit concrètement un nomade non préparé
Messagerie inaccessible : Outlook Web, Gmail, Teams — coupés ou tellement dégradés que leur utilisation devient impossible pendant tout le séjour.
Fichiers bloqués : SharePoint, OneDrive, Google Drive — aucun accès aux documents de travail sans infrastructure adaptée.
Visio impossible : Teams, Zoom, Webex — la qualité audio/vidéo s'effondre ou la connexion est refusée. Les réunions client tombent.
Shadow IT immédiat : face au blocage, le collaborateur cherche des solutions alternatives non autorisées, exposant l'entreprise à des risques de fuite de données et à des violations de conformité.
// La réponse architecturale : le client ZTNA, pas le VPN
Pour les utilisateurs nomades, la bonne réponse n'est pas un VPN renforcé — c'est l'abandon du paradigme VPN. Une architecture Zero Trust Network Access (ZTNA) délivrée depuis un PoP local en Chine répond aux trois contraintes simultanément : conformité (connexion via infrastructure licenciée), performance (le trafic ne remonte pas en Europe), et sécurité (les politiques de l'entreprise s'appliquent où que soit l'utilisateur).
Avec le Cato Client, le collaborateur en déplacement se connecte automatiquement au PoP Cato le plus proche — en Chine, c'est Pékin, Shanghai ou Shenzhen. L'accès aux applications SaaS et privées est sécurisé, inspecté localement, et soumis aux mêmes politiques que s'il était au bureau. Pas de configuration manuelle, pas de protocole bloqué par le GFW, pas d'exception de sécurité.
"Un collaborateur en déplacement en Chine sans solution ZTNA préparée par la DSI, c'est un endpoint non géré dans l'environnement réseau le plus contraignant du monde."
───────────────────────────────────────────
L'approche Cato Networks : la Chine comme extension native du réseau mondial
───────────────────────────────────────────
Cato Networks est positionné comme la première plateforme SASE à fournisseur unique capable d'intégrer la Chine sans exception architecturale. Concrètement, voici comment cela fonctionne.
// Infrastructure licenciée en Chine
Cato opère des Points de Présence (PoPs) entièrement sous licence à Pékin, Shanghai et Shenzhen, en partenariat avec des providers agréés (Zenlayer, CypressTel). Le trafic transfrontalier sort via le PoP de Hong Kong sur des liens privés à garantie de service (SLA), sans jamais transiter par l'internet public ni par le GFW.
Site chinois / Nomade en Chine
→ Cato Socket SD-WAN ou Cato Client (ZTNA)
→ PoP Cato China — licencié MIIT — inspection full-stack inline
→ Lien privé SLA — bypass Great Firewall
→ Backbone privé mondial Cato
→ Cloud / Siège / Autres régions
// Full-stack security enforcement, localement
Toute la pile de sécurité est appliquée directement au PoP chinois, sans déchargement ni restriction de fonctionnalités : NGFW, SWG, ZTNA, DLP, CASB, prévention des menaces, protection IoT/OT. Le moteur single-pass inspecte le trafic en un seul passage. Les menaces, les fuites de données et les violations de politique sont neutralisées avant que le trafic ne franchisse la frontière.
// Gestion unifiée, console unique
La Chine est gérée depuis la même console que le reste du réseau mondial. Les politiques se propagent automatiquement sur tous les sites. Les logs et les analyses de la Chine alimentent le data lake global — pour la supervision, la conformité et le dépannage en temps réel, depuis un seul point de contrôle.
───────────────────────────────────────────
Ce que cela change concrètement pour le DSI
───────────────────────────────────────────
✓ Déploiement d'un nouveau site en Chine en quelques jours (contre 3 à 6 mois avec du MPLS), via simple connexion haut débit local au Cato Socket.
✓ Élimination des contrats télécom régionaux multiples : un seul accord commercial avec Cato couvre le réseau mondial, Chine incluse.
✓ Conformité MIIT/PIPL/DSL intégrée nativement : les flux de données sont encadrés, tracés et auditables sans chantier supplémentaire.
✓ Visibilité réseau et sécurité identique en Chine et dans le reste du monde — même granularité, même dashboard.
✓ Accès SaaS fiable pour les utilisateurs locaux (Microsoft 365, Salesforce, etc.) sans dégradation liée au GFW.
✓ Zero Trust appliqué de manière homogène aux utilisateurs en Chine, en télétravail et au bureau — sans exception régionale.
✓ Collaborateurs nomades couverts dès l'atterrissage : le Cato Client se connecte automatiquement au PoP chinois le plus proche, sans configuration manuelle.
✓ Fin du shadow IT en déplacement : les collaborateurs ont accès à leurs outils légitimes — ils n'ont plus besoin de chercher des alternatives non contrôlées.
───────────────────────────────────────────
───────────────────────────────────────────
La Chine n'est pas un cas particulier que l'on traite avec des rustines. C'est un marché structurellement différent, avec ses propres règles réseau et réglementaires — et il mérite une réponse architecturale à la hauteur de ces contraintes. Cette réponse doit couvrir les deux faces du problème : les sites fixes et les utilisateurs nomades.
L'approche traditionnelle — MPLS coûteux, overlays fragmentés, VPN bloqués par le GFW, stacks de sécurité dupliquées — génère de la dette technique, de la complexité opérationnelle et des angles morts de sécurité. Elle n'est plus tenable pour une entreprise qui cherche à opérer efficacement à l'échelle mondiale, ni pour protéger chaque collaborateur en déplacement.
Cato Networks propose une alternative cohérente : intégrer la Chine comme une extension régulée et gouvernée du réseau mondial, sans duplication d'infrastructure, sans exception de sécurité, et avec une gestion centralisée depuis une console unique — que l'utilisateur soit dans une usine à Shenzhen ou dans un hôtel à Shanghai avec son laptop.
