VPN (réseau privé virtuel)

Un réseau privé virtuel (VPN, de l'anglais Virtual Private Network) est une technologie de réseau informatique qui établit un tunnel chiffré entre deux points d'un réseau public — généralement Internet — pour y faire transiter des données comme si elles empruntaient un lien privé dédié. Le VPN combine le tunneling et le chiffrement afin de garantir la confidentialité, l'intégrité et l'authenticité des échanges. Apparu commercialement dans les années 1990 avec le protocole PPTP développé par Microsoft, il constitue aujourd'hui un outil central de la cybersécurité des entreprises et, depuis les années 2010, un service prisé des particuliers soucieux de protéger leurs communications en ligne.

Un VPN repose sur l'encapsulation des paquets de données dans un protocole de transport (tunneling) et sur leur chiffrement avant transmission sur le réseau sous-jacent. Lorsqu'un client VPN se connecte à une passerelle VPN, les deux parties négocient une session sécurisée : authentification mutuelle des identités, puis échange de clés cryptographiques via un protocole d'accord de clés (Diffie-Hellman ou ses variantes sur courbes elliptiques).

Une fois le tunnel établi, les paquets du client sont encapsulés, chiffrés et acheminés vers la passerelle, qui les déchiffre, les désencapsule et les transmet au réseau de destination. L'adresse IP publique présentée à la destination est celle de la passerelle VPN, non celle du client d'origine.

La couche du modèle OSI à laquelle opère un VPN varie selon le protocole : couche réseau (couche 3) pour IPsec, couche application pour OpenVPN et SSTP, couche liaison de données pour L2TP.

IPsec (Internet Protocol Security) est une suite de protocoles définie par l'IETF (RFC 4301, RFC 4302, RFC 4303) qui sécurise les échanges au niveau de la couche réseau du modèle TCP/IP. Deux modes existent : le mode transport (seule la charge utile du paquet IP est chiffrée) et le mode tunnel (le paquet IP d'origine est entièrement encapsulé dans un nouveau paquet IP chiffré). La gestion des clés est assurée par IKE (Internet Key Exchange) dans sa version IKEv2, standardisée en 2010 (RFC 7296). IPsec est le protocole prédominant dans les VPN d'entreprise de type site à site.

OpenVPN est un logiciel open source publié sous licence GPL, utilisant la bibliothèque OpenSSL pour le chiffrement. Il opère au niveau applicatif et peut traverser les pare-feux et proxys grâce aux ports TCP 443 ou UDP 1194. Sa version 2.0, publiée en 2005, a établi les bases de son adoption massive. OpenVPN supporte des algorithmes de chiffrement variés (AES-256-GCM, ChaCha20-Poly1305) et des certificats PKI basés sur RSA ou ECDSA. Il est disponible sur toutes les plates-formes majeures (Linux, Windows, macOS, Android, iOS) et constitue la base technique de nombreux services VPN commerciaux.

WireGuard est un protocole VPN moderne conçu par Jason A. Donenfeld, publié en 2019 et intégré au noyau Linux 5.6 (mars 2020). Sa base de code réduite — environ 4 000 lignes de code contre plusieurs centaines de milliers pour IPsec ou OpenVPN — facilite les audits de sécurité indépendants. WireGuard utilise des primitives cryptographiques récentes : Curve25519 pour l'échange Diffie-Hellman sur courbes elliptiques, ChaCha20-Poly1305 pour le chiffrement authentifié, BLAKE2s pour le hachage et SipHash-2-4 pour les tables de hachage internes. Les benchmarks publiés par son auteur montrent un débit supérieur de 3 à 5 fois à celui d'OpenVPN sur des flux UDP.

• PPTP (Point-to-Point Tunneling Protocol, RFC 2637) : protocole historique de 1996, désormais obsolète en raison de failles dans MS-CHAPv2, son mécanisme d'authentification par défaut.
• L2TP/IPsec : combinaison du protocole L2TP (couche liaison) avec IPsec pour le chiffrement, nativement supporté sur Windows, iOS et Android.
• SSTP (Secure Socket Tunneling Protocol) : protocole propriétaire Microsoft utilisant TLS, intégré dans Windows Vista et versions ultérieures.
• IKEv2/IPsec : combinaison populaire sur les terminaux mobiles grâce au protocole MOBIKE (RFC 4555), qui rétablit automatiquement la session après une coupure réseau — pertinent pour les connexions 4G/5G ou les transitions Wi-Fi.

Le VPN d'accès distant (remote access VPN) connecte un utilisateur individuel — depuis son domicile, un hôtel ou un réseau Wi-Fi public — au réseau interne de son organisation. Ce mode est devenu central après 2020 : selon Eurostat, la part des salariés de l'UE en télétravail régulier est passée de 5,4 % en 2019 à 13,8 % en 2021, avec des pics supérieurs à 40 % dans les secteurs de l'information et de la communication, entraînant une hausse proportionnelle des déploiements VPN d'accès distant.

Le VPN site à site interconnecte deux réseaux locaux distants via Internet, typiquement les agences d'une même entreprise ou un réseau d'entreprise avec un centre de données. Les passerelles VPN de chaque site prennent en charge le tunnel de manière transparente pour les utilisateurs finaux. Ce modèle repose principalement sur IPsec/IKEv2 ou des solutions propriétaires de constructeurs (Cisco ASA, Fortinet FortiGate, Palo Alto Networks PA-Series).

Les VPN always-on (permanents) s'activent automatiquement dès qu'un terminal mobile quitte le réseau d'entreprise, assurant une protection continue sans intervention de l'utilisateur. Ce modèle est courant dans les environnements à haute exigence de sécurité (secteur financier, administration, défense). Les profils de configuration sont déployés et mis à jour via des solutions MDM (Mobile Device Management).

Le split tunneling est une configuration dans laquelle seule une portion définie du trafic transite par le tunnel VPN, le reste empruntant directement Internet. Cette approche réduit la charge sur la passerelle VPN et améliore les performances pour les services SaaS (Microsoft 365, Google Workspace) qui n'ont pas besoin de transiter par le réseau d'entreprise. Son principal inconvénient est de laisser hors du périmètre chiffré une fraction du trafic, potentiellement exposée sur des réseaux non maîtrisés.

Un déploiement VPN d'entreprise s'appuie sur plusieurs composants complémentaires :

Composant	Rôle
Passerelle VPN	Terminaison des tunnels, chiffrement et déchiffrement des paquets
Serveur RADIUS ou LDAP/Active Directory	Authentification centralisée des utilisateurs
PKI (infrastructure à clés publiques)	Émission, distribution et révocation des certificats client et serveur
MFA	Deuxième facteur d'authentification (TOTP, push, FIDO2)
Pare-feu / DMZ	Isolation de la passerelle VPN entre Internet et le réseau interne
SIEM	Centralisation des journaux et corrélation des événements de connexion VPN

La gestion des identités et des accès (IAM) détermine les autorisations post-authentification : un utilisateur VPN authentifié ne doit accéder qu'aux ressources strictement nécessaires à sa fonction, selon le principe du moindre privilège.

Le modèle VPN traditionnel présente des limitations reconnues par les praticiens de la sécurité :

• Surface d'attaque étendue : un utilisateur authentifié accède souvent à l'ensemble d'un segment réseau, facilitant les mouvements latéraux en cas de compromission de compte.
• Goulot d'étranglement : les concentrateurs VPN peuvent saturer lors des pics de connexion simultanée, comme observé en mars 2020 lors du premier confinement lié à la pandémie de COVID-19.
• Performances dégradées pour le cloud : le trafic vers des services SaaS transite inutilement par la passerelle d'entreprise avant d'atteindre Internet, ajoutant de la latence.

Ces limites ont accéléré l'adoption du modèle Zero Trust et de son application réseau, le ZTNA, qui remplace le tunnel VPN par un accès granulaire et contextuel à chaque application, sans exposer l'intégralité du réseau. Gartner estimait en 2021 que 60 % des nouvelles implémentations d'accès distant utiliseraient le ZTNA plutôt que le VPN d'ici 2023.

Les équipements VPN constituent eux-mêmes une surface d'attaque documentée. Plusieurs vulnérabilités critiques ont été activement exploitées :

• CVE-2019-11510 (Pulse Secure SSL VPN) : lecture arbitraire de fichiers sans authentification, exploitée par des groupes de menace persistante avancée (APT) entre 2019 et 2021 pour exfiltrer des identifiants.
• CVE-2018-13379 (Fortinet FortiOS) : traversée de répertoire permettant la récupération de mots de passe en clair, exploitée dans des campagnes de ransomware entre 2020 et 2022.
• CVE-2021-22893 (Pulse Connect Secure) : exécution de code à distance, utilisée avant la disponibilité d'un correctif dans des intrusions visant des agences gouvernementales.

Ces incidents illustrent la nécessité d'une gestion rigoureuse des correctifs sur les composants VPN, intégrée aux processus d'audit de cybersécurité périodiques.

Les équipes des centres opérationnels de sécurité (SOC) surveillent les événements d'authentification VPN pour détecter des comportements anormaux : connexions depuis des géolocalisations inhabituelles, plages horaires décalées, volumes de données atypiques, ou tentatives répétées d'authentification. Ces événements sont centralisés dans un SIEM qui applique des règles de corrélation. En cas d'incident, la réponse aux incidents peut inclure la révocation immédiate de certificats, la désactivation de comptes ou le blocage d'adresses IP de sortie VPN compromises. Le plan de continuité d'activité doit anticiper les scénarios de panne ou de compromission de la passerelle VPN, incluant des solutions de secours.

La directive NIS2 (transposée dans les États membres de l'UE avant octobre 2024) impose aux opérateurs d'entités essentielles et importantes de documenter et sécuriser leurs accès distants, dont les VPN, dans leur politique de sécurité des systèmes d'information. La conformité RGPD exige des garanties contractuelles (DPA, Data Processing Agreement) lorsque des données personnelles transitent via des VPN opérés par des prestataires tiers. Les référentiels ISO/IEC 27001 et ISO/IEC 27002 (contrôle 6.7 dans la version 2022 : Remote working) encadrent les bonnes pratiques d'accès distant sécurisé, notamment la fourniture d'équipements maîtrisés et la sensibilisation des utilisateurs. Le NIST Cybersecurity Framework (version 2.0, 2024) aborde les VPN dans sa catégorie Protect / Identity Management and Access Control.

Les services VPN commerciaux destinés aux particuliers (ProtonVPN, Mullvad, NordVPN, ExpressVPN, etc.) proposent un tunnel chiffré entre le terminal de l'abonné et les serveurs du fournisseur, modifiant l'adresse IP visible et protégeant le trafic sur les réseaux Wi-Fi publics. Ces services ne garantissent pas l'anonymat complet : les métadonnées (temps de connexion, volume de données, DNS) restent visibles du fournisseur, et des corrélations entre l'adresse IP d'entrée et celle de sortie sont techniquement possibles si plusieurs sources de journaux sont croisées.

En France, l'utilisation d'un VPN est légale sans restriction pour les particuliers et les entreprises. En revanche, plusieurs États encadrent ou interdisent les VPN non homologués par les autorités nationales : la Chine impose l'utilisation exclusive de fournisseurs agréés par le gouvernement, la Russie exige l'adhésion des fournisseurs VPN au registre fédéral de Roskomnadzor, et les Émirats arabes unis sanctionnent l'utilisation d'un VPN à des fins illicites.

La conception, le déploiement et l'administration de solutions VPN relèvent de plusieurs profils professionnels :

• L'Ingénieur en cybersécurité dimensionne l'infrastructure VPN, sélectionne les protocoles, intègre les solutions d'authentification et rédige les politiques d'accès distant.
• Le RSSI arbitre l'évolution de l'architecture entre VPN traditionnel et ZTNA, en tenant compte des contraintes de conformité et du niveau d'exposition de l'organisation.
• L'administrateur réseau gère les passerelles, les certificats PKI et les règles de pare-feu associées au périmètre VPN.
• Les équipes du SOC assurent la surveillance continue des connexions et définissent les règles d'alerte dans le SIEM.

La maîtrise des VPN s'acquiert dans les formations en administration des réseaux informatiques et en cybersécurité, du BTS SIO option SISR aux licences professionnelles et masters RSSI. Les certifications Cisco CCNP Security, CompTIA Security+ et les cursus de préparation à la norme ISO/IEC 27001 comportent des modules dédiés à la sécurité des accès distants et à l'évaluation des architectures VPN.