VPN & TPE

La réalité des attaques opportunistes

L'image de la cyberattaque ciblée par des hackers d'État visant une TPE de plomberie ou un cabinet d'avocat de 5 personnes est inexacte. La majorité des incidents dans les petites structures sont des attaques opportunistes automatisées : des scripts qui scrutent Internet à la recherche de failles connues, des campagnes de phishing envoyées à des millions de boîtes mail sans aucun ciblage préalable.

Ce caractère non ciblé ne rend pas le risque moins réel. Il le rend plus probable : n'importe quelle structure connectée est dans le périmètre, indépendamment de sa taille ou de son secteur.

Chiffre de référence

Selon le rapport Verizon Data Breach Investigations Report 2024, 43 % des violations de données documentées impliquent des petites organisations. La proportion a augmenté chaque année depuis 2018.

Les vecteurs d'attaque les plus fréquents en TPE

1. Le phishing et l'ingénierie sociale

Premier vecteur documenté pour les TPE. Un email qui semble provenir d'un fournisseur, d'un client, de votre banque ou de l'administration fiscale. Il demande de cliquer sur un lien, de télécharger une pièce jointe ou de saisir des identifiants. La sophistication de ces emails a considérablement augmenté avec l'accessibilité des outils d'IA générative — les fautes d'orthographe qui permettaient de les identifier ont largement disparu.

Ce que le VPN fait ici : rien. Le phishing exploite le comportement humain, pas le réseau. Le VPN ne filtre pas les liens cliqués ni les pièces jointes téléchargées.

2. L'interception sur réseaux non maîtrisés

La connexion Wi-Fi du café, de l'hôtel, du coworking, de la gare. Sur un réseau partagé non chiffré, un attaquant en position d'écoute passive peut intercepter le trafic des autres utilisateurs. Les informations en transit qui ne sont pas chiffrées de bout en bout — identifiants, données de formulaires sur des sites HTTP, communications non sécurisées — sont lisibles.

Ce que le VPN fait ici : il chiffre l'intégralité du trafic entre l'appareil et le point de sortie VPN, rendant l'interception inutile pour l'attaquant local. C'est le cas d'usage le mieux documenté et le plus pertinent pour les équipes mobiles.

3. L'exploitation de services exposés

Beaucoup de TPE exposent des services sur Internet sans le savoir ou sans mesurer le risque : un bureau à distance (RDP) pour accéder au poste du gérant depuis chez soi, un NAS accessible en ligne pour partager des fichiers, une caméra IP avec les identifiants d'usine. Ces services sont indexés par des moteurs de recherche spécialisés (Shodan, Censys) et ciblés en quelques heures.

Ce que le VPN fait ici : un service accessible uniquement via VPN n'est plus exposé à Internet directement. C'est une réduction significative de la surface d'attaque.

4. Les ransomwares

Le chiffrement malveillant des données d'une entreprise contre rançon. Le ransomware entre généralement par phishing ou exploitation d'un service exposé. Une fois dans le réseau, il se propage aux partages réseau accessibles.

Ce que le VPN fait ici : indirectement, en réduisant la surface d'exposition initiale (services non exposés, connexions chiffrées). Mais la protection principale contre les ransomwares reste la sauvegarde hors ligne régulière et les mises à jour système.

5. Le credential stuffing

L'utilisation automatisée de couples identifiant/mot de passe issus de fuites de données publiques pour tenter de se connecter à d'autres services. Si un collaborateur utilise le même mot de passe sur plusieurs services, la fuite d'un service anodin peut donner accès à votre messagerie professionnelle ou votre outil de facturation.

Ce que le VPN fait ici : rien directement. La protection passe par des mots de passe uniques (gestionnaire de mots de passe) et l'authentification à deux facteurs (MFA).


Après l'incident : les conséquences sous-estimées

Pour une TPE, les conséquences d'un incident de sécurité vont bien au-delà de la perte de données immédiate. La restauration des systèmes mobilise du temps facturable. La notification des clients concernés est obligatoire en cas de violation de données personnelles (RGPD). La réputation auprès des partenaires et clients peut être durablement affectée.

La statistique la plus citée dans ce domaine — 60 % des PME ferment dans les 6 mois suivant un incident grave — est difficile à sourcer précisément, mais l'ordre de grandeur est cohérent avec les données disponibles. Une TPE qui perd l'accès à sa comptabilité, ses devis ou ses contacts clients pendant plusieurs semaines est dans une situation de survie.

Perspective

La question n'est pas "est-ce que ma TPE sera attaquée ?" mais "est-ce que les conséquences d'un incident seraient gérables ?" La réponse honnête pour la plupart des petites structures est non — ce qui justifie l'investissement dans des mesures préventives proportionnées.

La page sur ce que le VPN résout détaille précisément quels vecteurs une connexion VPN correctement configurée adresse. La page sur les erreurs fréquentes liste les configurations qui donnent une fausse impression de sécurité.