Plus de 43 % des cyberattaques documentées visent des structures de moins de 250 personnes. Non par intérêt stratégique, mais parce que les défenses y sont rares et les comportements à risque fréquents. Un VPN correctement déployé ferme plusieurs de ces vecteurs — pas tous. Cette page explique lesquels, comment choisir, comment installer, et ce que la réglementation impose. Pour une évaluation comparative des solutions disponibles : VPN d'entreprise (VPN Mon Ami, analyse indépendante sans accord commercial).
La majorité des incidents de sécurité dans les petites structures ne sont pas des attaques ciblées par des hackers d'État. Ce sont des attaques opportunistes automatisées : des scripts qui scrutent Internet à la recherche de failles connues, des campagnes de phishing envoyées à des millions de boîtes mail sans aucun ciblage préalable. Ce caractère non ciblé ne rend pas le risque moins réel — il le rend plus probable.
Le collaborateur qui se connecte au Wi-Fi de l'hôtel pour consulter sa messagerie professionnelle. Le gérant qui accède à sa comptabilité depuis un café. Le prestataire qui se connecte à distance avec ses propres identifiants sur un appareil personnel. Ces situations quotidiennes exposent des données professionnelles sur des réseaux non maîtrisés, souvent sans que personne n'en soit conscient.
Les conséquences d'un incident pour une TPE vont au-delà de la perte de données : restauration des systèmes pendant laquelle l'activité est paralysée, obligation de notifier les clients concernés si des données personnelles sont impliquées (RGPD), atteinte à la réputation. Une TPE qui perd l'accès à sa facturation, ses devis ou ses contacts clients pendant deux semaines est dans une situation de survie.
Un VPN crée un tunnel chiffré entre votre appareil et un serveur. Tout ce qui circule dans ce tunnel est illisible pour un observateur réseau. C'est une protection précise, documentée — et limitée à cette couche.
Un VPN est un composant dans une stratégie de sécurité — pas une stratégie complète. Pour une TPE avec des ressources limitées, les mises à jour système et les sauvegardes hors ligne ont un impact plus large sur plus de vecteurs. Le VPN vient ensuite, pour sécuriser spécifiquement les connexions distantes et nomades.
Le protocole VPN détermine comment le tunnel est chiffré. Deux services qui affichent "chiffrement AES-256" peuvent offrir des niveaux de sécurité très différents selon le protocole sous-jacent. Voici l'essentiel sans entrer dans la technique :
Ouvrez les paramètres de votre client VPN et regardez quel protocole est sélectionné. Si vous voyez PPTP ou L2TP seul (sans IPsec), changez immédiatement. Si vous avez le choix entre WireGuard et autre chose, prenez WireGuard.
La quasi-totalité des comparatifs disponibles sur le VPN pour entreprise sont produits par des sites rémunérés à la commission. Le classement reflète la commission, pas la qualité. Voici les critères techniques et contractuels qui déterminent réellement la valeur d'un service VPN pour une TPE.
Un fournisseur immatriculé aux États-Unis est soumis au CLOUD Act (2018), qui peut contraindre n'importe quelle entreprise américaine à transmettre des données aux autorités US — même si les serveurs sont physiquement en Europe. Ni la politique de confidentialité ni les serveurs européens ne protègent contre une injonction émise dans ce cadre.
Un fournisseur européen (Suisse, Islande, Allemagne, Pays-Bas) est soumis uniquement au droit de son pays d'immatriculation, ce qui offre davantage de garanties pour les données sensibles. Pour une TPE française traitant des données clients ou soumise au secret professionnel, c'est un critère réel, pas théorique.
Les audits "no-logs" publiés par certains fournisseurs vérifient à un instant T que la configuration des serveurs ne produit pas de logs identifiants. Ce qu'ils ne prouvent pas : que cette configuration sera maintenue, ou que les données ne peuvent pas être obtenues par d'autres vecteurs. Utile, mais non suffisant.
L'obstacle principal n'est pas le coût, c'est la complexité perçue. En réalité, les solutions modernes se déploient en moins d'une heure pour une structure de moins de 20 personnes.
Vous louez un accès à une infrastructure gérée par le fournisseur. Vous créez les comptes utilisateurs depuis une interface web, vous envoyez des invitations par email, chaque collaborateur installe l'application sur son appareil. Le reste — mises à jour, infrastructure, disponibilité — est géré par le fournisseur.
Points à vérifier avant de souscrire : qui détient les clés de chiffrement des tunnels, les logs d'accès sont-ils accessibles à votre organisation, et sous quelle juridiction le fournisseur opère-t-il. La page Comment choisir détaille ces critères.
WireGuard installé sur un VPS européen (5 à 15 € par mois) donne un contrôle total : vous êtes le seul opérateur, les données ne transitent que par votre infrastructure. Des outils comme wg-easy ajoutent une interface web pour gérer les utilisateurs sans ligne de commande.
Avertissement : autohéberger un VPN transfère la responsabilité des mises à jour de sécurité vers vous. Des CVE critiques ont été publiées ces dernières années sur des daemons VPN majeurs. Si vous n'avez pas la capacité de surveiller et appliquer des correctifs sous 48 heures, le service managé est plus sûr.
Activer le kill switch sur chaque appareil. Activer le MFA sur tous les comptes. Déployer le client sur les téléphones professionnels, pas seulement les ordinateurs. Documenter la procédure de révocation des accès pour les départs — c'est l'étape la plus souvent oubliée.
Un collaborateur en télétravail sur son réseau domestique n'est pas dans le réseau de l'entreprise — même avec un VPN actif. Le tunnel chiffre le transit entre son poste et votre infrastructure, mais le réseau local domestique reste non maîtrisé : routeur avec firmware jamais mis à jour, autres appareils connectés (IoT, téléphones personnels), accès partagé avec le reste du foyer. Configurer le client VPN en mode always-on avec kill switch élimine la fenêtre d'exposition entre le démarrage du poste et l'établissement du tunnel.
Un VPN qui ouvre un accès réseau large depuis un terminal personnel non géré augmente la surface d'attaque plutôt qu'il ne la réduit. Si vos collaborateurs utilisent leurs propres appareils, l'approche la plus défendable est de limiter l'accès à des applications spécifiques plutôt que d'ouvrir l'accès au réseau interne dans son ensemble.
Les réseaux Wi-Fi d'hôtels, d'aéroports et de salons professionnels sont des environnements hostiles. Les attaques de type Evil Twin (faux point d'accès imitant un réseau légitime) y sont documentées. Le VPN en mode always-on est non négociable sur ces connexions. Pour les déplacements dans certains pays (Chine, Russie, Iran, certains États du Moyen-Orient), les protocoles VPN commerciaux sont légalement restreints ou techniquement bloqués — à anticiper avant le départ.
Le RGPD n'impose pas de protocole VPN spécifique. Il impose des mesures de sécurité proportionnées aux risques pour toute organisation traitant des données personnelles (article 32). Pour les accès distants, cela se traduit par : chiffrement du transit, contrôle des accès, traçabilité, et révocation en temps réel lors des départs.
Si vous utilisez un service VPN managé et que vos collaborateurs y connectent des appareils traitant des données personnelles, ce fournisseur est juridiquement un sous-traitant au sens de l'article 28. Un Data Processing Agreement (DPA) est obligatoire. La CNIL a sanctionné des responsables de traitement pour absence de DPA avec leurs sous-traitants. L'absence de ce contrat engage votre responsabilité, pas celle du fournisseur.
La directive NIS2, en vigueur depuis octobre 2024, s'applique à partir de certains seuils (50 employés ou 10 M€ de CA pour les entités importantes). La plupart des TPE sont hors périmètre direct. En revanche, si votre TPE est fournisseur ou sous-traitant d'une entité NIS2, votre donneur d'ordre peut vous imposer des exigences équivalentes — MFA sur les accès distants, politique formalisée de contrôle d'accès, notification des incidents.
Signer un DPA avec le fournisseur VPN. Activer le MFA sur tous les accès VPN. Documenter la procédure de révocation. Vérifier que les logs d'accès sont conservés avec une durée proportionnée. Inclure le traitement VPN dans votre registre des activités de traitement (article 30 RGPD).
Avoir un VPN installé ne signifie pas être protégé. Ces quatre erreurs sont les plus fréquemment observées — et les plus faciles à corriger.