Entrer en contact

Plateforme Skyone

Connectez toutes les opérations de votre entreprise : automatisez les processus, gérez les données grâce à l’IA, migrez vers le cloud, protégez vos données. Tout cela avec Skyone.

Voir plus

Catégorie de produits

Informatique en nuage Données et IA cybersécurité

Produits phares

Autosky : Migrez vers le cloud sans interrompre vos opérations, optimisez vos coûts et évoluez.
Studio : Intégrez vos données, éliminez les silos et créez la base idéale pour le déploiement à grande échelle de l’IA et de l’automatisation. Plateforme low-code pour l’orchestration des données, des agents d’IA et des flux de travail intelligents.
Serveur d'inférence : Infrastructure optimisée pour l'exécution de modèles d'IA et de LLM en production. Garantit la performance, l'évolutivité et l'efficacité de votre usine d'IA.
Surveillance SOC/SIEM
Serveur cloud : Infrastructure multicloud dédiée aux applications critiques. Base stable et évolutive pour la modernisation.
EDR : Protection avancée des terminaux avec détection et réponse automatisées. Réduit l’impact des attaques de modérateurs.
Base de données cloud. Base de données gérée, sécurisée et haute performance. Adaptée à la BI, au Machine Learning et à d'autres applications.
Cloud Connect : connectivité directe et sécurisée entre les environnements sur site et cloud. Simplifie la gestion de l’architecture.

Écosystème et collaboration

Créateurs de communautés : Formation pratique pour diriger l'IA et les données.
Familiarisez-vous avec la plateforme

VPN sécurisé en pratique : protocoles, risques et protection réelle

Tous les tunnels chiffrés ne sont pas véritablement sécurisés. Et tous les VPN n'offrent pas la protection attendue. Si de nombreuses entreprises considèrent les VPN comme leur principal rempart contre l'accès à distance, la surface d'attaque ne cesse de s'étendre. Selon un rapport récent d'Orange Cyberdefense, un nombre important de vulnérabilités (CVE) exploitées en 2024 concernaient des failles dans les technologies de connectivité sécurisée, notamment diverses solutions VPN. Le problème réside cependant rarement dans la technologie elle-même, mais dans sa mise en œuvre : protocoles obsolètes, authentification faible et maintenance négligée restent des problèmes courants. La vulnérabilité réside donc non seulement dans ce que le VPN protège, mais aussi dans ce qu'il laisse passer, que ce soit par excès de confiance, manque de visibilité ou politiques mal appliquées.
Cybersécurité 14 min de lecture Par : Skyone
1. Sécurité de façade ou protection réelle ? Le test ultime pour votre VPN

Tous les tunnels chiffrés ne sont pas véritablement sécurisés. Et tous les VPN n'offrent pas la protection attendue. Si de nombreuses entreprises considèrent les VPN comme leur principal rempart contre l'accès à distance, la surface d'attaque ne cesse de s'étendre .

Selon un rapport récent d' Orange Cyberdefense , un nombre important de vulnérabilités (CVE) exploitées en 2024 concernaient des failles dans les technologies de connectivité sécurisée, notamment diverses solutions VPN. Le problème réside cependant rarement dans la technologie elle-même, mais dans sa mise en œuvre : protocoles obsolètes, authentification faible et maintenance négligée restent des problèmes courants.

La vulnérabilité réside donc non seulement dans ce que le VPN protège, mais aussi dans ce qu'il laisse passer , que ce soit par excès de confiance, manque de visibilité ou politiques mal appliquées.

Dans cet article, nous irons droit au but : quels protocoles restent pertinents aujourd’hui, que faut-il prendre en compte en matière de configuration et de surveillance, et pourquoi aucun VPN d’entreprise ne devrait fonctionner de manière isolée.

C’est parti !

2. Protocoles et authentification : là où la plupart des gens se trompent

La sécurité d'un VPN d'entreprise ne commence pas lorsqu'un employé se connecte. Elle débute bien plus tôt, dès le choix des protocoles et du modèle d'authentification mis en œuvre . Et c'est précisément là que de nombreuses entreprises, même pleines de bonnes intentions, commettent des erreurs.

2.1. Tout d'abord : quel type de VPN votre entreprise utilise-t-elle ?

Avant d'aborder les configurations, il est essentiel de comprendre le modèle de VPN utilisé par votre organisation . Ce choix détermine non seulement le niveau d'exposition, mais aussi le degré de contrôle et de visibilité dont dispose l'équipe de sécurité sur le trafic.

  • VPN d'accès à distance : connecte l'utilisateur au réseau de l'entreprise en créant un tunnel entre l'appareil et les systèmes internes. C'est le modèle le plus courant dans les environnements hybrides, mais il nécessite une attention particulière en matière d'identité et d'authentification ;
  • VPN de site à site : interconnecte des réseaux entiers, tels que le siège social et les succursales, sa configuration s’effectuant généralement sur des routeurs ou des équipements . Il est stable et efficace, mais dépend de la régularité des mises à jour et des correctifs .
  • cloud (ou VPNaaS) : hébergé dans le cloud, il est idéal pour multicloud et les intégrations avec les annuaires d’entreprise tels qu’Azure AD et Okta . Il offre évolutivité et facilité de gestion, mais nécessite une configuration précise des politiques d’accès et de l’authentification fédérée.

Comprendre où votre entreprise se situe par rapport à ces modèles est la première étape pour renforcer votre architecture de sécurité sans sacrifier les performances .

2.2. Protocoles et authentification sécurisée : ce qu’il faut utiliser et ce qu’il faut éviter

De nombreuses défaillances de VPN ne sont pas dues à un manque de chiffrement, mais à des choix techniques obsolètes . Actuellement, il n'est plus pertinent de maintenir des protocoles obsolètes ou des méthodes d'authentification par mot de passe.

Découvrez aujourd'hui protocoles les plus recommandés 

  • OpenVPN : une référence bien établie et auditée, compatible avec pratiquement tous les systèmes. Prend en charge TLS 1.3 et un chiffrement fort ( AES-256 ) ;
  • WireGuard : plus léger et plus rapide, avec un code allégé et un chiffrement moderne ( ChaCha20 ). Il convient toutefois de rappeler que sa prise en charge native n’est pas encore disponible sur tous les équipements  ; de nombreux pare-feu de nouvelle génération ( NGFW ) continuent de privilégier IKEv2/IPsec ;
  • IKEv2/IPsec : excellent pour la mobilité, prend en charge la reconnexion automatique et offre une sécurité robuste lorsqu'il est configuré avec des paramètres mis à jour.

Les protocoles déconseillés ou nécessitant une attention particulière sont les suivants :

  • PPTP : considéré comme non sécurisé depuis des années, ne prenant pas en charge les méthodes de chiffrement modernes ;
  • L2TP/IPsec : Ce protocole n’est pas non sécurisé par défaut, mais il peut devenir vulnérable en cas de configuration avec des clés faibles ou des paramètres obsolètes. Il est recommandé de le mettre à niveau vers des suites de chiffrement modernes telles que AES-256 et SHA-2 , ainsi que vers des certificats valides.

En matière d'authentification, l' erreur la plus fréquente consiste à se fier exclusivement à un identifiant et un mot de passe. Même des identifiants complexes peuvent être compromis par l'automatisation, le phishing ou les fuites de données. La norme actuelle est l'authentification multifacteurs (AMF) robuste, avec des méthodes résistantes au phishing et à l'interception, telles que :

  • TOTP ( mot de passe à usage unique basé sur le temps ) : efficace et largement compatible ;
  • notification push avec validation contextuelle : associe la tentative de connexion à un appareil et à un emplacement spécifiques ;
  • FIDO2 ou clés physiques : la méthode la plus résistante aux attaques d’ingénierie sociale.

Un avertissement important  : l'utilisation des SMS comme facteur de sécurité secondaire est jugée insuffisante par des organismes tels que le NIST ( National Institute of Standards and Technology ) et l'ENISA ( Agence de l'Union européenne pour la cybersécurité ). En effet, le canal SMS est vulnérable aux interceptions et à l'échange (lorsqu'un attaquant transfère le numéro de la victime sur une autre carte SIM afin de capturer les codes).

Même avec des protocoles modernes et une authentification multifacteur robuste, la sécurité d'un VPN peut être compromise par des failles opérationnelles. C'est pourquoi, dans la section suivante, nous montrerons comment l'exploitation de vulnérabilités dans des solutions connues, ainsi que des erreurs courantes, transforment une connexion légitime en un véritable risque.

3. Les failles qui transforment les VPN en vulnérabilités

À première vue, un VPN d'entreprise peut sembler remplir sa fonction : connexion établie, trafic chiffré, tout fonctionne. Mais, dans bien des cas , il ne s'agit que d'une protection superficielle, avec des configurations faibles, des mises à jour tardives et une visibilité opérationnelle limitée.

Les solutions VPN demeurent parmi les cibles les plus exploitées par les cybercriminels. Selon le catalogue ( Vulnérabilités exploitées connues de la CISA ( Agence de cybersécurité et de sécurité des infrastructures ), plus de 90 % des vulnérabilités connues exploitent des failles pour lesquelles des correctifs existaient déjà, mais n'avaient pas été appliqués.

Mais le problème ne se limite pas aux fournisseurs : une grande partie des failles provient des pratiques internes . Parmi les erreurs les plus fréquentes, on peut citer :

  • Bourrage d'identifiants : utilisation d'identifiants et de mots de passe divulgués provenant d'autres services dans des environnements sans authentification multifacteur ;
  • Fatigue liée à l'authentification multifacteur : envoi répétitif de notifications d'authentification jusqu'à ce que l'utilisateur les accepte par erreur ou par fatigue ;
  • Configurations fragiles : tunnelage fractionné , absence de journaux et politiques d’accès permissives ;
  • Accès oubliés : comptes qui restent actifs même après la fin d’un contrat de travail ou un changement de poste.


Ces failles opérationnelles sont tout aussi dangereuses que les vulnérabilités techniques. Une politique de sécurité incohérente ou un manque de surveillance continue peuvent transformer un VPN en un point d'entrée privilégié pour les attaques, plutôt qu'en une barrière.

C’est pourquoi l’attention doit aller au-delà du tunnel sécurisé : il est crucial d’adopter des couches complémentaires de validation, de segmentation et de réponse rapide, capables de réduire l’impact même lorsqu’une authentification ou un point de terminaison est compromis.

Dans cette optique, nous verrons dans le prochain sujet comment ces couches supplémentaires, du Zero Trust à l'EDR, élèvent la protection d'un VPN traditionnel à un nouveau niveau de résilience .

4. Couches supplémentaires : pourquoi un VPN seul ne suffit pas

Les VPN demeurent un outil important pour sécuriser les connexions distantes. Cependant, s'y fier exclusivement revient à fermer la porte d'entrée à clé et à laisser les fenêtres ouvertes .

Même avec le chiffrement du trafic, les VPN ne protègent pas contre le vol d'identifiants, le détournement de session ou l'abus des permissions internes. C'est pourquoi, en 2025, la véritable sécurité commence au-delà du tunnel , avec une validation continue, une segmentation et une visibilité accrues.

4.1. Protections complémentaires essentielles

Pour garantir un accès distant sécurisé dans des environnements distribués et hautement dynamiques, il est nécessaire d'adopter des couches de sécurité supplémentaires fonctionnant de manière intégrée avec le VPN. Parmi les plus pertinentes figurent :

  • L'accès réseau Zero Trust (ZTNA) redéfinit l'accès distant en se basant sur le principe qu'aucune connexion n'est considérée comme fiable par défaut. L'authentification est continue et s'appuie sur l'identité, l'appareil et le contexte. Selon Gartner , cité dans un Zscaler , d'ici 2025, 70 % des organisations utilisant des VPN migreront vers le ZTNA ou des modèles hybrides , confirmant ainsi cette tendance comme nouvelle norme du marché.
  • Authentification multifacteur robuste et anti -phishing : le deuxième facteur ne peut se limiter à un jeton SMS les notifications push authentifiées par application FIDO2 et les validations contextuelles offrent une véritable protection contre les attaques d’ingénierie sociale et l’interception.
  • Gestion des privilèges et segmentation : l’application du principe du moindre privilège est essentielle pour réduire l’impact de toute compromission potentielle. Chaque accès doit être temporaire, examiné et traçable ;
  • Protection des terminaux avec EDR : les appareils des utilisateurs restent l’un des maillons les plus ciblés de la chaîne. Les solutions de détection et de réponse aux incidents sur les terminaux (EDR) surveillent et isolent les comportements suspects en temps réel, réduisant ainsi le risque de propagation latérale.

Ces mesures ne remplacent pas les VPN ; elles les renforcent. Le chiffrement du tunnel reste important, mais il n’est efficace que si les dispositifs installés aux points d’accès sont tout aussi fiables et surveillés.

4.2. Comment Skyone fonctionne-t-il en pratique ?

Chez Skyone , nous considérons la cybersécurité comme une architecture adaptable , capable d'évoluer au rythme des environnements et des menaces. Ce concept se concrétise par des solutions intégrées, telles que :

  • Cloud Connect : authentification par certificats numériques, éliminant les mots de passe et réduisant drastiquement le risque de fuite d’identifiants. Révocation immédiate possible en cas de compromission.
  • Autosky intègre la validation continue et du Zero Trust , garantissant ainsi que chaque session est authentifiée et contextualisée, grâce à une segmentation dynamique et une surveillance constante.
  • Skyone SOC : offre une visibilité et des renseignements de sécurité en temps réel, corrélant les événements et réduisant le MTTR ( temps moyen de réponse ), ce qui améliore considérablement la conformité aux réglementations LGPD et RGPD.

Bien plus que de simples couches isolées, ces solutions forment un écosystème de sécurité unifié qui protège l'accès à distance sans compromettre l'agilité opérationnelle. Cette intégration est d'autant plus performante qu'elle s'accompagne d'une surveillance continue et d'une conformité active, comme nous le verrons plus loin !

5. La surveillance et la conformité sont une sécurité qui ne s'arrête jamais

Même avec des protocoles modernes et des niveaux de protection supplémentaires, aucun environnement n'est véritablement sécurisé sans une surveillance constante et une intervention continue. Ce qui passe inaperçu devient inévitablement une vulnérabilité.


La surveillance ne se limite pas à vérifier si le VPN est « actif ». L’accent doit être mis sur le comportement d’accès, sur les anomalies révélant des risques réels , tels que :

  • Tentatives de connexion en dehors des heures normales, à des heures inhabituelles ou dans des régions inhabituelles ;
  • Dispositifs ou adresses IP inconnus tentant d'accéder à des systèmes sensibles ;
  • Trafic anormal sur des connexions spécifiques, indiquant des fuites de données possibles ;
  • Des échecs d'authentification récurrents peuvent signaler des attaques automatisées ou un bourrage d'identifiants .

Ces signaux prennent tout leur sens lorsqu'ils sont corrélés au sein de solutions telles que le SIEM ( Security Information and Event Management ) et le SOC ( Security Operations Center ) , qui permettent :

  • Unifier et croiser les événements provenant de sources multiples (VPN, points de terminaison , cloud, identités) ;
  • Utiliser des renseignements sur les menaces en temps réel pour détecter les schémas suspects ;
  • Générez des alertes exploitables en fonction du contexte, en priorisant ce qui compte vraiment ;
  • Réduire le MTTR, c'est-à-dire le temps moyen entre la détection et la résolution d'un incident.

Cette visibilité continue accroît non seulement l'efficacité opérationnelle, mais améliore également la conformité aux réglementations telles que la LGPD et le RGPD, qui exigent la traçabilité et un contrôle actif des données personnelles et de leur accès. Pour répondre à ces exigences, les bonnes pratiques comprennent :

  • Conserver des journaux , enregistrant les heures, les origines et les identités d'accès ;
  • Afin de garantir la traçabilité et la responsabilité , il est essentiel de s'assurer que chaque connexion puisse être validée et justifiée ;
  • Appliquez l'anonymisation ou la pseudonymisation chaque fois que cela est possible, en brouillant les données personnelles dans les dossiers afin d'éviter leur divulgation, sans pour autant compromettre leur utilité pour les audits et les enquêtes.

Ces pratiques renforcent la réactivité et la confiance au sein de l'organisation . Elles témoignent d'une maturité technique , d'une responsabilité en matière de données et d'un engagement envers une culture de sécurité continue – des valeurs qui constituent de véritables atouts concurrentiels sur le marché actuel.

Vous êtes arrivé jusqu'ici et souhaitez comprendre comment votre entreprise peut atteindre ce niveau de visibilité, de protection et de conformité sans perturber ses opérations ? Contactez un spécialiste Skyone ! stratégie de sécurité dynamique, proactive et adaptable .

FAQ : Foire aux questions sur sécurisé VPN et télétravail

Malgré l'essor de nouvelles méthodes d'accès à distance, les VPN soulèvent toujours des questions importantes, notamment en matière de sécurité, d'authentification et de compatibilité avec les modèles modernes comme le Zero Trust .

Vous trouverez ci-dessous des réponses directes et actualisées aux principales questions concernant la sécurité des VPN en entreprise.

1) OpenVPN , WireGuard ou IKEv2 : quel protocole dois-je utiliser ?

Cela dépend du contexte et de l'infrastructure. Chaque protocole a ses avantages :

  • WireGuard : plus léger et plus rapide, avec un code allégé et un chiffrement moderne ( ChaCha20 ). Idéal pour les appareils mobiles et les connexions à forte variation de latence. Cependant, il n’est pas encore pris en charge nativement par tous les équipements d’entreprise ; de nombreux pare-feu de nouvelle génération (NGFW) continuent de privilégier IKEv2/IPsec .
  • OpenVPN : largement compatible, flexible et éprouvé, il prend en charge TLS 1.3 et un chiffrement robuste ( AES-256 ). C’est le choix le plus équilibré pour ceux qui recherchent stabilité et traçabilité.
  • IKEv2 : Excellent pour la mobilité et la stabilité dans les réseaux instables, avec reconnexion automatique et adoption généralisée dans les environnements d’entreprise.

En résumé : OpenVPN et IKEv2 sont les solutions les plus abouties pour une utilisation en entreprise, tandis que WireGuard est une excellente option pour les environnements modernes, à condition que la compatibilité et le support soient garantis.

2) Puis-je encore utiliser les SMS comme deuxième facteur ?

Techniquement, oui, mais c'est fortement déconseillé. Les SMS sont vulnérables aux interceptions et à l'échange de carte SIM , où l'attaquant transfère le numéro de la victime sur une autre carte SIM et commence à recevoir des codes d'authentification.

Des organismes comme le NIST et l'ENISA classent les SMS comme une méthode d'authentification à deux facteurs faible, inadaptée aux contextes professionnels sensibles. Il est préférable d'utiliser :

  • Notifications push authentifiées par une application (telle que Okta Verify , Microsoft Authenticator ou Duo Mobile ) ;
  • Codes temporaires ( TOTP ) ;
  • Les clés physiques ou FIDO2 , qui sont plus résistantes au phishing et à l'interception.

3) Comment savoir si mon VPN est exploité ?

Certains signes indiquent que le VPN est peut-être compromis ou fait l'objet d'une attaque, tels que :

  • Tentatives de connexion et échecs provenant de régions inhabituelles ;
  • Sessions simultanées du même utilisateur à différents endroits ;
  • Trafic anormal ou volume inhabituel sur des connexions spécifiques ;
  • Nouveaux appareils tentant de se connecter sans autorisation ;
  • non corrigées ( CVE les appliances VPN

Conseil : L’intégration d’un VPN avec des solutions comme un SIEM et un SOC vous permet de corréler les événements, d’appliquer des renseignements sur les menaces et de réduire considérablement le MTTR ( temps moyen de réponse ), transformant ainsi les signaux isolés en alertes contextualisées et exploitables.

4) Est-il sûr d'accéder à un SaaS sans VPN ?

Oui, à condition que l'accès soit contrôlé et validé par des politiques d'identité sécurisées. Les applications SaaS modernes ne nécessitent pas de VPN, mais la sécurité n'est assurée que si :

  • Authentification multifactorielle robuste (MFA) ;
  • Intégration avec l'authentification unique ) pour centraliser les identités et réduire la surface d'attaque ;
  • Utilisation d'un CASB ( Cloud Access Security Broker ) pour gérer le trafic entre les utilisateurs et les applications cloud, en appliquant des politiques de visibilité et de conformité ;
  • Surveillance continue du comportement des utilisateurs et des appareils.

Pour les systèmes existants ou les données critiques, le VPN et la segmentation des accès restent essentiels, en particulier lorsqu'il n'existe pas de prise en charge native de l'authentification moderne ou des journaux détaillés

5) Un VPN remplace-t-il l' Zero Trust ?

Non. Les VPN et réseau Zero Trust (ZTNA) ont des rôles différents mais complémentaires. Un VPN crée un tunnel chiffré entre l'utilisateur et le réseau, mais ne valide pas en permanence le contexte, le périphérique ou le comportement d'accès. Le ZTNA, quant à lui, fonctionne selon le principe qu'aucune connexion n'est fiable par défaut, en appliquant des validations dynamiques à chaque requête.

Idéalement, les deux approches devraient être combinées : utiliser un VPN pour protéger le canal de communication et le ZTNA pour valider en permanence l'accès, en réduisant les privilèges et en étendant le contrôle contextuel.

Skyone
Écrit par Skyone

Articles connexes

CYBERSÉCURITÉ

VPN et télétravail : la ligne de défense contre les attaques modernes

13 min de lecture
CYBERSÉCURITÉ

Les cyberattaques que toute entreprise devrait connaître et éviter

11 min de lecture
CYBERSÉCURITÉ

Hameçonnage : comment éviter l’une des arnaques les plus courantes sur Internet ?

9 min de lecture

Commencez à transformer votre entreprise

Testez la plateforme ou planifiez une conversation avec nos experts pour comprendre comment Skyone peut accélérer votre stratégie numérique.

Abonnez-vous à notre newsletter

Restez informé(e) des contenus de Skyone

Contactez le service commercial

Vous avez une question ? Parlez-en à un spécialiste et obtenez des réponses à toutes vos questions concernant la plateforme.