VPN d’entreprise : quel type choisir et comment le déployer
Le VPN entreprise est un peu comme la ceinture de sécurité : tout le monde sait que c’est indispensable, beaucoup s’en sont dotés, mais peu savent vraiment comment il fonctionne ni si le leur est correctement réglé. Et quand quelque chose cloche, on l’apprend souvent au mauvais moment.
Télétravail généralisé, bureaux multisites, accès aux ressources cloud, partenaires externes qui ont besoin d’accéder à certains systèmes - les usages se sont multipliés. Et avec eux, les architectures. Parce que non, il n’existe pas un seul type de VPN entreprise : il en existe plusieurs, chacun répondant à des besoins précis. Choisir le mauvais, c’est soit ouvrir des brèches, soit créer des frictions inutiles pour vos équipes.
Voici le guide complet pour vous y retrouver - sans jargon inutile, avec des exemples concrets.
Pourquoi un VPN d’entreprise n’est pas optionnel
Avant d’entrer dans les types, rappelons l’essentiel : un VPN entreprise crée un tunnel chiffré entre deux points d’un réseau. Concrètement, les données qui transitent sont illisibles pour quiconque tenterait de les intercepter en chemin. C’est la base de toute communication sécurisée entre sites distants, entre collaborateurs en déplacement, ou entre votre réseau et vos applications critiques.
Sans VPN :
- Un collaborateur en télétravail qui se connecte à vos serveurs internes via un accès direct expose ses identifiants et les données en transit.
- Deux sites reliés uniquement par Internet sans tunnel chiffré échangent des données en clair, interceptables.
- Un partenaire ou prestataire qui accède à votre ERP sans accès sécurisé représente une surface d’attaque incontrôlée.
Le VPN télétravail entreprise n’est pas une option confort. C’est une condition de base pour opérer correctement dans un monde où le périmètre réseau a largement débordé des murs du bureau.
Les trois grandes architectures VPN
1. Le VPN site-to-site (ou LAN-to-LAN)
Le VPN site to site relie de façon permanente deux réseaux distants, comme si un câble invisible les connectait directement. Siège et agence régionale, deux bureaux dans des villes différentes, data center et site de production - c’est l’architecture de référence pour les entreprises multisites.
Le tunnel est établi entre deux équipements réseau (firewalls ou routeurs) et reste actif en permanence. Les utilisateurs n’ont rien à faire, rien à lancer : ils accèdent aux ressources du site distant comme s’ils étaient dans le même bureau.
Points forts :
- Transparent pour les utilisateurs, zéro friction quotidienne
- Bande passante et latence maîtrisées
- Gestion centralisée des politiques de sécurité
Pour qui ? Toute entreprise avec plusieurs sites physiques qui ont besoin de partager des ressources (fichiers, applications métier, impression, téléphonie IP).
Exemple concret : Un cabinet d’architecture avec un bureau à Paris et un à Lyon. Les équipes des deux sites accèdent au même serveur de fichiers et au même logiciel métier, sans manipulation particulière. Le VPN site to site fait le lien en permanence, en arrière-plan.
2. Le VPN client-to-site (ou accès distant)
C’est la solution classique pour le VPN télétravail entreprise. Ici, c’est un poste utilisateur individuel - laptop, smartphone, tablette - qui se connecte à distance au réseau de l’entreprise via un client logiciel installé sur le terminal.
Le collaborateur lance son client VPN, s’authentifie (idéalement avec MFA), et accède au réseau interne depuis chez lui, depuis un espace de coworking ou depuis un hôtel. Son trafic est chiffré de bout en bout.
Points forts :
- Flexibilité totale : se connecte depuis n’importe où
- Contrôle granulaire par utilisateur (qui accède à quoi)
- Compatible avec les solutions MDM pour forcer la connexion automatique
Limites à anticiper :
- Dépend de la qualité de la connexion côté utilisateur
- Peut dégrader les performances si tout le trafic passe par le tunnel (full tunnel)
- Nécessite une gestion rigoureuse des licences et des authentifications
Pour qui ? Les entreprises avec des collaborateurs en télétravail régulier ou des équipes itinérantes (commerciaux, consultants, techniciens terrain).
La nuance split tunneling vs full tunneling : En full tunnel, tout le trafic Internet de l’utilisateur passe par le réseau de l’entreprise - pratique pour appliquer les politiques de filtrage, mais gourmand en bande passante côté serveur. En split tunnel, seul le trafic à destination du réseau interne passe par le VPN, le reste va directement sur Internet. Un compromis à arbitrer selon votre niveau d’exigence sécurité.
3. Le ZTNA - Zero Trust Network Access
Le ZTNA représente l’évolution contemporaine du VPN d’accès distant. L’idée fondatrice : ne jamais faire confiance par défaut, même à un utilisateur authentifié sur le réseau. Au lieu d’ouvrir un tunnel vers tout le réseau, le ZTNA donne accès uniquement à l’application ou à la ressource précise dont l’utilisateur a besoin, en vérifiant en continu son identité, son terminal, et son contexte (localisation, heure, conformité du poste).
C’est une rupture conceptuelle par rapport au VPN traditionnel : l’utilisateur n’est plus “dans” le réseau, il accède à des ressources spécifiques après vérification continue.
Points forts :
- Surface d’attaque drastiquement réduite (si un compte est compromis, l’attaquant n’a accès qu’à une ressource, pas à tout le LAN)
- Adapté aux architectures cloud et hybrides
- Meilleure expérience utilisateur sur les applications SaaS
- Conforme aux exigences de segmentation Zero Trust
Limites à anticiper :
- Déploiement plus complexe, nécessite une cartographie précise des accès
- Coût plus élevé que le VPN client classique
- Nécessite un IdP (fournisseur d’identité) robuste, idéalement avec MFA
Pour qui ? Les entreprises avec un profil de risque élevé, des applications cloud critiques, des prestataires externes à intégrer de façon sécurisée, ou celles qui entament une démarche Zero Trust plus large.
Choisir le bon type selon votre situation
Voici une lecture rapide pour orienter votre choix :
| Situation | Architecture recommandée |
|---|---|
| Deux sites à relier en permanence | VPN site-to-site |
| Télétravailleurs réguliers (10-50 personnes) | VPN client-to-site |
| Beaucoup de prestataires externes | ZTNA |
| Applications 100 % cloud + accès distant | ZTNA ou VPN client avec split tunnel |
| Multi-sites + télétravail | VPN site-to-site + VPN client-to-site |
Dans la pratique, la majorité des PME multisites ont besoin des deux premières solutions combinées : un VPN site to site pour interconnecter les bureaux, et un VPN client-to-site pour les télétravailleurs et les commerciaux. Le ZTNA vient en complément ou en remplacement dès que la maturité sécurité le justifie.
Les solutions que complit déploie
Chez complit, nous déployons les VPN d’entreprise principalement sur deux plateformes : Cisco Meraki et Fortinet. Ce ne sont pas des choix arbitraires - ce sont deux des solutions les plus robustes du marché, avec des philosophies complémentaires.
Cisco Meraki - la simplicité cloud-managed
Le dashboard Meraki centralise la gestion de tous vos équipements réseau : switchs, bornes Wi-Fi, et firewalls MX avec gestion VPN intégrée. Le déploiement d’un VPN site to site entre deux MX prend littéralement quelques minutes : les équipements se découvrent automatiquement via le cloud Meraki, le tunnel s’établit sans configuration manuelle des paramètres IPsec.
Pour le VPN client-to-site, le client Meraki AnyConnect (ou le client natif) gère l’authentification, le MFA et les politiques d’accès depuis le même dashboard. La supervision en temps réel est excellente : vous voyez immédiatement qui est connecté, depuis où, et quel volume de données transite.
L’argument clé : Idéal pour les entreprises qui veulent une infrastructure multi-sites gérée de façon unifiée, avec une courbe d’apprentissage courte et une infogérance simplifiée.
Fortinet FortiGate - la puissance et la profondeur
FortiGate offre une surface de contrôle beaucoup plus granulaire. Les options de configuration IPsec, SSL-VPN, et ZTNA via FortiClient sont étendues, ce qui permet d’adapter finement la solution à des architectures complexes. Pour des entreprises avec des exigences de sécurité avancées - inspection du trafic VPN, segmentation poussée, intégration avec un SIEM - Fortinet est souvent la référence.
FortiClient permet de déployer le VPN télétravail entreprise avec ZTNA natif depuis FortiOS 7.x, ce qui en fait une solution évolutive : vous commencez par du VPN client classique, vous faites évoluer vers ZTNA quand votre organisation est prête, sans changer de plateforme.
L’argument clé : Idéal pour les entreprises avec des besoins sécurité avancés, plusieurs sites, ou qui anticipent une évolution vers une architecture Zero Trust.
Les erreurs classiques à éviter absolument
Laisser le VPN sans MFA
C’est l’erreur numéro un. Un VPN protégé par un simple mot de passe est vulnérable aux attaques par credential stuffing, phishing ou force brute. L’authentification multi-facteurs (MFA) est non négociable dès qu’il s’agit d’un accès distant à votre réseau.
Ouvrir un accès full tunnel sans dimensionner le lien central
Si tous vos télétravailleurs font transiter leur trafic Internet via votre siège, votre lien montant sera rapidement saturé. Résultat : latence, coupures, frustration. Évaluez toujours la bande passante disponible et configurez le split tunneling si le full tunnel n’est pas strictement nécessaire.
Ne pas mettre à jour le firmware du firewall/VPN
Les équipements VPN sont des cibles privilégiées. Les vulnérabilités critiques sur FortiGate ou d’autres solutions font régulièrement les manchettes de la presse IT. Un firmware non mis à jour peut exposer l’ensemble de votre infrastructure. Planifiez les mises à jour, ne les laissez pas s’accumuler.
Négliger les logs et la supervision
Un tunnel VPN qui tombe sans alerte, des connexions anormales qui passent sans être détectées - si vous ne supervisez pas votre VPN, vous volez à l’aveugle. Configurez des alertes sur les événements critiques (tunnel down, tentatives d’authentification échouées en série, volume de trafic anormal).
Donner un accès “plat” à tous les utilisateurs
Connecter un collaborateur au VPN ne devrait pas lui ouvrir l’intégralité du réseau. Segmentez les accès par profil : les commerciaux n’ont pas besoin d’accéder aux serveurs de production, les prestataires n’ont pas besoin d’accéder aux partages RH. C’est le principe du moindre privilège, et c’est la base d’une architecture saine.
Déployer un VPN d’entreprise : les étapes clés
Voici le déroulé type d’un déploiement VPN réalisé par complit :
- Audit de l’existant - Cartographie des sites, des flux, des utilisateurs distants et des applications à exposer. On identifie aussi ce qui existe déjà (et souvent, ce qui ne fonctionne pas bien).
- Choix de l’architecture - Site-to-site, client-to-site, ZTNA, ou combinaison. Choix du matériel selon les volumes, la redondance souhaitée et le budget.
- Déploiement et configuration - Installation des équipements, paramétrage des tunnels, configuration du MFA, définition des règles d’accès par profil.
- Tests de montée en charge et de bascule - On simule des pannes, on vérifie que le VPN rebascule correctement sur le lien de secours si vous avez une double connexion Internet.
- Documentation et formation - Vos équipes IT (ou votre infogérant) ont une documentation à jour. Les utilisateurs finaux ont un guide d’utilisation simple.
- Supervision continue - Mise en place des alertes, tableaux de bord, et intégration dans votre système de supervision global si vous en avez un.
Conclusion
Le VPN entreprise n’est pas une boîte noire qu’on installe et qu’on oublie. C’est une infrastructure vivante, qui doit évoluer avec vos usages, être maintenue à jour, et supervisée activement. Le bon choix entre VPN site to site, VPN client-to-site et ZTNA dépend de votre organisation, de vos contraintes de sécurité et de votre trajectoire.
Chez complit, nous accompagnons les entreprises parisiennes dans le déploiement et l’infogérance de leurs infrastructures VPN - principalement sur Cisco Meraki et Fortinet. Si vous n’êtes pas certain que votre VPN télétravail entreprise est correctement configuré, ou si vous devez connecter un nouveau site, c’est exactement notre quotidien.
FAQ - VPN d’entreprise : vos questions fréquentes
Quelle est la différence entre un VPN site-to-site et un VPN client-to-site ?
Le VPN site-to-site relie deux réseaux entiers de façon permanente - typiquement deux bureaux. Le tunnel est géré par les équipements réseau des deux côtés, de façon transparente pour les utilisateurs. Le VPN client-to-site, lui, connecte un terminal individuel (laptop, smartphone) au réseau de l’entreprise à la demande. Les deux sont souvent déployés en complément dans une même organisation.
Un VPN cloud (NordVPN Teams, etc.) peut-il remplacer un VPN d’entreprise ?
Non. Les solutions VPN grand public ou “cloud” sont conçues pour anonymiser le trafic Internet et contourner des restrictions géographiques. Un VPN d’entreprise est une tout autre chose : il sécurise l’accès à vos ressources internes, s’intègre à votre annuaire (Active Directory, Azure AD), gère des politiques de sécurité fines, et produit des logs exploitables. Ce ne sont pas les mêmes outils, même si le mot “VPN” est le même.
Combien coûte le déploiement d’un VPN d’entreprise ?
Le budget varie selon l’architecture et le nombre de sites ou d’utilisateurs. Pour un VPN client-to-site sur Cisco Meraki ou Fortinet pour une PME de 20 à 50 personnes, comptez entre 1 500 € et 4 000 € HT pour le déploiement (matériel, licences, configuration), puis des coûts de licence annuels entre 300 € et 800 € HT selon la solution. Un VPN site-to-site entre deux sites s’ajoute à cela selon le matériel en place. Le mieux est de partir d’un audit de l’existant pour chiffrer précisément.
Le ZTNA va-t-il remplacer le VPN d’entreprise ?
Sur le long terme, probablement pour les architectures modernes orientées cloud. Mais aujourd’hui, la grande majorité des PME ont encore des applications et des serveurs on-premise qui nécessitent un accès réseau traditionnel. Le VPN client-to-site reste la solution la plus pragmatique pour beaucoup d’organisations. Le ZTNA est une évolution à envisager quand la maturité et les usages le justifient - pas une obligation immédiate pour toutes les structures.