VPN & TPE

Erreur 1 — Le kill switch désactivé

Le kill switch est le mécanisme qui coupe la connexion Internet si le tunnel VPN se déconnecte de façon imprévue. Sans lui, si le tunnel tombe — pour n'importe quelle raison (réseau instable, serveur VPN en maintenance) — le trafic continue de circuler sur le réseau local non protégé, souvent sans que l'utilisateur ne s'en aperçoive.

Pourquoi c'est fréquent : le kill switch est désactivé par défaut dans beaucoup de clients VPN, car il peut interrompre des connexions actives lors d'une reconnexion. Les utilisateurs qui l'activent et subissent des interruptions le désactivent souvent.

Correction

Activer le kill switch dans les paramètres avancés du client VPN sur chaque appareil. Chercher "kill switch", "coupe-circuit réseau" ou "blocage en cas de déconnexion" selon le client. L'activer une fois, le laisser activé.

Erreur 2 — Le protocole PPTP ou L2TP laissé par défaut

Certains routeurs d'entreprise proposent un serveur VPN intégré configuré par défaut en PPTP ou L2TP sans IPsec. Ces protocoles sont soit cassables (PPTP avec MS-CHAPv2), soit sans chiffrement (L2TP seul). Beaucoup de gérants activent "le VPN du routeur" sans vérifier quel protocole est utilisé — et pensent être protégés.

Correction : vérifier dans les paramètres du routeur ou du client VPN quel protocole est actif. Si PPTP ou L2TP seul est la seule option disponible, le matériel est trop ancien — envisager un service VPN moderne ou le remplacement de l'équipement.

Erreur 3 — Le VPN pas activé sur mobile

Les collaborateurs installent le client VPN sur leur ordinateur et l'oublient sur leur téléphone. Or les téléphones professionnels accèdent aux emails, aux outils de messagerie et parfois aux ERP sur des réseaux non maîtrisés (Wi-Fi restaurant, 4G en itinérance) sans que personne n'y pense.

Correction : déployer le client VPN sur tous les appareils utilisés professionnellement, y compris les téléphones. Configurer le mode always-on sur mobile — iOS et Android le supportent tous deux en natif.

Erreur 4 — Ne pas révoquer les accès lors des départs

C'est l'erreur la plus courante et souvent la plus grave. Un collaborateur qui quitte l'entreprise conserve ses accès VPN si personne ne prend le temps de les révoquer. Dans une TPE sans service IT, cette tâche tombe facilement dans les oublis du départ.

Un ex-collaborateur avec un accès VPN actif peut se connecter aux ressources internes de l'entreprise. Ce n'est pas une situation hypothétique — les incidents de ce type sont documentés dans les rapports de cyberincidents.

Procédure à mettre en place

Créer une checklist de départ qui inclut explicitement : suppression du compte VPN, révocation des certificats ou clés associés, changement des mots de passe partagés. Cette procédure doit être documentée et assignée à une personne responsable, pas laissée à l'initiative du moment.

Erreur 5 — Pas de MFA sur le compte VPN

Un compte VPN protégé uniquement par un mot de passe est une cible de credential stuffing. Les bases de données de couples identifiant/mot de passe issus de fuites de données sont publiquement accessibles et utilisées de façon automatisée pour tenter des connexions sur tous les services courants.

Si un collaborateur utilise le même mot de passe sur son compte VPN et sur un service qui a subi une fuite de données, son accès VPN est compromis sans qu'aucune attaque sophistiquée ne soit nécessaire.

Correction : activer le MFA (authentification à deux facteurs) sur tous les comptes VPN. La majorité des services managés le proposent — c'est souvent une option à activer manuellement dans les paramètres d'administration.

Erreur 6 — Croire que le VPN protège des ransomwares

C'est une confusion courante, alimentée par des formulations marketing imprécises. Un ransomware entre généralement par phishing (email malveillant) ou exploitation d'un service exposé. Une fois en place, il chiffre les fichiers locaux et, si le réseau interne est accessible, les partages réseau.

Le VPN ne détecte pas les ransomwares, ne bloque pas leur exécution, et ne protège pas les fichiers. La protection contre les ransomwares repose sur trois piliers : sauvegardes hors ligne régulières (sur un support déconnecté du réseau), mises à jour système (les ransomwares exploitent des failles connues et corrigées), et sensibilisation des utilisateurs au phishing.

Full tunnel et split tunnel Deux schémas empilés comparant les configurations full tunnel et split tunnel Full tunnel Tout le trafic de l'appareil transite par le tunnel chiffré Terminal PC / mobile chiffré Serveur VPN déchiffre — redistribue SI interne Internet Tout le trafic passe dans le tunnel — protection maximale, aucune fuite DNS possible Contrainte : latence accrue sur les services cloud (Teams, Drive, etc.) Split tunnel Seul le trafic à destination du réseau interne passe par le VPN Terminal PC / mobile chiffré Serveur VPN SI interne direct — non chiffré par le VPN Internet Risque : trafic hors tunnel exposé — fuites DNS possibles — souvent activé par défaut
Vérifier la configuration dans les paramètres du client VPN — chercher "split tunnel" ou "tunneling fractionné".

Erreur 7 — Split tunneling non documenté

Le split tunneling est une configuration où seule une partie du trafic transite par le tunnel VPN — le reste sort directement par la connexion locale. C'est une option légitime pour des raisons de performance (ne pas faire passer les appels vidéo par le VPN, par exemple), mais elle doit être documentée et délibérée.

Quand le split tunneling est activé par défaut (ce qui est le cas dans certains services), les utilisateurs pensent être entièrement protégés alors que leur trafic "hors tunnel" — y compris potentiellement leurs emails ou leur navigation — sort non chiffré sur le réseau local.

Correction : vérifier si le split tunneling est activé dans les paramètres du client ou de l'interface d'administration. Si la politique est le full tunnel (tout le trafic dans le VPN), vérifier que cette configuration est appliquée et maintenue après chaque mise à jour du client.