Service VPN et VPN d’entreprise : quelle différence ?
Publié le 14/9/2021
Auteur : Arnaud Dufournet, Chief Marketing Officer
De nouveaux mots sont apparus dans notre vocabulaire durant la crise sanitaire. Le mot VPN en fait partie. Ce qui n’est guère étonnant tant cette technologie a largement été utilisée par les entreprises qui ont dû se résoudre à mettre leurs collaborateurs en télétravail pendant les confinements obligatoires. Ultime récompense de cette popularité nouvelle, le mot VPN a fait officiellement son entrée dans le Robert édition 2022 parue en juin dernier, aux côtés d’autres mots comme « cluster », « quatorzaine », ou encore le verbe « télétravailler ».
Le mot est certes rentré dans le vocabulaire populaire mais une grande confusion est souvent faite entre VPN d’entreprise et Service VPN, y compris par des professions de la sécurité informatique. C’est pourquoi nous avons pensé qu’il était utile d’expliquer concrètement la différence.
Qu’est-ce qu’un VPN ?
Commençons tout d’abord par rappeler ce qu’est un VPN. Acronyme de « Virtual Private Network » ou Réseau Privé Virtuel, le VPN consiste à établir un tunnel sur un réseau réputé non sûr comme Internet pour sécuriser les échanges de données. En pratique, un VPN effectue trois opérations successives :
- L’Authentification : avant ouverture du tunnel, le VPN s’assure des deux côtés du tunnel que le poste de travail et le router VPN sont autorisés à communiquer ensemble. Cette authentification se fait avec des clés et des certificats.
- Le Chiffrement : une fois le tunnel ouvert, la communication commence. Les données s’échangent en toute confidentialité grâce à des algorithmes qui vont les chiffrer. C’est donc le chiffrement qui assure la confidentialité.
- L’Intégrité : enfin, le VPN vérifie que toutes les données émises sont reçues sans altération, modification ou encore ajout ou perte. Grâce au processus de hachage des données, le VPN garantit la fiabilité de la connexion. C’est un avantage du VPN souvent méconnu. Pourtant cette fonctionnalité du client est très appréciable quand l’intégrité des données est impérative, par exemple dans le cadre de transactions commerciales ou de transmissions d’informations critiques.
Usages privés ou usages professionnels ?
Pour bien comprendre la différence entre VPN d’entreprise et service VPN, il faut distinguer les usages privés des usages professionnels. Commençons par les usages privés qui sont ceux qui viennent tout de suite à l’esprit quand on parle de VPN. Parmi les besoins fréquents des particuliers, on trouve :
- Garder tout simplement votre anonymat en utilisant une autre adresse IP et masquer ainsi votre position réelle.
- Protéger vos données personnelles quand vous vous connectez à un réseau wifi public. Il vous arrive souvent de vous installer à un Starbucks pour profiter bien sûr d’un bon café mais aussi du réseau Wifi gratuit pour surfer sur internet. La risque que vous prenez en utilisant ce réseau sans précaution, c’est de subir une attaque de type Man in the Middle. Elle consiste à créer un faux Wifi-public à partir d’un vrai pour que les gens s’y connectent. Le pirate peut alors intercepter toutes les données transmises.
- Contourner les restrictions géographiques de sites web ou bien de services de streaming video et audio. Vous souhaitez par exemple débloquer « MyCanal » et regarder votre série préférée en replay sur Canal+ lorsque vous êtes à l’étranger. Ou bien, vous aimeriez accéder au catalogue américain de Netflix et pour cela vous devez montrer une adresse IP américaine.
- Déjouer l’IP tracking des sites de commerce en ligne pour chasser le meilleur prix. Le besoin est assez similaire à celui des exemples précédents. Vous avez besoin d’une adresse IP d’un autre pays pour accéder à d’autres prix.
- Télécharger et partager des fichiers en contournant les restrictions en termes de bande passante et les législations sur la propriété intellectuelle. Quand on pratique le Peer-to-Peer, mieux vaut le faire dans l’anonymat et éviter la surveillance ou le bridage de bande passante par son fournisseur d’accès internet.
Un service VPN répond à l’ensemble de ces usages. Une fois connecté à l’un de ces services, votre adresse IP est alors masquée. Les communications sont redirigées vers un serveur VPN qui se charge de chiffrer les données échangées. Il convient cependant d’apporter un sérieux bémol sur la confidentialité soi-disant garantie. En effet bon nombre de ces services implantés dans des pays échappant à la juridiction française sur les données personnelles, stockent les données de navigation de leurs utilisateurs pour en faire commerce, surtout lorsque ces services sont très bon marché ou gratuits. Par ailleurs, la police peut très bien réquisitionner les adresses IP comme ce fut le cas pour Proton Technologies.
Un VPN d’entreprise répond lui aux usages professionnels dont les exigences en termes de sécurité sont beaucoup plus élevées et les enjeux plus critiques.
Permettre à des collaborateurs nomades d’accéder aux ressources IT de l’entreprise depuis leur poste de travail ou un terminal mobile est l’usage le plus répandu. Mais il en existe bien d’autres qui sont amenés à se développer. Les règlementations comme la Loi de programmation militaire, la directive NIS ou encore la RGPD contraignent les administrations centrales, les organismes publics, les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE) à sécuriser l’accès à leurs systèmes d’information sensibles.
Les organisations de défense et de sécurité utilisent des clients VPN pour préserver la confidentialité et l’intégrité des communications critiques. Le recours à la sous-traitance (infogérance, télémaintenance …) nécessite le contrôle et la sécurisation des accès au SI d’une entreprise par ses prestataires externes. Dans la supply chain, la fiabilisation et la sécurisation des communications entre deux équipements (souvent un terminal mobile et un serveur) sont des enjeux de plus en plus courants que le client VPN adresse. Dernier exemple d’usage de client VPN et qui devient un enjeu majeur pour le monde de l’industrie de plus en plus confronté aux cyber menaces : la sécurisation des échanges de données sensibles émises par des objets connectés. Si vous souhaitez en savoir plus sur tous ces usages, nous vous recommandons notre livre blanc portant sur ce sujet.
Seul le VPN d’entreprise répond aux enjeux de sécurité
Nous venons de voir que les services VPN et les clients VPN ne répondent pas du tout aux mêmes besoins. Un logiciel client VPN permet d’accéder à une passerelle située dans l’entreprise selon un paramétrage qu’elle a elle-même défini. Elle détient ainsi la maitrise complète sur le tunnel et son chiffrement ce qui constitue une différence fondamentale avec le service VPN. Les services VPN utilisent également des tunnels chiffrés, mais pour accéder à des passerelles situées dans divers pays dont les réglementations ne garantissent pas toujours la confidentialité. Les processus mis en place pour sécuriser les flux ne sont pas contrôlables. Par conséquent, sous-traiter son infrastructure VPN n’offre pas les mêmes garanties de sécurité. A notre connaissance, aucun service VPN n’a été certifié à ce jour par une autorité de confiance comme l’ANSSI en France.
Autre différence de taille, les fonctionnalités que proposent un VPN d’entreprise et qui permettent d’élever le niveau de sécurité telles que l’intégration avec l’infrastructure de clé publique, la gestion des logs, la double authentification, la gestion des token, le réseau de confiance … En résumé, une solution VPN d’entreprise offre aux professionnels une bien meilleure protection au regard des enjeux et des responsabilités engagées.
