🔒 Votre bon vieux VPN : une armure aux trous béants

Ah, le bon vieux tunnel VPN ! Un peu comme ce vieux jean que tout le monde garde “au cas où” — on se dit que ça dépanne, mais on évite de l’exhiber en rendez-vous pro. Pourtant, dans le monde de la cybersécurité 2025, ce jean commence sérieusement à faire tache.
Parce que oui : non, votre VPN n’est probablement plus suffisant pour protéger votre entreprise.

⚠️ Pourquoi ?

• Le VPN offre un accès trop large : dès que l’utilisateur est connecté, il ouvre la porte à tout le réseau interne — pratique pour l’attaquant. Kong Inc.
• Le VPN ne “comprend” ni l’identité fine de l’utilisateur ni le contexte (appareil, localisation, posture de sécurité). Il fait “oui” à tout ou presque une fois qu’on est dans. Fortinet
• Le VPN a du mal avec l’ère cloud + télétravail + hybride : on veut des accès à des apps dans le cloud, des travailleurs n’importe où — et le VPN bricole, détourne, sature. Network World
• Le VPN est devenu une cible évidente : 56 % des entreprises ont subi au moins une attaque exploitant le VPN au cours de l’année écoulée. zscaler.com
• Exemple concret : la vulnérabilité CVE-2024-40766 dans les appareils SSL VPN de SonicWall exploitée par le groupe Akira a permis des intrusions massives, même en présence de MFA. kudelskisecurity.com

Donc, si vous pensez “mon VPN suffit”, c’est comme dire “mon antivirus de 2015 suffit” — c’est risqué, voire une invitation au buffet.

🎯 Le sauveur (ou presque) : le Zero Trust Network Access (ZTNA)

Oui, je vous vois venir : “Encore un buzz-word”. Pourtant — et cela n’est pas une blague — le ZTNA change réellement la donne. Selon Palo Alto Networks : “à la différence des VPN, qui accordent un accès complet à un LAN, les solutions ZTNA partent par défaut du principe ‘deny’, et ne donnent accès qu’aux services explicitement autorisés”. Palo Alto Networks

✅ Ce que le ZTNA apporte

• Accès application par application, et non pas “vous êtes connecté → vous pouvez tout voir”. goodaccess.com
• Contrôle renforcé de l’identité + vérification continue du contexte (“l’appareil est-il à jour ? géolocalisation cohérente ? posture OK ?”). Fortinet
• Visibilité et micro-segmentation : si un attaquant passe, il ne se balade pas tranquillement dans tout le réseau. Open Systems
• Meilleure adéquation avec le travail hybride, le cloud, BYOD, les apps SaaS : la connexion se fait plus proche de l’utilisateur, et pas forcément via un “centre” ultra-surchargé. Network World

En clair : le ZTNA ne dit pas “vous êtes dans → tout est bon”, mais “votre identité + votre contexte + votre application = OK, sinon vous restez dehors”.

🧩 Exemple d’attaque récente pour faire plaisir au cynique logé en vous

Prenez le scénario “on a un VPN, on le garde parce qu’il marche” :

• Le groupe Akira exploite une vulnérabilité dans des appliances SSL/VPN SonicWall (CVE-2024-40766) et pénètre les réseaux d’un nombre important de victimes. kudelskisecurity.com
• Même des comptes MFA activés ont pu être utilisés — grâce à des seeds OTP volées, ou via accès préalable. TechRadar
• Une fois “dans”, l’attaquant traverse latéralement, exfiltre des données, voire chiffre à la demande. Résultat : perte financière, réputation, temps d’arrêt.
• Aussi, dans une étude, 41 % des organisations ayant été attaquées via VPN avaient subi au moins deux attaques dans l’année. zscaler.com

Si votre parchemin de “VPN sûr depuis 2008” vous rassure encore — rappelez-vous que les pirates ne prennent pas la saison morte.

🚀 La solution claire pour passer du “Oui mais j’ai un VPN” au “Oui, on est ZTNA-ready”

Voici le plan d’action (sans bullshit) :

1. Faire l’état des lieux
   • Cartographiez quelles applications / ressources sont réellement utilisées à distance.
   • Identifiez qui y accède (employés, externes, partenaires), avec quels appareils, de où.
   • Interrogez-vous : “si un attaquant se connectait via ce VPN, que verrait-il ?”
2. Définir la politique ZTNA
   • “Accès à : application X pour l’utilisateur Y, depuis appareil conforme, depuis localisation autorisée.”
   • Refuser tout le reste par défaut. C’est simple : “deny by default”.
   • Implémenter l’authentification forte, idéalement liée à la posture de l’appareil (endpoint compliance).
3. Déployer la solution
   • Mettre en place un vendor ZTNA (cloud ou on-prem selon contexte) ou gateway distribuée.
   • Commencer par les applications “sensibles” et les accès distants critiques.
   • Garder le VPN pour un périmètre très restreint/transitoire si absolument nécessaire, et prévoir son arrêt progressif.
4. Surveiller, affiner, répéter
   • Mise en place de logs, d’alertes sur les tentatives d’accès non conformes, sur la latéralisation.
   • S’assurer que les accès sont révoqués dès que l’employé change de poste, de statut ou quitte l’entreprise.
   • Revisiter régulièrement la politique : nouveau cloud ? nouvelle application SaaS ? nouveau partenaire ?
5. Changer la culture
   • Arrêter de penser “on a un VPN = on est sûr”.
   • Communiquer aux parties prenantes : sécurité = business ; perdre un accès ou un tunnel ne doit pas être un frein, mais un signal.
   • Former sur les bonnes pratiques (MFA, posture, phishing) : le ZTNA ne remplace pas tout.

🎉 Conclusion (oui, je suis d’humeur optimiste)

Votre VPN, c’était bien. Mais en 2025 ? Il ressemble à une relique du passé. Si vous voulez vraiment sécuriser votre entreprise, rapatrier les bonnes pratiques et anticiper l’attaque qui dort derrière la porte : adoptez Zero Trust Network Access (ZTNA). Pas parce que c’est “tendance”, mais parce que c’est logique : accès minimal, contrôle maximal, visibilité accrue. Ceux qui mettent ça en œuvre aujourd’hui ne donneront pas à un attaquant “le tunnel de 1998” à exploiter.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com