VPN & TPE
Sécurité réseau — Petites entreprises

Votre TPE est une cible.
Pas parce qu'elle est petite.
Parce qu'elle est vulnérable.

Plus de 43 % des cyberattaques documentées visent des structures de moins de 250 personnes. Non par intérêt stratégique, mais parce que les défenses y sont rares et les comportements à risque fréquents. Un VPN correctement déployé ferme plusieurs de ces vecteurs — pas tous. Cette page explique lesquels, comment choisir, comment installer, et ce que la réglementation impose. Pour une évaluation comparative des solutions disponibles : VPN d'entreprise (VPN Mon Ami, analyse indépendante sans accord commercial).

43 %
des cyberattaques ciblent les petites structures (Verizon DBIR 2024)
68 %
des violations impliquent un élément humain — phishing, credential volé
Wi-Fi
Premier vecteur d'interception pour les équipes nomades et en télétravail
La situation réelle

La majorité des incidents de sécurité dans les petites structures ne sont pas des attaques ciblées par des hackers d'État. Ce sont des attaques opportunistes automatisées : des scripts qui scrutent Internet à la recherche de failles connues, des campagnes de phishing envoyées à des millions de boîtes mail sans aucun ciblage préalable. Ce caractère non ciblé ne rend pas le risque moins réel — il le rend plus probable.

Le collaborateur qui se connecte au Wi-Fi de l'hôtel pour consulter sa messagerie professionnelle. Le gérant qui accède à sa comptabilité depuis un café. Le prestataire qui se connecte à distance avec ses propres identifiants sur un appareil personnel. Ces situations quotidiennes exposent des données professionnelles sur des réseaux non maîtrisés, souvent sans que personne n'en soit conscient.

Les conséquences d'un incident pour une TPE vont au-delà de la perte de données : restauration des systèmes pendant laquelle l'activité est paralysée, obligation de notifier les clients concernés si des données personnelles sont impliquées (RGPD), atteinte à la réputation. Une TPE qui perd l'accès à sa facturation, ses devis ou ses contacts clients pendant deux semaines est dans une situation de survie.

Une protection de transit — pas une posture globale

Un VPN crée un tunnel chiffré entre votre appareil et un serveur. Tout ce qui circule dans ce tunnel est illisible pour un observateur réseau. C'est une protection précise, documentée — et limitée à cette couche.

Ce que le VPN couvre réellement

  • Interception sur Wi-Fi non maîtrisé : hôtel, café, gare, espace de coworking. Un attaquant présent sur le même réseau ne peut pas lire votre trafic s'il passe dans le tunnel.
  • Accès sécurisé aux ressources internes : serveur de fichiers, logiciel de comptabilité, ERP. Le VPN crée un canal authentifié pour y accéder depuis l'extérieur sans les exposer directement à Internet.
  • Masquage de l'adresse IP : les services distants voient l'adresse du serveur VPN, pas la vôtre. Pertinent pour certains usages professionnels (accès à des services géo-restreints, confidentialité des connexions).
  • Résolution DNS dans le tunnel : si configuré correctement, un observateur réseau ne peut pas inférer les domaines que vous consultez.

Ce que le VPN ne couvre pas

  • Phishing et ingénierie sociale : premier vecteur d'attaque documenté. Un clic sur un lien malveillant se déroule dans le tunnel chiffré — le VPN le transporte sans le filtrer.
  • Terminal déjà compromis : si un malware est installé sur l'appareil avant la connexion VPN, le tunnel chiffre aussi le trafic malveillant.
  • Ransomware : entre généralement par phishing ou service exposé. Le VPN ne détecte pas son exécution ni ne protège les fichiers. La protection passe par les sauvegardes hors ligne et les mises à jour système.
  • Mots de passe faibles ou réutilisés : un credential stuffing fonctionne dans le tunnel VPN. La protection passe par des mots de passe uniques et le MFA.
  • Données stockées : les fichiers sur votre poste, votre NAS, votre cloud ne sont pas protégés par le VPN. C'est l'affaire du chiffrement du disque et des sauvegardes.
Ce que ça implique

Un VPN est un composant dans une stratégie de sécurité — pas une stratégie complète. Pour une TPE avec des ressources limitées, les mises à jour système et les sauvegardes hors ligne ont un impact plus large sur plus de vecteurs. Le VPN vient ensuite, pour sécuriser spécifiquement les connexions distantes et nomades.

WireGuard, IKEv2, OpenVPN — ce que vous devez savoir

Le protocole VPN détermine comment le tunnel est chiffré. Deux services qui affichent "chiffrement AES-256" peuvent offrir des niveaux de sécurité très différents selon le protocole sous-jacent. Voici l'essentiel sans entrer dans la technique :

  • WireGuard — le meilleur choix pour un nouveau déploiement. Rapide, léger, intégré au noyau Linux depuis 2020. Surface de code réduite (plus facile à auditer et à corriger). Modèle cryptographique fixe — impossible de le forcer à utiliser un algorithme faible. Disponible sur Windows, macOS, iOS, Android.
  • IKEv2 / IPsec — recommandé par l'ANSSI pour les entreprises. Gère bien le changement de réseau (passage Wi-Fi / 4G sans déconnexion). Point de vigilance : la Perfect Forward Secrecy doit être activée explicitement — elle est souvent désactivée par défaut. À vérifier dans la configuration.
  • OpenVPN — mature, open source, audité. Plus lent que WireGuard mais capable de fonctionner sur TCP port 443, ce qui le rend indistinguable de HTTPS. Utile dans les environnements qui bloquent les autres protocoles (certains hôtels, réseaux d'entreprise clients).
  • PPTP — cassable. Ne jamais utiliser pour des données professionnelles. Si votre routeur ou votre client VPN propose PPTP par défaut, c'est un signal que la solution est obsolète.
Vérification rapide

Ouvrez les paramètres de votre client VPN et regardez quel protocole est sélectionné. Si vous voyez PPTP ou L2TP seul (sans IPsec), changez immédiatement. Si vous avez le choix entre WireGuard et autre chose, prenez WireGuard.

Les critères qui comptent — pas les classements d'affiliation

La quasi-totalité des comparatifs disponibles sur le VPN pour entreprise sont produits par des sites rémunérés à la commission. Le classement reflète la commission, pas la qualité. Voici les critères techniques et contractuels qui déterminent réellement la valeur d'un service VPN pour une TPE.

Juridiction et politique de logs

Un fournisseur immatriculé aux États-Unis est soumis au CLOUD Act (2018), qui peut contraindre n'importe quelle entreprise américaine à transmettre des données aux autorités US — même si les serveurs sont physiquement en Europe. Ni la politique de confidentialité ni les serveurs européens ne protègent contre une injonction émise dans ce cadre.

Un fournisseur européen (Suisse, Islande, Allemagne, Pays-Bas) est soumis uniquement au droit de son pays d'immatriculation, ce qui offre davantage de garanties pour les données sensibles. Pour une TPE française traitant des données clients ou soumise au secret professionnel, c'est un critère réel, pas théorique.

Les audits "no-logs" publiés par certains fournisseurs vérifient à un instant T que la configuration des serveurs ne produit pas de logs identifiants. Ce qu'ils ne prouvent pas : que cette configuration sera maintenue, ou que les données ne peuvent pas être obtenues par d'autres vecteurs. Utile, mais non suffisant.

Les fonctionnalités indispensables

  • Kill switch : coupe Internet si le tunnel VPN se déconnecte. Sans lui, le trafic continue de circuler non protégé lors d'une interruption. À activer manuellement dans les paramètres — rarement activé par défaut.
  • MFA sur le compte VPN : protège contre les credentials volés. Sans MFA, la compromission d'un mot de passe suffit à accéder à votre réseau interne via le VPN.
  • Clients multi-plateformes : Windows, macOS, iOS, Android — vérifier que le client est disponible et maintenu sur toutes les plateformes utilisées dans votre structure.
  • Gestion centralisée : ajouter et révoquer des accès depuis une interface web sans intervention technique. Indispensable pour gérer les départs.
  • DPA (Data Processing Agreement) : si le fournisseur traite des données de vos collaborateurs, il est sous-traitant RGPD — un contrat de traitement est obligatoire. Un fournisseur qui ne propose pas de DPA n'est pas un partenaire sérieux.

Déployer sans service IT — les deux voies

L'obstacle principal n'est pas le coût, c'est la complexité perçue. En réalité, les solutions modernes se déploient en moins d'une heure pour une structure de moins de 20 personnes.

Service managé — la voie la plus réaliste pour une TPE sans IT

Vous louez un accès à une infrastructure gérée par le fournisseur. Vous créez les comptes utilisateurs depuis une interface web, vous envoyez des invitations par email, chaque collaborateur installe l'application sur son appareil. Le reste — mises à jour, infrastructure, disponibilité — est géré par le fournisseur.

Points à vérifier avant de souscrire : qui détient les clés de chiffrement des tunnels, les logs d'accès sont-ils accessibles à votre organisation, et sous quelle juridiction le fournisseur opère-t-il. La page Comment choisir détaille ces critères.

Solution autohébergée — pour ceux qui ont les compétences

WireGuard installé sur un VPS européen (5 à 15 € par mois) donne un contrôle total : vous êtes le seul opérateur, les données ne transitent que par votre infrastructure. Des outils comme wg-easy ajoutent une interface web pour gérer les utilisateurs sans ligne de commande.

Avertissement : autohéberger un VPN transfère la responsabilité des mises à jour de sécurité vers vous. Des CVE critiques ont été publiées ces dernières années sur des daemons VPN majeurs. Si vous n'avez pas la capacité de surveiller et appliquer des correctifs sous 48 heures, le service managé est plus sûr.

Étapes clés après installation

Activer le kill switch sur chaque appareil. Activer le MFA sur tous les comptes. Déployer le client sur les téléphones professionnels, pas seulement les ordinateurs. Documenter la procédure de révocation des accès pour les départs — c'est l'étape la plus souvent oubliée.

Les situations concrètes qui exposent votre entreprise

Le réseau domestique n'est pas maîtrisé

Un collaborateur en télétravail sur son réseau domestique n'est pas dans le réseau de l'entreprise — même avec un VPN actif. Le tunnel chiffre le transit entre son poste et votre infrastructure, mais le réseau local domestique reste non maîtrisé : routeur avec firmware jamais mis à jour, autres appareils connectés (IoT, téléphones personnels), accès partagé avec le reste du foyer. Configurer le client VPN en mode always-on avec kill switch élimine la fenêtre d'exposition entre le démarrage du poste et l'établissement du tunnel.

BYOD : la limite structurelle

Un VPN qui ouvre un accès réseau large depuis un terminal personnel non géré augmente la surface d'attaque plutôt qu'il ne la réduit. Si vos collaborateurs utilisent leurs propres appareils, l'approche la plus défendable est de limiter l'accès à des applications spécifiques plutôt que d'ouvrir l'accès au réseau interne dans son ensemble.

Déplacements : Wi-Fi d'hôtel et restrictions pays

Les réseaux Wi-Fi d'hôtels, d'aéroports et de salons professionnels sont des environnements hostiles. Les attaques de type Evil Twin (faux point d'accès imitant un réseau légitime) y sont documentées. Le VPN en mode always-on est non négociable sur ces connexions. Pour les déplacements dans certains pays (Chine, Russie, Iran, certains États du Moyen-Orient), les protocoles VPN commerciaux sont légalement restreints ou techniquement bloqués — à anticiper avant le départ.

Ce que la réglementation impose concrètement

Le RGPD n'impose pas de protocole VPN spécifique. Il impose des mesures de sécurité proportionnées aux risques pour toute organisation traitant des données personnelles (article 32). Pour les accès distants, cela se traduit par : chiffrement du transit, contrôle des accès, traçabilité, et révocation en temps réel lors des départs.

Votre fournisseur VPN est un sous-traitant RGPD

Si vous utilisez un service VPN managé et que vos collaborateurs y connectent des appareils traitant des données personnelles, ce fournisseur est juridiquement un sous-traitant au sens de l'article 28. Un Data Processing Agreement (DPA) est obligatoire. La CNIL a sanctionné des responsables de traitement pour absence de DPA avec leurs sous-traitants. L'absence de ce contrat engage votre responsabilité, pas celle du fournisseur.

NIS2 — qui est concerné parmi les TPE ?

La directive NIS2, en vigueur depuis octobre 2024, s'applique à partir de certains seuils (50 employés ou 10 M€ de CA pour les entités importantes). La plupart des TPE sont hors périmètre direct. En revanche, si votre TPE est fournisseur ou sous-traitant d'une entité NIS2, votre donneur d'ordre peut vous imposer des exigences équivalentes — MFA sur les accès distants, politique formalisée de contrôle d'accès, notification des incidents.

Liste de contrôle minimale

Signer un DPA avec le fournisseur VPN. Activer le MFA sur tous les accès VPN. Documenter la procédure de révocation. Vérifier que les logs d'accès sont conservés avec une durée proportionnée. Inclure le traitement VPN dans votre registre des activités de traitement (article 30 RGPD).

Ce que les TPE configurent mal

Avoir un VPN installé ne signifie pas être protégé. Ces quatre erreurs sont les plus fréquemment observées — et les plus faciles à corriger.

  • Kill switch désactivé. La plupart des clients VPN le désactivent par défaut pour éviter les interruptions. Résultat : si le tunnel tombe, le trafic continue de circuler non protégé sans que l'utilisateur s'en aperçoive. À activer manuellement sur chaque appareil.
  • Pas de MFA sur le compte VPN. Les bases de données de couples identifiant/mot de passe issus de fuites de données sont utilisées de façon automatisée. Sans MFA, un mot de passe compromis sur n'importe quel autre service peut donner accès à votre réseau interne.
  • Accès non révoqués lors des départs. Un ex-collaborateur avec un accès VPN actif peut se connecter aux ressources internes de l'entreprise. Ce n'est pas une situation hypothétique. La révocation doit être documentée et assignée à une personne responsable, pas laissée à l'initiative du moment.
  • Split tunnel activé par défaut. En split tunnel, seul le trafic à destination du réseau interne passe dans le tunnel — le reste sort directement, non chiffré, sur le réseau local. Souvent activé par défaut pour des raisons de performance. Vérifier la configuration dans les paramètres du client.
Pour aller plus loin