Pour l'utilisateur au quotidien.
Votre identifiant VPN est strictement personnel. Le prêter a un collegue ou a un prestataire revient a leur donner les clés de l'entreprise. En cas de besoin d'acces ponctuel, demandez la creation d'un compte temporaire au service informatique. Toute connexion sera attribuee a vous en cas d'incident.
Laisser le VPN connecte en permanence sur un poste personnel partage avec d'autres membres du foyer expose le réseau professionnel. Pensez a déconnecter le VPN a la fin de votre session de travail et a verrouiller votre poste si vous vous absentez.
Pour le technicien qui intervient.
Le VPN est la porte d'entree privilegiee des attaquants : un mot de passe vole ouvre tout le réseau interne. Le guide d'hygiene ANSSI mesure 21 et la directive NIS2 imposent le MFA pour toute connexion VPN. Privilégier les facteurs forts (FIDO2, application avec notification push, OTP materiel). Le SMS comme second facteur est deconseille.
Les concentrateurs Fortinet, Pulse Secure, Citrix et autres ont subi des vagues massives d'exploitation en 2019, 2021, 2023 et 2024. Une CVE critique sur le VPN est exploitee dans les heures qui suivent. Souscrire aux alertes editeur, et appliquer les correctifs critiques sous 24 a 48 heures, meme en dehors des fenêtres de maintenance habituelles.
Les anciens protocoles (PPTP, L2TP/IPsec mal configuré, SSL-VPN sans certificat valide) presentent des faiblesses cryptographiques connues. Privilégier IPsec IKEv2 avec algorithmes AES-256-GCM et SHA-2, ou WireGuard. Pour SSL-VPN, exiger TLS 1.2 minimum (1.3 recommande) et des suites de chiffrement modernes.
Chaque connexion VPN doit etre tracée : date, utilisateur, IP source, durée, IP attribuee. Envoyer ces logs vers le SIEM avec retention minimale 12 mois. Une revue mensuelle des connexions inhabituelles (pays étrangers, horaires atypiques, comptes inactifs réactivés) detecte les compromissions tôt. Conformite RGPD art. 32 et ISO 27001 A.12.4.
Un certificat serveur expiré bloque toute connexion. Un certificat auto-signe ou faible expose au man-in-the-middle. Vérifier chaque trimestre la validite, la durée restante (renouveler 30 jours avant), la solidite (RSA 2048 minimum, ECDSA P-256 recommande) et la chaine de confiance. Automatiser via ACME / Let's Encrypt si possible.
Pour le responsable / gestionnaire.
Le VPN est la porte d'entree privilegiee des attaquants : un mot de passe vole ouvre tout le réseau interne. Le guide d'hygiene ANSSI mesure 21 et la directive NIS2 imposent le MFA pour toute connexion VPN. Privilégier les facteurs forts (FIDO2, application avec notification push, OTP materiel). Le SMS comme second facteur est deconseille.
Les anciens protocoles (PPTP, L2TP/IPsec mal configuré, SSL-VPN sans certificat valide) presentent des faiblesses cryptographiques connues. Privilégier IPsec IKEv2 avec algorithmes AES-256-GCM et SHA-2, ou WireGuard. Pour SSL-VPN, exiger TLS 1.2 minimum (1.3 recommande) et des suites de chiffrement modernes.
Pour l'auditeur et le contrôle de conformité.
Chaque connexion VPN doit etre tracée : date, utilisateur, IP source, durée, IP attribuee. Envoyer ces logs vers le SIEM avec retention minimale 12 mois. Une revue mensuelle des connexions inhabituelles (pays étrangers, horaires atypiques, comptes inactifs réactivés) detecte les compromissions tôt. Conformite RGPD art. 32 et ISO 27001 A.12.4.