VPN : connexions sécurisées à distance et accès

·

Lorsqu'un salarié se connecte au réseau d'entreprise depuis le wifi d'un café, ses données transitent par une infrastructure que personne dans l'organisation ne contrôle. Sans protection, cette information circule en clair et reste exposée à l'interception. Le réseau privé virtuel (VPN, Virtual Private Network) résout ce problème en créant un tunnel chiffré à travers le réseau public : un canal qui rend le fait de communiquer par internet, en pratique, aussi privé que d'être relié par un câble à l'intérieur du bureau. C'est la pièce qui a soutenu le travail à distance pendant des décennies et qui demeure un contrôle de sécurité de premier ordre.

Cet article explique comment fonctionne réellement un VPN, quels types et protocoles existent, comment le configurer de manière sécurisée et pourquoi le modèle Zero Trust pousse vers des architectures qui complètent — voire remplacent — le VPN traditionnel.

Comment fonctionne un VPN : tunnel et chiffrement

Un VPN combine deux mécanismes : le tunneling (encapsulation) et le chiffrement. L'encapsulation enveloppe les paquets de données d'origine à l'intérieur d'autres paquets, créant un tunnel logique entre l'appareil de l'utilisateur et le serveur VPN. Le chiffrement rend le contenu illisible pour quiconque intercepterait le trafic en chemin. Le résultat est qu'un attaquant situé sur le réseau intermédiaire voit du trafic, mais ne peut ni le lire ni le manipuler.

L'authentification est le troisième pilier : avant d'établir le tunnel, les deux extrémités vérifient leur identité au moyen de certificats, de clés prépartagées ou d'identifiants renforcés par un second facteur. Sans une authentification solide, le chiffrement protège la confidentialité mais laisse la porte ouverte à quiconque usurperait l'identité d'un utilisateur légitime.

Types de VPN : accès distant et site à site

Il existe deux architectures fondamentales. Le VPN d'accès distant relie un utilisateur individuel au réseau d'entreprise ; c'est celui qu'utilise le télétravailleur depuis son ordinateur portable. Le VPN site à site (site-to-site) relie deux réseaux complets — par exemple, le siège central et une agence — de manière permanente, sans que les utilisateurs finaux aient à intervenir. Une variante de ce dernier est le VPN sur MPLS proposé par les opérateurs pour interconnecter des bureaux.

Une décision de conception habituelle est le split tunneling face au full tunneling. Avec le tunnel complet, tout le trafic de l'appareil passe par le VPN, ce qui maximise le contrôle et l'inspection au prix d'une saturation du lien d'entreprise. Avec le tunnel divisé, seul le trafic vers les ressources internes traverse le VPN et le reste part directement vers internet, ce qui améliore les performances mais réduit la visibilité de sécurité.

Protocoles VPN : d'IPsec à WireGuard

Le protocole détermine la sécurité, la vitesse et la compatibilité de la connexion. Voici les plus pertinents en 2026 :

ProtocoleChiffrement / basePerformanceUsage recommandé
WireGuardCryptographie moderne (ChaCha20)Très élevéeNouveaux déploiements, mobile, haute performance
IPsec / IKEv2AES, suite IPsecÉlevéeSite à site, mobile avec reconnexion stable
OpenVPNSSL/TLS (OpenSSL)Moyenne-élevéeCompatibilité et flexibilité maximales
L2TP/IPsecIPsec sur L2TPMoyenneCompatibilité avec les équipements anciens
PPTPObsolète et non sûrÉlevéeÀ ne pas utiliser : chiffrement cassé

WireGuard s'est imposé dans les déploiements modernes par sa base de code réduite (plus facile à auditer), sa cryptographie actuelle et son excellente performance, surtout sur les réseaux mobiles. IPsec avec IKEv2 reste le standard pour les liens site à site et se distingue par sa rapidité de reconnexion lors d'un changement de réseau. OpenVPN conserve sa valeur grâce à sa portabilité et à sa capacité à bien traverser les pare-feu, pouvant opérer sur le port TCP 443. Le protocole PPTP doit être interdit : son chiffrement est cassé depuis des années et son usage constitue en soi une vulnérabilité.

Configuration sécurisée : liste de vérification

  1. Chiffrement fort et à jour : AES-256 ou ChaCha20 ; écarter les algorithmes obsolètes.
  2. MFA obligatoire sur l'accès distant : le chiffrement ne sert à rien si les identifiants fuient.
  3. Authentification par certificats en plus des identifiants, pour les appareils gérés.
  4. Perfect Forward Secrecy (PFS) : que la compromission d'une clé n'expose pas le trafic passé.
  5. Kill switch : couper la connexion si le tunnel tombe, afin d'éviter les fuites en clair.
  6. Application des correctifs au concentrateur VPN : les passerelles VPN ont été une cible fréquente de vulnérabilités critiques ; les maintenir à jour est prioritaire.
  7. Journalisation et surveillance des connexions pour détecter les accès anormaux.
  8. Moindre privilège : qu'être à l'intérieur du VPN n'équivaille pas à un accès total au réseau interne ; segmenter.

La limite du VPN et l'arrivée du ZTNA

Le VPN traditionnel présente une faiblesse structurelle : une fois à l'intérieur du tunnel, l'utilisateur obtient généralement un accès large au réseau interne. Si un attaquant vole des identifiants, il hérite de cette confiance implicite et peut se déplacer latéralement. Le modèle Zero Trust (formalisé par le NIST dans la publication SP 800-207) inverse cette logique : aucun accès n'est fiable par défaut, pas même à l'intérieur du réseau. De là émerge le ZTNA (Zero Trust Network Access), qui n'accorde pas l'accès au réseau mais à des applications concrètes, en évaluant à chaque requête l'identité, l'état de l'appareil et le contexte. Face au VPN, le ZTNA réduit drastiquement la surface d'attaque et élimine le déplacement latéral. De nombreuses organisations font coexister les deux : le VPN pour les liens site à site et les cas hérités, le ZTNA pour l'accès des utilisateurs aux applications.

Cadre réglementaire

L'usage du VPN s'inscrit dans les obligations de sécurité du traitement du RGPD (article 32), qui impose de chiffrer les communications transportant des données personnelles. La Directive NIS2 renforce, pour les secteurs essentiels et importants, les exigences de sécurité des communications et de l'accès distant. Au niveau technique, l'ISO/IEC 27001 recueille des contrôles spécifiques de sécurité des réseaux et de transfert de l'information, et en Espagne le Schéma national de sécurité (ENS) établit des exigences de protection des communications pour le secteur public et ses prestataires.

Performance et expérience utilisateur

Un VPN qui protège mais entrave finit par être désactivé ou par pousser les utilisateurs à chercher des raccourcis non sûrs. C'est pourquoi la performance n'est pas un détail accessoire, mais une partie de la sécurité effective. Plusieurs facteurs conditionnent la vitesse perçue : la distance au concentrateur VPN (plus le serveur est éloigné, plus la latence est grande), la capacité de chiffrement du matériel de la passerelle, le protocole choisi et le choix entre tunnel complet ou divisé. WireGuard, par sa conception légère, offre généralement la meilleure expérience sur les connexions mobiles et lors des reconnexions après un changement de réseau, un scénario quotidien pour qui alterne entre wifi et données mobiles.

La conception doit équilibrer contrôle et fluidité. Forcer tout le trafic par le tunnel maximise la visibilité de sécurité, mais sature le lien d'entreprise et dégrade des services comme les appels vidéo, qui voyageraient inutilement jusqu'au siège et en retour. Le tunnel divisé soulage ce goulet d'étranglement en ne routant que ce qui est lié à l'entreprise, au prix d'une perte de visibilité sur le reste. Le bon choix dépend du profil de risque de chaque organisation et du type de données que manipulent ses utilisateurs distants. Bien dimensionner la bande passante du concentrateur et répartir géographiquement les points d'entrée évite que le VPN ne devienne le goulet d'étranglement que les salariés apprennent à contourner.

Erreurs courantes

Foire aux questions

Un VPN me rend-il anonyme ? Pas totalement. Un VPN chiffre le trafic et masque votre adresse IP face aux tiers, mais le fournisseur du service, lui, peut voir votre activité. La confidentialité dépend de la confiance accordée à l'opérateur du VPN.

VPN ou ZTNA ? Ils ne sont pas exclusifs. Le ZTNA est préférable pour l'accès granulaire des utilisateurs aux applications ; le VPN reste pratique pour les liens site à site et les environnements hérités. De nombreuses architectures combinent les deux durant la transition.

Quel protocole choisir pour un nouveau déploiement ? WireGuard pour la performance et la simplicité, ou IPsec/IKEv2 si vous avez besoin d'une reconnexion robuste en mobilité et d'une compatibilité avec l'équipement réseau existant.

Le VPN ralentit-il la connexion ? Le chiffrement et le détournement du trafic introduisent une certaine latence. WireGuard la minimise ; le split tunneling aide également en ne forçant pas tout le trafic par le tunnel.

Conclusion

Le VPN reste un outil valable, mais son rôle évolue. Chiffrer le tunnel résout la confidentialité en chemin, pas la confiance à l'intérieur du réseau : c'est pourquoi un VPN bien conçu en 2026 comporte une MFA obligatoire, un chiffrement moderne comme WireGuard ou IPsec, une segmentation qui empêche le déplacement latéral et une passerelle religieusement corrigée. Et c'est pourquoi, de plus en plus, le VPN coexiste avec des architectures Zero Trust qui accordent l'accès à des applications plutôt qu'à des réseaux entiers. L'organisation qui comprend cette évolution cesse de traiter l'accès distant comme un interrupteur « dedans ou dehors » et le considère comme une décision réévaluée à chaque connexion. Chez Summum Sistemas, nous concevons l'accès distant sécurisé adapté à chaque cas, du tunnel site à site jusqu'à la migration vers le ZTNA.