Le transit réseau — ce que le VPN couvre
Un VPN établit un tunnel chiffré entre l'équipement distant et l'infrastructure de l'organisation. Tout le trafic qui passe par ce tunnel est chiffré avant de quitter l'équipement — ce que le réseau local (Wi-Fi d'hôtel, réseau mobile, connexion personnelle) voit est du trafic chiffré opaque. L'adresse IP réelle de l'équipement est masquée des services auxquels l'utilisateur accède via le tunnel.
Ce périmètre est précis. Le VPN protège le transit réseau. Il ne protège pas contre un utilisateur qui accède à des ressources non autorisées, contre un équipement compromis par un malware, ou contre une attaque de phishing qui obtient les credentials de l'utilisateur. Ces menaces nécessitent d'autres couches de protection.
L'authentification multi-facteurs — ce que le MFA couvre
Le premier facteur d'authentification — mot de passe ou clé — peut être compromis sans accès physique à l'équipement. Une attaque de phishing, une base de données compromise, ou une attaque par force brute peuvent exposer les credentials d'un utilisateur. Le deuxième facteur — code TOTP, notification push, clé physique FIDO2 — nécessite l'accès à quelque chose que l'utilisateur possède physiquement. Cette couche réduit drastiquement l'impact d'une compromission du premier facteur.
Pour les accès VPN, le MFA est une exigence de base en 2026. Les solutions VPN d'entreprise sérieuses intègrent nativement l'authentification via des fournisseurs d'identité (Azure AD, Okta, Google Workspace) avec MFA obligatoire. La configuration sans MFA expose l'accès VPN à une seule couche de protection, insuffisante pour des ressources sensibles.
FIDO2 / WebAuthn — le standard de référence
FIDO2 avec des clés physiques (YubiKey, Google Titan) est le second facteur le plus robuste contre le phishing. Contrairement aux codes TOTP ou aux SMS, une clé FIDO2 vérifie cryptographiquement le domaine du service avant de répondre — elle ne peut pas être interceptée par un site de phishing. Pour les accès à haute valeur (administration système, données sensibles), FIDO2 est la recommandation de référence.
Le contrôle des équipements — MDM et Device Posture
Le troisième pilier est souvent le moins bien implémenté. Même avec un VPN actif et un MFA en ordre, un équipement dont le système d'exploitation n'est pas à jour, dont l'antivirus est désactivé, ou dont le disque n'est pas chiffré introduit un risque que le tunnel VPN ne mitige pas. Un malware sur un équipement autorisé a accès aux ressources d'entreprise via le tunnel VPN — exactement comme si l'utilisateur était au bureau.
Le Device Posture Check — vérification de l'état de l'équipement au moment de la connexion VPN — est la réponse à ce problème. Avant d'accorder l'accès, le serveur VPN vérifie que l'équipement satisfait une politique définie : version OS minimum, chiffrement du disque actif, antivirus à jour, absence de processus suspects. Un équipement qui ne satisfait pas les critères se voit refuser l'accès ou orienté vers un réseau de remédiation.
Le Device Posture Check est l'équivalent IP de la certification des terminaux radio. Dans un réseau P25, seuls les terminaux certifiés et enregistrés accèdent aux canaux. Sur IP, le posture check remplace la certification hardware par une vérification logicielle de conformité à la politique de sécurité.
Architecture pratique d'un accès distant sécurisé
Une architecture d'accès distant correcte pour une PME en 2026 combine : un VPN d'entreprise avec authentification via un Identity Provider (IdP) centralisé, MFA obligatoire sur toutes les connexions, Device Posture Check avec politique minimum (OS à jour, chiffrement disque), et segmentation réseau qui limite l'accès aux seules ressources nécessaires par rôle utilisateur.
Cette segmentation est le point le plus souvent négligé. Un accès VPN qui donne accès à l'ensemble du réseau d'entreprise expose l'intégralité de l'infrastructure à chaque équipement connecté. La segmentation par rôle — les commerciaux accèdent au CRM et aux outils de communication, les développeurs accèdent aux serveurs de développement, la comptabilité accède aux outils financiers — réduit la surface d'exposition en cas de compromission d'un compte. C'est exactement la segmentation par groupes des systèmes trunked — traduite en politiques d'accès réseau.
| Couche | Outil | Menace couverte | Menace non couverte |
|---|---|---|---|
| Transit réseau | VPN (WireGuard/OpenVPN) | Interception réseau, IP exposée | Credentials compromis, malware |
| Authentification | MFA / FIDO2 | Vol de credentials, phishing | Équipement compromis, insider |
| Équipement | MDM / Posture Check | Équipement non conforme, malware | Vulnérabilité zero-day |
| Accès réseau | Segmentation / ZTNA | Mouvement latéral, sur-exposition | Exfiltration de données autorisées |
Pour une analyse des solutions VPN adaptées aux équipes en télétravail, la page sur le télétravail sécurisé détaille les configurations pratiques par profil d'entreprise.