APN privé — Access Point Name dédié

Définition

Un APN privé (Access Point Name) est un point d'entrée logique au réseau cœur d'un opérateur mobile, dédié à une flotte SIM identifiée et séparé du trafic Internet public. À la différence d'un APN public (orange.fr, sl2sfr, mmsbouygtel.com, free), qui agrège des millions d'abonnés et déverse leur trafic vers la sortie Internet du MNO, l'APN privé route le trafic data des SIM associées vers un point d'interconnexion contractualisé — typiquement un MPLS du client, un VPN IPSec vers son SI, ou une liaison directe physique vers son datacenter.

Trois composants techniques structurent un APN privé :

1. Le P-GW (Packet Gateway) ou son équivalent 5G UPF (User Plane Function) — l'élément du cœur mobile qui assure l'interconnexion entre le réseau mobile et le réseau IP du client. Sa configuration détermine la sortie du trafic.
2. Le tunnel d'interconnexion — IPSec, MACsec, ou MPLS — qui transporte le trafic data du P-GW/UPF jusqu'au point d'arrivée client (datacenter HDS, SI hospitalier, plateforme métier).
3. Le plan d'adressage IP — privé (RFC 1918) ou publiquement routé, fixe ou dynamique. Pour les architectures où le SI doit initier la connexion vers le dispositif distant, l'IP fixe est indispensable.

L'isolation logique du trafic est garantie par le routage : les paquets émis par une SIM associée à l'APN privé ne croisent jamais la sortie Internet publique du MNO. Ils restent dans le backbone de l'opérateur jusqu'au point de remise contractuel.

Pourquoi c'est important pour un hébergeur HDS

Pour les architectures santé sensibles, l'APN privé est l'un des deux mécanismes (avec la fibre dédiée, cf. /criteres/fibre-noire/) qui permettent une chaîne air-gapped end-to-end entre le terminal et le SI hébergé. Cinq propriétés en font un actif stratégique :

1. Pas de transit Internet public. Le trafic est routé directement du P-GW/UPF au point d'arrivée client. Aucune juridiction étrangère n'est traversée, aucun FAI tiers ne voit même les métadonnées d'application.
2. Surface d'attaque réduite. Les SIM associées à un APN privé ne sont pas adressables depuis Internet. Une attaque opportuniste (scan, exploit) n'a aucune porte d'entrée — il faut être déjà dans le réseau privé.
3. Authentification mutuelle. La SIM authentifie le réseau via la clé K et l'algorithme MILENAGE/TUAK. L'opérateur identifie chaque SIM individuellement. L'usurpation d'identité est cryptographiquement difficile.
4. Audit trail complet. L'opérateur trace chaque connexion (IMSI, IMEI, durée, volume, IP attribuée, point d'arrivée). En cas d'incident CNIL ou audit HDS, l'historique est disponible.
5. Maîtrise du roaming. Sur un APN privé, le roaming international peut être désactivé entièrement, ou restreint à des opérateurs partenaires contractualisés. Pas de fuite de trafic médical vers une juridiction non maîtrisée parce qu'un capteur a accroché un réseau étranger.

L'APN privé est complémentaire à la fibre noire : la fibre dédiée couvre les sites fixes (CHU, EHPAD, plateaux techniques), l'APN privé couvre les terminaux mobiles ou distribués (DM connectés, ambulances, capteurs à domicile, tablettes médicales). Les deux convergent typiquement vers le même datacenter HDS sans jamais avoir touché Internet.

Comment ce critère est attribué dans le comparateur

• ✓ Vérifié — l'acteur propose un APN privé documenté publiquement, avec mention explicite de l'isolation Internet, du mode d'interconnexion (IPSec, MPLS, MACsec) et de la possibilité d'IP fixe.
• ◆ Revendiqué — mention « APN dédié » ou « réseau mobile sécurisé » sans précisions techniques.
• — Non documenté — pas de mention publique d'offre APN privé.

Pour quel profil c'est critique

Comment un hébergeur peut se conformer

Pour proposer un APN privé interconnecté à son datacenter HDS, plusieurs configurations :

1. Opérateur télécom intégré — l'hébergeur (ou son groupe) opère son propre cœur de réseau mobile (P-GW/UPF) avec autorisation ARCEP. Configuration la plus aboutie en termes de souveraineté du trafic.
2. MVNO B2B IoT — accord commercial avec un MNO hôte, opération technique propre du UPF/P-GW. Permet de configurer ses propres APN privés sans gérer les antennes radio.
3. Partenariat opérateur — l'hébergeur HDS contractualise avec un opérateur M2M français (M2M Network, opérateurs régionaux) qui fournit le service APN privé et l'interconnexion vers le datacenter HDS.

Le point d'interconnexion entre l'APN privé et le datacenter HDS doit faire l'objet d'un design réseau : redondance L2, chiffrement IPSec ou MACsec, NAT statique si nécessaire, monitoring de la disponibilité.

Plus-value vs coût

Le coût récurrent d'un APN privé est modéré (de l'ordre de 1 à 5 €/SIM/mois en surplus du forfait data standard, selon volumétrie). Le coût initial d'interconnexion entre l'opérateur et le datacenter HDS est plus structurel (matériel de terminaison, contrat MPLS ou IPSec dédié, design réseau).

Pour les acteurs santé qui déploient des flottes IoT médicales (centaines à milliers de dispositifs), l'APN privé est un investissement structurellement justifié dès qu'on quitte le périmètre du pilote.

Sources officielles

• 3GPP — Architecture du cœur de réseau mobile (TS 23.401 pour EPC/4G, TS 23.501 pour 5G) : 3gpp.org.
• IETF — RFC 4301 (IPSec), RFC 4303 (ESP), RFC 7321 (algorithmes cryptographiques) : ietf.org.
• GSMA — Spécifications IoT IR.92 et IR.65 : gsma.com.
• ARCEP — Régulation des MVNO et opérateurs déclarés : arcep.fr.
• ENISA — Guidelines on Mobile Network Security : enisa.europa.eu.

Limites connues

L'APN privé est un service souvent non exposé publiquement sur la page d'accueil des hébergeurs HDS — il est proposé en B2B sur RDV et documenté dans les catalogues commerciaux internes. L'absence de mention sur le site officiel n'implique pas l'absence d'offre, surtout pour les acteurs intégrés télécom + cloud. Le statut « Non documenté » reflète strictement ce qui est public à la date de fetch.