Formalités
Création d’entreprise
Outils
Vidéos Focus Documents B2B Annuaires des Greffes Livres blancs & kits Liste des métiers
Services
Accord d'entreprise (7) Actes (6) Actionnaires et Filiales (5) Analyse financière (6) Annonces BODACC (5) Annonces légales (6) Avis de situation SIRENE (3) Bilan financier (5) Brevets (5) Code APE (9) Comptes annuels (6) Contacts entreprises (1) Contacts salariés Convention collective (5) Cotation Banque de France (6) Diagnostic AFDCC (4) Diagnostic NOTA-PME (6) Encours financier Étude de solvabilité (6) Extrait d'immatriculation Extrait RNE (5) Fiche entreprise (1) Justificatif d’immatriculation (1) Kbis (34) Marques (5) Numéro de TVA intracommunautaire (16) Numéro DUNS (6) Numéro EORI (10) Procédures collectives (7) RCS (12) SIREN / SIRET (16) Statuts (11)
Guide
Assemblée générale (7) Auto-entrepreneur (16) Brevet (18) Business plan (6) Création d'entreprise (36) Cycle de vie de l'entreprise (6) Financement (7) Fiscalité (16) Formalités et démarches d'entreprise (11) Franchise (8) Gestion comptable et financière (19) Marque (9) Obligations légales des entreprises (6) Obligations sociales du dirigeant (12) Publication des comptes annuels (8) RGPD (7)
Lexique
Achat (20) Aides (67) Association (15) Assurance (28) Auto-entrepreneur (8) Commerce (126) Comptabilité (101) Emploi (192) Entreprise (179) Finances (192) Fiscalité (76) Formalités (42) Gestion de projet (51) Juridique (149) Logistique (42) Marketing (221) Marque et brevet (65) Paiement (30) Protection des données (19) Responsabilité d'entreprise (53) Ressources humaines (128) Transport (27) Web (101)

Pourquoi opter pour le Zero Trust plutôt que pour un VPN traditionnel ?

Publié le 29/08/2025 à 22h46 par Héloïse Martin
Temps de lecture: 10 minutes

Découvrez comment passer du modèle VPN au Zero Trust pour renforcer la sécurité des accès à distance en 2025.

Pourquoi opter pour le Zero Trust plutôt que pour un VPN traditionnel ?

Les réseaux privés virtuels ont longtemps servi de colonne vertébrale à l’accès distant. Aujourd’hui, ils se transforment en angle mort sécuritaire et en frein opérationnel. Entre backhauling coûteux, surfaces d’attaque élargies et exigences réglementaires renforcées, les directions informatiques françaises arbitent désormais en faveur de modèles Zero Trust plus agiles et plus sobres en risques.

Vpn hérités : vulnérabilités persistantes et coût caché pour les entreprises

Le VPN d’entreprise reste souvent le point de passage obligé pour accéder aux applications internes. Pourtant, les concentrateurs et passerelles hérités concentrent des vulnérabilités connues et régulièrement exploitées, facilitant les intrusions et les mouvements latéraux une fois le périmètre franchi.

Sur le terrain, la réalité est têtue. Les assaillants profitent du moindre défaut de configuration, d’un retard de correctif ou d’identifiants volés pour s’implanter durablement. La bascule d’une logique d’accès réseau à une logique applicative et identitaire devient donc déterminante. Elle permet d’éviter qu’un accès distant ouvre, de facto, une autoroute vers des segments non concernés par la mission de l’utilisateur.

Au plan économique, le backhauling, consistant à faire transiter tout le trafic par un site central pour sortir sur Internet, multiplie les coûts de bande passante et dégrade l’expérience utilisateur. À mesure que les effectifs passent en mode hybride et que les usages cloud se généralisent, ce schéma n’est plus soutenable. Les équipes IT doivent absorber simultanément davantage d’utilisateurs, plus d’applications et plus de menaces, sans élargir la surface d’attaque.

Signaux faibles devenus signaux forts

Les alertes répétées du CERT-FR sur l’exploitation de failles dans des concentrateurs VPN, les incidents de fuite de données et la montée des attaques par rebond via des tiers confirment une tendance lourde : le VPN n’est plus un rempart suffisant. Les organisations s’orientent vers le Zero Trust pour découpler l’accès de l’emplacement et du réseau.

Le panorama s’inscrit aussi dans une intensification globale des menaces et des exigences de résilience. Les dernières analyses institutionnelles pointent une croissance des incidents ciblant les accès distants et des difficultés récurrentes à surveiller finement l’usage applicatif à travers les tunnels chiffrés. À cela s’ajoute une pression réglementaire accrue, notamment avec le déploiement de NIS 2 et la consolidation des obligations de notification d’incident.

Métriques Valeur Évolution
Télétravail au moins 1 jour par semaine ~25 % des salariés en 2023 +5 points vs 2022
Adoption des services cloud par les entreprises de 10+ salariés 65 % en 2023 +7 points vs 2022
Incidents DDoS relevés par semaine ≥ 4 en 2024 Tendance en hausse
Entreprises touchées par une cyberattaque ou une interruption d’accès Plus de la moitié en 2023 Hausse signalée

Au-delà de la technique, l’enjeu est financier. Le TCO des VPN historiques grimpe avec la demande de redondance, les capacités de chiffrement, la gestion des licences et l’empilement d’outils. Le modèle Zero Trust Network Access, intégré à un socle SASE, promet l’inverse : aller vers l’application la plus proche, appliquer la politique au plus près de l’utilisateur et réduire la confiance implicite à zéro.

Prioriser une architecture zero trust orientée métier

La bascule vers le Zero Trust ne consiste pas à juxtaposer un nouveau client d’accès à distance. C’est une révision de l’architecture fondée sur l’identité, le contexte, la posture de l’appareil et la sensibilité de la ressource. L’objectif est double : ne donner que le strict nécessaire et le faire de façon cohérente pour tous, qu’ils soient au bureau, en mobilité ou chez eux.

Les solutions ZTNA les plus abouties opèrent au niveau applicatif, coupant le lien entre utilisateur et réseau interne. Elles établissent un tunnel chifré de point à application, vérifient en continu les signaux de sécurité et interrompent la session si le contexte change. À la clé, moins de mouvements latéraux et une meilleure observation des flux.

Une fois un VPN compromis, un assaillant peut scanner les réseaux privés, élever ses privilèges et rebondir d’un serveur à un autre. Le ZTNA réduit cette capacité car il n’expose pas de sous-réseaux complets et relie chaque identité à une application précise, avec micro-segmentation et contrôles en continu.

Cette approche facilite aussi des use cases sensibles comme la réinitialisation de mots de passe à distance ou l’embarquement d’un nouvel appareil. Les outils Zero Trust peuvent contrôler les accès même si l’équipement n’est pas encore entièrement managé, ce qui fluidifie l’onboarding et réduit la charge du support.

Dernier point clé : l’efficacité du filtrage. Les politiques doivent être centralisées mais appliquées au plus près de l’utilisateur, pour gagner en performance et en homogénéité. Les mécanismes d’isolation de navigateur ou de navigateur d’entreprise permettent d’isoler des sessions à risque, sans ouvrir des segments de réseau entiers.

Hybride et menaces : une conjonction structurante

La part des salariés en télétravail régulier progresse, tout comme l’usage du cloud. Les acteurs publics signalent une accentuation des attaques contre les accès distants et les services exposés. Une architecture Zero Trust bien exécutée priorise la visibilité, la micro-segmentation et l’automatisation des réponses.

Feuille de route en six étapes pour sortir des vpn hérités

La migration réussie vers ZTNA et SASE suit un chemin balisé. Les directions IT et sécurité évitent la fragmentation en partant des cas d’usage, puis en industrialisant. Voici une grille d’exécution qui fonctionne de la PME au grand groupe.

  1. Cartographier les usages et risques. Inventorier les applications privées, cloud et legacy, les dépendances réseau, les profils d’utilisateurs et les tiers. Mesurer l’exposition actuelle via VPN et les chemins latéraux possibles. Cette étape alimente une politique d’accès par rôles, sensibilité et localisation.
  2. Choisir un plan d’adressage applicatif. Normaliser l’accès par application, non par segment de réseau, avec un broker ZTNA capable d’évaluer l’identité, la posture et le contexte. Exiger une micro-segmentation et la compatibilité avec des flux non standards ou initiés par serveur pour les applications anciennes.
  3. Éliminer le backhauling. Déployer un plan de sortie Internet locale sécurisée, s’appuyer sur un réseau d’accès distribué et rapprocher la policy du point d’usage. Bannir le hairpinning pour le trafic vers SaaS et IaaS. Vérifier que l’architecture gère l’optimisation de route pour la voix et la vidéo.
  4. Intégrer le contrôle des appareils. Imposer un contrôle de posture dynamique, y compris pour les appareils non managés. Activer l’isolation de navigateur pour les ressources à haut risque et des navigateurs d’entreprise pour encapsuler la politique d’accès sans client lourd.
  5. Orchestrer la coexistence transitoire. Planifier des vagues de migration par périmètre fonctionnel. Mettre en place des connecteurs applicatifs et des points de service privés pour les workloads hérités, tout en collectant la télémétrie afin d’ajuster finement les politiques. Désactiver progressivement les tunnels VPN en mode contrôlé.
  6. Industrialiser et mesurer. Définir des indicateurs de performance et de risque : temps de connexion, taux de succès d’authentification, incidents bloqués, coûts évités. Relier ces métriques aux objectifs métiers et de conformité pour démontrer le ROI et justifier la désaffectation des équipements historiques.

Classer les applications selon la criticité, la fréquence d’utilisation et la complexité technique. Commencer par les services les plus sollicités et facilement encapsulables. Réserver un lot spécifique aux flux legacy complexes, avec un pilote pour valider connecteurs et bascules progressives.

Conformité et gouvernance : points de vigilance

Aligner la trajectoire de migration avec les obligations de notification, les exigences NIS 2 et les politiques de protection des données. Documenter les contrôles, tracer les accès, durcir l’authentification et vérifier que la gestion des tiers couvre les aspects contractuels et techniques. La gouvernance doit inclure un comité risque pour arbitrer les exceptions.

Cloud public et trafic direct : un enjeu d’expérience et de coûts

Le centre de gravité applicatif s’est déplacé. De plus en plus de workloads résident dans des plateformes IaaS et SaaS. Acheminer ce trafic via des datacenters privés, puis le renvoyer vers Internet, dégrade l’expérience et alourdit la facture.

Le bon réflexe consiste à envoyer le trafic au plus court vers le cloud tout en appliquant la politique de sécurité sur le chemin. Les modèles SASE associent passerelles sécurisées, ZTNA et contrôle de posture pour délivrer un accès cohérent, quel que soit l’endroit. Le résultat est tangible : moins de latence, moins de coûts, plus de visibilité.

Encore faut-il éviter les pièges d’implémentation. Certaines briques ZTNA se contentent d’un accès applicatif mais renvoient le trafic via un site central. D’autres ne savent pas optimiser les flux temps réel. Les DSI doivent exiger un plan de transport cohérent avec la politique de sécurité, sans ruptures ni retours inutiles.

Centres d’appels et voip : exigences réseau spécifiques

Les centres d’appels opérant à distance ont des besoins particuliers. Beaucoup utilisent des solutions UCaaS, mais nombre d’entreprises conservent des IPBX on-premise et acheminent la voix via VPN. Ce schéma induit gigue, paquets perdus et frustration côté client.

Une voie de sortie crédible passe par une solution qui combine ZTNA et SD-WAN avec priorisation dynamique, routage local et contrôle QoS par contexte. Elle maintient la voix on-premise là où c’est nécessaire, tout en garantissant un accès distant fiable et mesurable. Surtout, elle évite la coexistence durable VPN plus ZTNA qui complexifie le support.

Mener des tests de charge sur des plages contrôlées avec profils d’utilisateurs représentatifs. Capturer la gigue, le MOS, la latence aller-retour et la perte de paquets. Valider la capacité à rerouter en temps réel et à appliquer des politiques distinctes pour voix, vidéo et données.

Au-delà de l’aspect technique, les coûts associés au backhauling de la voix s’accumulent. La sortie locale avec inspection adaptée réduit l’usage des liens privés et améliore la qualité de service. Pour une organisation multi-sites, le différentiel budgétaire devient significatif dès l’année 1.

Appareils non managés et tiers : sécuriser l’accès sans dégrader l’usage

Ouvrir des accès à des prestataires ou partenaires est une nécessité économique. Le faire via un VPN classique revient souvent à offrir des droits trop larges et à créer des obligations d’outillage qui freinent l’adoption. La solution consiste à proposer un accès applicatif encapsulé, contrôlé et observé, sans exposer l’infrastructure.

Les navigateurs d’entreprise et l’isolation de navigateur permettent de rendre accessibles des applications web internes sans installer de client, tout en appliquant la politique d’authentification, de copie-coller et de téléchargement. Les contrôles enrôlent l’identité, l’appareil et l’emplacement, puis adaptent les droits.

Les organisations y gagnent en vitesse d’embarquement et en réduction des tickets support. Surtout, elles n’exposent pas des hôtes ou segments en DMZ pour des cas d’usage temporaires. La même logique s’applique aux collaborateurs sur appareils personnels, en donnant un accès encadré aux ressources à faible risque uniquement.

Intégration d’applications legacy sans réécriture

Une part importante des applications critiques dépend de protocoles anciens, parfois initiés depuis le serveur ou sensibles aux latences. Plutôt que de réécrire ces systèmes, il est possible de prolonger leur cycle de vie tout en les encapsulant dans une architecture Zero Trust.

Concrètement, on déploie des connecteurs applicatifs en sortie, côté datacenter ou VPC, qui établissent des connexions sortantes vers la plateforme d’accès. Le trafic reste initié de l’intérieur, ce qui évite d’ouvrir des ports entrants. Pour des cas spécifiques, un private service edge apporte la proximité réseau et garde la maîtrise des flux.

Checklist d’une architecture SASE unifiée

  • Politique d’accès unique pour utilisateurs, appareils et tiers, appliquée de façon cohérente.
  • Accès applicatif sans exposition réseau, micro-segmentation par identité et contexte.
  • Sortie Internet locale avec inspection, prévention des menaces et DLP.
  • Support des flux temps réel et des applications legacy sans réécriture immédiate.
  • Observabilité bout en bout et métriques de performance orientées utilisateur.

Ce socle unifié limite les exceptions et diminue l’empreinte d’outils, ce qui simplifie l’exploitation et réduit le coût total. Il permet aussi de prouver la conformité et de tracer les accès de bout en bout, deux sujets scrutés par les assureurs cyber et les autorités.

De la théorie au terrain : gouvernance, roi et continuité

La réussite ne se joue pas seulement sur la technologie. Elle tient à la capacité à gouverner le changement, à produire des indicateurs compréhensibles et à sécuriser la continuité de service. Les comités d’investissement demandent des preuves tangibles de valeur.

Modèle économique et indicateurs de valeur

Les métriques qui parlent aux métiers incluent le temps moyen de connexion, le taux de réussite à la première tentative, la satisfaction des utilisateurs, les incidents évités et la baisse des coûts de transport réseau. Côté sécurité, l’on mesure la réduction de la surface d’attaque, la rapidité de détection et la vitesse d’isolement.

Ces indicateurs alimentent les jalons budgétaires et justifient la désaffectation progressive de concentrateurs VPN, d’appliances dédiées et de liens privatifs redondants. Ils permettent aussi d’aligner la trajectoire avec les attentes des assureurs et des auditeurs, qui privilégient aujourd’hui les architectures Zero Trust.

Rhythmiser la migration sans casser la production

La bascule s’effectue par vagues limitées, avec des pilotes représentatifs et un plan de retour arrière documenté. Les profils à fort impact, comme les équipes support ou les fonctions commerciales, profitent des premiers bénéfices de performance et d’ergonomie, ce qui favorise l’adhésion générale.

Le volet communication est essentiel. Expliquer pourquoi un accès est désormais conditionnel, pourquoi l’impression de proximité réseau disparaît au profit d’un accès applicatif et comment les nouveaux outils renforcent la productivité évite une friction inutile.

  1. Rôles et responsabilités IT plus sécurité, avec comité d’arbitrage des exceptions.
  2. Politique d’accès unifiée, cartographie applicative et inventaire des tiers.
  3. Processus de revue périodique des droits, basé sur l’activité réelle.
  4. Tableau de bord exécutif avec métriques d’expérience et de risque.

M&a et intégrations rapides : connecter sans fragiliser

Les fusions-acquisitions imposent des délais serrés pour interconnecter des équipes, des applications et des données hétérogènes. Les approches réseau traditionnelles butent sur les conflits d’adressage, la renumérotation et la coexistence de multiples VPN qui plombe l’exploitation.

Le ZTNA court-circuite ces obstacles. En établissant un accès par identité et par application, il permet un Day-1 rapide sans ouvrir davantage le réseau. Les utilisateurs de l’entité acquise reçoivent des droits ciblés, assortis de contrôles de posture. Les applications critiques restent là où elles sont, le temps d’unifier les process.

Scénario d’exécution pour un day-1 sans heurts

Avant la clôture, l’équipe intégration cartographie les accès nécessaires par population cible. Le jour J, un broker ZTNA publie les applications prioritaires, tandis que des connecteurs privés servent les systèmes legacy. Dans un second temps, les flux temps réel reçoivent une politique QoS dédiée via SD-WAN. Les tunnels VPN deviennent des roues de secours, puis sont retirés.

Résultat : un accès mesurable, réversible, et surtout visible pour la direction. Le projet M&A gagne en vitesse tout en réduisant les risques. Ce différentiel opérationnel se traduit par une valorisation plus rapide des synergies côté métiers.

Cap sécuritaire 2025 : remplacer le vpn sans perdre l’équilibre

La bascule vers le Zero Trust n’est pas un dogme, c’est une optimisation pragmatique. Les entreprises françaises y voient un levier pour réduire les risques, gagner en performance et rationaliser l’outillage. La clé est d’outiller la gouvernance, de piloter par cas d’usage et de mesurer le bénéfice sur l’expérience et la sécurité, pas seulement sur le coût direct.

D’ici 2025, les directions IT qui auront encapsulé leurs accès dans un modèle ZTNA, adossé à un socle SASE, disposeront d’un avantage clair en résilience et en conformité. Elles pourront ensuite adresser sereinement la modernisation applicative et la réduction progressive des dépendances legacy.

En transformant l’accès réseau en accès applicatif, les entreprises remplacent un héritage fragile par une stratégie de contrôle fin, alignée sur les usages, les réglementations et la performance opérationnelle.

Questions fréquentes

Qu'est-ce que le Zero Trust ?

Le Zero Trust est un modèle de sécurité qui ne fait confiance à aucun utilisateur ou appareil par défaut.

Quels sont les avantages du Zero Trust par rapport au VPN ?

Le Zero Trust renforce la sécurité en segmentant les accès et en vérifiant continuellement les identités et les contextes.

Pourquoi les VPN sont-ils devenus obsolètes ?

Les VPN traditionnels sont vulnérables aux attaques, facilitant les intrusions et les mouvements latéraux dans le réseau.

Comment migrer vers un modèle Zero Trust ?

La migration vers le Zero Trust nécessite une planification rigoureuse, y compris l'identification des utilisateurs et des ressources critiques.

Quelles sont les nouvelles exigences réglementaires liées à la sécurité ?

Les organisations doivent se conformer à des régulations accrues comme NIS 2, qui imposent de stricte gammes de mesure de sécurité.