Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

Quand un VPN pour les collaborateurs aide et quand non

L'abréviation VPN est partout : dans les publicités, dans les conseils aux voyageurs et dans les questions des collaborateurs sur le télétravail. Mais quand un Virtual Private Network apporte-t-il une réelle valeur de sécurité dans une organisation, et quand n'offre-t-il qu'un sentiment de tranquillité sans véritable protection ? Cet article expose ce qu'un VPN fait et ne fait pas, quand il est réellement utile pour les collaborateurs, et comment ancrer son usage dans un programme de sensibilisation à la sécurité sans créer de fausses attentes.

Qu'est-ce qu'un VPN et que fait-il réellement ?

Un VPN construit un tunnel chiffré entre l'appareil de votre collaborateur et un serveur VPN. Depuis ce serveur, le trafic poursuit son chemin sur internet comme s'il en provenait. Pour les parties qui observent le réseau local, par exemple d'autres clients d'un wifi d'hôtel ou l'opérateur malveillant d'un hotspot gratuit, il devient difficile de voir quels sites votre collaborateur visite ou quelles données il envoie.

Important à comprendre : seul le segment entre l'appareil et le serveur VPN est chiffré. Ce qui se passe après le serveur est du trafic internet ordinaire, avec les mêmes risques que sans VPN. Le fournisseur VPN occupe lui-même une position de confiance ; il voit le trafic une fois déchiffré. Pour un usage professionnel, c'est une raison de ne pas choisir un VPN grand public au hasard, mais un service dont la juridiction et la politique de journalisation sont connues.

Quand un VPN est-il utile pour les collaborateurs ?

Un VPN apporte une valeur ajoutée nette sur les réseaux que vous ne contrôlez pas et auxquels vous ne faites pas confiance. Les situations pratiques où les collaborateurs en bénéficient sont reconnaissables :

Wifi public dans les gares, aéroports, hôtels et restaurants, où des tiers inconnus écoutent ou montent de faux hotspots.
Conférences et événements, où le trafic réseau est souvent peu sécurisé et explicitement écouté à des fins de recherche ou de démonstration.
Télétravail via un réseau partagé avec des colocataires ou voisins connectant des appareils inconnus.
Voyages dans des pays où l'internet local est soumis à un filtrage, une surveillance ou une injection lourds.
Accès à des systèmes internes qui exigent explicitement une connexion VPN pour des raisons de segmentation ou de conformité.

Ce qu'un VPN ne fait explicitement pas

Le malentendu "VPN activé, donc je suis en sécurité" cause plus de dégâts qu'un usage raisonné. Un VPN n'offre aucune protection contre les risques qui provoquent des incidents au quotidien :

Phishing : un VPN n'empêche pas un collaborateur de saisir son mot de passe sur un site frauduleux.
Logiciel malveillant : une pièce jointe infectée passe par le tunnel sans problème.
Usurpation de compte : des identifiants volés fonctionnent tout aussi bien via un VPN.
Anonymat vis-à-vis de votre employeur, votre banque ou des services où vous vous connectez de toute façon avec vos données personnelles.
Compensation d'un navigateur peu sûr, de mises à jour manquantes ou d'un ordinateur portable oublié.
Les plus gros incidents de ces dernières années ne sont pas entrés via un réseau d'hôtel non chiffré, mais par un e-mail de phishing, un cookie de session divulgué ou une attaque par fatigue MFA. Aucun tunnel n'aide contre cela.

Le plus grand malentendu : "VPN égale sécurité"

Beaucoup de collaborateurs utilisent un VPN parce qu'ils l'associent à la sécurité, sans savoir ce qu'il protège réellement. Ce sentiment de tranquillité est risqué quand il évince d'autres comportements. Quelqu'un qui se croit en sécurité parce que le VPN est activé clique plus facilement sur un lien suspect, utilise plus volontiers le wifi public pour des actions sensibles et reporte les mises à jour en pensant qu'il ne peut rien arriver.

Dans un programme de sensibilisation, il est plus efficace de positionner le VPN comme une couche parmi d'autres : une étape qui s'inscrit dans un ensemble plus large incluant la MFA, les correctifs, des mots de passe forts et un comportement de clic averti. Sans ce contexte, vous créez davantage une fausse certitude qu'une amélioration réelle.

VPN privé contre VPN professionnel

Les VPN que les collaborateurs connaissent depuis chez eux sont généralement des services commerciaux destinés aux particuliers : ils promettent de la confidentialité, le contournement de blocages géographiques et du chiffrement sur le wifi public. Pour l'accès professionnel à des systèmes internes ou une protection cohérente des collaborateurs, il vous faut un autre type de produit.

Quelques points qui font la différence pour le choix professionnel :

Juridiction et politique de journalisation : le fournisseur opère depuis un pays au droit de la vie privée clair et ne conserve pas de journaux de trafic.
Intégration avec votre plateforme d'identité : les collaborateurs se connectent avec leur compte professionnel plus MFA, et à leur départ l'accès est révoqué automatiquement.
Split tunneling : seul le trafic pertinent passe par le tunnel, afin que les visioconférences et les téléchargements lourds ne ralentissent pas inutilement.
Configuration always-on : le VPN démarre automatiquement sur les appareils de confiance et reste actif sur les réseaux inconnus.
Gestion et visibilité : l'équipe sécurité voit si les connexions fonctionnent, peut appliquer la politique de manière centralisée et enquêter sur les incidents.
Les VPN gratuits sont rarement judicieux pour un usage professionnel. Plusieurs fournisseurs gratuits ont été montrés ces dernières années en train de revendre du trafic, d'injecter de la publicité ou d'être sous l'influence d'acteurs liés à des États.

Que doit dire le programme de sensibilisation à ce sujet ?

L'usage du VPN n'est pas un sujet isolé ; il fait partie d'un message plus large sur le travail sur réseaux inconnus. Intégrez-le dans l'onboarding comme partie de l'explication sur l'ordinateur portable professionnel : quand le VPN est-il automatiquement actif, quand le collaborateur doit-il l'activer lui-même, et qui aide en cas de problème. Combinez cela avec des règles claires dans la politique : pour quel type de travail le VPN est-il obligatoire, le collaborateur peut-il utiliser ses propres VPN pour un usage privé sur l'ordinateur professionnel, comment gérez-vous les pays où l'usage de VPN est restreint ou interdit.

Dans un programme récurrent, il est utile de ne pas proposer le VPN comme un module séparé mais comme une action concrète dans des scénarios : un collaborateur part à une conférence, un autre travaille depuis un camping, un autre se connecte depuis le réseau d'un client. Ces histoires rendent la technologie maniable et montrent qu'un VPN est une couche aux côtés d'un clic conscient, d'une authentification forte et de logiciels à jour.

De l'explication à l'action

Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.

Voir la page formation

Sources

FAQ

Un VPN est-il obligatoire pour les télétravailleurs ?

Cela dépend de votre politique. Pour le travail qui passe uniquement par des systèmes internes, une connexion VPN professionnelle est généralement obligatoire. Pour le travail bureautique général via des applications cloud, la MFA et une authentification forte fonctionnent souvent tout aussi bien. Par souci de cohérence, nous recommandons toutefois d'activer le VPN always-on par défaut sur les ordinateurs portables professionnels.

Un collaborateur peut-il utiliser un VPN gratuit pour le travail ?

De préférence non. Les VPN gratuits gagnent souvent leur argent en revendant le trafic, en injectant de la publicité ou en collectant des métadonnées. Pour le travail, le collaborateur doit utiliser un service choisi et géré par l'organisation.

Un VPN protège-t-il contre le phishing ?

Non. Un VPN chiffre le trafic réseau, mais l'utilisateur saisit lui-même ses identifiants sur un site. Contre le phishing, seules la vigilance humaine, la MFA, les passkeys et des technologies qui bloquent les domaines frauduleux sont efficaces.

Quand un VPN apporte-t-il réellement quelque chose ?

Sur les réseaux que vous ne contrôlez pas, comme le wifi public, les conférences et les réseaux domestiques partagés, et lorsque vous devez spécifiquement atteindre des systèmes internes uniquement accessibles via VPN. Dans d'autres situations, la valeur ajoutée est limitée.

Quelle est la différence entre un VPN et un proxy ?

Un proxy redirige le trafic d'une seule application, sans chiffrement complet entre l'appareil et le proxy. Un VPN chiffre tout le trafic de l'appareil et vise la sécurité réseau plutôt que la configuration d'applications.

Dois-je utiliser un VPN always-on sur l'ordinateur professionnel ?

Pour la cohérence et la simplicité, c'est conseillé. Le collaborateur n'a pas à juger lui-même si le réseau actuel est de confiance. Sur les réseaux d'entreprise et domestiques de confiance, la configuration peut différer via le split tunneling.

Quelles alternatives existent à un VPN classique ?

Les organisations adoptent de plus en plus Zero Trust Network Access (ZTNA). L'accès est accordé par application, en fonction de l'utilisateur, de l'état de l'appareil et du contexte, plutôt que de faire passer tout le trafic réseau par un tunnel unique. Pour des cas d'usage spécifiques, c'est plus sûr et plus rapide qu'un VPN d'entreprise classique.