Managé ou autohébergé ?
La première décision est structurelle. Un VPN managé par un fournisseur signifie que vous louez un accès à une infrastructure que quelqu'un d'autre opère — vous gérez les comptes utilisateurs depuis une interface web, le reste est pris en charge. Un VPN autohébergé signifie que vous installez et opérez votre propre serveur VPN.
| Critère | Managé | Autohébergé |
|---|---|---|
| Compétences requises | Faibles — interface web | Moyennes — administration Linux ou routeur |
| Coût mensuel | 5–15 € / utilisateur | Coût du serveur (5–15 € VPS) + temps |
| Contrôle des données | Partiel — dépend du fournisseur | Total — vous êtes le seul opérateur |
| Maintenance | Assurée par le fournisseur | Votre responsabilité (mises à jour critiques) |
| Recommandé pour | TPE < 20 pers. sans IT | TPE avec compétences techniques ou contraintes de confidentialité fortes |
Déploiement d'un service managé — les étapes
Pour une TPE sans service informatique, le service managé est la voie la plus réaliste. Le déploiement suit généralement ces étapes :
- Création du compte entreprise : renseignement du nombre d'utilisateurs, activation du MFA sur le compte administrateur (indispensable).
- Invitation des collaborateurs : envoi d'invitations par email depuis l'interface d'administration. Chaque collaborateur crée son accès individuel.
- Installation du client : téléchargement de l'application sur chaque appareil (ordinateur, téléphone). Configuration automatique via un code QR ou un identifiant.
- Activation du kill switch : à configurer manuellement dans les paramètres du client sur chaque appareil. Souvent désactivé par défaut.
- Test de la connexion et vérification du DNS : vérifier que l'IP affichée correspond au serveur VPN, pas à votre connexion locale. Des outils en ligne permettent de détecter les fuites DNS.
Autohébergement avec WireGuard — pour les plus techniques
WireGuard est le protocole le plus simple à autohéberger. Un serveur virtuel (VPS) chez un hébergeur européen, une distribution Linux, et WireGuard installé en quelques commandes. Des outils comme wg-easy ajoutent une interface web pour gérer les utilisateurs sans ligne de commande.
Avertissement : autohéberger un VPN transfère toute la responsabilité de la sécurité vers vous. Un serveur VPN non mis à jour est une surface d'attaque — des CVE critiques ont été publiées ces dernières années sur des daemons VPN majeurs. Si vous n'avez pas la capacité de surveiller et appliquer les correctifs sous 48 heures, le service managé est plus sûr.
Après le déploiement, ne pas oublier de documenter la procédure de révocation des accès d'un collaborateur. Dans une TPE, la gestion des départs est le point le plus souvent oublié — un ex-collaborateur avec un accès VPN actif est un risque réel.