Comment mettre en place un VPN pour une petite entreprise
Mettre en place un VPN en entreprise ne se résume pas à installer un logiciel sur les postes de travail. La vraie question n’est pas « faut-il un VPN », c’est plus nuancé que ça, mais « quel modèle, pour quel contexte, et dans quel ordre« . Dans une PME sans DSI dédié, ces choix engagent directement la responsabilité du dirigeant.
Selon votre configuration actuelle, un VPN d’accès réseau peut être la priorité immédiate, ou au contraire, une mesure secondaire si votre environnement de travail est déjà intégralement externalisé avec des accès correctement sécurisés (double vérification à la connexion, appareils gérés et contrôlés).
C’est précisément ce que le diagnostic ci-dessous permet de déterminer. Si vous cherchez d’abord à comprendre ce qu’un VPN apporte concrètement à une structure comme la vôtre, les avantages d’un VPN d’entreprise sont détaillés sur la page dédiée. Cette page, elle, est un chemin opérationnel : du diagnostic initial au déploiement, avec les pièges à éviter.
Comment mettre en place un VPN pour une petite entreprise : sommaire
Votre situation justifie-t-elle un VPN ? Quatre questions pour le savoir
Un mauvais choix de solution VPN vient rarement d’un manque de budget ou d’une offre insuffisante. Il vient d’un diagnostic bâclé. Dix minutes de réflexion sur quatre questions concrètes évitent des semaines de correctifs, ou l’achat d’une solution inadaptée.
Avez-vous des ressources internes à protéger ?
Un serveur de fichiers, un NAS, un logiciel de gestion ou de comptabilité installé localement, une base de données clients hébergée dans vos locaux, ce sont des ressources qui justifient un accès distant sécurisé via un tunnel chiffré. Si en revanche tout votre environnement de travail est dans le cloud, messagerie, stockage, outils collaboratifs, logiciels en mode abonnement, le besoin est fondamentalement différent : il ne s’agit pas de sécuriser un accès à un réseau interne, mais de protéger les connexions elles-mêmes sur des réseaux non maîtrisés. Dans ce cas, un VPN d’accès réseau n’est peut-être pas la priorité immédiate. D’autres mesures, MFA sur chaque compte, gestion centralisée des appareils, politique de mots de passe, ont un impact plus direct sur votre surface d’exposition réelle.
Avez-vous un prestataire informatique externe ?
Même ponctuel, même à mi-temps, sa présence change radicalement ce qui est réalisable. Certains modèles de déploiement nécessitent une configuration initiale qui dépasse raisonnablement ce qu’un non-technicien peut faire seul sans risque d’erreur silencieuse, c’est-à-dire une erreur qui ne provoque pas de panne visible mais laisse une faille ouverte. Si vous n’avez aucun prestataire, le modèle managé par un fournisseur spécialisé est le seul réaliste.
Combien de personnes se connectent à distance, et depuis quels appareils ?
Un dirigeant seul qui accède occasionnellement à ses fichiers depuis un hôtel n’a pas les mêmes besoins qu’une équipe en télétravail partiel sur des postes Windows, Mac et des téléphones Android mélangés. Ce n’est pas le nombre brut d’utilisateurs qui détermine le niveau de complexité, c’est la combinaison de trois facteurs : l’hétérogénéité des appareils, le turnover de l’équipe, et la diversité des ressources auxquelles chacun doit accéder. Plus ces trois paramètres sont élevés, plus la gestion centralisée des accès, qui accède à quoi, depuis quel appareil, avec quelle vérification, devient structurante dès le départ.
Avez-vous des contraintes réglementaires identifiées ?
Une structure qui traite des données de santé, des informations couvertes par le secret professionnel, juridique, comptable, notarial, ou des données financières sensibles a des obligations documentables envers ses clients et ses assureurs. Le VPN entre dans cette documentation au titre du contrôle des accès distants. Ce point mérite d’être clarifié avant le choix de la solution, pas après une notification de violation ou un questionnaire de conformité B2B.
Les trois modèles de déploiement réalistes pour une PME
Il existe trois façons concrètes de déployer un VPN dans une petite structure. Elles ne s’adressent pas aux mêmes profils, n’impliquent pas le même niveau de compétence technique, et surtout n’exposent pas aux mêmes risques en cas de mauvaise maintenance.
Solution managée par un fournisseur spécialisé
C’est le modèle qui correspond à la grande majorité des PME sans ressource IT interne. Le fournisseur gère l’intégralité de l’infrastructure : serveurs, disponibilité, mises à jour de sécurité. De votre côté, vous créez un compte administrateur, vous ajoutez vos utilisateurs depuis un tableau de bord web, et vous leur envoyez un lien d’installation. Le client VPN s’installe rapidement sur leur poste ou leur téléphone.
Parmi les solutions couramment citées sur ce segment : NordLayer, Proton Business, et Check Point Harmony Connect, anciennement Perimeter 81, absorbé par Check Point en 2023. Le marché a bougé, et Perimeter 81 en tant que marque indépendante n’existe plus, même si vous le croiserez encore dans des comparatifs non mis à jour. Pour les équipes distribuées, c’est également le modèle le plus adapté à un usage quotidien de VPN d’entreprise pour le télétravail.
Charge réelle : le déploiement initial représente typiquement une demi-journée pour une équipe de taille modeste, en comptant la création des comptes, l’attribution des accès par groupe, l’envoi des liens d’installation à chaque utilisateur, et un premier test de connexion individuel. La charge mensuelle dépend ensuite directement du rythme de vie de votre structure : un onboarding, un départ, un appareil perdu ou remplacé, un MFA à reconfigurer sur un nouveau téléphone, chacun de ces événements génère une intervention administrative. Dans une équipe stable, c’est léger. Dans une structure avec du turnover régulier, ça peut représenter plusieurs heures par mois. Une revue trimestrielle des comptes actifs reste indispensable dans tous les cas.
Le coût d’un VPN Pro est généralement facturé par utilisateur et par mois, ce qui le rend prévisible et ajustable. La plupart des offres incluent un MFA, une double vérification à la connexion, par exemple un code envoyé sur le téléphone en plus du mot de passe, et un tableau de bord de gestion des accès.,
Responsabilité en cas de défaillance :
Le fournisseur assume la disponibilité de l’infrastructure. Vous assumez la gestion des comptes, création, révocation, droits d’accès. C’est une répartition claire, à condition de ne pas négliger la partie qui vous incombe.
Risque si mal maintenu :
Comptes d’anciens collaborateurs non révoqués, MFA désactivé par commodité, versions clientes obsolètes sur certains postes. Ce sont les incidents typiques sur ce type de déploiement.
L’inconvénient :
Vous dépendez du fournisseur pour la disponibilité du service, pour la politique de conservation des données et pour la conformité de son infrastructure. Politique de journalisation, juridiction, certifications ISO 27001 ou SOC 2, ce sont des points à vérifier avant de signer, pas après.
VPN intégré au routeur d’entreprise
Si votre bureau dispose d’un routeur récent, certains modèles Asus, Netgear ou Synology supportent nativement OpenVPN ou WireGuard®, il est possible de faire de ce routeur la passerelle VPN de votre réseau. Tous les appareils connectés au réseau local sont alors couverts sans installation individuelle sur chaque poste.
Cette configuration est pertinente uniquement si vous avez un prestataire informatique externe capable de faire la configuration initiale et d’en assumer la responsabilité. Elle n’est pas triviale : il faut ouvrir les bons ports, configurer les certificats d’authentification, paramétrer les règles d’accès et tester depuis l’extérieur dans des conditions réelles. Une erreur de configuration ne provoque pas forcément une panne visible, elle peut laisser un accès ouvert sans que personne ne s’en rende compte.
Charge réelle : configuration initiale d’une journée minimum pour un prestataire compétent. Maintenance légère une fois en place, mais qui suppose un suivi rigoureux des mises à jour du firmware du routeur, point fréquemment négligé en PME.
Responsabilité en cas de défaillance : intégralement la vôtre, ou celle de votre prestataire si ce périmètre est formalisé dans votre contrat. Il n’y a pas de support fournisseur derrière.
Risque si mal maintenu : des vulnérabilités sont publiées sur ce type d’équipements réseau, et le risque devient concret dès que les mises à jour sont négligées. Cette approche offre le plus de contrôle sur l’infrastructure, mais c’est précisément ce contrôle qui devient un risque quand la maintenance n’est pas assurée.
Le point fort : aucune dépendance envers un fournisseur tiers, aucun coût récurrent lié au VPN. Le point faible : si le routeur tombe, tout accès distant est coupé. La redondance doit être pensée dès la conception, pas ajoutée après le premier incident.
VPN auto-hébergé (VPS ou serveur dédié)
WireGuard® ou OpenVPN installés sur un serveur privé virtuel, VPS, ou un serveur dédié loué chez un hébergeur : c’est techniquement ce qui offre le plus de contrôle. Vous maîtrisez intégralement l’infrastructure, la juridiction de vos données et la politique de journalisation. Pour une structure traitant des données sous secret professionnel ou soumise à des exigences de souveraineté des données, c’est parfois la seule option réellement satisfaisante.
Charge réelle : déploiement initial d’une à deux journées pour un technicien maîtrisant Linux et les protocoles VPN. Maintenance régulière non négociable : mises à jour du système, surveillance des journaux de connexion, gestion des certificats. Ce n’est pas un déploiement que l’on fait et que l’on oublie.
Responsabilité en cas de défaillance : totalement la vôtre. Disponibilité, sécurité, sauvegardes, vous assumez l’intégralité de la chaîne.
Risque si mal maintenu : un serveur VPN auto-hébergé non mis à jour peut devenir un point d’entrée exposé vers vos ressources internes. Le niveau de contrôle est maximal dans les deux sens : maximal quand c’est bien fait, maximal comme surface d’attaque quand ça ne l’est pas.
Sans prestataire IT de confiance qui accepte d’en assumer la maintenance contractuellement, ce choix est déconseillé.
Les étapes concrètes de mise en place
La séquence qui suit est calibrée pour le modèle managé, qui correspond au cas le plus fréquent. Elle est valide dans ses grandes lignes pour les deux autres modèles, avec les adaptations techniques qui s’imposent.
1. Groupes d’accès : avant les comptes utilisateurs. C’est l’étape que presque tout le monde fait dans le mauvais ordre. On crée les comptes d’abord, on pense à la politique d’accès ensuite. Résultat : tout le monde accède à tout, ce qui annule une partie de la valeur du VPN. La question à se poser en amont est simple : qui a besoin d’accéder à quoi ? Un commercial itinérant n’a pas les mêmes droits qu’un responsable comptable. Définir ces groupes prend trente minutes et évite des mois de mauvaise configuration.
2. Responsable administrateur : désigné avant le déploiement. Pas après. Ce responsable, interne ou prestataire, détient les accès administrateur, reçoit les alertes de sécurité, gère les créations et révocations de comptes, et suit le renouvellement de l’abonnement. Si personne n’est désigné explicitement, ces tâches ne sont faites par personne. C’est la source principale de dérive sur les déploiements PME : l’outil est en place, la gouvernance ne l’est pas.
3. Déploiement des clients : postes et appareils mobiles. Les solutions managées fournissent des installateurs pour Windows, macOS, iOS et Android. L’installation est simple. Ce qui l’est moins : s’assurer que le client est bien actif au moment de la connexion, et pas juste installé. Un client VPN désactivé ne protège rien. Certaines solutions permettent de forcer l’activation du tunnel à la connexion réseau, c’est une option à activer dès le départ.
4. Activation du MFA : sur tous les comptes sans exception. Une double vérification à la connexion, code par SMS, application d’authentification ou clé physique, est la mesure qui réduit le plus efficacement le risque de compromission d’un compte. Un mot de passe volé seul ne suffit plus. Ce n’est pas une option avancée réservée aux grandes structures : c’est une mesure de base, disponible sur toutes les solutions sérieuses, qui prend cinq minutes à configurer par utilisateur.
5. Test externe réel : depuis un réseau extérieur. Depuis un smartphone en données mobiles, pas depuis le Wi-Fi du bureau. C’est le seul test qui reproduit les conditions réelles d’usage. On vérifie que la connexion s’établit, que les ressources internes sont accessibles, et qu’il n’y a pas de fuite DNS, c’est-à-dire que les requêtes réseau passent normalement par le tunnel chiffré et non en clair par le fournisseur d’accès.
Ce qu’on oublie toujours et qui coûte cher après
Le déploiement technique est souvent la partie la plus simple. Ce qui génère des problèmes réels dans les mois qui suivent, ce sont les angles morts organisationnels, et un point que les contenus grand public n’abordent pas franchement : le VPN ne fait pas tout, et croire le contraire est le risque le plus courant.
Le départ d’un collaborateur
La révocation d’un accès VPN doit faire partie du processus de départ au même titre que la restitution du matériel ou la clôture de la messagerie professionnelle. Un ancien employé dont le compte reste actif représente un accès ouvert vers les ressources internes de l’entreprise, même par simple oubli, même sans intention malveillante. Ce réflexe ne s’installe pas seul. Il fait partie de ce que signifie créer une culture de la cybersécurité dans votre entreprise : la sécurité repose autant sur des procédures appliquées systématiquement que sur des outils correctement déployés.
La mise à jour des clients VPN
Un client non mis à jour expose des failles de sécurité connues et documentées. Sur un parc hétérogène avec des systèmes d’exploitation différents et des niveaux de maîtrise technique variés, personne ne met à jour spontanément. Il faut désigner explicitement qui s’en charge, à quelle fréquence, et comment on vérifie que c’est fait, et intégrer ce point dans le périmètre du prestataire si vous en avez un.
Les appareils personnels des collaborateurs
Un VPN installé sur le téléphone personnel d’un employé peut faire transiter une partie de son trafic personnel par l’infrastructure de l’entreprise, selon la configuration retenue. La question du statut de ces données au regard du RGPD mérite d’être posée avant le déploiement, pas après une réclamation. La solution la plus simple est souvent de limiter le déploiement mobile aux appareils professionnels, ou d’opter pour un tunnel fractionné, split tunneling, qui n’active le chiffrement que pour le trafic à destination du réseau de l’entreprise, laissant le reste du trafic personnel hors du tunnel.
Le trafic hors tunnel
Le VPN ne protège pas automatiquement le trafic vers vos outils en ligne, messagerie cloud, stockage partagé, logiciels en mode abonnement, si ce trafic ne passe pas par le tunnel. Selon la configuration choisie, une partie significative des flux peut transiter en dehors sans que personne ne s’en rende compte. C’est le point central que les pages de conseils n’abordent pas franchement : un VPN mal configuré ou partiellement déployé génère un faux sentiment de sécurité qui conduit à différer d’autres mesures essentielles. Le VPN est un mécanisme de contrôle d’accès réseau, pas une solution globale de cybersécurité.
Pour les structures qui souhaitent étendre ce contrôle au trafic applicatif et aux usages SaaS non maîtrisés, le pare-feu cloud pour les PME répond à des besoins que le VPN seul ne couvre pas. C’est un point à vérifier explicitement avec votre prestataire ou le support de votre fournisseur lors de la mise en place.