KA IT
+32 489 59 42 27
Le VPN d'entreprise a mauvaise presse ces dernieres annees. On lui oppose le Zero Trust, les proxies type ZTNA, les solutions SASE. La realite pour une PME belge de 5 a 50 postes est plus pragmatique : dans 80 % des cas, un VPN correctement configure reste l'outil le plus efficace en rapport cout-benefice pour securiser le teletravail et relier plusieurs sites.
Cet article fait le tri. Quand un VPN est rentable pour une PME. Quand c'est de la surconsommation. Quels sont les trois protocoles serieux en 2026 et comment choisir entre eux. Et combien ca coute vraiment sur un parc de 15 postes.
1. Qu'est-ce qu'un VPN d'entreprise, concretement
Un VPN (Virtual Private Network) cree un tunnel chiffre entre deux points. Dans un contexte PME, on distingue deux usages principaux :
- VPN acces distant (remote access). Un collaborateur en teletravail ou en deplacement se connecte au reseau interne de l'entreprise comme s'il etait physiquement au bureau. Il accede aux fichiers, a l'ERP, a l'imprimante reseau, au NAS.
- VPN site-a-site. Deux bureaux distants sont relies en permanence par un tunnel chiffre. Les deux reseaux locaux se voient comme un seul reseau etendu.
Le NIST SP 800-77 Rev. 1 reste la reference technique pour comprendre les principes d'un VPN IPSec d'entreprise. L'ANSSI publie un guide IPSec actualise qui sert de reference en Europe francophone.
2. 4 scenarios PME ou un VPN devient rentable
Scenario 1 : teletravail regulier avec acces serveur interne
C'est le cas le plus courant. Des collaborateurs travaillent de chez eux 2-3 jours par semaine et doivent acceder a un serveur de fichiers interne, un ERP hebergee sur site, une base de donnees metier. Sans VPN, il faudrait exposer ces services directement sur Internet, ce qui multiplie la surface d'attaque. Avec un VPN, un seul point d'entree est expose et chiffre.
Scenario 2 : plusieurs bureaux ou sites
PME avec un siege et une agence, ou avec un magasin principal et un depot. Un VPN site-a-site relie les deux reseaux via Internet, sans faire transiter les donnees en clair. Alternative : une ligne louee operateur, 5 a 10 fois plus chere pour une PME.
Scenario 3 : securisation des wifi publics
Commerciaux, consultants, dirigeants qui se connectent depuis des hotels, des aeroports, des cafes. Le wifi public reste regulierement compromis, comme le rappellent les alertes du portail Safeonweb du CCB. Un VPN chiffre tout le trafic jusqu'au siege avant de sortir sur Internet, neutralisant les interceptions locales.
Scenario 4 : conformite sectorielle ou NIS2
Certains secteurs (sante, finance, energie) imposent le chiffrement des acces distants. La directive NIS2, transposee en Belgique le 18 octobre 2024, rend explicite l'obligation de chiffrer les flux d'acces distant pour les entites essentielles et importantes. Voir notre guide NIS2 : comment savoir si ma PME est concernee.
Une PME 100 % cloud (Microsoft 365 + applications SaaS, pas de serveur interne, pas d'ERP local) n'a souvent pas besoin de VPN pour ses utilisateurs. La MFA + le Conditional Access de Microsoft Entra ID suffisent pour la majorite des usages.
3. Les trois grandes familles : IPSec, WireGuard, SSL
Derriere l'acronyme VPN, trois protocoles dominent le marche entreprise en 2026 :
| Protocole | Force principale | Limite | Cas d'usage PME |
|---|---|---|---|
| IPSec | Standard IETF mature, integre a tous les firewalls serieux, excellent pour le site-a-site. | Configuration lourde, bloque par certains reseaux hoteliers (ports 500/4500 UDP). | Site-a-site entre bureaux, acces distant via firewall Fortinet/SonicWall/Sophos. |
| WireGuard | Code tres compact (environ 4000 lignes auditables), performance superieure, batterie preservee sur mobile. | Plus recent, moins de fonctions entreprise natives (la gestion d'identite se fait en surcouche). | Acces distant rapide, telephones mobiles, teletravailleurs nomades. |
| SSL/TLS VPN | Passe partout (port 443), ne necessite souvent qu'un navigateur ou un client leger. | Implementations proprietaires, plusieurs CVE critiques ces dernieres annees sur les appliances SSL VPN. | Acces ponctuel depuis un poste non gere, consultants externes. |
La whitepaper originelle WireGuard de Jason Donenfeld explique pourquoi le protocole est desormais integre au noyau Linux depuis 2020 et pourquoi il s'est impose comme la reference moderne.
On analyse votre infrastructure actuelle, vos usages (teletravail, nombre de sites, OS du parc) et on vous recommande la config la plus adaptee. Entretien gratuit 30 minutes.
4. 8 criteres pour choisir son VPN PME
- Nombre de tunnels simultanes. Votre solution tient-elle 20 connexions en meme temps sans ecrouler les debits ?
- Integration MFA. Le VPN doit s'appuyer sur votre identite existante (Microsoft Entra ID, Google Workspace) et exiger une authentification forte.
- Debit reel en chiffrement. Un firewall d'entree de gamme peut annoncer 1 Gbps mais tomber a 80 Mbps en IPSec. Verifier les chiffres constructeur en charge reelle.
- Journalisation et conformite. Logs d'acces horodates, traces de connexion, retention conforme RGPD.
- Mises a jour. Les appliances SSL VPN ont cumule des CVE critiques. Verifier la frequence des patchs et la politique de support de l'editeur.
- Compatibilite clients. Windows, macOS, Linux, iOS, Android. Si vous avez un parc mixte, le client doit exister partout.
- Split tunneling. Possibilite de faire passer uniquement le trafic interne par le VPN, laissant le reste sortir en direct (economise de la bande passante).
- Scalabilite. Passer de 10 a 30 utilisateurs doit etre une question de licence, pas de changement d'infrastructure.
5. Estimation couts 2026 : open source vs solution managee
Pour une PME de 15 postes avec teletravail regulier et un seul site physique, voici les options budgetaires typiques :
| Option | Investissement initial | Cout recurrent | Pour qui |
|---|---|---|---|
| WireGuard sur routeur existant + client gratuit | 0 a 200 EUR HT | Temps de gestion interne | PME avec competence technique interne |
| Firewall d'entree de gamme avec VPN IPSec inclus | 500 a 1 500 EUR HT | Maintenance annuelle 150-400 EUR HT | PME 5-25 postes, besoins classiques |
| Firewall UTM milieu de gamme (VPN + IDS + filtrage web) | 1 500 a 4 000 EUR HT | Licence 500-1 200 EUR HT/an | PME 15-50 postes, multi-sites |
| VPN cloud manage (Tailscale Business, Twingate, Cloudflare Access) | 0 | 5 a 10 EUR HT/utilisateur/mois | PME 100 % cloud, teletravail dominant |
Les tarifs Tailscale et Twingate sont documentes sur leurs sites de pricing respectifs. Pour les appliances, un firewall d'entree de gamme a usage professionnel demarre autour de 500 EUR HT en Belgique. Nos packs Business (50 EUR HT/utilisateur/mois) et Managed (80 EUR HT/utilisateur/mois) incluent la gestion VPN au quotidien.
6. Pieges a eviter et cas ou le VPN ne sert a rien
Les appliances VPN (tous fabricants confondus) ont cumule des CVE critiques exploitees activement ces trois dernieres annees. Une appliance non patchee est une porte d'entree, pas une barriere. Planifier un cycle de patching mensuel minimum.
Un VPN chiffre le flux, il ne protege pas du malware embarque sur le poste du teletravailleur. Un poste compromis en teletravail injecte son malware sur le reseau interne aussi vite que s'il etait au bureau. Le VPN doit etre couple a un EDR sur chaque poste.
Cas ou le VPN ne sert a rien : PME dont tout l'outillage est en SaaS (Microsoft 365, Google Workspace, CRM cloud, compta cloud), sans serveur interne, sans ERP local, sans fichier partage hors cloud. Dans ce scenario, les politiques de Conditional Access de Microsoft Entra ID ou Google Workspace couvrent la quasi-totalite des besoins de securisation d'acces, avec un cout marginal et une meilleure experience utilisateur.
On regarde votre config VPN existante (ou son absence), on identifie les angles morts et on vous propose le bon niveau d'investissement. Rapport ecrit en 48h.