Le protocole utilisé
Le protocole VPN détermine comment le tunnel est chiffré et maintenu. Ce n'est pas un détail — deux services qui affichent "chiffrement AES-256" peuvent offrir des niveaux de sécurité très différents selon le protocole sous-jacent.
| Protocole | Verdict | Cas d'usage |
|---|---|---|
| WireGuard | Recommandé | Rapide, léger, audité. Idéal pour les appareils mobiles et les nouveaux déploiements. |
| IKEv2 / IPsec | Recommandé | Recommandé par l'ANSSI. Bon support mobile, gère bien les changements de réseau. |
| OpenVPN | Acceptable | Mature et audité, mais plus lent. Utile quand les autres protocoles sont bloqués. |
| L2TP / IPsec | Legacy | Double encapsulation inutile. À éviter si WireGuard ou IKEv2 est disponible. |
| PPTP | À proscrire | Cassable. Ne jamais utiliser pour des données professionnelles. |
La politique de logs et la juridiction
Un fournisseur qui affirme "ne pas conserver de logs" peut légalement mentir, se tromper sur ce qu'il conserve, ou être contraint à la divulgation par les autorités de sa juridiction. Ces trois dimensions sont indépendantes et toutes trois importantes.
Juridiction et lois applicables
Un fournisseur immatriculé aux États-Unis est soumis au CLOUD Act (2018), qui peut contraindre n'importe quelle entreprise américaine à transmettre des données aux autorités US, même si ces données sont physiquement stockées en Europe. Le Patriot Act avait une portée similaire. Un fournisseur européen est soumis à la demande judiciaire de son pays d'immatriculation.
Pour une TPE française traitant des données sensibles, un fournisseur immatriculé dans un pays sans accord de surveillance avec la France (Suisse, Islande) offre théoriquement plus de protection juridictionnelle qu'un fournisseur américain avec des serveurs en France.
Les audits no-logs
Certains fournisseurs font auditer leur politique de non-journalisation par des cabinets indépendants. Ces audits vérifient à un instant T que la configuration technique ne produit pas de logs identifiants. Ils ne garantissent pas que cette configuration sera maintenue, ni que les données ne peuvent pas être obtenues par d'autres vecteurs (infrastructure upstream, fournisseur d'hébergement). Un fournisseur qui audite régulièrement et publie les rapports complets est plus crédible qu'un autre — mais la garantie reste limitée.
Les fonctionnalités indispensables pour une TPE
- Kill switch : coupe automatiquement la connexion Internet si le tunnel VPN se déconnecte. Évite l'exposition accidentelle du trafic sur le réseau non protégé. Non négociable pour un usage professionnel.
- Authentification à deux facteurs (MFA) : protège l'accès au compte VPN contre les credentials volés. Un VPN sans MFA est une porte dont la serrure peut être copiée.
- Clients multi-plateformes : Windows, macOS, iOS, Android — une TPE a souvent un mix d'appareils. Vérifier que le client est disponible et maintenu sur toutes les plateformes utilisées.
- Gestion centralisée des comptes : ajouter et retirer des accès depuis une interface web sans intervention technique. Indispensable quand un collaborateur part.
- Nombre de connexions simultanées : un abonnement qui couvre l'ensemble de vos collaborateurs et leurs appareils (souvent ordinateur + téléphone).
Évaluer un contrat VPN d'entreprise
Au-delà des caractéristiques techniques, un service VPN managé par un tiers est un sous-traitant au sens du RGPD dès lors que vos collaborateurs y connectent des appareils traitant des données personnelles. Le contrat doit inclure un Data Processing Agreement (DPA) précisant les finalités du traitement, les mesures de sécurité, et les conditions de suppression des données.
Un fournisseur qui ne propose pas de DPA n'est pas un partenaire sérieux pour une TPE soumise au RGPD. La page sur la conformité réglementaire détaille ces obligations.