Comprendre les différents types de VPN : lequel vous convient le mieux ?

Cuong Do DaiUpdated: Apr. 14, 2025

Introduction aux Types de VPN

Les Réseaux Privés Virtuels (VPN) existent sous différentes formes adaptées à des besoins divers. Certains VPN sont définis par leur utilisation (connexion d’utilisateurs individuels ou de réseaux entiers), tandis que d’autres sont définis par la technologie ou les protocoles qu’ils utilisent en arrière-plan. Cet article explore les principaux types de VPN, en expliquant ce que chacun est, comment il fonctionne, ses avantages et inconvénients, les meilleurs cas d’utilisation et des exemples. À la fin, vous aurez une idée claire du type de VPN qui convient à quel scénario.

Avant de plonger dans les détails, voici un aperçu rapide des principaux types de VPN que nous allons couvrir :

VPN d’accès à distance : connecte des utilisateurs individuels (clients) en toute sécurité à un réseau privé (par exemple, le réseau interne d’une entreprise).
VPN site à site : connecte des réseaux entiers (par exemple, deux réseaux locaux d’entreprise) via Internet, souvent utilisé pour fusionner plusieurs sites en un seul réseau privé.
VPN personnel : service VPN commercial à usage individuel, chiffrant votre trafic Internet et masquant votre adresse IP (ne permettant pas d’accéder à un réseau privé d’entreprise).
VPN mobile : VPN conçu pour rester stable et connecté lorsque l’appareil d’un utilisateur se déplace sur différents réseaux ou change de type de connexion (Wi-Fi, cellulaire, etc.).
VPN cloud : VPN fourni via une infrastructure cloud, permettant un accès sécurisé aux ressources cloud ou utilisant le cloud comme infrastructure VPN pour les connexions distantes et sur site.
VPN matériel : dispositif VPN dédié qui gère les fonctions VPN de manière indépendante, souvent utilisé par les entreprises pour des raisons de performance et de sécurité. VPN SSL : VPN utilisant les protocoles SSL/TLS (Secure Sockets Layer/Transport Layer Security) (généralement via un navigateur web ou un client léger) pour sécuriser la connexion.
VPN MPLS : VPN fourni sur le réseau MPLS (Multi-Protocol Label Switching) d’un opérateur, généralement destiné aux entreprises nécessitant une connectivité privée fiable et gérée avec une qualité de service optimale.
VPN L2TP : Un VPN qui utilise le Protocole de Tunneling de Couches 2, généralement combiné avec IPsec pour le cryptage, afin de former des tunnels sécurisés (souvent supporté sur de nombreux dispositifs).

VPN Personnel (VPN Consommateur)

Qu’est-ce que c’est : Un VPN Personnel (également connu sous le nom de VPN Consommateur ou Service VPN Commercial) est le type de VPN que vous voyez souvent annoncé pour les utilisateurs individuels. Des services comme ExpressVPN, NordVPN ou ProtonVPN font partie de cette catégorie. Contrairement aux VPN d’entreprise, un VPN personnel ne vous connecte pas à un intranet privé ; au lieu de cela, il connecte votre appareil au serveur d’un fournisseur VPN, et à partir de là, vers Internet. L’objectif est généralement de chiffrer votre trafic Internet personnel et de masquer votre adresse IP/emplacement en utilisant le serveur VPN comme intermédiaire. Les VPN personnels sont principalement utilisés pour la vie privée, la sécurité et la liberté en ligne des utilisateurs finaux.

Comment cela fonctionne : Vous vous abonnez à un service VPN et installez leur application client VPN (sur votre ordinateur, téléphone, etc.). Lorsque vous vous connectez, l’application établit un tunnel crypté entre votre appareil et l’un des serveurs VPN du fournisseur (vous pouvez généralement choisir un serveur dans le pays de votre choix). Tout votre trafic Internet est ensuite acheminé à travers ce tunnel vers le serveur VPN en premier. Le serveur VPN, à son tour, décrypte votre trafic et le transmet au site Web ou au service cible sur Internet. De l’extérieur, il semble que le trafic provient du serveur VPN, et non de votre appareil/réseau réel. Par exemple, si vous vous connectez à un serveur VPN au Canada, les sites Web penseront que vous visitez depuis le Canada, même si vous êtes physiquement en Espagne. Les VPN personnels utilisent souvent des protocoles comme OpenVPN, IKEv2 ou WireGuard, qui sont bien adaptés pour des connexions rapides et un chiffrement fort. Le fournisseur VPN exploite généralement de nombreux serveurs dans différentes régions, et votre application cliente vous permet de choisir ou de sélectionner automatiquement le serveur en fonction de la vitesse.

Avantages :

Confidentialité et anonymat : Un VPN personnel masque votre véritable adresse IP aux sites web que vous consultez, et même à votre fournisseur d’accès à Internet (FAI). Toutes vos données sont chiffrées en transit, empêchant ainsi les intrus sur le réseau (par exemple, sur les réseaux Wi-Fi publics ou chez votre FAI) de voir ce que vous faites en ligne. C’est idéal pour les utilisateurs soucieux de leur vie privée.
Contournement des restrictions géographiques et de la censure : Comme vous pouvez sembler vous trouver dans un autre pays, les VPN personnels sont largement utilisés pour accéder à des contenus restreints. Par exemple, vous pouvez utiliser un VPN pour regarder du contenu en streaming non disponible dans votre pays ou pour utiliser des services censurés localement. C’est également un outil permettant aux personnes soumises à des régimes restrictifs d’accéder à Internet ouvert.
Sécurité sur les réseaux non fiables : Lorsque vous voyagez ou utilisez le Wi-Fi d’un café, votre VPN personnel chiffre votre trafic web (sites web, e-mails, chats) afin que, même en cas de compromission du Wi-Fi, les pirates ne voient que les données brouillées. Il ajoute une couche de protection pour la navigation quotidienne (attention, il ne protège pas contre les logiciels malveillants sur votre appareil).
Convivial : Les applications VPN commerciales sont généralement des solutions en un clic : elles gèrent automatiquement les clés, les protocoles et les serveurs. Aucune connaissance technique approfondie n’est requise. Elles offrent souvent des fonctionnalités supplémentaires comme des kill switchs (qui coupent votre connexion Internet en cas de coupure du VPN, afin d’éviter les fuites) et des bloqueurs de publicités.
Aucune configuration d’entreprise requise : Tout le monde peut s’inscrire et utiliser un VPN personnel ; il n’est pas nécessaire d’appartenir à une organisation ni de disposer d’une configuration réseau particulière.

Inconvénients :

Confiance envers le fournisseur : Lorsque vous utilisez un VPN personnel, vous acheminez tout votre trafic via ses serveurs. Vous devez avoir confiance en ce fournisseur : il ne consignera ni n’utilisera vos données à mauvais escient. Un VPN peu fiable pourrait détecter votre trafic non chiffré lorsqu’il quitte son serveur ou conserver des traces de vos activités en ligne. Les fournisseurs réputés appliquent des politiques de non-journalisation et sont soumis à des audits, mais ce compromis de confiance est important à noter.
Coût : Bien qu’il existe des VPN gratuits, ils présentent souvent des limitations importantes ou des problèmes de confidentialité (certains sont connus pour vendre des données utilisateur ou injecter des publicités). Les bons services VPN personnels facturent des frais d’abonnement (mensuels ou annuels). Ce coût est à la charge de l’utilisateur, généralement de l’ordre de quelques dollars par mois.
Performances : L’utilisation d’un VPN ralentit généralement légèrement votre connexion. Vos données font un détour (vers le serveur VPN) et sont chiffrées/déchiffrées. Les meilleurs VPN disposent de réseaux rapides où les utilisateurs ne constatent qu’une légère baisse de vitesse (environ 10 à 20 %), mais sur des services plus lents, la baisse peut être significative. Une latence élevée peut également affecter des activités comme les jeux en ligne.
Pas d’accès au réseau interne : Contrairement aux VPN d’accès distant, un VPN personnel ne vous donne pas accès, par exemple, à l’intranet de votre entreprise ou à votre NAS personnel (sauf si vous configurez votre propre serveur VPN à domicile). Il sert uniquement à sécuriser votre trafic internet et à modifier votre localisation apparente. Autrement dit, les VPN personnels vous connectent au réseau du fournisseur VPN, et non à votre propre réseau privé.
Blocages de services potentiels : Certains services de streaming ou sites web tentent activement de bloquer les adresses IP VPN. Les utilisateurs peuvent constater que certains sites ne fonctionnent pas tant qu’ils n’ont pas déconnecté le VPN. Ce jeu du chat et de la souris implique parfois de devoir changer de serveur ou de fournisseur pour contourner les blocages.

Best use cases: Personal VPNs are best for individuals who want online privacy or need to get around content restrictions. Key examples:

Un journaliste ou un militant dans un pays où la surveillance d’Internet est stricte utilise un VPN pour communiquer et naviguer en toute sécurité.
Un voyageur utilise un VPN pour regarder ses séries Netflix préférées depuis son pays d’origine à l’étranger.
Un employé d’un café utilise un VPN pour chiffrer son trafic afin que les autres utilisateurs du Wi-Fi public ne puissent pas espionner ses données.
Toute personne souhaitant éviter que son FAI ou son gouvernement ne surveille facilement sa navigation sur Internet peut utiliser un VPN comme protection de base. Il est également utile aux joueurs pour éviter les attaques DDoS en masquant leur adresse IP et pour naviguer en toute tranquillité.

Exemples : Le marché regorge de fournisseurs de VPN personnels. Parmi les plus populaires, on trouve ExpressVPN, NordVPN, Surfshark, CyberGhost, Proton VPN et PIA (Private Internet Access). Chacun propose des applications pour différents appareils (Windows, Mac, iOS, Android, etc.) et généralement une variété de serveurs dans le monde entier. Par exemple, NordVPN exploite des milliers de serveurs dans plus de 50 pays, et l’utilisateur peut basculer entre eux pour trouver la vitesse optimale ou la localisation souhaitée. Proton VPN, par exemple, propose même une offre gratuite avec des vitesses limitées mais une confidentialité renforcée (utile pour ceux qui ne peuvent pas payer). Il a été salué pour ne pas nécessiter d’adresse e-mail pour utiliser l’offre gratuite. Les services de VPN personnels présentent également souvent leurs protocoles, par exemple la prise en charge du dernier protocole WireGuard pour de meilleures performances.

En résumé, les VPN personnels privilégient la simplicité d’utilisation et une sécurité Internet étendue pour les particuliers. Ils sont devenus très répandus : on estime que des centaines de millions de personnes dans le monde utilisent désormais des VPN à des fins personnelles (notamment après des événements marquants qui ont sensibilisé les utilisateurs à la protection de la vie privée). Ils sont différents des VPN professionnels : ils sont considérés comme un outil de confidentialité plutôt que comme un outil permettant de se connecter à un réseau privé spécifique.

VPN mobile

Description : Un VPN mobile est un type de VPN spécifique, conçu pour les utilisateurs d’appareils mobiles susceptibles de se déplacer entre différents réseaux ou de perdre leur connexion par intermittence. La principale différence entre un VPN mobile et un VPN d’accès à distance traditionnel réside dans le fait qu’une session VPN mobile persiste même si la connexion réseau sous-jacente change ou est temporairement interrompue. Ces fonctionnalités sont essentielles pour les travailleurs sur le terrain, les premiers intervenants ou toute personne ayant besoin d’une connexion permanente en déplacement. Prenons l’exemple d’un policier utilisant un ordinateur portable dans une voiture de patrouille : pendant qu’il conduit, son appareil peut passer d’un réseau cellulaire à un point d’accès Wi-Fi et inversement ; un VPN mobile maintient la session sécurisée active de manière transparente pendant ces transitions.

Fonctionnement : Dans un VPN mobile, le serveur VPN se trouve à la périphérie du réseau de l’organisation, comme pour un accès à distance classique, mais le client est conçu pour gérer l’itinérance. Lorsque vous vous connectez à un client VPN mobile, le serveur VPN lui attribue une adresse IP logique (parfois appelée IP virtuelle). Cette adresse IP reste sur l’appareil, quelle que soit la méthode de connexion. Le logiciel VPN mobile maintient le tunnel vers le serveur malgré les changements de réseau : si vous passez du cellulaire au Wi-Fi, le tunnel est rétabli sur le nouveau réseau, mais votre session sur le serveur VPN (identifiée par l’IP logique ou un jeton) continue. Le serveur ne la considère pas comme une nouvelle connexion ; la session (et les sessions d’application qu’elle contient) n’a donc pas besoin de redémarrer. Les VPN mobiles s’appuient souvent sur des protocoles ou des extensions prenant en charge la mobilité, comme IKEv2 avec MOBIKE (Mobilité et Multihoming) ou des solutions propriétaires. Ils peuvent également utiliser des messages de maintien de connexion pour détecter rapidement les changements de réseau et rétablir les tunnels. Il est important de noter qu’un VPN mobile n’interrompt pas votre session en cas de changement d’IP ou de perte momentanée du signal ; il est conçu pour le tolérer.

Avantages :

Connectivité fluide : Comme indiqué précédemment, le principal avantage réside dans le maintien d’une connexion continue. Un véritable VPN mobile vous accompagne lors de vos déplacements. Même si vous prenez un ascenseur (perte de signal temporaire) ou passez du Wi-Fi domestique aux données mobiles, vous n’avez pas besoin de vous reconnecter ni de perdre votre travail. Le tunnel VPN se reconnecte automatiquement et continue.
Fiabilité améliorée pour les travailleurs mobiles : Pour les équipes d’urgence, les techniciens de réparation ou toute personne se trouvant dans un véhicule, cela signifie que leurs applications (logiciels de répartition, bases de données distantes, etc.) restent connectées. Cela réduit la frustration liée aux cycles constants de déconnexion/reconnexion du VPN, contrairement à un VPN classique en déplacement.
Mobilité indépendante de l’appareil : Un VPN mobile ne s’adresse pas uniquement aux téléphones portables. Il s’agit de la mobilité de l’utilisateur. Vous pouvez installer un client VPN mobile sur un ordinateur portable, une tablette ou un téléphone, c’est-à-dire sur tout appareil susceptible de changer fréquemment de réseau. L’avantage est le même : la persistance de la session.
Sécurité des données en déplacement : Comme tout VPN, il chiffre le trafic. Particulièrement pour les travailleurs mobiles, cela garantit que leur connexion au siège reste sécurisée, qu’ils soient connectés à la 4G, au Wi-Fi d’un hôtel ou à un point d’accès public.
Flexibilité d’authentification : les clients VPN mobiles prennent souvent en charge diverses méthodes d’authentification adaptées au déploiement sur le terrain (par exemple, certificats, jetons, biométrie), pour une connexion simple et sécurisée, où que vous soyez.

Inconvénients :

Configuration client et serveur complexe : Les solutions VPN mobiles peuvent être plus complexes à mettre en œuvre. Tous les serveurs VPN standard ne prennent pas en charge l’itinérance transparente dès le départ. Un logiciel spécialisé (ou des modules supplémentaires comme MOBIKE pour IPsec) peut être nécessaire. De même, le logiciel client doit la prendre en charge ; toutes les applications VPN de votre téléphone ne préservent pas le tunnel en cas de changement de réseau.
Surcharge de performances : Maintenir une session active nécessite que le client gère les reconnexions en arrière-plan. Une brève interruption du trafic peut survenir lors des changements de réseau, et si les changements sont fréquents, cela peut légèrement impacter les applications en temps réel. De plus, la nécessité de maintenir une adresse IP logique via le serveur VPN peut introduire un saut de routage supplémentaire, même sur un réseau « correct », ce qui peut légèrement réduire le débit par rapport à une connexion directe en mode stationnaire.
Consommation de batterie et de données : Sur les appareils mobiles, avoir un VPN actif en permanence et négocier des connexions peut consommer davantage de batterie. De plus, les VPN mobiles envoient souvent des pings de maintien de connexion pour surveiller l’état de la connexion, ce qui consomme un peu de données au fil du temps (bien que généralement négligeable par rapport à une utilisation normale).
Disponibilité : Peu de fournisseurs proposent des fonctionnalités de « VPN mobile ». De nombreux services VPN personnels, par exemple, ne maintiennent pas réellement la session lors des sauts de réseau ; ils se reconnectent simplement sur un nouveau réseau, ce qui convient parfaitement à la plupart des utilisateurs. Les véritables VPN mobiles sont généralement présents dans les solutions d’entreprise (NetMotion, Cisco AnyConnect dans certains modes, etc.). Cela peut limiter les choix ou entraîner un coût plus élevé.
Limites de la gestion des transitions : En cas de fluctuations très fréquentes de la connectivité, même un VPN mobile peut rencontrer des difficultés. De plus, si l’adresse IP change radicalement (par exemple, lors d’un déplacement vers un réseau qui bloque le port du VPN), il peut ne pas être en mesure de maintenir la même session.

Best use cases: Mobile VPNs shine in any scenario where the user’s network connectivity is expected to change or be intermittent, yet they need a continuous secure connection. Some examples:

Sécurité publique et premiers intervenants : policiers, pompiers, ambulances équipées d’ordinateurs portables nécessitant l’accès à des bases de données criminelles ou à des dossiers médicaux lors de leurs déplacements.
Personnel des transports en commun ou chauffeurs-livreurs : toute personne utilisant une tablette pour enregistrer des informations tout en utilisant des données mobiles susceptibles de tomber en panne dans les tunnels, etc.
Ingénieurs de terrain : par exemple, un technicien entrant et sortant d’un bâtiment, alternant entre le Wi-Fi du bureau et les données mobiles tout en conservant une connexion sécurisée aux systèmes.
Unités militaires ou de recherche en extérieur : dans des environnements où les liaisons réseau commutent (satellite, cellulaire, etc.), mais où les opérations ne peuvent se permettre d’interrompre les connexions. Même les voyageurs d’affaires peuvent en bénéficier : imaginez quitter votre Wi-Fi personnel, monter dans un taxi 4G, puis vous connecter au Wi-Fi de l’aéroport – un VPN mobile pourrait assurer la continuité de votre VPN d’entreprise pendant tout ce temps.

Exemples : NetMotion Mobility (désormais intégré à Absolute Software) est un exemple bien connu de solution VPN mobile, spécifiquement axée sur la connectivité des équipes mobiles. Elle attribue une adresse IP virtuelle à l’appareil et maintient les sessions actives lorsque celui-ci se déplace entre les réseaux. Un autre exemple est l’utilisation du protocole IKEv2/IPsec avec MOBIKE activé ; de nombreux serveurs et clients VPN modernes (Microsoft RRAS, strongSwan, etc.) le prennent en charge. Sous Windows, le client VPN intégré utilisant IKEv2 tentera de rétablir le tunnel en cas de changement de réseau (en utilisant les mêmes paramètres de session IKEv2, grâce à MOBIKE). Côté consommateur, le concept de « VPN permanent » sur Android ou iOS est indirectement lié : il garantit la reconnexion automatique de votre VPN, mais pas nécessairement la persistance des sessions comme c’est le cas avec un véritable VPN mobile. OpenVPN propose une option « persist-tun » qui facilite la reprise de la connectivité. Certaines solutions plus récentes, comme Speedify, se présentent comme combinant plusieurs connexions (Wi-Fi + cellulaire) pour plus de vitesse et une commutation fluide – un VPN mobile optimisé pour la liaison des connexions.

Il est important de noter qu’une personne lambda utilisant un VPN sur son téléphone (par exemple, une application VPN personnelle) n’utilise pas forcément un VPN mobile au sens strict : s’il change de réseau, il peut être amené à se reconnecter. Cependant, certaines applications offrent des performances de reconnexion fluides améliorées. Dans les situations critiques, une technologie VPN mobile dédiée est utilisée pour garantir l’absence de perte de session.

VPN Cloud

Description : Un VPN Cloud désigne des services ou une infrastructure VPN fournis via des plateformes cloud. Au lieu d’utiliser du matériel ou des serveurs VPN traditionnels sur site, un VPN Cloud est hébergé dans le cloud et souvent géré par un fournisseur. Il peut connecter les utilisateurs à des ressources cloud, voire à des réseaux entiers, en utilisant le cloud comme intermédiaire. Face à l’augmentation du nombre d’entreprises hébergeant leurs données et services dans des clouds publics ou hybrides, les VPN Cloud ont émergé pour relier en toute sécurité ces environnements cloud aux utilisateurs ou à d’autres réseaux. En termes plus simples, il s’agit d’un VPN qui utilise une infrastructure réseau cloud pour fournir une connectivité sécurisée.

Fonctionnement : Plusieurs scénarios sont possibles :

Site-à-Cloud : Similaire au site-à-site, mais un « site » est un réseau cloud. Par exemple, vous établissez un VPN entre la passerelle de votre bureau et une passerelle VPN dans AWS ou Azure. Ce tunnel sécurisé (souvent IPsec) permet à votre réseau local de communiquer avec votre VPC cloud comme s’il s’agissait d’une autre succursale. Les fournisseurs de cloud proposent des points de terminaison VPN (comme AWS VPN Gateway ou Google Cloud VPN) qui terminent le VPN dans leur cloud.
Accès à distance via le cloud : Au lieu d’avoir le serveur VPN dans le centre de données de votre bureau, vous utilisez un service VPN hébergé dans le cloud. Les utilisateurs distants se connectent à une passerelle VPN exécutée dans le cloud, qui a ensuite accès à votre réseau d’entreprise ou à vos ressources cloud. En résumé, le concentrateur VPN est externalisé dans le cloud. Cela permet de réduire la charge sur le matériel local et de tirer parti de la présence mondiale du cloud pour de meilleures performances.
VPN en tant que service : Certains fournisseurs (par exemple, Perimeter 81, Zscaler, Cisco Meraki) proposent un service VPN entièrement géré dans le cloud. Les utilisateurs se connectent au point de présence cloud le plus proche du fournisseur ; de là, ils sont redirigés vers Internet (comme un VPN personnel, mais axé sur l’entreprise avec un contrôle centralisé) ou vers l’environnement de l’entreprise. Le cloud gère la scalabilité, la gestion des utilisateurs et même l’interconnexion de plusieurs sites via le réseau du fournisseur.

Dans tous les cas, la caractéristique principale est que le gros du chiffrement et du routage du trafic est effectué dans l’infrastructure cloud. Par exemple, Google Cloud VPN vous permet de configurer un tunnel VPN entre votre routeur local et la passerelle VPN de Google dans votre projet GCP. Les données entre eux sont chiffrées sur Internet, et Google gère la haute disponibilité. Les VPN cloud utilisent généralement des protocoles standard (IPsec, SSL/TLS), mais la différence réside dans l’emplacement du serveur et son mode de gestion.

Avantages :

Accessibilité et évolutivité mondiales : Grâce au cloud, les utilisateurs peuvent souvent se connecter de n’importe où grâce à des routes optimisées. De nombreux services VPN cloud disposent de plusieurs passerelles dans le monde. Un utilisateur distant peut donc se connecter à une région proche, puis être redirigé vers les ressources via le réseau principal du cloud. Cela permet d’améliorer la latence par rapport à un serveur VPN unique sur site. De plus, l’ajout de capacité (plus de bande passante, plus d’utilisateurs) est plus simple : vous pouvez souvent faire évoluer les instances cloud ou ajouter des passerelles à la demande.
Maintenance sur site réduite : Aucun appareil physique à installer ou à maintenir. Pour les entreprises déjà fortement implantées dans le cloud, le déploiement d’un VPN cloud s’intègre parfaitement à leur modèle d’infrastructure en tant que code et d’externalisation. Les mises à jour, les correctifs et la disponibilité peuvent être gérés par le fournisseur.
Accès direct et sécurisé aux ressources cloud : Si vos bases de données ou applications sont hébergées dans le cloud, un VPN cloud est un moyen naturel de garantir un accès sécurisé sans transiter par un site central. Les utilisateurs peuvent se connecter directement au VPN de l’environnement cloud et accéder aux ressources de ce cloud. C’est idéal pour les équipes distribuées accédant, par exemple, à une application hébergée sur AWS.
Prise en charge des équipes dispersées : Les VPN cloud sont parfaitement adaptés aux entreprises sans bureau fixe. Par exemple, une entreprise entièrement distante peut disposer d’un réseau virtuel dans le cloud auquel tous les employés se connectent, plutôt que d’avoir un centre de données. Tant qu’une connexion Internet est disponible, ils peuvent se connecter en toute sécurité depuis n’importe quel endroit.
Haute disponibilité et fiabilité : Les grands fournisseurs de cloud offrent une infrastructure robuste. Une passerelle VPN cloud peut être dotée d’une redondance intégrée entre les centres de données, ce qui peut réduire les temps d’arrêt par rapport à un serveur unique sur site. De plus, le trafic circulant sur le réseau du fournisseur de cloud (après l’entrée au VPN) peut bénéficier de la qualité de service et de la fiabilité de son infrastructure.
Tarifs OPEX : Au lieu de coûts matériels initiaux, les VPN cloud peuvent être facturés mensuellement (sous forme de forfait ou à l’utilisation). Cela peut être avantageux économiquement, ou au moins transférer les coûts vers les dépenses opérationnelles.

Inconvénients :

Dépendance à un fournisseur tiers : Vous dépendez d’un fournisseur ou d’un service cloud pour votre infrastructure de sécurité critique. Les pannes ou problèmes de leur côté peuvent impacter votre VPN. De plus, confier votre accès sécurisé à un cloud tiers implique de garantir l’excellence de ses pratiques de sécurité.
Accès Internet requis : Bien entendu, un VPN cloud nécessite une connexion Internet pour tous les sites et utilisateurs. En cas de panne, vous ne pouvez pas recourir à une liaison point à point directe. Pour les configurations entièrement cloud, cela convient, mais dans certains cas (comme deux bureaux dans la même ville), une liaison directe peut offrir une latence plus faible que les deux allers-retours vers le cloud.
Complexité de l’intégration : La configuration de VPN site-à-cloud peut impliquer de travailler avec la configuration d’un fournisseur cloud, ce qui peut être nouveau pour les ingénieurs réseau traditionnels. Chaque cloud a ses propres outils et spécificités. De plus, si vous utilisez un service géré dans le cloud comme Perimeter 81, vous devez l’intégrer à votre gestion des identités, définir des règles de routage vers vos réseaux internes, etc. Ce n’est pas compliqué, mais c’est un paradigme différent.
Coûts de transfert de données : Les fournisseurs de cloud facturent souvent la sortie des données. Si vous transférez beaucoup de trafic via un VPN cloud (notamment depuis le cloud vers les utilisateurs), vous pourriez encourir des frais de bande passante. Cela peut rester moins cher que les lignes MPLS, mais c’est un point à surveiller.
Goulets d’étranglement potentiels en termes de performances : Bien que le cloud puisse évoluer, une instance VPN cloud mal configurée ou sous-dimensionnée peut devenir un goulot d’étranglement. De plus, le trafic peut emprunter des chemins plus longs : par exemple, si un utilisateur situé dans la même ville que le siège social est contraint de se connecter via une passerelle VPN cloud dans une autre région, puis de revenir au bureau, il s’agit d’un trafic indirect (bien que l’architecture soit généralement conçue pour éviter ce type de « hairpining »).

Best use cases: Cloud VPNs are ideal for modern cloud-first organizations. Key examples:

A company with most of its infrastructure in AWS and a small headcount might not want to host any VPN servers on-prem. Instead, they use AWS Client VPN (an AWS-managed OpenVPN service) to let employees securely access AWS resources and even VPCs across regions.
A multi-site enterprise that’s migrating to cloud can use site-to-cloud VPNs during the transition – linking the on-premises data center with the new cloud environment securely over the internet. This creates a hybrid cloud connectivity.
Startups or remote-first companies that don’t have an office at all: using a service like Perimeter 81’s Cloud VPN, all employees connect to Perimeter81’s network and from there get secure access to shared cloud services and the internet. This provides centralized security (like a virtual office in the cloud).
Organizations looking for quick global VPN presence: e.g. an enterprise that has users in Asia, Europe, and America might deploy cloud VPN gateways in each region so employees connect to the nearest one, improving speeds compared to all going to a single US-based VPN server. The cloud provider’s backbone then links those VPN hubs.
Temporary or scalable needs: if you need a VPN for a short project or seasonally higher loads, spinning up a cloud VPN appliance for a few months is easier than procuring hardware.

Exemples : Les principales plateformes cloud proposent leurs propres offres VPN. Google Cloud VPN et AWS Site-to-Site VPN vous permettent d’établir des tunnels IPsec entre votre routeur local et le cloud. AWS propose également Client VPN, un service OpenVPN entièrement géré pour l’accès distant des utilisateurs. Azure VPN Gateway offre également des fonctionnalités point à site (utilisateur vers Azure) et site à site. Côté SaaS, Perimeter 81 (soutenu par Check Point) propose un service VPN géré dans le cloud permettant de configurer des « passerelles virtuelles » dans différents emplacements à travers le monde et de gérer l’accès des utilisateurs de manière centralisée. OpenVPN Cloud est un autre service d’OpenVPN Inc. qui propose un VPN hébergé dans le cloud sans avoir à gérer le serveur vous-même.

Un chiffre concret illustre l’essor des VPN cloud : en 2022, le segment « VPN cloud » représentait environ 73 % du chiffre d’affaires du marché des VPN, ce qui indique que les entreprises adoptent rapidement les déploiements VPN cloud plutôt que les configurations traditionnelles. Cela inclut à la fois l’utilisation du cloud dans l’infrastructure VPN et l’adoption du VPN en tant que service pour faciliter l’accès.

En résumé, les VPN cloud font entrer le VPN dans l’ère du cloud computing, offrant flexibilité, portée mondiale et potentiellement simplification des opérations, notamment pour les entreprises qui font déjà confiance au cloud pour d’autres services.

VPN matériel

Description : Un VPN matériel est un périphérique physique dédié qui gère les fonctionnalités VPN. Contrairement à un logiciel VPN exécuté sur un serveur ou un PC à usage général, une appliance VPN matérielle est un boîtier dédié (souvent un routeur ou un pare-feu doté de fonctionnalités VPN) que vous connectez à votre réseau. Ces appareils sont souvent équipés de leurs propres processeurs pour les tâches de chiffrement, de systèmes d’exploitation renforcés et d’interfaces de gestion web. Ils sont couramment utilisés par les grandes entreprises pour les VPN site à site ou comme concentrateurs VPN centraux pour de nombreux clients d’accès distant.

Fonctionnement : Une appliance VPN matérielle se trouve généralement à la périphérie du réseau (comme votre passerelle). Par exemple, vous pouvez avoir un périphérique VPN matériel connecté à votre modem Internet ; Il chiffre/déchiffre le trafic et fait souvent office de pare-feu/routeur. Lorsque des utilisateurs distants se connectent, ils se connectent à cet appareil, qui les authentifie et les connecte au réseau. Pour une connexion site à site, deux appareils créent un tunnel entre eux. Grâce à son matériel spécialisé, il peut souvent gérer les opérations cryptographiques plus rapidement qu’un processeur de serveur classique (certains intègrent des ASIC pour le VPN). De nombreux VPN matériels prennent également en charge l’équilibrage de charge et les connexions simultanées dès leur installation, ce qui signifie qu’ils peuvent gérer un grand nombre de clients VPN ou plusieurs tunnels simultanément avec des performances stables. L’administration s’effectue généralement via une interface web ou une console sur l’appareil lui-même.

Avantages :

Sécurité et isolation renforcées : Un VPN matériel fonctionne sur son propre appareil, séparé des serveurs généraux. Cette isolation peut réduire la surface d’attaque (le système d’exploitation de l’appareil est généralement minimal et dédié aux tâches VPN). Il est moins vulnérable aux virus ou aux attaques de système d’exploitation classiques qu’un serveur Windows. Il peut également être doté d’une protection intégrée contre les falsifications. Il constitue ainsi une passerelle sécurisée dédiée.
Performances et fiabilité élevées : L’appareil étant exclusivement dédié au VPN (souvent en complément des fonctions de pare-feu), il peut être très efficace. De nombreux VPN matériels intègrent une accélération matérielle pour le chiffrement, ce qui signifie qu’ils peuvent augmenter le débit avec une latence réduite. Ils sont également souvent optimisés pour la stabilité et peuvent fonctionner longtemps sans problème. Si vous avez des centaines d’utilisateurs VPN ou des liens de sites à très haut débit, les VPN matériels peuvent souvent mieux gérer la charge qu’une solution logicielle d’entrée de gamme.
Équilibrage de charge et évolutivité : Les appliances milieu et haut de gamme peuvent répartir les connexions VPN sur plusieurs machines ou cœurs de processeur. Certaines appliances sont organisées en clusters pour assurer la redondance : en cas de panne de l’une d’elles, une autre prend le relais (haute disponibilité). Elles permettent également de répartir les utilisateurs entre plusieurs appareils, ce qui est idéal pour les grandes entreprises.
Gestion web : Presque tous les VPN matériels proposent une interface web ou un portail de gestion cloud permettant de configurer les paramètres VPN, les utilisateurs et de surveiller les connexions. Cela simplifie la gestion par rapport à la gestion des fichiers de configuration sur un serveur Linux, par exemple.
Fonctionnalités réseau tout-en-un : Souvent, une appliance VPN matérielle fait office de pare-feu, de routeur et de système de prévention des intrusions. Par exemple, de nombreux pare-feu UTM (Unified Threat Management) ou de nouvelle génération (Fortinet, Palo Alto, SonicWall, etc.) intègrent des fonctionnalités VPN. Vous bénéficiez ainsi d’une solution intégrée pour la sécurité de votre réseau.

Inconvénients :

Coût : Les VPN matériels peuvent être coûteux. Vous payez pour un équipement spécialisé et souvent un prix de marque élevé. Cela peut aller de quelques centaines de dollars pour un appareil destiné aux petites entreprises à des dizaines de milliers de dollars pour un châssis professionnel. De plus, les fournisseurs peuvent facturer des frais de licence par utilisateur ou des contrats de support. En raison de ce coût, les VPN matériels ne sont généralement viables que pour les grandes entreprises ou les succursales, lorsque l’investissement est justifié.
Moins de flexibilité : Si vous souhaitez modifier ou mettre à niveau votre appareil, vous êtes limité par les capacités de l’appareil. Augmenter la capacité peut nécessiter l’achat d’un nouvel appareil. Contrairement aux logiciels, que vous pouvez exécuter sur n’importe quel serveur (et rapidement évoluer dans le cloud, par exemple), le matériel est fixe. De plus, l’utilisation d’un appareil matériel vous lie dans une certaine mesure à l’écosystème et au calendrier de mise à jour du fournisseur.
Effort de déploiement : L’installation d’un appareil physique implique la gestion de l’alimentation, de l’espace rack et de la maintenance physique. Si vous avez plusieurs sites, vous avez besoin d’un appareil par site (ou cluster). L’expédition et l’installation des appareils à différents endroits peuvent représenter un défi logistique, tandis qu’un serveur VPN logiciel peut être configuré à distance.
Point de défaillance unique : À moins de déployer des unités redondantes, un VPN matériel unique constitue un point critique : en cas de panne, l’accès VPN est interrompu (bien que de nombreuses solutions atténuent ce problème avec une paire haute disponibilité).
Disparité des fonctionnalités : Il arrive que les appliances matérielles tardent à implémenter les protocoles les plus récents et performants. Par exemple, une appliance peut prendre en charge IPsec et peut-être OpenVPN, mais si un nouveau protocole comme WireGuard apparaît, vous risquez de ne pas l’obtenir avant que le fournisseur ne décide de l’intégrer au firmware (voire pas du tout). Les solutions logicielles peuvent adopter les nouveaux protocoles plus rapidement.

Best use cases: Hardware VPNs are well-suited for established organizations that need robust, always-on VPN services and can afford dedicated devices. Typical use cases:

Passerelle d’entreprise : Le siège social d’une entreprise peut disposer d’une appliance VPN gérant tous les accès distants des employés. Par exemple, une banque peut utiliser un concentrateur VPN haut de gamme Juniper ou Palo Alto pour mettre fin à des milliers de sessions VPN d’employés avec un chiffrement renforcé et une fiabilité 24h/24 et 7j/7.
Connectivité des succursales : Chaque succursale dispose d’un routeur VPN matériel plus petit qui se connecte automatiquement au siège via un VPN site à site. Des appliances telles que les routeurs Cisco ISR ou les appliances Meraki MX sont souvent utilisées à cet effet. Cela simplifie les déploiements : branchez le boîtier et il appellera chez vous via un VPN.
Accès partenaire sécurisé : Si vous autorisez un partenaire commercial à accéder à une partie de votre réseau, vous pouvez lui demander d’installer un périphérique VPN matériel qui se connecte au vôtre, plutôt que de configurer plusieurs comptes individuels. Ainsi, la connexion est au niveau du réseau et plus facile à surveiller.
Liaisons de centre de données à centre de données : Deux centres de données transmettant des volumes importants peuvent utiliser deux passerelles VPN matérielles (à haut débit) pour chiffrer le trafic entre les sites, en particulier si l’Internet public est utilisé comme moyen de transport de secours. Les périphériques matériels permettent d’obtenir des liaisons chiffrées multi-gigabits plus efficacement grâce à des puces spécialisées.
Organisations ayant des besoins de conformité : certains secteurs privilégient les solutions matérielles, notamment pour les modules de chiffrement conformes à la norme FIPS 140-2. De nombreux VPN matériels sont certifiés pour une utilisation dans les secteurs public et privé. Ils peuvent également s’intégrer plus directement aux modules de sécurité physique (comme les cartes à puce ou les jetons matériels).

Examples: Hardware VPN offerings abound:

Cisco – Des appareils comme Cisco ASA (Adaptive Security Appliance) et ses successeurs, les appliances Cisco Firepower, sont des dispositifs VPN/pare-feu largement utilisés. Un ASA peut prendre en charge simultanément les tunnels IPsec site à site et l’accès à distance via Cisco AnyConnect (SSL/IPsec).
Juniper – La série SRX de Juniper répond à des besoins similaires, tout comme les anciennes appliances Juniper Netscreen.
Fortinet FortiGate – Un pare-feu populaire intégrant des fonctionnalités VPN IPsec et SSL, souvent utilisé dans les entreprises distribuées.
SonicWall – Connu pour ses appliances pour PME offrant un VPN et une sécurité faciles à gérer.
WatchGuard, Palo Alto Networks et Check Point – proposent tous des appliances pouvant servir de hubs VPN.
Même les routeurs pour petites entreprises (comme certains modèles ASUS et Linksys) peuvent servir de serveur VPN matériel pour quelques utilisateurs. Bien que moins puissants, ils sont également considérés comme des implémentations VPN matérielles (le routeur fait le travail plutôt que votre PC).

Par exemple, une succursale peut être équipée d’un appareil Meraki MX64 ; le tableau de bord central est configuré pour établir automatiquement un tunnel VPN vers l’appliance Meraki du siège. L’administrateur peut surveiller ce tunnel via le cloud Meraki. Autre exemple : une université pourrait déployer une appliance VPN Pulse Secure ou F5 que les étudiants et les enseignants utilisent pour travailler à distance. Il s’agit souvent de passerelles VPN SSL spécialisées avec portails web (largement utilisées avant la généralisation des logiciels clients).

En résumé, les VPN matériels reposent sur un boîtier VPN dédié, offrant d’excellentes performances et une sécurité intégrée, au prix d’un prix plus élevé et d’une agilité réduite. Ils restent très courants dans les architectures réseau traditionnelles.

VPN SSL

Description : Un VPN SSL utilise le chiffrement SSL/TLS (la même technologie qui sécurise votre navigation web HTTPS) pour créer un tunnel sécurisé. Contrairement aux VPN IPsec qui fonctionnent au niveau réseau, les VPN SSL fonctionnent généralement au niveau transport ou application, utilisant TLS (la version moderne de SSL). Le terme « VPN SSL » désigne souvent spécifiquement les VPN accessibles via un navigateur web standard, exploitant les fonctionnalités SSL/TLS intégrées. De nombreuses organisations déploient des VPN SSL pour permettre un accès distant sans client : il suffit à l’utilisateur d’accéder à une page de connexion sur son navigateur, de s’authentifier, puis d’accéder à certaines applications web internes ou d’utiliser un client léger via ce portail. Un VPN SSL peut également désigner des VPN à tunnel complet utilisant TLS (comme OpenVPN). Ceux-ci nécessitent un logiciel client, mais utilisent le protocole TLS sur le port 443, ce qui est pratique pour traverser les pare-feu.

Fonctionnement : Les VPN SSL se présentent sous deux formes principales :

VPN SSL Portal : L’utilisateur se connecte via un navigateur web à une page web sécurisée HTTPS (le portail VPN) et s’identifie. Depuis cette page, il peut cliquer sur des liens vers des ressources internes (serveurs web, partages de fichiers via des interfaces web, etc.) qui sont acheminées par proxy via le portail. Le VPN est essentiellement basé sur un navigateur. Le trafic du navigateur vers ce portail est chiffré via SSL/TLS, et l’appliance VPN communique pour le compte de l’utilisateur avec les services internes. Il s’agit d’une connexion unique à un site web qui permet ensuite l’accès à plusieurs services via cette page.
VPN SSL Tunnel : Dans ce mode, le VPN peut démarrer via un navigateur, puis charger un composant actif (comme un client Java, ActiveX ou HTML5) ou utiliser un programme client local pour créer un tunnel plus polyvalent. Ce tunnel utilise SSL/TLS (port 443), mais peut prendre en charge plusieurs protocoles, pas seulement le web. Il permet, par exemple, d’exécuter le Bureau à distance ou d’autres applications via un tunnel chiffré que le navigateur seul ne pourrait pas acheminer. Cela nécessite souvent l’installation ou l’exécution d’un petit agent dans le navigateur. Une fois exécuté, il fonctionne comme un VPN classique, mais utilise TLS comme transport.
Dans les deux cas, le terme « VPN SSL » s’explique par le fait qu’il exploite la norme de chiffrement SSL/TLS largement répandue, prise en charge par tous les navigateurs web. Ainsi, les utilisateurs n’ont pas nécessairement besoin d’un client VPN spécifique ; un navigateur web suffit pour un accès de base. La communication s’effectue via le port TCP 443 (HTTPS), généralement ouvert sur les pare-feu (contrairement à certains ports IPsec qui peuvent être bloqués ou nécessiter une configuration complexe).

Les VPN SSL modernes utilisent en réalité TLS (SSL 3.0 étant obsolète), mais le terme persiste. Ils s’appuient sur la présentation par le serveur d’un certificat SSL (souvent émis par une autorité de certification de confiance) et l’établissement d’une session sécurisée avec le client. L’authentification des utilisateurs peut se faire par mot de passe, jeton à deux facteurs, etc., via l’interface web.

Avantages :

Aucun client spécifique requis (pour le mode portail) : les utilisateurs peuvent accéder au site depuis n’importe quel appareil doté d’un navigateur web standard. C’est idéal pour les prestataires tiers ou pour l’utilisation d’un ordinateur public : aucune installation de logiciel n’est nécessaire. L’accessibilité est ainsi simplifiée.
Fonctionne facilement à travers les pare-feu et le NAT : grâce à son protocole HTTPS, un VPN SSL peut généralement traverser la plupart des serveurs proxy, des périphériques NAT et des pare-feu sans problème. Cela ressemble à du trafic web normal. De nombreux réseaux d’entreprise qui bloquent les ports inconnus autorisent néanmoins le port 443, ce qui réduit le risque d’interruption d’un VPN SSL. C’est donc très pratique pour les utilisateurs de réseaux restrictifs.
Contrôle d’accès granulaire : en mode portail, notamment, les administrateurs ne peuvent exposer que certaines applications via le VPN. Par exemple, vous pouvez autoriser la messagerie électronique et un wiki interne via le VPN SSL, mais rien d’autre. Cette approche au niveau de la couche applicative peut réduire les risques, car les utilisateurs ne bénéficient pas d’un accès complet au réseau, mais uniquement à des services spécifiques.
Adapté au BYOD : si un employé utilise un appareil personnel ou un téléphone, il peut ne pas vouloir (ou être autorisé) installer un client VPN complet. Grâce à un VPN SSL, ils peuvent se connecter via un navigateur tout en utilisant une application web interne en toute sécurité. Cette flexibilité est utile dans divers environnements d’appareils.
Facilité de déploiement : Côté administrateur, la configuration d’un dispositif VPN SSL se résume souvent à la configuration des utilisateurs et des autorisations. Il n’y a pas de distribution de logiciel client (sauf en cas d’utilisation du mode tunnel, qui peut nécessiter l’installation unique d’un assistant). Cela simplifie le déploiement d’un VPN pour un large public (comme les étudiants ou les clients).
Chiffrement au niveau de la couche applicative : TLS fournit un canal fiable, authentifié et chiffré. Il s’agit d’une technologie éprouvée, dotée de bibliothèques et d’un support performants.

Inconvénients :

Accès limité en mode portail : En utilisant un portail web sans client, les utilisateurs ne peuvent généralement accéder qu’aux applications web ou à certains services proxy. Il se peut que les applications client/serveur complexes ou les protocoles LAN ne soient pas pris en charge. Par exemple, l’utilisation d’un client SSH ou d’un client de base de données via un VPN portail pur n’est pas simple, sauf si l’appliance dispose de proxys spécifiques.
Surcharge de performances : TLS sur TCP peut être légèrement moins efficace pour certains types de trafic qu’IPsec, qui peut utiliser UDP. De plus, si de nombreux utilisateurs interagissent via un portail web qui transcode ou proxy des données, le processeur de l’appliance VPN peut être sollicité de manière importante (réécriture d’URL, gestion des téléchargements de fichiers, etc.). En mode tunnel, les performances sont généralement bonnes (OpenVPN, par exemple, est un VPN SSL performant, bien qu’un peu plus lent que WireGuard/IPsec dans certains cas).
Compatibilité des navigateurs et composants : Les VPN SSL en mode tunnel qui s’appuient sur des plugins (comme les anciens VPN utilisant Java ou ActiveX) peuvent rencontrer des problèmes de compatibilité. Les VPN modernes sont passés au HTML5 ou à des agents légers, mais des problèmes peuvent encore survenir, notamment lorsque les navigateurs deviennent plus stricts quant à l’autorisation des plugins considérés comme « risqués ».
Sécurité des machines clientes : L’avantage de l’accès sans client peut également présenter un inconvénient : si quelqu’un se connecte à un portail VPN SSL depuis un ordinateur non géré ou public, il existe un risque de laisser des traces (données mises en cache, téléchargements, etc.). De nombreux VPN SSL tentent d’atténuer ce risque avec des options telles que des nettoyeurs de cache ou des politiques de temporisation, mais le risque d’utiliser un point de terminaison moins sécurisé persiste.
Pas de tunnel réseau complet (sauf en cas d’utilisation d’un agent) : Si un accès réseau complet est requis (par exemple, pour mapper des lecteurs réseau ou utiliser des applications non web), un client léger ou un agent est requis, ce qui revient au domaine des clients logiciels. À ce stade, l’avantage par rapport à IPsec réside principalement dans la facilité de traversée du pare-feu et, potentiellement, dans une expérience utilisateur plus simple, mais un logiciel client est nécessaire (même s’il est fourni à la volée via un navigateur).

Cas d’utilisation idéaux : Les VPN SSL sont parfaitement adaptés à l’accès à distance à des applications spécifiques pour des utilisateurs répartis sur divers terminaux.

Accès des prestataires ou des partenaires : Plutôt que de fournir à un prestataire un VPN complet sur votre réseau, vous pouvez lui fournir un portail web VPN SSL qui n’affiche que l’application dont il a besoin. Cela limite l’exposition et évite toute configuration complexe de sa part.
Accès des employés depuis leurs appareils personnels : Si un employé a besoin de consulter rapidement un document depuis son ordinateur personnel, un portail VPN SSL lui permet de se connecter en toute sécurité, par exemple, à l’intranet de l’entreprise sans installer de logiciel VPN d’entreprise sur son ordinateur personnel.
Déploiements à grande échelle : Les universités utilisent souvent des VPN SSL pour permettre aux étudiants d’accéder à distance aux ressources de la bibliothèque ou aux laboratoires. L’étudiant se connecte simplement au portail, se connecte avec ses identifiants de campus et lance éventuellement un tunnel client Java pour accéder aux machines des laboratoires ou aux bases de données de la bibliothèque.
Réseaux très restrictifs : Si les utilisateurs se trouvent dans des environnements tels que des hôtels, des centres de conférence ou des pays étrangers qui bloquent les VPN, un VPN SSL peut souvent passer, car il ressemble à du trafic HTTPS normal. Ceci est utile pour les voyageurs d’affaires qui pourraient trouver leur VPN IPsec d’entreprise bloqué, mais le VPN SSL de secours (sur le port 443) fonctionne. Exigence de sécurité au niveau de la couche applicative : certaines organisations préfèrent que les utilisateurs distants n’utilisent qu’un ensemble d’applications plutôt qu’un accès complet au réseau. Un portail VPN SSL garantit cette sécurité par conception.

Exemples : De nombreuses solutions VPN d’entreprise offrent la fonctionnalité VPN SSL. Voici quelques exemples :

Pulse Connect Secure (anciennement Juniper) – un dispositif VPN SSL réputé offrant des options de portail web et de tunnel complet. Les utilisateurs peuvent se connecter via un navigateur pour accéder aux applications web ou lancer une applet Java pour un accès plus large.
Cisco ASA/Firepower – propose une fonctionnalité « VPN SSL sans client » pour l’accès au portail, ainsi qu’un client AnyConnect compatible SSL/TLS pour le tunnel (il s’agit donc d’un VPN SSL en mode client).
Palo Alto GlobalProtect – principalement un VPN basé sur des agents compatible SSL/TLS (et IPsec en arrière-plan), mais doté également de fonctionnalités de portail pour des applications spécifiques.
OpenVPN – OpenVPN est essentiellement un protocole VPN SSL (il utilise TLS). Il nécessite un programme client, mais il est très populaire pour les VPN grand public et professionnels. De nombreux protocoles personnalisés de fournisseurs de VPN personnels (comme NordLynx de NordVPN, qui est en réalité WireGuard, mais d’autres proposent des protocoles personnalisés basés sur TLS) utilisent un tunneling TLS similaire.
Fortinet FortiGate – dispose d’un portail web pour VPN SSL et du FortiClient pour un tunnel complet. Le portail Fortinet permet des sessions RDP via un navigateur, par exemple en lançant une applet Java.
Check Point – propose également une solution VPN SSL, souvent axée sur l’accès des utilisateurs mobiles avec un client léger.

Pour illustrer un scénario concret : un employé se connecte au site web de son entreprise. Des options telles que « Intranet », « E-mail » et « Drive partagé » s’affichent. Cliquer sur « Intranet » peut ouvrir un site SharePoint interne sur le portail. S’il a besoin de plus d’informations, il peut cliquer sur « Démarrer le VPN complet », ce qui peut déclencher le téléchargement d’un petit agent établissant un tunnel VPN complet, lui permettant d’utiliser son application Outlook ou les mappages de lecteurs réseau comme sur le réseau local de l’entreprise. Tout cela est sécurisé par TLS. Du point de vue de l’utilisateur, c’était très simple, et du point de vue de l’administrateur, il pouvait contrôler étroitement ce qui était exposé et auditer l’utilisation au niveau de l’application.

VPN MPLS

Description : Un VPN MPLS n’utilise pas le modèle de tunnel chiffré classique basé sur Internet, mais utilise le réseau MPLS d’un fournisseur de services pour séparer et hiérarchiser virtuellement le trafic. MPLS (Multi-Protocol Label Switching) est une technique de routage haute performance où les paquets sont étiquetés et acheminés le long de chemins prédéterminés. Dans un VPN MPLS, un opérateur télécom ou un opérateur utilise le MPLS pour créer des segments de réseau privés pour un client sur le réseau fédérateur du fournisseur. On parle souvent de VPN de couche 3 (L3VPN) lorsqu’un routage IP est impliqué, ou de VPN de couche 2 pour certains circuits point à point. Les VPN MPLS sont généralement des services d’abonnement pour les entreprises, offrant une connectivité entre plusieurs sites avec la fiabilité d’un réseau privé. Bien que le trafic puisse transiter par une infrastructure partagée, il est isolé par des étiquettes MPLS et souvent non chiffré de bout en bout (un chiffrement peut être ajouté si nécessaire).

En termes plus simples, un VPN MPLS est comparable à une voie d’autoroute privée fournie par l’opérateur, séparée des voies Internet publiques. Toutes vos succursales se connectent au réseau du fournisseur (via une connexion par routeur) et ce dernier garantit que ces connexions peuvent se connecter entre elles, mais pas à d’autres, souvent avec des garanties de performance.

Fonctionnement : Une entreprise souscrit un contrat avec un fournisseur (par exemple, AT&T, Verizon, BT, etc.) pour un service VPN MPLS. Les routeurs périphériques du fournisseur (routeurs PE) seront connectés aux sites de l’entreprise (CE – routeurs périphériques clients). Grâce au MPLS, le fournisseur identifie le trafic de l’entreprise et le sépare de celui des autres entreprises. Il peut également exécuter un protocole de routage lui permettant de gérer le routage entre les sites. Il en existe deux types :

VPN MPLS de couche 3 : Le fournisseur participe au routage IP avec les réseaux du client (grâce à des technologies comme le routage et la transmission virtuels VRF). Il transporte vos préfixes IP et s’assure qu’ils transitent entre vos sites. Vos paquets sont étiquetés avec un en-tête MPLS afin qu’ils soient uniquement acheminés vers vos autres sites, et non vers ceux d’autrui. C’est le cas le plus courant.
VPN MPLS de couche 2 : Le fournisseur fournit une connexion point à point (comme une ligne louée virtuelle ou VPLS – Virtual Private LAN Service) entre les sites de couche 2. Cela revient à étendre un commutateur entre les sites, en utilisant des tunnels MPLS en dessous.

Le VPN MPLS ne comporte aucun chiffrement inhérent ; il est « privé » car le réseau du fournisseur n’est pas accessible aux personnes extérieures. Cependant, il est très sécurisé en pratique, car l’intrusion dans le réseau MPLS d’un opérateur est complexe (et ces derniers séparent souvent physiquement le trafic ou utilisent des listes de contrôle d’accès pour assurer la séparation). Certains clients ajoutent encore IPsec pour une double sécurité s’ils ne font pas entièrement confiance au fournisseur.

Avantages :

Performances garanties (QoS) : Les VPN MPLS sont souvent assortis de contrats de niveau de service (SLA). Le fournisseur contrôlant les chemins, il peut garantir la bande passante, une faible latence, une faible gigue, etc. Il peut également prioriser certains trafics (comme la voix ou la vidéo) par rapport à d’autres. Cette qualité de service est un atout majeur pour les applications temps réel qui peuvent souffrir sur l’Internet ouvert. Les paquets transitent par un réseau fédérateur géré avec un routage contrôlé, évitant ainsi l’imprévisibilité de l’Internet public.
Fiable et cohérent : le routage MPLS est très efficace : chaque routeur prend ses décisions de transfert en consultant simplement l’étiquette, sans effectuer de recherche IP complexe. Cela permet de réduire la latence et d’améliorer le débit. De plus, les réseaux MPLS offrent généralement une redondance et un réacheminement rapide. Ainsi, en cas de défaillance d’un chemin, les paquets peuvent basculer rapidement vers un autre chemin préétabli. Pour les entreprises gérant des données critiques (transactions financières, appels vocaux), le VPN MPLS s’apparente à une ligne louée privée hautement fiable.
Évolutivité pour de nombreux sites : Un VPN MPLS peut connecter des dizaines, voire des centaines de sites en un maillage complet, sans que chaque site ait besoin de tunnels individuels (contrairement aux VPN traditionnels où plus de sites implique plus de tunnels à gérer, sauf si vous optez pour un maillage complexe). Il suffit de connecter chaque site au cloud du fournisseur, et le VPN MPLS du fournisseur gère la connectivité omnidirectionnelle via les étiquettes. Cela simplifie les réseaux de grande taille : vous la déléguez à l’opérateur.
Gestion des délestages : L’entreprise n’a pas à gérer les clés de chiffrement, les concentrateurs VPN, etc. Le fournisseur gère le routage et la séparation. Pour certaines équipes informatiques, cette gestion est plus simple, car elles se concentrent uniquement sur les routeurs périphériques de leurs sites.
Transport indépendant du protocole : MPLS peut transporter différents protocoles, et pas seulement IP. Il peut encapsuler les protocoles existants si nécessaire et prendre en charge les circuits de couche 2. Par exemple, si une entreprise utilise encore des ponts Frame Relay ou Ethernet entre ses sites, le VPN MPLS L2 peut s’en charger.
Sécurité (au sens pratique) : Bien qu’il ne soit pas chiffré, un VPN MPLS est relativement sécurisé car il s’agit d’un écosystème fermé. C’est comme un réseau privé géré par l’opérateur télécom. Il existe une séparation solide, souvent décrite comme « virtuellement privée, mais efficacement sécurisée ».

Inconvénients :

Coût élevé : Les services VPN MPLS sont généralement beaucoup plus chers que les connexions Internet classiques avec VPN. Vous payez un supplément pour que l’opérateur fournisse une bande passante et une gestion dédiées. Les coûts sont souvent sensibles à la distance et à la bande passante. Par exemple, une liaison MPLS de 10 Mbps entre New York et Chicago peut coûter bien plus cher qu’une liaison Internet professionnelle standard de même débit. Cela rend le MPLS moins attractif pour les petites entreprises ou celles dont le budget est serré.
Dépendance et rigidité du fournisseur : Vous dépendez de l’opérateur pour les modifications. Vous souhaitez ajouter un nouveau site ou augmenter la bande passante ? Cela peut impliquer de longs délais de provisionnement et des modifications de contrat. Vous ne pouvez pas vous contenter d’un simple clic comme avec un VPN logiciel. De plus, vous êtes largement limité par la couverture de ce fournisseur : s’il ne dessert pas une région, vous pourriez avoir besoin d’un contrat distinct ou d’une interface réseau à réseau entre fournisseurs, ce qui complique les choses.
Non chiffré de bout en bout : Si quelqu’un parvenait réellement à accéder au réseau MPLS ou à la liaison, il pourrait potentiellement intercepter des données (bien que rare et difficile). Certaines entreprises appliquent un chiffrement de couche de données extra-sensible, mais perdent alors certains avantages (par exemple, le fournisseur ne peut pas compresser ou optimiser le trafic aussi efficacement). En revanche, un VPN IPsec sur Internet est chiffré par défaut.
Intégration Internet publique réduite : Un VPN MPLS est idéal pour connecter des bureaux, mais chaque site nécessite généralement une connexion Internet distincte pour le trafic Internet général, ou il faut ramener tout le trafic Internet vers un site central, puis le renvoyer (ce qui peut s’avérer inefficace). Vous risquez donc de payer à la fois pour le MPLS et pour le service Internet sur chaque site. Avec les VPN purement Internet, votre connexion Internet remplit une double fonction : elle est utilisée à la fois pour le VPN et pour la navigation générale.
Hausse des technologies : Récemment, de nombreuses organisations ont délaissé le MPLS au profit du SD-WAN (Software-Defined WAN), qui utilise plusieurs liaisons Internet moins coûteuses avec des logiciels intelligents pour atteindre une fiabilité proche du MPLS, mais à moindre coût. Les VPN MPLS sont parfois perçus comme plus rigides et obsolètes en comparaison. Le MPLS est encore largement utilisé, mais la tendance est de le compléter ou de le remplacer en partie par le SD-WAN pour réduire les coûts.
Couverture limitée par le fournisseur : Si votre entreprise possède des bureaux dans le monde entier, tous les opérateurs ne sont pas présents partout. Vous pourriez avoir besoin de plusieurs fournisseurs MPLS, puis de les relier, ce qui est complexe et peut compromettre la qualité de service en cas de transfert entre réseaux. L’Internet public, en revanche, est universellement accessible (bien qu’avec une qualité variable).

Best use cases: MPLS VPNs are ideal for:

Grandes entreprises ou banques : qui exigent une disponibilité et des performances garanties pour le trafic inter-sites. Par exemple, une banque connectant ses centres de données à ses agences pour le traitement des transactions pourrait utiliser un VPN MPLS pour garantir des connexions rapides et stables, afin que les distributeurs automatiques de billets et les systèmes des agences ne perdent jamais la connexion ni ne ralentissent.
Services en temps réel : Les entreprises qui utilisent massivement les systèmes de téléphonie VoIP ou de visioconférence entre leurs bureaux s’appuient souvent sur le MPLS pour prioriser les paquets voix/vidéo et éviter la gigue. Cela garantit une qualité d’appel optimale.
Cohérence multi-sites : Une organisation comptant, par exemple, 50 magasins et 5 entrepôts pourrait utiliser le MPLS pour connecter tous ses sites afin que ses systèmes d’inventaire et de vente soient répliqués en temps réel avec un délai minimal et sur le même réseau, simplifiant ainsi la gestion.
Secteurs réglementés : Les administrations publiques ou les établissements de santé qui nécessitent un niveau de contrôle plus élevé sur les chemins de données pourraient préférer le MPLS à l’envoi de données chiffrées sur Internet. Cela donne l’impression (et la réalité) d’un réseau mieux contrôlé.
Lorsque l’internet est instable : Dans certaines régions ou situations, les liaisons internet publiques peuvent être instables ou présenter une latence élevée. Un circuit MPLS privé peut offrir une alternative stable. Par exemple, les entreprises internationales utilisent parfois le MPLS pour la connectivité transocéanique afin d’éviter la congestion imprévisible des câbles sous-marins ; le MPLS offre des garanties de latence.

Exemples : La plupart des exemples de VPN MPLS ne sont pas des produits de marque, mais plutôt des services d’opérateurs :

Un exemple classique : le service VPN d’AT&T connecte tous les sites d’une multinationale. Le routeur de chaque site se connecte au réseau d’AT&T. AT&T gère le routage de manière à assurer une connectivité omnidirectionnelle. L’entreprise peut demander des classes de service, par exemple : 30 % de la bande passante réservée à la voix (priorité élevée), 20 % aux applications critiques, le reste au meilleur de sa forme. Le MPLS d’AT&T assure cette fonction. Il en résulte un réseau privé couvrant tous les bureaux.
Verizon Business IP VPN est une autre offre similaire, offrant également une qualité de service (QoS) et une connectivité mondiale.
VPN IP MPLS de niveau 3 (désormais Lumen) : ces fournisseurs disposent souvent de portails permettant de visualiser votre réseau, mais la mise en œuvre se fait en coulisses avec le MPLS.
Certains fournisseurs proposent également une solution hybride : liaisons MPLS avec basculement Internet intégré, etc. Cependant, un VPN MPLS pur implique que vous vous appuyiez principalement sur leur réseau privé.

Exemple technique : Une entreprise possède des bureaux à Paris, Londres et Tokyo. Elle utilise un VPN MPLS d’Orange Business Services (France Télécom) pour Paris et Londres, et éventuellement NTT pour Tokyo, avec une interconnexion. Le routeur de chaque site dispose d’une interface avec le fournisseur. Ce dernier attribue à ces routeurs l’identifiant VPN de l’entreprise (VRF). Ils échangent des routes : Paris sait comment joindre Londres et Tokyo via le cloud MPLS. Lorsque Paris envoie un paquet à Tokyo, le routeur d’entrée du fournisseur l’étiquette avec une balise MPLS correspondant au chemin vers le routeur de sortie de Tokyo. À chaque saut sur le réseau du fournisseur, les routeurs commutent rapidement le paquet en fonction de l’étiquette (sans recherche d’adresse IP). Le paquet arrive au routeur de Tokyo, qui détecte l’étiquette et transmet le paquet IP au réseau du bureau de Tokyo. Pendant ce temps, aucun autre trafic client ne se mélange, car leurs étiquettes diffèrent, et les routeurs intermédiaires gèrent des espaces d’étiquettes distincts pour chaque VPN. L’entreprise bénéficie d’une connexion stable et rapide, comme si ces trois sites étaient connectés à un seul et même routeur privé.

Les VPN MPLS soulignent que « VPN » ne signifie pas toujours « tunnel chiffré sur Internet » ; il peut également désigner un « réseau privé virtuel » fourni par les opérateurs. Ils sont un peu en retrait, mais restent essentiels pour de nombreux réseaux à grande échelle.

VPN L2TP (Layer 2 Tunneling Protocol)

Description : L2TP est un protocole de tunneling VPN utilisé pour encapsuler des données pour leur transport sur un réseau public. En soi, L2TP n’offre ni chiffrement ni confidentialité ; il est souvent associé à IPsec pour la sécurité. En fait, lorsqu’on parle de « VPN L2TP », on entend généralement L2TP/IPsec, qui est la combinaison de L2TP pour le tunneling et d’IPsec pour le chiffrement/l’authentification. L2TP fonctionne en couche 2 (d’où son nom), ce qui signifie qu’il peut transporter des trames PPP et donc tunneliser tous types de protocoles, pas seulement IP. Il a été conçu comme successeur du protocole PPTP (Point-to-Point Tunneling Protocol) et comme extension du protocole L2F (Layer 2 Forwarding Protocol) de Cisco, combinant les fonctionnalités des deux.

En pratique aujourd’hui, L2TP/IPsec est une option VPN courante prise en charge nativement par de nombreux systèmes d’exploitation (Windows, macOS, Linux, iOS et Android intègrent tous des clients L2TP/IPsec). C’est pourquoi il est devenu un choix populaire pour la configuration de VPN sans logiciel tiers. Par exemple, une petite entreprise peut utiliser un VPN L2TP/IPsec afin que ses employés puissent se connecter via le client VPN intégré à leurs ordinateurs portables ou téléphones.

Fonctionnement : L2TP crée un tunnel entre deux « homologues L2TP », généralement le client et le serveur. Il encapsule les paquets (par exemple, vos paquets IP) dans L2TP, qui sont ensuite envoyés dans des paquets UDP sur Internet (L2TP utilise le port UDP 1701). Cependant, avant l’envoi de données L2TP, une association de sécurité IPsec est établie (via le protocole IKE) entre le client et le serveur. Tout le trafic L2TP transite ensuite par cette association de sécurité IPsec, généralement chiffrée via le protocole IPsec ESP. En résumé :

Le client et le serveur établissent une liaison IPsec et créent un canal chiffré.
Dans ce canal chiffré, le client démarre ensuite une session L2TP.
L’authentification de la session L2TP s’effectue généralement via un nom d’utilisateur/mot de passe ou des identifiants de domaine Windows.
Une fois établie, le trafic réseau du client est encapsulé par L2TP (comme dans une trame PPP), puis chiffré par IPsec et envoyé au serveur. Le serveur désencapsule ensuite les paquets (déchiffrement IPsec, puis déchiffrement L2TP) et transmet les paquets internes au réseau cible.

L’encapsulation L2TP réalise en réalité une double encapsulation : vos données sont constituées de deux couches (L2TP/PPP + IPsec), ce qui peut légèrement réduire l’efficacité. Mais elle offre également une certaine flexibilité : le L2TP peut acheminer du trafic non IP si nécessaire (bien que, dans la plupart des cas, il s’agisse simplement d’IP dans PPP dans L2TP).

Avantages :

Largement pris en charge : L2TP/IPsec est disponible par défaut sur la quasi-totalité des systèmes modernes. Cette universalité en a fait un choix incontournable, surtout avant la popularisation d’OpenVPN et d’autres. Les administrateurs n’ont pas besoin de déployer de clients personnalisés : le client VPN intégré suffit. C’est encore une raison pour laquelle certains utilisent L2TP aujourd’hui, car tous les environnements ne permettent pas l’installation de nouveaux logiciels.
Sécurisé (avec IPsec) : Associé à IPsec, il offre un chiffrement (AES, 3DES, etc.) et une authentification renforcés. IPsec en mode IKEv1 ou IKEv2 est bien testé et sécurisé lorsqu’il est correctement configuré. En résumé, la sécurité de L2TP/IPsec repose sur IPsec, qui est robuste.
Authentification flexible : L2TP peut utiliser les méthodes d’authentification PPP (PAP, CHAP, MS-CHAPv2, EAP). Cela signifie qu’il peut s’intégrer à des systèmes tels que les serveurs RADIUS pour l’authentification des utilisateurs, permettant ainsi une intégration en entreprise (par exemple, connexion avec les identifiants Active Directory). IPsec authentifie également les terminaux (généralement avec une clé pré-partagée ou des certificats). On obtient ainsi une double couche : l’authentification au niveau machine via IPsec et l’authentification au niveau utilisateur via PPP/L2TP. Cela peut être considéré comme une couche de sécurité supplémentaire.
Compatible avec les pare-feu (dans une certaine mesure) : L2TP/IPsec utilise les ports UDP (500 et 4500 pour IPsec, et 1701 pour L2TP, qui est encapsulé dans le port 4500 lors de l’utilisation de NAT-T). De nombreux pare-feu peuvent gérer cette fonctionnalité, et la traversée NAT pour IPsec (NAT-T) est standardisée, ce qui permet de fonctionner généralement derrière NAT. Moins furtif que le VPN SSL, il est généralement compatible avec de nombreux réseaux. IPsec étant basé sur UDP, il ne nécessite pas de connexions TCP susceptibles d’être limitées lors de longues périodes.
Utilisation site à site : Bien que souvent utilisé pour l’accès distant, L2TP peut également être utilisé site à site, notamment si, pour une raison quelconque, vous devez tunneler un réseau non IP ou si vous souhaitez utiliser une appliance L2TP existante. Certains routeurs plus anciens prenaient en charge les tunnels L2TP entre eux. En mode site à site, GRE ou IPsec seul est souvent utilisé, mais L2TP est une option dans certains cas.
Pas de port fixe pour les données (avec IPsec) : Contrairement à PPTP, qui utilisait un protocole GRE détesté par certains NAT, L2TP sur IPsec se cache dans les paquets UDP. Cela facilite le passage via NAT par rapport aux VPN basés sur GRE.

Inconvénients :

Performances réduites : L2TP encapsule vos données deux fois (L2TP + IPsec). Cela augmente la charge. Plus précisément, L2TP sur IPsec encapsule les données dans deux en-têtes et effectue deux niveaux de somme de contrôle. Cela peut le ralentir par rapport aux protocoles plus récents comme WireGuard ou même IPsec standard. La double encapsulation peut réduire le débit et augmenter légèrement la latence. De plus, comme il fonctionne souvent sur UDP et ne dispose pas de mécanismes comme le contrôle de congestion de TCP (le trafic interne peut toutefois être TCP), il peut parfois être plus lent sur les réseaux instables.
Obstacles au niveau du pare-feu dans certains cas : Bien que généralement acceptable, certains pare-feu stricts peuvent bloquer UDP 4500/500, ce qui perturbe L2TP/IPsec. De plus, si plusieurs utilisateurs derrière le même NAT tentent de se connecter au même serveur VPN avec L2TP/IPsec, certaines implémentations plus anciennes présentaient des problèmes (il s’agit davantage d’un problème IPsec IKE, et beaucoup l’ont résolu, mais historiquement, c’était un problème).
Manque de fonctionnalités avancées : L2TP est relativement ancien (normalisé en 1999). Il ne possède ni l’agilité ni les fonctionnalités de certains protocoles VPN modernes. Par exemple, il n’adapte pas dynamiquement le chiffrement (au-delà de ce que négocie IPsec) et ne dispose pas de mécanismes intégrés pour traverser les proxys web ou autres (comme SSTP ou OpenVPN). En gros, soit il fonctionne, soit il ne fonctionne pas, sans réelles solutions de secours.
Potentiel de blocage par les filtres VPN : Contrairement à TLS, qui peut se dissimuler sous le trafic web normal, L2TP/IPsec possède des signatures identifiables (UDP 500/4500, etc.). Certains réseaux ou pays souhaitant bloquer les VPN ciblent IPsec et L2TP. Ils peuvent autoriser HTTPS (permettant ainsi le passage du VPN SSL) mais bloquer les protocoles VPN connus. Ainsi, dans les situations conflictuelles, L2TP peut être plus facile à bloquer.
Pas de chiffrement en soi : Si l’on considère L2TP seul (sans IPsec), il n’est pas sécurisé. Mais il n’est presque jamais utilisé seul, sauf dans certains cas spécifiques (comme sur des réseaux déjà sécurisés). On pourrait dire que ce n’est pas un inconvénient, puisque personne n’utilise L2TP sans IPsec pour un VPN Internet… Cependant, il est important de noter que sa conception repose sur le couplage avec IPsec.
Un peu dépassé : De nombreux fournisseurs de VPN et entreprises abandonnent progressivement L2TP/IPsec au profit d’IKEv2 ou d’OpenVPN/WireGuard. Microsoft, par exemple, privilégie IKEv2 pour les VPN clients sur Windows modernes. L2TP fonctionne toujours, mais il n’est pas considéré comme « à la pointe de la technologie » ; il s’agit davantage d’une question de compatibilité ou d’héritage. Par exemple, certains rapports indiquent que L2TP/IPsec pourrait être affaibli s’il n’est pas correctement configuré (par exemple, des paramètres par défaut utilisant des chiffrements plus faibles ou des clés pré-partagées qui pourraient être attaquées par force brute si elles ne sont pas robustes).

Meilleurs cas d’utilisation : Les VPN L2TP/IPsec sont idéaux si vous avez besoin d’un VPN standardisé et largement compatible, sans installer de logiciel supplémentaire. Exemples d’utilisation :

Accès à distance pour les petites entreprises : Une petite entreprise ne disposant pas du budget nécessaire pour des solutions VPN sophistiquées peut utiliser un serveur L2TP/IPsec basique (de nombreux routeurs et NAS le prennent en charge) pour permettre à ses employés de se connecter. Ces derniers peuvent utiliser le client VPN intégré à leur système d’exploitation. Il offre une sécurité satisfaisante, notamment pour l’accès aux fichiers ou aux systèmes internes.
Scénarios de compatibilité des appareils : Supposons que certains de vos appareils ne prennent en charge que L2TP/IPsec (certains appareils plus anciens ou certaines passerelles IoT). L’utilisation de L2TP garantit que tous les appareils peuvent se connecter au même serveur VPN. Par exemple, les anciennes versions d’Android prenaient en charge PPTP et L2TP/IPsec, mais pas OpenVPN par défaut.
Comme solution VPN de secours : Une organisation peut utiliser principalement une technologie VPN plus récente, tout en conservant L2TP/IPsec comme solution de secours pour les appareils qui ne peuvent pas utiliser le serveur principal (ou en cas de panne de ce dernier). Intégré à tous les systèmes d’exploitation, il constitue une solution de secours pratique.
Site à site nécessitant une flexibilité de chiffrement : si une entreprise souhaite connecter des succursales et gérer du trafic non IP ou utiliser un double chiffrement, elle pourrait utiliser L2TP avec IPsec. Cependant, il s’agit d’un domaine de niche : généralement, on utilise IPsec seul ou GRE sur IPsec. Cependant, L2TP peut être utilisé, et a été utilisé, dans des scénarios nécessitant une couche supplémentaire (par exemple, L2TP dans un tunnel IPsec pour connecter deux réseaux locaux et les ponter).
Configurations pédagogiques ou de travaux pratiques : L2TP/IPsec est parfois utilisé dans des manuels ou des cours comme exemple pour enseigner les concepts VPN (en raison de sa nature à deux couches, il illustre bien la tunnellisation par rapport au chiffrement). Il peut donc apparaître dans des scénarios de travaux pratiques.

Examples:

Microsoft Windows Server dispose d’un rôle « Routing and Remote Access Service (RRAS) » qui accepte les clients VPN L2TP/IPsec. De nombreuses entreprises l’ont utilisé dans les années 2000 et 2010 pour permettre aux ordinateurs portables Windows de se connecter via VPN sans logiciel supplémentaire (en utilisant simplement le client VPN Windows intégré). Il s’agit d’un exemple de déploiement L2TP/IPsec classique.
Les routeurs Cisco (comme les anciens modèles Cisco 2800 ou les nouveaux ISR) peuvent servir de serveurs L2TP/IPsec pour l’accès à distance. QuickVPN de Cisco (ancien client) ou le client Windows intégré se connectent au routeur via L2TP/IPsec.
SoftEther VPN (un serveur VPN multiprotocole open source) accepte les connexions L2TP/IPsec des appareils et prend simultanément en charge d’autres protocoles. Cela montre pourquoi il est souvent inclus parmi les nombreuses options.
De nombreux services VPN modernes (commerciaux) ne proposent plus L2TP/IPsec comme protocole principal dans leurs applications (privilégiant OpenVPN ou WireGuard), mais proposent parfois une configuration manuelle de L2TP/IPsec comme solution de secours. Par exemple, NordVPN ne prend pas en charge L2TP dans ses applications, mais proposait historiquement des guides de configuration manuelle (bien qu’ils soient progressivement supprimés). L2TP est disponible sur de nombreux systèmes, mais il n’est pas le plus sécurisé s’il n’est pas correctement configuré.
Utilisation intéressante : avant que les smartphones ne soient équipés d’applications OpenVPN, pour connecter son téléphone à son réseau domestique, il fallait souvent configurer L2TP/IPsec sur son routeur (comme un pfSense ou un petit serveur VPN) afin que l’iPhone puisse utiliser le VPN intégré pour se connecter à son domicile et, par exemple, regarder ses contenus multimédias ou accéder à des contenus privés. C’était pratique, car aucune application supplémentaire n’était nécessaire.

En conclusion, L2TP en soi n’est qu’une méthode de tunneling (imaginez-le comme le tube par lequel transitent les données), et IPsec est le verrou qui sécurise ce tube. Ensemble, L2TP/IPsec ont été les piliers des VPN pendant de nombreuses années. Ce n’est pas le plus rapide ni le plus performant du marché, mais il est performant et pris en charge presque partout. Si vous voyez un écran de configuration VPN sur un appareil, il y a de fortes chances que l’option « L2TP/IPsec » soit affichée, ce qui témoigne de son omniprésence.

Choisir le bon type de VPN

Avec autant de types de VPN, comment choisir celui qui répond le mieux à vos besoins ? Cela dépend de votre cas d’utilisation, de votre environnement et de vos priorités. Voici une liste de contrôle rapide pour vous guider dans votre choix :

Vous devez vous connecter depuis votre domicile à un réseau d’entreprise (et vous êtes salarié ou étudiant) ?
Utilisez un VPN d’accès à distance : votre appareil pourra ainsi se connecter au réseau privé en toute sécurité. Exemple : les employés en télétravail doivent utiliser le VPN d’accès à distance de l’entreprise pour accéder aux serveurs de fichiers et aux sites internes.

Vous souhaitez fusionner ou connecter des réseaux d’entreprise entiers sur plusieurs sites ?
Utilisez un VPN site à site : idéal pour créer un réseau unifié à partir de plusieurs bureaux. Il se configure sur des routeurs/pare-feu, et non sur des PC individuels. Exemple : connectez des succursales au siège social afin que tout le monde partage l’intranet.

Êtes-vous principalement préoccupé par la confidentialité en ligne, le streaming ou le contournement de la censure ?
Utilisez un VPN personnel : abonnez-vous à un service VPN grand public réputé. Il chiffrera votre trafic internet et masquera votre adresse IP sans vous donner accès à un réseau d’entreprise privé (dont vous n’avez probablement pas besoin). Exemple : utilisez un VPN personnel comme ExpressVPN sur votre ordinateur portable et votre téléphone pour naviguer en toute sécurité sur les réseaux Wi-Fi publics et accéder à des contenus géobloqués.

Les utilisateurs du VPN changeront-ils fréquemment de réseau ou se déplaceront-ils (véhicules, travail sur le terrain) ?
Envisagez un VPN mobile : assurez-vous que la solution prend en charge une itinérance transparente (par exemple, un VPN basé sur IKEv2 ou un client VPN mobile spécialisé). Exemple : pour un service de police qui équipe des voitures de patrouille d’ordinateurs portables, déployez une solution VPN mobile afin que les agents restent connectés pendant leurs déplacements.

Votre infrastructure est-elle principalement dans le cloud ou préférez-vous externaliser votre infrastructure VPN ?
Optez pour un VPN cloud : utilisez le service VPN de votre fournisseur cloud ou un fournisseur de VPN cloud. Cela réduit le matériel sur site et peut améliorer l’accès pour des équipes dispersées. Exemple : une start-up dont tous les serveurs sont sur AWS pourrait utiliser AWS Client VPN pour permettre à ses équipes d’accéder en toute sécurité aux ressources cloud, où qu’elles se trouvent.

Avez-vous besoin d’un appareil dédié pour des performances élevées ou un grand nombre de connexions VPN ?
Déployez une appliance VPN matérielle : idéale pour les moyennes et grandes entreprises qui ont besoin d’une connectivité robuste et permanente et qui peuvent investir dans du matériel spécialisé. Exemple : Un siège social peut installer une appliance VPN Cisco ou Palo Alto pour gérer de manière fiable des milliers de connexions VPN entre employés et sites.

Offrez-vous à vos partenaires ou sous-traitants un accès limité via VPN, ou avez-vous besoin de traverser facilement les pare-feu ?
Envisagez un VPN SSL : il permet un accès web et évite les configurations client complexes. C’est la solution idéale lorsque les utilisateurs utilisent différents appareils ou réseaux. Exemple : Offrez à un fournisseur un identifiant de connexion à un portail VPN SSL pour consulter les données d’inventaire de votre système interne, plutôt qu’un VPN réseau complet.

La garantie des performances réseau entre les sites est-elle une priorité absolue et disposez-vous d’un budget suffisant ?
Utilisez un VPN MPLS (VPN fournisseur) : optez pour un service VPN MPLS d’un opérateur si vous avez besoin de liaisons stables et à faible latence (pour la voix, la vidéo ou les données critiques) et que vous êtes prêt à payer pour cela. Exemple : Un système hospitalier connecte ses hôpitaux et cliniques à un VPN MPLS pour garantir la qualité de service des données des applications médicales et des appels VoIP.

Avez-vous besoin d’un VPN pris en charge par défaut sur la plupart des appareils sans installation d’application ?
Utiliser L2TP/IPsec (ou IKEv2 IPsec) – Ces protocoles sont intégrés aux principaux systèmes d’exploitation. Bien qu’un peu anciens, ils peuvent être pratiques pour la compatibilité. Exemple : une petite entreprise configure un serveur L2TP/IPsec afin que ses employés puissent utiliser le VPN intégré de leurs iPhones et ordinateurs portables Windows pour se connecter, évitant ainsi l’installation d’une nouvelle application.

La sécurité et les performances modernes sont-elles une priorité pour l’accès à distance (et l’utilisation d’applications personnalisées est-elle acceptable ?) ?
Utiliser des protocoles modernes comme OpenVPN ou WireGuard (non mentionnés dans la liste initiale, mais utiles à mentionner dans le contexte) – Il ne s’agit pas de « types » de VPN au sens strict, mais le choix du protocole est important pour l’accès à distance et les VPN personnels. Par exemple, de nombreux services VPN personnels proposent désormais WireGuard pour sa vitesse. Si vous déployez un nouveau VPN pour vos employés et que tous les appareils le prennent en charge, WireGuard (un protocole rapide et léger) pourrait être un excellent choix pour une solution VPN d’accès à distance par rapport à l’ancien L2TP.

Dans de nombreux cas, vous pouvez combiner les types de VPN. Par exemple, une grande entreprise pourrait utiliser un VPN MPLS pour la connectivité de son site principal, mais également un VPN SSL d’accès distant pour ses employés mobiles, voire même des périphériques VPN matériels sur chaque site pour gérer à la fois le VPN du site et le VPN distant, selon les besoins. L’essentiel est d’adapter le type de VPN au problème à résoudre :

Portée de la connexion : utilisateur individuel ou réseau complet.
Environnement : sur site ou cloud ou hybride.
Mobilité : utilisateurs fixes ou mobiles.
Performances ou coût : MPLS si les performances sont essentielles et que le budget le permet ; VPN basé sur Internet si les économies sont plus importantes.
Considérations client : possibilité d’installer un logiciel (sinon, privilégiez les solutions intégrées ou les portails SSL).
Niveau de sécurité : tous les VPN listés offrent une sécurité optimale, mais si vous avez besoin d’une garantie ou d’une conformité supplémentaire, vous pouvez superposer plusieurs technologies (par exemple, utiliser IPsec avec une authentification forte, ou MPLS avec votre propre chiffrement, etc.).

Enfin, pensez toujours à la gestion et à la maintenance. Les VPN nécessitent une maintenance : gestion des comptes utilisateurs ou des clés, mise à jour des appareils ou des logiciels, surveillance des problèmes. Une solution comme un VPN cloud ou un matériel bien pris en charge peut réduire les efforts manuels, tandis que les solutions DIY (comme l’utilisation de votre propre serveur OpenVPN) offrent plus de contrôle, mais nécessitent une gestion plus directe.

Comparaison des types de VPN en un coup d’œil

Type de VPN	But	Meilleur pour	Cryptage	Protocoles
VPN d’Accès à Distance	Connecte des utilisateurs individuels à un réseau privé de manière sécurisée.	Télétravailleurs, employés en déplacement, travail à distance.	IPsec, SSL/TLS	IPsec, SSL/TLS
VPN Site-à-Site	Connecte des réseaux entiers (par exemple, deux LAN de bureau) via Internet, souvent utilisé pour fusionner plusieurs sites en un seul réseau privé.	Connecter plusieurs réseaux de bureau de manière sécurisée.	IPsec (généralement)	IPsec, GRE, MPLS
VPN Personnel	Crypte le trafic personnel et masque l’adresse IP pour plus de confidentialité.	Confidentialité en ligne, contournement des restrictions géographiques, Wi-Fi public.	IPsec, WireGuard	OpenVPN, IKEv2, WireGuard
VPN Mobile	Maintient une connexion stable à mesure que l’utilisateur passe d’un réseau à l’autre.	Travailleurs sur le terrain, dispositifs avec connexions intermittentes.	IPsec, IKEv2, protocoles propriétaires	IKEv2, IPsec, propriétaire
VPN Cloud	Permet un accès sécurisé aux ressources et réseaux cloud.	Connexion sécurisée aux infrastructures cloud.	IPsec, SSL/TLS	IPsec, SSL/TLS
VPN Matériel	Appareil VPN dédié qui gère les fonctions VPN de manière indépendante.	Entreprises nécessitant du matériel VPN dédié.	Varie selon l’appareil, souvent IPsec	Propriétaire (Cisco, Palo Alto, Fortinet)
VPN SSL	Utilise le cryptage SSL/TLS pour un accès web sécurisé.	Fournir un accès à distance via des navigateurs web, sans client nécessaire.	SSL/TLS	SSL/TLS
VPN MPLS	Fournit des liens privés et sécurisés via le réseau MPLS d’un opérateur.	Entreprises nécessitant des connexions site-à-site fiables et performantes.	Pas de cryptage inhérent, mais sécurisé avec le fournisseur	MPLS
VPN L2TP	Crypte les données sur un réseau, couplé avec IPsec pour la sécurité.	Compatibilité entre différents appareils, sécurité de base.	IPsec (généralement)	L2TP/IPsec

En comprenant ces types de VPN et leurs atouts, vous pourrez choisir celui qui répond le mieux à vos besoins, qu’il s’agisse de sécuriser la connexion d’un utilisateur sur un réseau Wi-Fi public ou de relier l’ensemble du réseau d’une entreprise mondiale. Chaque type joue un rôle distinct dans le paysage VPN, et connaître leurs différences vous permettra de déployer l’outil le plus adapté à votre situation.

FAQ : Comprendre les différents types de VPN

Quelle est la différence entre un VPN d’accès distant et un VPN site à site ?

Un VPN d’accès distant permet aux utilisateurs individuels de se connecter en toute sécurité à un réseau privé depuis un emplacement distant. Il est souvent utilisé par les télétravailleurs ou les employés en déplacement.
Un VPN site à site connecte des réseaux entiers (par exemple, deux réseaux locaux d’entreprise) en toute sécurité via Internet, permettant à différents sites de fonctionner au sein d’un même réseau privé. Il est idéal pour les entreprises possédant plusieurs bureaux ou succursales.

Puis-je utiliser un VPN personnel à des fins professionnelles ?

Si les VPN personnels sont principalement conçus pour un usage individuel (par exemple, pour sécuriser votre navigation ou contourner les restrictions géographiques), ils peuvent être utilisés par les petites entreprises ou les travailleurs indépendants qui ont besoin de confidentialité et de sécurité lorsqu’ils accèdent au Wi-Fi public. Cependant, pour les grandes entreprises ou pour une sécurité optimale, un VPN d’accès distant ou un VPN site à site constitue un meilleur choix grâce à des fonctionnalités plus robustes et un meilleur contrôle du réseau.

Comment fonctionne un VPN cloud ?

Un VPN cloud connecte des utilisateurs ou des réseaux entiers en toute sécurité à des ressources cloud. Au lieu de s’appuyer sur des serveurs VPN traditionnels sur site, un VPN cloud utilise une infrastructure hébergée par un fournisseur tiers (par exemple, AWS, Azure ou Google Cloud) pour acheminer les données en toute sécurité. Il est particulièrement utile pour les entreprises disposant d’une infrastructure cloud ou dont les équipes sont réparties sur plusieurs sites et ont besoin d’un accès sécurisé aux ressources cloud, où qu’elles soient.

Un VPN mobile est-il différent d’un VPN classique ?

Oui, un VPN mobile est spécialement conçu pour maintenir une connexion stable et sécurisée lorsque les utilisateurs se déplacent entre différents réseaux (par exemple, lorsqu’ils passent du Wi-Fi aux données mobiles). Il est idéal pour les travailleurs mobiles ou toute personne utilisant un appareil dans un environnement réseau en constante évolution. Les VPN classiques, comme les VPN d’accès à distance, peuvent ne pas maintenir la connexion aussi fluide lors des changements de réseau.

Quel type de VPN est le plus adapté au streaming ?

Pour le streaming, un VPN personnel est généralement le meilleur choix, car il permet aux utilisateurs d’accéder à des contenus géolocalisés en masquant leur adresse IP et en donnant l’impression qu’ils se trouvent à un autre endroit. De nombreux services VPN proposent des serveurs optimisés pour le streaming. Cependant, assurez-vous de choisir un fournisseur offrant des débits élevés pour éviter les mises en mémoire tampon.

L2TP/IPsec est-il sécurisé ?

Oui, L2TP/IPsec est considéré comme sécurisé lorsqu’il est associé à IPsec pour le chiffrement. L2TP seul ne fournit pas de chiffrement, mais est généralement associé à IPsec pour sécuriser la connexion. Cette combinaison offre une sécurité renforcée, mais les protocoles VPN plus récents tels qu’OpenVPN ou WireGuard peuvent offrir de meilleures performances et des fonctionnalités plus avancées.

En quoi un VPN MPLS diffère-t-il d’un VPN traditionnel ?

Un VPN MPLS est un service de réseau privé fourni par un opérateur qui utilise la technologie MPLS (Multi-Protocol Label Switching) pour acheminer le trafic entre différents sites de manière hautement sécurisée et fiable. Contrairement aux VPN traditionnels basés sur Internet, les VPN MPLS ne dépendent pas de l’Internet public, mais fonctionnent sur un réseau dédié et géré fourni par l’opérateur de télécommunications. Il est couramment utilisé par les grandes entreprises pour une connectivité site à site sécurisée et performante.

Puis-je configurer un VPN sans aucune connaissance technique ?

Oui, de nombreux services VPN commerciaux proposent des applications conviviales qui ne nécessitent aucune configuration technique. Ces applications se connectent généralement en un clic et sélectionnent automatiquement le serveur, ce qui les rend faciles à utiliser pour tous. Pour des configurations plus avancées (comme un VPN site à site ou un VPN cloud), des connaissances techniques peuvent être requises, mais de nombreux fournisseurs de VPN proposent des tutoriels ou un service client pour vous guider tout au long du processus.

Les VPN SSL peuvent-ils contourner les pare-feu ?

Les VPN SSL sont souvent utilisés pour contourner les pare-feu car ils utilisent le protocole HTTPS (port 443), généralement ouvert sur la plupart des pare-feu pour le trafic web classique. Cela facilite la connexion des utilisateurs à leurs réseaux, même derrière des pare-feu ou des proxys restrictifs. Cependant, certains pare-feu peuvent bloquer le trafic VPN SSL s’il est identifié. Il est donc important de choisir un VPN compatible avec votre configuration réseau.

Quel type de VPN est le plus adapté aux petites entreprises ?

Pour les petites entreprises, un VPN d’accès à distance est généralement le choix le plus approprié, surtout si les employés ont besoin d’un accès sécurisé aux ressources de l’entreprise depuis différents emplacements. Ces VPN sont faciles à configurer, économiques et offrent un chiffrement puissant pour protéger les données professionnelles. Si votre entreprise possède plusieurs sites physiques, un VPN site à site peut être nécessaire pour connecter les réseaux de vos différents bureaux en toute sécurité.