🔒 Votre bon vieux VPN : une armure aux trous béants

Ah, le bon vieux tunnel VPN ! Un peu comme ce vieux jean que tout le monde garde “au cas où” — on se dit que ça dépanne, mais on évite de l’exhiber en rendez-vous pro. Pourtant, dans le monde de la cybersécurité 2025, ce jean commence sérieusement à faire tache.
Parce que oui : non, votre VPN n’est probablement plus suffisant pour protéger votre entreprise.

⚠️ Pourquoi ?

  • Le VPN offre un accès trop large : dès que l’utilisateur est connecté, il ouvre la porte à tout le réseau interne — pratique pour l’attaquant. Kong Inc.
  • Le VPN ne “comprend” ni l’identité fine de l’utilisateur ni le contexte (appareil, localisation, posture de sécurité). Il fait “oui” à tout ou presque une fois qu’on est dans. Fortinet
  • Le VPN a du mal avec l’ère cloud + télétravail + hybride : on veut des accès à des apps dans le cloud, des travailleurs n’importe où — et le VPN bricole, détourne, sature. Network World
  • Le VPN est devenu une cible évidente : 56 % des entreprises ont subi au moins une attaque exploitant le VPN au cours de l’année écoulée. zscaler.com
  • Exemple concret : la vulnérabilité CVE-2024-40766 dans les appareils SSL VPN de SonicWall exploitée par le groupe Akira a permis des intrusions massives, même en présence de MFA. kudelskisecurity.com

Donc, si vous pensez “mon VPN suffit”, c’est comme dire “mon antivirus de 2015 suffit” — c’est risqué, voire une invitation au buffet.


🎯 Le sauveur (ou presque) : le Zero Trust Network Access (ZTNA)

Oui, je vous vois venir : “Encore un buzz-word”. Pourtant — et cela n’est pas une blague — le ZTNA change réellement la donne. Selon Palo Alto Networks : “à la différence des VPN, qui accordent un accès complet à un LAN, les solutions ZTNA partent par défaut du principe ‘deny’, et ne donnent accès qu’aux services explicitement autorisés”. Palo Alto Networks

✅ Ce que le ZTNA apporte

  • Accès application par application, et non pas “vous êtes connecté → vous pouvez tout voir”. goodaccess.com
  • Contrôle renforcé de l’identité + vérification continue du contexte (“l’appareil est-il à jour ? géolocalisation cohérente ? posture OK ?”). Fortinet
  • Visibilité et micro-segmentation : si un attaquant passe, il ne se balade pas tranquillement dans tout le réseau. Open Systems
  • Meilleure adéquation avec le travail hybride, le cloud, BYOD, les apps SaaS : la connexion se fait plus proche de l’utilisateur, et pas forcément via un “centre” ultra-surchargé. Network World

En clair : le ZTNA ne dit pas “vous êtes dans → tout est bon”, mais “votre identité + votre contexte + votre application = OK, sinon vous restez dehors”.


🧩 Exemple d’attaque récente pour faire plaisir au cynique logé en vous

Prenez le scénario “on a un VPN, on le garde parce qu’il marche” :

  • Le groupe Akira exploite une vulnérabilité dans des appliances SSL/VPN SonicWall (CVE-2024-40766) et pénètre les réseaux d’un nombre important de victimes. kudelskisecurity.com
  • Même des comptes MFA activés ont pu être utilisés — grâce à des seeds OTP volées, ou via accès préalable. TechRadar
  • Une fois “dans”, l’attaquant traverse latéralement, exfiltre des données, voire chiffre à la demande. Résultat : perte financière, réputation, temps d’arrêt.
  • Aussi, dans une étude, 41 % des organisations ayant été attaquées via VPN avaient subi au moins deux attaques dans l’année. zscaler.com

Si votre parchemin de “VPN sûr depuis 2008” vous rassure encore — rappelez-vous que les pirates ne prennent pas la saison morte.


🚀 La solution claire pour passer du “Oui mais j’ai un VPN” au “Oui, on est ZTNA-ready”

Voici le plan d’action (sans bullshit) :

  1. Faire l’état des lieux
    • Cartographiez quelles applications / ressources sont réellement utilisées à distance.
    • Identifiez qui y accède (employés, externes, partenaires), avec quels appareils, de où.
    • Interrogez-vous : “si un attaquant se connectait via ce VPN, que verrait-il ?”
  2. Définir la politique ZTNA
    • “Accès à : application X pour l’utilisateur Y, depuis appareil conforme, depuis localisation autorisée.”
    • Refuser tout le reste par défaut. C’est simple : “deny by default”.
    • Implémenter l’authentification forte, idéalement liée à la posture de l’appareil (endpoint compliance).
  3. Déployer la solution
    • Mettre en place un vendor ZTNA (cloud ou on-prem selon contexte) ou gateway distribuée.
    • Commencer par les applications “sensibles” et les accès distants critiques.
    • Garder le VPN pour un périmètre très restreint/transitoire si absolument nécessaire, et prévoir son arrêt progressif.
  4. Surveiller, affiner, répéter
    • Mise en place de logs, d’alertes sur les tentatives d’accès non conformes, sur la latéralisation.
    • S’assurer que les accès sont révoqués dès que l’employé change de poste, de statut ou quitte l’entreprise.
    • Revisiter régulièrement la politique : nouveau cloud ? nouvelle application SaaS ? nouveau partenaire ?
  5. Changer la culture
    • Arrêter de penser “on a un VPN = on est sûr”.
    • Communiquer aux parties prenantes : sécurité = business ; perdre un accès ou un tunnel ne doit pas être un frein, mais un signal.
    • Former sur les bonnes pratiques (MFA, posture, phishing) : le ZTNA ne remplace pas tout.

🎉 Conclusion (oui, je suis d’humeur optimiste)

Votre VPN, c’était bien. Mais en 2025 ? Il ressemble à une relique du passé. Si vous voulez vraiment sécuriser votre entreprise, rapatrier les bonnes pratiques et anticiper l’attaque qui dort derrière la porte : adoptez Zero Trust Network Access (ZTNA). Pas parce que c’est “tendance”, mais parce que c’est logique : accès minimal, contrôle maximal, visibilité accrue. Ceux qui mettent ça en œuvre aujourd’hui ne donneront pas à un attaquant “le tunnel de 1998” à exploiter.

🔒 Votre bon vieux VPN : une armure aux trous béants
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut