Sécurité accès distant VPN entreprise cadenas numérique

Le VPN Traditionnel est-il Mort ? Alternatives et Évolutions pour l’Entreprise

  • Auteur/autrice de la publication :
  • Post category:Réseaux
  • Temps de lecture :8 mins read

Le VPN (Virtual Private Network) traditionnel a été pendant des décennies la solution de référence pour sécuriser les accès distants en entreprise. Cependant, face à la généralisation du télétravail, à l’adoption massive du cloud computing et à l’évolution des menaces cybernétiques, cette technologie montre des limites de plus en plus évidentes. Faut-il pour autant enterrer le VPN ? La réalité est plus nuancée : il s’agit plutôt d’une évolution vers des architectures de sécurité plus adaptées aux usages modernes. CityPassenger, société spécialisée dans les services managés IT, accompagne les entreprises dans cette transition vers des solutions d’accès sécurisé de nouvelle génération grâce à ses offres de SD-WAN et de pare-feu managé.

Sécurité accès distant VPN entreprise cadenas numérique

Pourquoi le VPN traditionnel atteint ses limites

Le VPN traditionnel a été conçu pour un monde où les collaborateurs travaillaient majoritairement depuis le bureau et où les applications étaient hébergées dans le datacenter de l’entreprise. Dans ce modèle, le VPN créait un tunnel chiffré entre le poste distant et le réseau interne, offrant un accès transparent à l’ensemble des ressources. Ce fonctionnement implique que tout le trafic de l’utilisateur distant transite par le datacenter de l’entreprise, y compris le trafic destiné aux applications cloud.

Avec la multiplication des applications SaaS (Microsoft 365, Google Workspace, Salesforce) et l’adoption du cloud hybride, ce modèle de backhauling génère des problèmes de performance majeurs. Un collaborateur en télétravail qui accède à une application cloud voit son trafic faire un détour par le datacenter de l’entreprise avant d’être renvoyé vers Internet, augmentant la latence et dégradant l’expérience utilisateur. Les passerelles VPN centrales deviennent des goulets d’étranglement qui peinent à absorber le trafic de milliers d’utilisateurs distants simultanés.

Le modèle de sécurité du VPN traditionnel pose également des problèmes fondamentaux. Une fois connecté au VPN, l’utilisateur bénéficie d’un accès souvent large au réseau interne, parfois bien au-delà de ce que nécessite son rôle. Cette approche « château fort » (network-centric) offre une surface d’attaque importante : si un poste compromis se connecte via VPN, le malware accède à l’ensemble du réseau interne. Les incidents de sécurité majeurs des dernières années ont souvent exploité ce vecteur d’attaque.

Le Zero Trust Network Access (ZTNA) : héritier naturel du VPN

Le ZTNA (Zero Trust Network Access) représente l’évolution la plus directe du VPN traditionnel. Son principe fondateur est simple mais radical : ne jamais faire confiance, toujours vérifier. Contrairement au VPN qui accorde un accès réseau étendu après authentification, le ZTNA octroie un accès granulaire application par application, en vérifiant en permanence l’identité de l’utilisateur, la conformité de son poste et le contexte de la connexion.

Dans un modèle ZTNA, l’utilisateur n’est jamais directement connecté au réseau de l’entreprise. Il accède à chaque application via un broker d’accès qui vérifie ses droits en temps réel. Un commercial en déplacement peut accéder au CRM sans pour autant voir les serveurs de développement. Un sous-traitant peut utiliser l’application de gestion de projet sans accéder aux partages de fichiers internes. Cette micro-segmentation des accès réduit drastiquement la surface d’attaque et limite les mouvements latéraux en cas de compromission.

Le ZTNA améliore également l’expérience utilisateur. L’accès aux applications cloud s’effectue directement, sans détour par le datacenter. L’authentification est transparente grâce à l’intégration avec les fournisseurs d’identité (Azure AD, Okta) et l’authentification multifactorielle (MFA). Le collaborateur accède à ses applications de manière fluide, quel que soit son lieu de travail, sans avoir à lancer manuellement un client VPN ni à attendre l’établissement d’un tunnel.

SASE et SD-WAN : la convergence réseau-sécurité

Le SASE (Secure Access Service Edge) pousse la logique plus loin en fusionnant les fonctionnalités réseau (SD-WAN) et sécurité (ZTNA, pare-feu cloud, CASB, SWG) au sein d’une plateforme unifiée délivrée depuis le cloud. Cette convergence élimine la complexité liée à la gestion de solutions de sécurité multiples et disparates, tout en offrant une protection cohérente quel que soit le mode d’accès de l’utilisateur.

Télétravail accès sécurisé Zero Trust alternative VPN

Le SD-WAN de CityPassenger constitue le pilier réseau de cette architecture SASE. Il optimise le routage du trafic en dirigeant chaque flux vers le chemin le plus performant, tout en appliquant des politiques de sécurité granulaires. Le trafic des applications SaaS est envoyé directement vers Internet via des breakouts locaux sécurisés, tandis que le trafic sensible emprunte des tunnels chiffrés vers le datacenter. Cette intelligence de routage élimine les goulets d’étranglement du VPN centralisé.

L’intégration d’un pare-feu managé dans cette architecture assure l’inspection en profondeur de tous les flux, y compris le trafic chiffré. Les menaces avancées, les tentatives d’exfiltration de données et les communications avec des serveurs de commande et contrôle sont détectées et bloquées en temps réel. Cette approche offre un niveau de sécurité supérieur au VPN traditionnel tout en améliorant significativement les performances réseau.

Scénarios de migration du VPN vers les alternatives modernes

La migration du VPN traditionnel vers une architecture moderne ne se fait pas du jour au lendemain. La plupart des entreprises adoptent une approche progressive qui commence par les cas d’usage les plus impactants. Le premier scénario concerne les accès aux applications cloud : au lieu de forcer le trafic SaaS via le VPN, un accès direct sécurisé est mis en place, améliorant immédiatement l’expérience des utilisateurs distants tout en réduisant la charge sur la passerelle VPN centrale.

Le deuxième scénario cible les accès des populations à risque : sous-traitants, prestataires et partenaires. Le ZTNA permet de leur accorder un accès strictement limité aux applications dont ils ont besoin, sans jamais les exposer au réseau interne. Ce cas d’usage génère un gain de sécurité immédiat et mesurable, renforçant la justification du projet de migration pour les phases suivantes. La gestion WiFi managée de CityPassenger peut inclure ce type de contrôle d’accès pour les visiteurs connectés au réseau de l’entreprise.

Le troisième scénario, le plus ambitieux, consiste à migrer l’ensemble des accès distants vers le ZTNA et à décommissionner complètement l’infrastructure VPN. Cette phase nécessite une cartographie exhaustive des applications internes, la mise en place de connecteurs applicatifs et une communication soignée auprès des utilisateurs. Le modèle managé proposé par CityPassenger facilite cette transition en prenant en charge la complexité technique et en assurant une migration sans interruption de service.

Le VPN a-t-il encore une place dans l’entreprise ?

Malgré ses limitations, le VPN n’est pas complètement obsolète. Il conserve sa pertinence dans certains scénarios spécifiques. Les connexions site-à-site entre datacenters ou succursales, par exemple, s’appuient efficacement sur des tunnels IPsec qui constituent une forme de VPN. Les environnements très réglementés nécessitant un contrôle total du trafic peuvent également justifier le maintien d’un VPN pour certains flux critiques.

Architecture SASE cloud sécurité réseau alternative VPN

La réalité pour la plupart des entreprises est un modèle hybride où le VPN coexiste temporairement avec les solutions modernes. Le SD-WAN intègre d’ailleurs nativement des fonctionnalités VPN (tunnels IPsec, chiffrement de bout en bout) tout en y ajoutant l’intelligence de routage et la sécurité avancée qui manquent aux VPN traditionnels. L’objectif n’est pas de supprimer le chiffrement des communications, mais de le rendre plus intelligent, plus granulaire et plus transparent pour l’utilisateur.

L’avenir appartient aux architectures qui combinent la sécurité renforcée du Zero Trust, l’optimisation réseau du SD-WAN et la simplicité d’une plateforme SASE unifiée. CityPassenger accompagne ses clients dans cette évolution en proposant des solutions managées qui intègrent ces technologies de manière cohérente, permettant aux entreprises de bénéficier d’un accès sécurisé, performant et simple à gérer pour tous leurs collaborateurs, quel que soit leur lieu de travail.

FAQ — VPN et alternatives pour l’entreprise

Le ZTNA est-il plus sécurisé que le VPN ?

Le ZTNA offre un niveau de sécurité supérieur au VPN traditionnel grâce à la vérification continue de l’identité, la micro-segmentation des accès et l’absence d’exposition du réseau interne. Avec le VPN, un poste compromis accède potentiellement à tout le réseau. Avec le ZTNA, chaque accès applicatif est individuellement autorisé et contrôlé, limitant considérablement l’impact d’une compromission.

Combien coûte une migration du VPN vers le ZTNA ?

Le coût dépend de la taille de l’infrastructure et du nombre d’applications à migrer. En modèle managé, CityPassenger propose des formules mensuelles qui incluent l’ensemble de la solution (SD-WAN, sécurité, support). Les économies réalisées sur les licences VPN, la maintenance des concentrateurs et la bande passante des liaisons centralisées compensent généralement l’investissement dans les nouvelles solutions.

Peut-on utiliser le ZTNA et le VPN simultanément ?

La coexistence VPN/ZTNA est non seulement possible mais recommandée pendant la phase de migration. Les applications cloud et les accès les plus courants migrent en premier vers le ZTNA, tandis que les applications legacy restent temporairement accessibles via VPN. Cette approche progressive minimise les risques et permet de valider chaque étape avant de passer à la suivante.

Le SD-WAN remplace-t-il le VPN pour les connexions site-à-site ?

Le SD-WAN intègre nativement des tunnels chiffrés IPsec entre les sites, remplaçant efficacement les VPN site-à-site traditionnels tout en ajoutant le routage intelligent, la qualité de service et la supervision centralisée. Le SD-WAN managé de CityPassenger sécurise automatiquement toutes les communications inter-sites sans nécessiter de configuration VPN séparée.

Vincent Fournier

Vincent Fournier est expert réseaux et cybersécurité chez CityPassenger. Fort de plus de 15 ans d'expérience dans les infrastructures IT d'entreprise, il accompagne les PME et ETI dans la sécurisation et l'optimisation de leurs réseaux. Spécialiste SD-WAN, WiFi managé et conformité NIS2.