Le quiproquo VPN grand public vs entreprise
Quand un dirigeant entend « VPN », il pense souvent à NordVPN, Surfshark ou ExpressVPN — des services grand public qui chiffrent votre trafic depuis chez vous vers un serveur d'un fournisseur, généralement pour accéder à des contenus géo-bloqués ou pour une confidentialité personnelle face à votre FAI. Ces outils ne sont pas des VPN d'entreprise, et ne devraient pas être utilisés en milieu professionnel pour accéder à des ressources internes.
Un VPN d'entreprise est tout autre chose : il établit un tunnel chiffré entre votre poste et votre réseau d'entreprise (ou cloud privé), pour accéder à vos serveurs internes, votre Active Directory, votre fichier partagé ou votre application métier hébergée en local. C'est de cela qu'on parle ici.
À quoi sert vraiment le VPN en PME en 2026
Trois usages principaux justifient un VPN d'entreprise dans une PME :
- Le télétravail : un commercial qui doit accéder au CRM hébergé sur un serveur interne depuis chez lui ou en clientèle.
- L'inter-sites : deux bureaux d'une même entreprise qui doivent partager des ressources via un tunnel chiffré.
- L'accès aux applications métier hébergées on-premise qui ne sont pas exposées sur Internet (et c'est souvent une bonne décision).
Si toutes vos applications sont en SaaS (Microsoft 365, Salesforce, Sage en ligne, etc.) et que rien n'est hébergé chez vous, vous n'avez pas forcément besoin d'un VPN. Vous avez besoin de la MFA sur chaque service. Question à se poser avant de payer une licence VPN.
Le piège classique : VPN sans MFA
Une compromission par identifiants volés est aujourd'hui le scénario d'attaque le plus probable contre une PME. Un VPN qui ne demande qu'un nom d'utilisateur et un mot de passe est une catastrophe en attente : une fois l'identifiant compromis (via phishing, fuite tierce, post-it laissé), l'attaquant entre comme s'il était à l'intérieur des locaux.
La règle : MFA obligatoire sur tout VPN d'entreprise, sans exception. Idéalement avec une clé matérielle FIDO2 (YubiKey) plutôt qu'un code SMS facile à intercepter par SIM swap. Voir aussi notre article L'importance d'un gestionnaire de mots de passe.
Les autres erreurs courantes
- Pas de mise à jour du concentrateur VPN. Les failles VPN exposées sur Internet (Fortinet, Pulse Secure, Cisco AnyConnect) ont nourri la majorité des grandes compromissions ransomware ces dernières années. Le firmware doit être patché aussi régulièrement que vos serveurs. Voir Importance des mises à jour.
- Pas de segmentation après le tunnel. Un utilisateur connecté en VPN ne devrait pas avoir accès à tout le réseau interne. Il devrait avoir accès uniquement à ce dont il a besoin — son CRM, son partage RH, son application métier. C'est le principe de moindre privilège. Voir notre définition segmentation.
- Pas de journalisation. Sans logs des connexions VPN, impossible de détecter qu'un compte est utilisé depuis Bucarest à 3 h du matin. La journalisation centralisée est le minimum vital.
- Mots de passe partagés entre utilisateurs. Surprise classique en audit : un compte VPN « générique » utilisé par plusieurs personnes. C'est interdit RGPD, traçable nulle part, et ouvre des failles disciplinaires.
Quels protocoles, quelles solutions
Trois standards dominent en 2026, chacun avec ses cas d'usage :
- IPsec : standard historique, robuste, supporté nativement par Windows, macOS, iOS, Android. Idéal pour l'inter-sites permanent. Configuration plus lourde.
- WireGuard : protocole moderne, code minimaliste audité, performances excellentes. Adopté par les grands hébergeurs. Plus simple à configurer. Manque encore d'intégration native sur certains pare-feu commerciaux récents.
- OpenVPN : standard de fait depuis 20 ans. Mature, bien outillé. Performances moyennes par rapport à WireGuard.
Côté solutions concrètes pour une PME française, plusieurs options existent selon votre infrastructure : les pare-feu professionnels (Stormshield — fournisseur souverain français certifié ANSSI, Fortinet, Sophos) intègrent un VPN ; les routeurs MikroTik ou OPNsense permettent de monter un VPN open source de qualité ; en cloud, des fournisseurs européens comme Tailscale (récemment) ou WireGuard auto-hébergé offrent une approche plus moderne.
L'évolution naturelle : le ZTNA
Le ZTNA (Zero Trust Network Access) est en train de remplacer progressivement les VPN traditionnels. Le principe est différent : au lieu d'autoriser l'utilisateur à accéder à tout le réseau via un tunnel, le ZTNA autorise application par application, en fonction de l'identité, du contexte (poste à jour, géolocalisation cohérente, comportement normal) et de l'autorisation explicite.
Pour une PME, le ZTNA peut être pertinent dès aujourd'hui sur les applications les plus sensibles (paie, CRM, finance). Pour les autres, un bon VPN bien configuré reste une réponse économique et adéquate.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Réseau Informatique couvre la mise en place et le durcissement du VPN d'entreprise (IPsec, WireGuard, options souveraines selon vos besoins). Le Diagnostic Découverte évalue systématiquement la configuration actuelle de votre VPN, le niveau de patching de votre concentrateur, et la présence de la MFA.