VPN Entreprise : Sécuriser le Télétravail et l'Accès Distant
guides

VPN Entreprise : Sécuriser le Télétravail et l'Accès Distant

10 min de lecture

Le télétravail est devenu une composante structurelle de l’organisation des entreprises. Avec lui, la question de la sécurité des connexions à distance s’est imposée comme un enjeu majeur. Comment permettre à vos collaborateurs d’accéder aux ressources internes depuis leur domicile, un espace de coworking ou un déplacement professionnel, sans compromettre la sécurité de votre réseau ?

En tant qu’ingénieur en cybersécurité ayant accompagné des dizaines d’entreprises dans leur transition vers le travail hybride, je vous propose un tour d’horizon complet des solutions VPN professionnelles : de l’architecture classique aux approches Zero Trust les plus récentes.

VPN grand public vs VPN entreprise : les différences fondamentales

Ce que fait un VPN grand public

Un VPN comme NordVPN, ExpressVPN ou Surfshark chiffre votre trafic et masque votre adresse IP en le routant via un serveur tiers. L’objectif principal est la confidentialité personnelle : protéger votre vie privée vis-à-vis de votre FAI, des annonceurs et des sites web.

Ce que fait un VPN entreprise

Un VPN entreprise a un objectif radicalement différent : permettre aux employés d’accéder de manière sécurisée aux ressources internes de l’entreprise (serveurs, applications, bases de données, intranet) comme s’ils étaient physiquement présents dans les locaux.

Les différences clés :

AspectVPN grand publicVPN entreprise
ObjectifVie privée personnelleAccès aux ressources internes
GestionL’utilisateur gère son compteL’administrateur IT gère tout
AuthentificationIdentifiant/mot de passe simpleMFA, certificats, SSO, LDAP/AD
Contrôle d’accèsAccès identique pour tousPermissions granulaires par rôle
InfrastructureServeurs du fournisseur VPNServeurs de l’entreprise ou cloud dédié
LogsPolitique no-log souhaitéeJournalisation complète requise
ScalabilitéIndividuelDes dizaines à des milliers d’utilisateurs

Les architectures VPN entreprise

VPN d’accès distant (Remote Access VPN)

C’est le cas d’usage le plus courant : un employé en télétravail se connecte au réseau de l’entreprise depuis son ordinateur portable.

Fonctionnement :

  1. L’employé lance le client VPN sur son poste
  2. Il s’authentifie (mot de passe + second facteur)
  3. Un tunnel chiffré s’établit entre son poste et le concentrateur VPN de l’entreprise
  4. L’employé accède aux ressources internes comme s’il était au bureau

Avantages :

  • Simple à comprendre et à déployer
  • Compatible avec tous les systèmes d’exploitation
  • Fonctionne depuis n’importe quelle connexion Internet

Limites :

  • Le concentrateur VPN devient un point unique de défaillance
  • Tout le trafic passe par le réseau de l’entreprise (y compris le trafic personnel), sauf si le split tunneling est configuré
  • Peut saturer la bande passante du siège si beaucoup d’employés se connectent simultanément

VPN site-to-site

Le VPN site-to-site connecte deux réseaux locaux distants de manière permanente et transparente. Par exemple, le réseau du siège parisien avec celui de l’agence lyonnaise.

Fonctionnement :

  • Chaque site dispose d’un routeur ou d’un pare-feu VPN
  • Un tunnel chiffré permanent relie les deux équipements
  • Les utilisateurs des deux sites communiquent comme s’ils étaient sur le même réseau local
  • Aucun client VPN n’est nécessaire sur les postes des utilisateurs

Cas d’usage :

  • Interconnexion de bureaux distants
  • Connexion au cloud privé (AWS VPC, Azure VNet, GCP VPC)
  • Intégration de partenaires commerciaux

Protocoles courants :

  • IPsec : le standard pour les VPN site-to-site, supporté par tous les équipements réseau
  • GRE over IPsec : ajoute le support du multicast et du routage dynamique
  • DMVPN (Dynamic Multipoint VPN) : pour les architectures hub-and-spoke avec de nombreux sites

VPN en full tunnel vs split tunnel

Full tunnel : tout le trafic de l’utilisateur passe par le VPN, y compris la navigation web personnelle. L’entreprise contrôle et inspecte tout le trafic. Sécurité maximale mais bande passante consommée.

Split tunnel : seul le trafic destiné aux ressources internes passe par le VPN. Le reste (navigation web, streaming) sort directement par la connexion locale de l’utilisateur. Meilleure performance mais moindre contrôle.

Le choix dépend de la politique de sécurité de l’entreprise. Les environnements les plus sensibles (défense, finance, santé) privilégient le full tunnel. Les entreprises qui souhaitent optimiser la bande passante et l’expérience utilisateur optent pour le split tunnel avec des contrôles complémentaires sur le poste.

L’évolution vers le Zero Trust

Les limites du VPN traditionnel

Le modèle VPN classique repose sur un principe simple : une fois authentifié et connecté au réseau, l’utilisateur est « à l’intérieur » et bénéficie d’un accès large. Ce modèle présente plusieurs faiblesses :

  • Surface d’attaque étendue : un attaquant qui compromet un compte VPN accède potentiellement à tout le réseau interne
  • Mouvement latéral : une fois à l’intérieur, il est souvent facile de se déplacer d’un système à l’autre
  • Confiance implicite : le réseau fait confiance à tous les appareils connectés via le VPN, qu’ils soient à jour ou compromis

Le principe Zero Trust

Le Zero Trust (confiance zéro) renverse le paradigme : ne faire confiance à personne, vérifier systématiquement. Les principes fondamentaux :

  1. Vérification continue : chaque requête est authentifiée et autorisée, pas seulement la connexion initiale
  2. Moindre privilège : chaque utilisateur n’accède qu’aux ressources strictement nécessaires à son travail
  3. Micro-segmentation : le réseau est découpé en zones isolées, limitant la propagation en cas de compromission
  4. Vérification de la posture : l’état de sécurité de l’appareil est vérifié (antivirus à jour, OS patché, disque chiffré) avant d’accorder l’accès
  5. Chiffrement omniprésent : tout le trafic est chiffré, même à l’intérieur du réseau de l’entreprise

ZTNA : le successeur du VPN ?

Le ZTNA (Zero Trust Network Access) est l’implémentation concrète du Zero Trust pour l’accès distant. Contrairement au VPN qui donne accès au réseau, le ZTNA donne accès à des applications spécifiques.

Fonctionnement :

  • L’utilisateur s’authentifie auprès d’un broker d’accès (dans le cloud)
  • Le broker vérifie l’identité, le contexte (localisation, heure, appareil) et la posture de sécurité
  • Si tout est conforme, un micro-tunnel est créé vers l’application demandée uniquement
  • L’utilisateur n’a jamais accès au réseau sous-jacent

Avantages par rapport au VPN :

  • Pas de mouvement latéral possible
  • L’infrastructure interne est invisible de l’extérieur
  • Scalabilité cloud native
  • Expérience utilisateur transparente (pas de client VPN à lancer)

SASE : la convergence réseau et sécurité

Qu’est-ce que le SASE

Le SASE (Secure Access Service Edge), prononcé « sassi », est un cadre architectural qui combine les fonctions réseau (SD-WAN, optimisation WAN) et les fonctions de sécurité (ZTNA, pare-feu cloud, passerelle web sécurisée, CASB) dans un service cloud unifié.

Les composants du SASE

  • SD-WAN : optimisation intelligente du routage réseau entre les sites et le cloud
  • ZTNA : accès sécurisé aux applications (remplace le VPN)
  • SWG (Secure Web Gateway) : filtrage et inspection du trafic web
  • CASB (Cloud Access Security Broker) : contrôle de l’utilisation des applications SaaS
  • FWaaS (Firewall as a Service) : pare-feu cloud distribué

Pour quelles entreprises

Le SASE s’adresse aux entreprises qui :

  • Ont une main-d’œuvre largement distribuée (télétravail, multi-sites, international)
  • Utilisent massivement des applications SaaS (Microsoft 365, Google Workspace, Salesforce)
  • Souhaitent simplifier leur infrastructure réseau et sécurité
  • Ont les compétences et le budget pour une transformation significative

Pour les PME, le SASE complet peut être surdimensionné. Commencer par le ZTNA seul est souvent la meilleure approche.

Les solutions VPN entreprise du marché

Pour les grandes entreprises

Cisco AnyConnect / Cisco Secure Client : La solution la plus déployée en entreprise. Intégration native avec l’écosystème Cisco (ISE, Umbrella, Meraki). Support de tous les systèmes d’exploitation, y compris les mobiles. Fonctionnalités avancées : posture assessment, toujours connecté, diagnostics réseau intégrés.

Palo Alto GlobalProtect : Intégré aux pare-feu Palo Alto Networks, GlobalProtect étend la politique de sécurité du pare-feu aux utilisateurs distants. Le mode « always-on » garantit que le poste est toujours protégé. L’intégration avec Prisma Access offre une transition fluide vers le SASE.

Zscaler Private Access (ZPA) : Solution ZTNA pure, sans client VPN traditionnel. ZPA ne connecte jamais l’utilisateur au réseau : il crée des micro-tunnels chiffrés directement vers les applications autorisées. Idéal pour les organisations qui souhaitent abandonner le VPN classique.

Cloudflare Access : Alternative agile à ZPA, Cloudflare Access utilise le réseau edge de Cloudflare pour fournir un accès ZTNA. Tarification par utilisateur, déploiement rapide. Particulièrement adapté aux équipes techniques et aux entreprises cloud-native.

Pour les PME et les startups

WireGuard : Protocole open source, léger et performant. WireGuard est idéal pour les PME avec des compétences techniques internes. Le déploiement sur un serveur Linux est simple, les performances sont excellentes, et la configuration est minimaliste (quelques lignes de code).

Points forts :

  • Code source auditable (moins de quatre mille lignes)
  • Performances supérieures à OpenVPN et IPsec
  • Configuration simple
  • Disponible sur tous les systèmes d’exploitation

Limites :

  • Pas de console d’administration centralisée native (des solutions tierces comme Firezone ou Netbird comblent ce manque)
  • Gestion des utilisateurs à gérer manuellement ou via des outils complémentaires

Tailscale : Basé sur WireGuard, Tailscale simplifie considérablement le déploiement. Pas de serveur à gérer : Tailscale utilise un modèle mesh où chaque appareil se connecte directement aux autres via des tunnels WireGuard. L’authentification passe par votre fournisseur d’identité existant (Google, Microsoft, Okta).

OpenVPN Access Server : La version entreprise d’OpenVPN avec une interface web d’administration. Deux connexions simultanées gratuites, au-delà c’est payant. Bonne solution pour les petites équipes qui veulent une interface simple sans expertise réseau avancée.

Considérations de déploiement

L’authentification multi-facteurs est obligatoire

Quelle que soit la solution choisie, l’authentification multi-facteurs (MFA) n’est pas optionnelle pour un VPN entreprise. Un identifiant et un mot de passe volés ne doivent pas suffire à accéder au réseau interne.

Les options MFA :

  • TOTP (codes temporaires via une application) : Google Authenticator, Microsoft Authenticator, Authy
  • Clés de sécurité physiques : YubiKey, Titan Security Key (le plus sécurisé)
  • Push notification : Duo Security, Okta Verify
  • Biométrie : empreinte digitale ou reconnaissance faciale (sur les appareils compatibles)

La gestion des appareils personnels (BYOD)

Quand les employés utilisent leurs appareils personnels, la sécurité se complexifie. Deux approches :

MDM (Mobile Device Management) : l’entreprise installe un agent de gestion sur l’appareil personnel. Permet de vérifier la posture de sécurité, d’imposer un chiffrement du disque, et d’effacer les données professionnelles à distance en cas de perte. Intrusif mais efficace.

Isolation applicative : l’employé accède aux ressources via un navigateur sécurisé ou un environnement virtuel. Aucun agent sur l’appareil personnel. Moins intrusif mais moins de contrôle.

La bande passante et la résilience

Un VPN entreprise doit supporter la charge de tous les utilisateurs distants simultanés. Dimensionnez votre infrastructure :

  • Bande passante : estimez le nombre d’utilisateurs simultanés et leur consommation moyenne
  • Redondance : au minimum deux concentrateurs VPN en haute disponibilité
  • Distribution géographique : pour les équipes internationales, déployez des points d’accès VPN proches des utilisateurs
  • Monitoring : surveillez en temps réel la charge, la latence et les connexions actives

La journalisation et la conformité

Contrairement aux VPN grand public, un VPN entreprise doit conserver des logs :

  • Qui s’est connecté et quand
  • Depuis quelle adresse IP et quel appareil
  • À quelles ressources l’utilisateur a accédé
  • Les tentatives de connexion échouées (détection d’attaques)

Ces logs sont nécessaires pour la conformité réglementaire (RGPD, ISO 27001, SOC 2) et pour l’investigation en cas d’incident de sécurité.

Quelle solution choisir : arbre de décision

Pour vous aider à choisir la solution adaptée à votre contexte :

Moins de dix utilisateurs distants, budget limité : WireGuard auto-hébergé ou Tailscale (gratuit jusqu’à trois utilisateurs). Configuration manuelle acceptable si vous avez un profil technique en interne.

Dix à cent utilisateurs, infrastructure existante : OpenVPN Access Server ou Tailscale Business. Si vous avez déjà des pare-feu Cisco ou Palo Alto, utilisez leurs solutions VPN intégrées (AnyConnect, GlobalProtect).

Plus de cent utilisateurs, approche cloud : Zscaler Private Access, Cloudflare Access ou Palo Alto Prisma Access. Commencez par le ZTNA, puis évoluez vers le SASE si nécessaire.

Entreprise réglementée (finance, santé, défense) : Solutions on-premise (Cisco, Palo Alto, Fortinet) avec contrôle total de l’infrastructure. Le ZTNA en complément pour les applications cloud.

Ce qu’il faut retenir

Le VPN entreprise est bien plus qu’un tunnel chiffré. C’est un élément fondamental de votre stratégie de sécurité, particulièrement dans un contexte de travail hybride.

Les points essentiels :

  • Le VPN entreprise et le VPN grand public répondent à des besoins radicalement différents
  • Le VPN d’accès distant reste pertinent mais doit être renforcé par le MFA et le contrôle de posture
  • Le Zero Trust (ZTNA) remplace progressivement le VPN classique en donnant accès aux applications plutôt qu’au réseau
  • Le SASE est la convergence ultime réseau + sécurité, adaptée aux grandes organisations distribuées
  • WireGuard et Tailscale sont des solutions excellentes pour les PME et les startups
  • L’authentification multi-facteurs n’est pas négociable, quelle que soit la solution choisie

Le choix de la solution dépend de votre taille, de votre budget, de vos compétences internes et de vos exigences réglementaires. Mais quel que soit votre choix, ne faites pas l’impasse sur les fondamentaux : chiffrement fort, authentification robuste et principe du moindre privilège.

Vous cherchez le meilleur rapport qualité-prix ?

Consultez nos comparatifs détaillés pour faire le bon choix.

Julien Moreau

Écrit par

Julien Moreau

Ingénieur en cybersécurité avec 12 ans d'expérience dans la protection des données personnelles. Ancien consultant en sécurité réseau, Julien teste et analyse les VPN avec une approche technique rigoureuse.