Le VPN d'entreprise (Virtual Private Network) est devenu un pilier de l'infrastructure informatique moderne. Avec la généralisation du télétravail et la multiplication des sites distants, la capacité à interconnecter de manière sécurisée collaborateurs, agences et datacenters est un enjeu critique. Mais tous les VPN ne se valent pas : protocoles, architectures, cas d'usage varient considérablement. Cet article détaille les différentes solutions, leurs avantages et leurs limites, pour vous aider à faire le bon choix.
Les deux grandes familles de VPN
On distingue fondamentalement deux types de VPN en entreprise, chacun répondant à un besoin différent :
VPN site-à-site (site-to-site)
Le VPN site-à-site relie de manière permanente deux réseaux locaux distants (par exemple le siège et une agence) via un tunnel chiffré sur internet. Chaque site dispose d'un boîtier VPN (routeur ou firewall) qui encapsule automatiquement le trafic inter-sites. Les utilisateurs n'ont rien à configurer : la connexion est transparente.
VPN d'accès distant (remote access)
Le VPN d'accès distant permet à un collaborateur individuel de se connecter au réseau de l'entreprise depuis n'importe quel emplacement (domicile, hôtel, espace de coworking). Un client logiciel installé sur le poste de travail établit un tunnel chiffré vers le concentrateur VPN de l'entreprise.
- VPN site-à-site : idéal pour interconnecter des bureaux fixes avec un trafic inter-sites permanent.
- VPN remote access : indispensable pour le télétravail et les déplacements professionnels.
- VPN hybride : combinaison des deux approches, fréquente dans les PME multi-sites avec des collaborateurs nomades.
Les protocoles VPN : lequel choisir ?
IPSec (Internet Protocol Security)
Protocole historique et le plus déployé en entreprise. IPSec fonctionne en couche 3 (réseau) et offre une sécurité éprouvée. En mode tunnel, il encapsule l'intégralité du paquet IP original dans un nouveau paquet chiffré. Il est nativement supporté par tous les équipements réseau professionnels (Cisco, Fortinet, Palo Alto). La combinaison IKEv2/IPSec est aujourd'hui le standard pour les VPN site-à-site.
OpenVPN
Solution open source fonctionnant en couche 4 (transport) sur TCP ou UDP. OpenVPN est très flexible, traversant facilement les pare-feu grâce à son fonctionnement sur le port 443 (HTTPS). Il est particulièrement adapté aux VPN d'accès distant. Son principal inconvénient : des performances inférieures à IPSec en raison du traitement en espace utilisateur.
WireGuard
Protocole de dernière génération, WireGuard impressionne par sa simplicité (4 000 lignes de code contre 600 000 pour OpenVPN) et ses performances. Intégré au noyau Linux depuis 2020, il offre des débits supérieurs et un établissement de connexion quasi instantané. Son adoption en entreprise progresse rapidement, notamment pour les accès distants.
Dimensionner et sécuriser son VPN
Un VPN mal dimensionné ou mal configuré peut devenir un goulot d'étranglement ou une faille de sécurité. Voici les points de vigilance :
Performances et bande passante
Le chiffrement VPN consomme des ressources CPU. Un firewall d'entrée de gamme qui annonce 1 Gbit/s de débit firewall peut tomber à 200 Mbit/s en VPN IPSec. Vérifiez les spécifications de débit VPN de votre équipement et dimensionnez en conséquence. Pour les sites reliés par fibre, la performance de votre accès internet professionnel impacte directement l'expérience utilisateur du VPN.
Authentification forte
Un VPN protégé par un simple mot de passe est une porte d'entrée pour les attaquants. Déployez systématiquement l'authentification multifacteur (MFA) : certificat client + OTP (Google Authenticator, Microsoft Authenticator) ou clé matérielle FIDO2. Les recommandations de cybersécurité pour les PME insistent sur ce point.
VPN, SD-WAN ou ZTNA : quelle évolution ?
Le VPN traditionnel est de plus en plus complété, voire remplacé, par des architectures modernes :
- SD-WAN : orchestre intelligemment plusieurs liens WAN (fibre, MPLS, 4G/5G) avec des tunnels chiffrés intégrés. Idéal pour les entreprises multi-sites.
- ZTNA (Zero Trust Network Access) : accorde l'accès application par application, sans jamais placer l'utilisateur « sur le réseau ». Réduit la surface d'attaque.
- SASE (Secure Access Service Edge) : combine SD-WAN, ZTNA, CASB et firewall cloud dans une plateforme unifiée.
Ces approches peuvent coexister avec un VPN traditionnel pendant la phase de transition. L'architecture SD-WAN constitue souvent la première étape de cette modernisation.
FAQ
Un VPN gratuit (grand public) peut-il convenir pour une entreprise ?
Non. Les VPN grand public (NordVPN, ExpressVPN) sont conçus pour anonymiser la navigation personnelle, pas pour interconnecter des réseaux d'entreprise. Ils n'offrent ni interconnexion site-à-site, ni gestion centralisée, ni intégration avec votre annuaire d'entreprise (Active Directory, LDAP). De plus, le trafic transite par les serveurs du fournisseur VPN, ce qui pose des problèmes de confidentialité pour les données métier.
Combien de connexions VPN simultanées prévoir ?
En règle générale, dimensionnez pour 70 à 80 % de vos télétravailleurs potentiels en pic. Pour une entreprise de 100 collaborateurs dont 60 en télétravail, prévoyez un concentrateur capable de gérer 45 à 50 tunnels simultanés. Ajoutez une marge de 20 % pour la croissance. Les licences VPN sont souvent facturées par tranche (10, 25, 50, 100 tunnels).
Le VPN ralentit-il significativement la connexion ?
Avec un protocole moderne (IKEv2/IPSec, WireGuard) et un équipement correctement dimensionné, la perte de débit est généralement inférieure à 10 %. Le facteur limitant est souvent la connexion internet du collaborateur distant (ADSL, Wi-Fi partagé) plutôt que le VPN lui-même. WireGuard, grâce à son intégration au noyau, offre les meilleures performances brutes.
En résumé : bien choisir son VPN d'entreprise
Le choix d'un VPN d'entreprise dépend de votre architecture, de vos usages et de votre niveau d'exigence en matière de sécurité. Voici les critères décisifs pour ne pas vous tromper.
Le VPN IPsec site-à-site reste la référence pour interconnecter des sites fixes avec des performances élevées et une latence maîtrisée. Privilégiez les algorithmes AES-256-GCM et l'échange de clés IKEv2 pour une sécurité optimale.
Pour les collaborateurs nomades, le VPN SSL/TLS offre une flexibilité supérieure : il fonctionne à travers la plupart des pare-feu et proxys sans configuration réseau spécifique côté utilisateur. Solutions comme WireGuard apportent d'excellentes performances avec un code minimal et auditable.
L'approche Zero Trust Network Access (ZTNA) représente l'évolution naturelle du VPN traditionnel. Au lieu d'ouvrir un tunnel vers l'ensemble du réseau, le ZTNA accorde un accès application par application après vérification de l'identité, de la posture du terminal et du contexte de connexion.
Quel que soit votre choix, activez systématiquement le split tunneling intelligent pour router uniquement le trafic professionnel via le VPN, activez les logs de connexion pour la traçabilité, et testez la bascule automatique en cas de coupure. Un VPN mal dimensionné frustre les utilisateurs ; un VPN bien conçu est transparent et sécurisé.
Chez ACME, nous concevons et déployons des architectures VPN adaptées à chaque entreprise : site-à-site en IPSec pour vos agences, accès distants sécurisés par MFA pour vos collaborateurs nomades, et migration progressive vers le SD-WAN. Nos solutions garantissent performance, sécurité et simplicité d'administration.