A
AES-256-GCM
Algorithme de chiffrement symétrique utilisé dans les tunnels VPN modernes. AES (Advanced Encryption Standard) avec une clé de 256 bits et le mode GCM (Galois/Counter Mode) qui assure simultanément le chiffrement et la vérification de l'intégrité des données. Référence actuelle pour le chiffrement des tunnels VPN.
Authentification à deux facteurs (MFA / 2FA)
Mécanisme qui demande deux preuves d'identité distinctes pour accéder à un service : quelque chose que vous savez (mot de passe) et quelque chose que vous possédez (code généré par une application, clé physique). Pour un VPN, le MFA empêche l'accès même si le mot de passe est volé.
→ voir Comment choisir
B
BYOD (Bring Your Own Device)
Pratique qui consiste à autoriser les collaborateurs à utiliser leurs appareils personnels (téléphone, ordinateur) pour accéder aux ressources professionnelles. Soulève des questions de sécurité spécifiques car l'entreprise ne maîtrise pas l'état de ces appareils.
→ voir Télétravail & mobilité
C
ChaCha20-Poly1305
Algorithme de chiffrement symétrique utilisé par WireGuard. Alternative à AES, particulièrement efficace sur les appareils mobiles dont les processeurs ne disposent pas d'accélération matérielle AES. Offre un niveau de sécurité équivalent à AES-256-GCM avec de meilleures performances sur ces appareils.
CLOUD Act
Loi américaine de 2018 permettant aux autorités US d'exiger d'une entreprise soumise à la juridiction américaine l'accès à des données qu'elle contrôle, même si ces données sont physiquement stockées hors des États-Unis. Pertinent pour évaluer les fournisseurs VPN d'origine américaine.
→ voir Conformité
Credential stuffing
Attaque automatisée qui teste des millions de couples identifiant/mot de passe issus de fuites de données sur des services en ligne. Exploite la réutilisation des mots de passe par les utilisateurs. Protection : mots de passe uniques sur chaque service et MFA.
D
DNS leak (fuite DNS)
Situation où les requêtes DNS (qui permettent de connaître les domaines consultés) transitent en dehors du tunnel VPN, exposant la liste des sites visités à un observateur réseau. Un client VPN bien configuré force toutes les requêtes DNS dans le tunnel.
DPA (Data Processing Agreement)
Contrat obligatoire entre un responsable de traitement et ses sous-traitants au sens du RGPD (article 28). Précise quelles données sont traitées, pour quelles finalités, avec quelles mesures de sécurité. Un fournisseur VPN managé traitant des données de collaborateurs est un sous-traitant — ce contrat est obligatoire.
→ voir Conformité
E
Evil Twin
Attaque qui consiste à créer un faux point d'accès Wi-Fi imitant un réseau légitime (même nom, même apparence). Les appareils se connectent au faux réseau, permettant à l'attaquant d'intercepter le trafic. Fréquent dans les hôtels, aéroports, salons professionnels.
F
Full tunnel
Configuration VPN dans laquelle l'intégralité du trafic de l'appareil transite par le tunnel VPN. S'oppose au split tunneling où seule une partie du trafic est acheminée dans le tunnel. Le full tunnel offre une protection plus complète au prix d'une latence accrue pour certains services.
I
IKEv2 / IPsec
Protocole VPN recommandé par l'ANSSI pour les accès distants professionnels. IKEv2 gère la négociation et le maintien du tunnel ; IPsec assure le chiffrement des données. Gère bien les changements de réseau (passage Wi-Fi / 4G). Supporté nativement par Windows, macOS, iOS et Android.
→ voir Protocoles & chiffrement
K
Kill switch
Mécanisme qui coupe automatiquement la connexion Internet si le tunnel VPN se déconnecte. Empêche l'exposition accidentelle du trafic sur le réseau non protégé lors d'une interruption du service VPN. Doit être activé manuellement dans les paramètres de la plupart des clients — il est rarement activé par défaut.
→ voir Erreurs fréquentes
L
L2TP / IPsec
Protocole VPN combinant L2TP (encapsulation) et IPsec (chiffrement). Moins efficace qu'IKEv2 ou WireGuard car il ajoute une couche d'encapsulation inutile. Encore présent sur des routeurs anciens. À éviter si des alternatives modernes sont disponibles.
M
Man-in-the-Middle (MITM)
Attaque où un acteur malveillant s'interpose entre deux parties qui communiquent, interceptant et potentiellement modifiant les échanges. Principal vecteur sur les réseaux Wi-Fi publics non chiffrés. Le VPN protège contre ce type d'attaque en chiffrant le transit.
N
NIS2
Directive européenne sur la sécurité des réseaux et systèmes d'information (2022/2555), en vigueur depuis octobre 2024. Élargit les obligations de cybersécurité à un grand nombre de secteurs. Les TPE sont majoritairement hors périmètre direct, sauf si elles sont fournisseurs d'entités NIS2.
→ voir Conformité
No-logs (politique de non-journalisation)
Engagement d'un fournisseur VPN à ne pas conserver de journaux permettant d'identifier les connexions des utilisateurs. La valeur de cet engagement dépend de sa portée exacte, de sa vérification par audit indépendant, et de la juridiction dans laquelle opère le fournisseur — qui peut le contraindre légalement à divulguer des données.
O
OpenVPN
Protocole VPN open source, mature et audité. Fonctionne en espace utilisateur (moins rapide que WireGuard). Peut opérer sur TCP port 443, le rendant difficile à détecter et bloquer. Recommandé quand les autres protocoles sont filtrés par un réseau restrictif.
→ voir Protocoles & chiffrement
P
Perfect Forward Secrecy (PFS)
Propriété cryptographique qui garantit que la compromission d'une clé de chiffrement ne compromet pas les sessions passées. Chaque session génère des clés temporaires (éphémères) indépendantes. WireGuard l'implémente par conception ; IKEv2 et OpenVPN nécessitent une configuration explicite.
Phishing
Technique d'ingénierie sociale visant à obtenir des informations sensibles (identifiants, mots de passe, données bancaires) en se faisant passer pour un tiers de confiance. Premier vecteur d'attaque documenté contre les TPE. Le VPN ne protège pas contre le phishing.
→ voir Risques réels
PPTP
Point-to-Point Tunneling Protocol. Protocole VPN ancien qui repose sur MS-CHAPv2, un mécanisme d'authentification cassable. À ne jamais utiliser pour des données professionnelles. Son seul avantage — la vitesse — ne justifie pas l'absence de sécurité réelle.
R
Ransomware
Logiciel malveillant qui chiffre les données d'une organisation et exige une rançon pour les déchiffrer. Entre généralement par phishing ou exploitation d'un service exposé. Le VPN ne protège pas contre les ransomwares — la protection repose sur les sauvegardes hors ligne et les mises à jour système.
RGPD
Règlement Général sur la Protection des Données (UE 2016/679). Impose à toute organisation traitant des données personnelles de mettre en place des mesures de sécurité proportionnées. Pertinent pour les TPE dans le cadre des accès distants et du choix des sous-traitants.
→ voir Conformité
S
Split tunneling
Configuration VPN où seule une partie du trafic transite par le tunnel. Le reste sort directement par la connexion locale. Améliore les performances pour certains usages mais expose le trafic exclu du tunnel. Souvent activé par défaut sans que les utilisateurs en soient informés.
→ voir Erreurs fréquentes
T
Tunnel VPN
Canal de communication chiffré établi entre un appareil client et un serveur VPN. Tout le trafic qui passe dans ce tunnel est chiffré et encapsulé — pour un observateur réseau, les données sont illisibles. La qualité du chiffrement dépend du protocole et des algorithmes utilisés.
V
VPN (Virtual Private Network)
Technologie qui crée un tunnel chiffré entre un appareil et un serveur, permettant de sécuriser le transit des données sur un réseau non maîtrisé et d'accéder à des ressources internes depuis l'extérieur. Protège la couche réseau — ne remplace pas les autres mesures de sécurité (antivirus, sauvegardes, mises à jour).
W
WireGuard
Protocole VPN moderne intégré au noyau Linux depuis 2020. Surface de code réduite (~4 000 lignes contre 400 000 pour OpenVPN), modèle cryptographique fixe sans négociation d'algorithmes, performances élevées. Recommandé pour les nouveaux déploiements. Disponible sur Windows, macOS, iOS, Android.
→ voir Protocoles & chiffrement