Le télétravail est installé. Vos collaborateurs se connectent depuis chez eux, depuis des espaces de coworking, depuis des hôtels. Ils accèdent à votre ERP, à vos fichiers partagés, à vos outils métier — souvent via une connexion Wi-Fi publique ou une box personnelle mal configurée. Sans VPN, ces données transitent en clair sur des réseaux que vous ne contrôlez pas. Avec un VPN mal dimensionné, la connexion est si lente que les équipes le contournent. Voici comment trouver le bon équilibre.
Ce que fait réellement un VPN d'entreprise
Un VPN (Virtual Private Network) crée un tunnel chiffré entre le poste du collaborateur et le réseau de l'entreprise. Concrètement, cela signifie :
• Toutes les données échangées sont chiffrées de bout en bout — même sur un Wi-Fi public, un attaquant ne voit que du bruit
• Le collaborateur distant obtient une adresse IP interne comme s'il était au bureau — il accède aux mêmes ressources (serveurs, imprimantes réseau, partages de fichiers)
• L'entreprise peut appliquer ses règles de sécurité (filtrage web, antivirus, DLP) même sur les postes distants
Un VPN d'entreprise est différent d'un VPN grand public (NordVPN, ExpressVPN). Ces derniers masquent votre IP pour la navigation personnelle. Un VPN d'entreprise connecte vos collaborateurs à votre infrastructure.
Quatre protocoles VPN comparés
| Protocole | Chiffrement | Performance | Complexité | Cas d'usage PME |
|---|---|---|---|---|
| IPsec / IKEv2 | AES-256 | Bonne | Moyenne | VPN site-à-site entre bureaux, intégré aux firewalls (Fortinet, pfSense) |
| OpenVPN | AES-256 | Moyenne | Moyenne | Accès distant universel, fonctionne partout (même derrière des proxys restrictifs) |
| WireGuard | ChaCha20 | Excellente | Faible | Accès distant haute performance, configuration minimale, idéal pour les équipes mobiles |
| SSL/TLS (SSLVPN) | TLS 1.3 | Bonne | Faible | Accès web sans client (portail navigateur), ne nécessite aucune installation côté utilisateur |
WireGuard est le protocole le plus récent et le plus performant. Son code est 100 fois plus petit qu'OpenVPN (4 000 lignes vs 400 000), ce qui réduit la surface d'attaque. Sa latence est inférieure et les reconnexions après une perte de réseau sont quasi instantanées — un avantage majeur pour les collaborateurs mobiles qui passent du Wi-Fi à la 4G.
Architecture VPN pour une PME de 10 à 100 collaborateurs
L'architecture dépend de votre infrastructure existante :
Si vous avez un firewall d'entreprise (Fortinet, Sophos, pfSense, OPNsense) : activez la fonction VPN intégrée. La plupart des firewalls modernes supportent IPsec, OpenVPN et parfois WireGuard. C'est la solution la plus simple car elle s'intègre à vos règles de filtrage existantes.
Si vous êtes en cloud (Azure, AWS) : utilisez le VPN managé du fournisseur (Azure VPN Gateway, AWS Client VPN). Il se connecte directement à votre réseau virtuel cloud sans matériel supplémentaire.
Si vous n'avez ni firewall ni cloud : installez un serveur VPN dédié sur une VM Linux. WireGuard s'installe en 20 minutes et supporte des dizaines de connexions simultanées sur un serveur modeste (1 vCPU, 1 Go de RAM).
L'ANSSI recommande de segmenter les accès VPN par rôle : un commercial distant n'a pas besoin d'accéder au serveur de comptabilité. Configurez des règles de filtrage qui limitent chaque profil VPN aux seules ressources nécessaires, conformément au guide de durcissement système et réseau pour PME.
ZTNA : l'alternative au VPN traditionnel
Le modèle Zero Trust Network Access (ZTNA) remet en question le principe même du VPN. Au lieu de donner accès à tout le réseau une fois connecté, le ZTNA vérifie l'identité et la conformité du poste à chaque requête, et n'accorde l'accès qu'à l'application demandée — jamais au réseau entier.
Des solutions comme Cloudflare Access, Zscaler Private Access ou Tailscale (basé sur WireGuard) proposent du ZTNA accessible aux PME. Tailscale, en particulier, s'installe comme un VPN classique mais fonctionne en mode peer-to-peer sans serveur central — les postes se connectent directement entre eux via des tunnels chiffrés.
Le ZTNA ne remplace pas le VPN dans tous les cas (l'accès à un partage de fichiers SMB nécessite toujours un tunnel réseau), mais il le complète pour les accès applicatifs web.
Éviter les erreurs qui annulent la sécurité du VPN
Un VPN mal configuré donne une fausse impression de sécurité. Vérifiez ces points :
• Split tunneling contrôlé. Par défaut, tout le trafic passe par le VPN (full tunnel). C'est sécurisé mais lent. Le split tunneling envoie uniquement le trafic professionnel dans le tunnel et laisse le reste (YouTube, sites personnels) passer directement. C'est un compromis acceptable si vous maintenez un antivirus à jour sur les postes
• Authentification forte. Un VPN protégé par un simple mot de passe est vulnérable au phishing. Ajoutez une authentification multifacteur (MFA) — TOTP, clé physique ou push notification
• Certificats plutôt que clés partagées. Les clés pré-partagées (PSK) sont faciles à configurer mais impossibles à révoquer individuellement. Utilisez des certificats x509 pour pouvoir révoquer l'accès d'un collaborateur sans affecter les autres
• Journalisation. Activez les logs de connexion VPN et conservez-les 90 jours minimum. En cas d'incident, vous devez pouvoir identifier qui était connecté et quand
Sécuriser sans ralentir
Le VPN d'entreprise est un outil de sécurité fondamental, mais il ne doit pas devenir un frein à la productivité. Choisissez un protocole performant (WireGuard pour les nouveaux déploiements), dimensionnez le serveur pour le nombre réel de connexions simultanées, activez le split tunneling de manière contrôlée, et imposez l'authentification multifacteur. Un VPN que les utilisateurs contournent parce qu'il est trop lent est pire que pas de VPN du tout — il crée une fausse confiance tout en laissant les données transiter en clair.
Image : © Bing Images, 2026
