Le réseau domestique — une frontière que le VPN ne gère pas seul
Un collaborateur en télétravail sur son réseau domestique n'est pas dans le réseau de l'entreprise — même avec un VPN actif. Le VPN chiffre le transit entre son poste et l'infrastructure de l'entreprise. Mais le réseau local domestique reste un environnement non maîtrisé : routeur avec le firmware d'usine jamais mis à jour, box du FAI avec des paramètres par défaut, autres appareils du foyer connectés au même réseau.
Le risque principal n'est pas l'interception (le tunnel VPN la couvre), mais l'exposition du poste de travail avant que le tunnel ne soit établi : au démarrage du poste, quelques secondes à quelques minutes peuvent s'écouler avant que le client VPN ne soit actif. Sur un réseau domestique mal configuré, cette fenêtre peut suffire.
Activer le mode always-on avec kill switch dans le client VPN : l'appareil n'accède pas à Internet si le tunnel n'est pas actif. Cette configuration élimine la fenêtre d'exposition au démarrage et empêche toute fuite de trafic en cas de déconnexion du tunnel.
BYOD — les appareils personnels dans le réseau professionnel
Le Bring Your Own Device est courant dans les TPE — les collaborateurs utilisent leurs propres téléphones, parfois leurs propres ordinateurs. Déployer un agent VPN sur un appareil personnel que l'entreprise ne contrôle pas pose un problème structurel : l'organisation ne peut pas garantir que cet appareil est à jour, qu'il dispose d'un antivirus actif, ou qu'il n'est pas déjà compromis.
Un VPN qui ouvre un accès réseau large depuis un terminal personnel mal sécurisé augmente la surface d'attaque plutôt qu'il ne la réduit. Les options pour gérer ce risque dans une TPE :
- Accès applicatif uniquement : donner accès à des applications spécifiques (messagerie, outil de facturation) plutôt qu'au réseau interne dans son ensemble. Certains services proposent ce mode d'accès sans client VPN complet.
- Vérification de posture minimale : certains clients VPN peuvent vérifier que l'OS est à jour avant d'accorder l'accès. C'est une barrière partielle mais réelle.
- Séparation des réseaux : accès BYOD sur un réseau Wi-Fi invité séparé du réseau principal de l'entreprise, sans accès aux ressources internes.
Déplacements professionnels — Wi-Fi hôteliers et réseaux publics
Les réseaux Wi-Fi d'hôtels, d'aéroports, de gares et de salons professionnels sont des environnements hostiles pour un usage professionnel. Les attaques de type Evil Twin (faux point d'accès imitant un réseau légitime) y sont documentées. La connexion à ces réseaux sans VPN expose le trafic à des observateurs locaux.
La règle pratique pour les collaborateurs en déplacement : activer le VPN avant d'accéder à quoi que ce soit de professionnel sur un réseau non maîtrisé. Avec le mode always-on, cette activation est automatique.
Déplacements à l'international — restrictions légales
Dans certains pays, l'utilisation de protocoles VPN commerciaux est légalement restreinte ou techniquement bloquée. La Chine bloque la grande majorité des protocoles VPN par inspection du trafic. Des restrictions existent également en Russie, en Iran, aux Émirats arabes unis (en partie) et dans d'autres pays. Un collaborateur en déplacement dans ces zones doit être informé avant le départ.
Si l'accès aux ressources internes de l'entreprise depuis ces pays est un besoin réel, des solutions techniques existent (tunnels obfusqués, protocoles qui imitent le trafic HTTPS), mais leur légalité locale doit être vérifiée au cas par cas.
VPN site-à-site pour les TPE multi-sites
Une TPE avec plusieurs locaux (boutique + entrepôt, cabinet principal + antenne) peut interconnecter leurs réseaux locaux via un tunnel VPN permanent entre les deux sites. Cette configuration, dite site-à-site, évite de faire transiter les échanges inter-sites par des services cloud tiers et maintient la confidentialité des communications internes.
Elle nécessite un équipement capable (routeur professionnel ou mini-serveur) dans chaque site, et une adresse IP fixe ou un service de DNS dynamique. IPsec en mode tunnel est le protocole standard pour ce type de configuration.