Jeannot
Pourquoi la question du VPN se pose encore dans les entreprises modernes
On pourrait croire que le VPN appartient à une autre époque. Après tout, une grande partie du travail d’équipe passe aujourd’hui par des outils accessibles directement dans le navigateur : CRM, messagerie, stockage cloud, plateformes RH, suites collaboratives, sans oublier ChatGPT et les agents IA qui s’invitent partout. Pourtant, la disparition progressive du “tout sur site” ne fait pas disparaître les risques. Elle les déplace.
Les accès se multiplient, les connexions se font depuis la maison, un coworking, un hôtel, parfois un téléphone personnel, et les données de l’entreprise circulent en permanence entre appareils, services web et réseaux que l’organisation ne maîtrise pas toujours. Le NIST rappelle justement que le télétravail, l’accès à distance et le BYOD doivent être sécurisés contre les menaces attendues, tandis que le NCSC explique qu’un VPN permet d’assurer une connectivité sécurisée entre des appareils et des services situés dans des lieux différents.
Le VPN n’est pas dépassé, mais son rôle a changé
Le vrai sujet, donc, n’est pas de savoir si le VPN est “moderne” ou “dépassé”. La vraie question est plus simple : dans une entreprise qui travaille avec des outils cloud, des automatisations et de l’IA, à quoi sert encore un VPN, et dans quels cas devient-il réellement utile ?
La réponse n’est ni “partout”, ni “plus jamais”. Un VPN reste une brique pertinente dès qu’il faut protéger les données en transit sur un réseau non fiable, encadrer l’accès à certaines ressources internes, ou ajouter une couche de défense entre l’utilisateur distant et des services qui ne devraient pas être exposés directement. Le NCSC souligne d’ailleurs que les VPN sécurisent les données en transit sur un réseau non fiable et peuvent aussi servir de seconde ligne de défense face à des services internes mal configurés, anciens ou insuffisamment maintenus.
Ce que change concrètement l’usage des outils IA et SaaS
Prenons un cas très concret. Une équipe commerciale utilise un CRM, une direction échange des fichiers sensibles par email et via un drive, un responsable marketing manipule des exports clients, et tout le monde sollicite au quotidien un ou plusieurs assistants IA pour résumer, classer, rédiger ou analyser.
Dans ce contexte, le VPN n’a pas pour mission de “rendre l’entreprise invisible sur Internet”. Son intérêt est plus terre à terre : sécuriser la connexion d’un salarié quand il travaille depuis un Wi-Fi qu’il ne contrôle pas, protéger l’accès à certaines ressources internes encore hébergées en local, imposer un chemin réseau plus maîtrisé, et réduire l’exposition directe de certains services. Le NCSC précise qu’un VPN peut permettre à des systèmes anciens de fonctionner à distance, protéger les serveurs internes contre des attaquants externes non authentifiés et protéger les postes utilisateurs contre certaines attaques réseau.
Le VPN comme brique d’architecture, pas comme gadget marketing
C’est là que beaucoup d’entreprises se trompent : elles pensent qu’un VPN sert surtout à masquer une adresse IP, alors qu’en environnement pro, sa valeur est d’abord architecturale. Il sert à encadrer un accès distant. Pour une PME ou une équipe hybride, c’est souvent un moyen simple d’éviter d’exposer inutilement des ressources métier, surtout quand il reste des briques internes, des partages réseau, des outils historiques ou des applications qui n’ont pas été conçues nativement pour une approche zero trust.
Le NCSC indique d’ailleurs que l’architecture VPN “traditionnelle” conserve un intérêt lorsqu’il existe encore un volume important de services sur site ou des services hérités, alors qu’une approche zero trust est souvent plus adaptée aux organisations qui consomment principalement des services cloud. Autrement dit : le VPN n’est pas mort, mais il n’est plus forcément le centre du dispositif.
Dans une entreprise très cloud, faut-il tout faire passer par un VPN ?
Dans une entreprise très cloud, le bon raisonnement consiste à voir le VPN comme un outil ciblé, pas comme une couverture magique. Si vos équipes utilisent surtout des SaaS bien configurés, avec authentification forte, journalisation correcte, chiffrement TLS, segmentation des accès et politiques de sécurité solides, alors tout faire passer “de force” dans un VPN n’est pas toujours le meilleur choix.
Le NCSC explique qu’une migration vers le zero trust ne consiste pas simplement à basculer vers le SaaS puis à couper le VPN : il faut d’abord s’assurer que les communications sont sécurisées, que l’authentification est robuste, que les appareils sont correctement gérés, et que les systèmes hérités sont traités séparément si nécessaire. C’est un point important, parce qu’il évite deux erreurs opposées : croire qu’un VPN résout tout, ou croire que le cloud le rend inutile.
Ce qu’un VPN ne protège pas
Il faut aussi être clair sur ce qu’un VPN ne fait pas. Il ne transforme pas un mauvais outil en bon outil. Il ne corrige pas une mauvaise hygiène des mots de passe. Il ne remplace ni la mise à jour des postes, ni l’authentification à deux facteurs, ni la maîtrise des droits d’accès. Il ne protège pas non plus une entreprise contre les erreurs humaines les plus banales : partage excessif de documents, import de données sensibles dans un outil d’IA sans cadre interne, ou utilisation d’un poste personnel mal sécurisé.
Là encore, les recommandations officielles sont cohérentes : le NCSC rappelle qu’un VPN déjà déployé doit être maintenu à jour, que l’authentification à deux facteurs doit être activée quand elle est disponible, et que la configuration des appareils reste une composante vitale de l’architecture de sécurité.
Comment choisir un VPN adapté à une équipe qui travaille avec des outils SaaS et de l’IA
Pour une entreprise qui veut choisir un VPN sans perdre de temps, il faut regarder les bons critères. D’abord, la simplicité de déploiement : si l’outil devient un cauchemar pour les utilisateurs, il sera contourné. Ensuite, la compatibilité avec une authentification forte, idéalement intégrable à un annuaire ou à une logique SSO.
Il faut aussi vérifier la stabilité des clients desktop et mobile, la gestion centralisée, la capacité à limiter l’accès à certaines ressources plutôt qu’à “ouvrir tout le réseau”, et la possibilité d’accompagner des usages hybrides mêlant cloud et anciens services. Les recommandations du NCSC sur l’architecture d’accès distant vont dans ce sens : l’accès doit s’appuyer sur une authentification de l’utilisateur et de l’appareil, et les règles doivent déterminer précisément à quels services un utilisateur et un terminal peuvent accéder.
IA, confidentialité et VPN : attention aux faux raccourcis
Un autre point mérite d’être dit franchement, surtout dans un contexte où l’IA est partout : utiliser un VPN ne règle pas la question de la confidentialité vis-à-vis de la plateforme elle-même. Si un collaborateur colle des données sensibles dans un service d’IA tiers, le vrai sujet devient la gouvernance de l’usage, les paramètres de conservation, les politiques internes et le choix du fournisseur.
Le VPN protège la connexion entre l’utilisateur et le réseau traversé ; il n’efface pas les enjeux contractuels, organisationnels et applicatifs une fois les données confiées au service. C’est précisément pour cela que les approches modernes insistent sur l’authentification, le contrôle d’accès, la sécurité des appareils, la compréhension de l’architecture et la protection des données en transit comme des briques complémentaires, et non comme des solutions interchangeables.
Faut-il encore utiliser un VPN en entreprise en 2026 ?
Alors, le VPN est-il encore utile en 2026 pour une entreprise qui travaille avec ChatGPT, un CRM, des outils RH, des automatisations et du cloud ? Oui, mais pas comme un totem. Il reste très pertinent pour le télétravail, les connexions sur réseaux non fiables, l’accès à certaines ressources internes, la protection de services hérités et la mise en place d’une défense en profondeur.
En revanche, dans une entreprise majoritairement SaaS, il doit s’intégrer dans une stratégie plus large, avec MFA, politiques d’accès claires, postes bien gérés et réflexion sérieuse sur les usages de l’IA. Le bon VPN n’est pas celui qui promet de tout rendre “anonyme”. C’est celui qui s’insère proprement dans le travail réel de l’entreprise, sans gêner les équipes, sans raconter d’histoires, et sans faire oublier que la sécurité repose toujours sur plusieurs couches, pas sur un seul bouton.
