La fin du VPN ? Vers un modèle d’accès privé basé sur le Zero Trust

Le VPN a longtemps été considéré comme la solution standard pour permettre l’accès distant aux ressources internes des entreprises. Pendant des années, il a répondu à un besoin simple : connecter les collaborateurs au réseau interne, même à distance.

Mais les usages ont changé. Le télétravail, les environnements hybrides, la multiplication des applications cloud et surtout l’évolution des cyberattaques rendent ce modèle de plus en plus risqué et inefficace.

Aujourd’hui, une alternative s’impose : le ZTNA (Zero Trust Network Access), aussi appelé accès privé basé sur l’identité, qui redéfinit complètement la notion d’accès aux systèmes d’information.

Le VPN : un modèle pensé pour un autre temps 

Le principe du VPN est simple : créer un tunnel sécurisé entre l’utilisateur et le réseau de l’entreprise. Une fois connecté, l’utilisateur est considéré comme “à l’intérieur” du réseau.

Ce modèle fonctionne, mais il repose sur une hypothèse devenue dangereuse :
une fois authentifié, l’utilisateur peut être largement considéré comme fiable.

Le problème principal : l’accès au réseau entier 

Avec les VPN traditionnels, l’utilisateur obtient généralement un accès étendu au réseau interne, sauf lorsque des mécanismes de segmentation avancés sont configurés.

Cela crée plusieurs risques majeurs :

  • Un accès trop large à des ressources sensibles

  • Une visibilité potentielle sur des systèmes qui ne devraient pas être accessibles

  • Une dépendance forte à la sécurité des identifiants

  • Une difficulté à contrôler finement les permissions

En d’autres termes, les VPN traditionnels peuvent ouvrir un accès réseau étendu, ce qui complique la limitation précise des ressources accessibles sans configuration avancée.

Le risque critique : le mouvement latéral 

L’un des problèmes les plus sérieux du VPN est le mouvement latéral.

Si un attaquant obtient des identifiants valides (via phishing, fuite de données ou malware), il peut se connecter au VPN comme un utilisateur légitime. Une fois à l’intérieur, il peut explorer le réseau, chercher des failles et accéder à d’autres systèmes.

Ce modèle est particulièrement dangereux dans les environnements modernes où :

  • Les identifiants sont souvent réutilisés

  • Les appareils personnels peuvent accéder aux ressources professionnelles

  • Les attaques sont de plus en plus automatisées

Le VPN transforme un simple accès compromis en accès potentiel à tout le système d’information.

VPN vs ZTNA : un changement de philosophie 

Le ZTNA (Zero Trust Network Access) ne cherche pas à connecter l’utilisateur au réseau. Il repose sur une logique complètement différente :

“Ne jamais faire confiance, toujours vérifier.”

La différence fondamentale : 

  • VPN : accès au réseau interne

  • ZTNA / accès privé : accès uniquement à l’application autorisée

Au lieu de donner un accès global, le ZTNA établit une connexion spécifique entre l’utilisateur et une application précise.

Cela réduit immédiatement la surface d’exposition.

L’accès privé : une approche centrée sur l’application 

Le modèle d’accès privé repose sur un principe simple :
l’utilisateur n’a pas besoin d’accéder au réseau, seulement à l’application dont il a besoin.

Dans cette approche :

  • L’utilisateur est authentifié

  • L’appareil est vérifié

  • L’accès est accordé uniquement à l’application demandée

  • Le reste du réseau reste totalement invisible

Cela change profondément la logique de sécurité.

Les piliers du Private Access 

1. Accès basé sur l’identité 

L’accès n’est plus uniquement basé sur une connexion réseau, mais sur l’identité de l’utilisateur et le niveau de confiance associé.

Chaque demande d’accès est évaluée selon :

  • L’utilisateur

  • Le rôle

  • Le contexte de connexion

2. Accès au niveau application 

Contrairement au VPN, qui ouvre un tunnel vers le réseau, le Private Access établit une connexion directe vers une application spécifique.

Cela permet :

  • Une segmentation naturelle des accès

  • Une réduction des permissions inutiles

  • Une limitation stricte des ressources visibles

3. Vérification continue 

Les VPN traditionnels reposent généralement sur une authentification initiale, alors que les modèles Zero Trust introduisent une vérification continue de l’identité et du contexte.

Le modèle Zero Trust, lui, introduit une logique de vérification continue :

  • L’état du device est contrôlé

  • Le contexte de connexion est réévalué

  • L’accès peut être ajusté ou révoqué en temps réel

Réduction de la surface d’attaque 

L’un des avantages les plus importants du Private Access est la réduction drastique de la surface d’attaque.

Contrairement au VPN :

  • Les applications internes ne sont pas directement exposées sur Internet et restent accessibles uniquement via des connexions sécurisées et authentifiées.Le réseau interne reste caché

  • Les chemins d’accès non autorisés sont supprimés

  • Les attaques de type “scan réseau” deviennent inefficaces

Le principe est simple : Si une ressource n’est pas visible publiquement, le risque d’exposition et d’exploitation est fortement réduit.

Secure Application Tunnelling 

Le Private Access repose sur un mécanisme de tunnel sécurisé vers les applications.

Au lieu de connecter l’utilisateur à tout le réseau, un tunnel chiffré est établi directement entre :

  • L’utilisateur

  • L’application ciblée

Ce modèle élimine la nécessité d’exposer les ports réseau internes ou de donner un accès global.

Une intégration native dans Endpoint Central 

Cette approche est disponible en module complémentaire pour Endpoint Central en local.

Cela présente plusieurs avantages concrets :

  • La mise en place ne nécessite généralement pas de nouvelle infrastructure complexe.Utilisation des informations existantes sur les appareils

  • Gestion centralisée des accès et de la sécurité

  • Déploiement rapide dans les environnements existants

L’idée est simple : si les terminaux sont déjà gérés, l’accès sécurisé peut être activé sans reconstruire l’architecture.

Une réponse adaptée aux environnements modernes 

Les entreprises d’aujourd’hui ne fonctionnent plus comme il y a dix ans :

  • Les employés travaillent depuis plusieurs lieux

  • Les applications sont distribuées entre cloud et on-premise

  • Les attaques sont plus ciblées et persistantes

  • Les accès externes sont permanents

Dans ce contexte, un accès réseau global devient un risque structurel.

Conclusion 

Le VPN a longtemps été un pilier de l’accès distant, mais il repose sur une logique de sécurité périmétrique qui ne correspond plus aux enjeux actuels.

Aujourd’hui, l’accès privé propose une approche plus adaptée : il ne s’agit plus de connecter les utilisateurs au réseau, mais de leur donner un accès ciblé aux seules applications dont ils ont besoin.

Ce changement marque une évolution vers un modèle plus précis, plus maîtrisé et mieux aligné avec les environnements hybrides, où les utilisateurs se connectent depuis différents lieux, sur différents appareils, et vers des applications de plus en plus distribuées.

Surtout, cette transformation n’est plus théorique. Elle est déjà concrète : des solutions comme Endpoint Centralpermettent d’activer ce type d’accès sécurisé via un module complémentaire pour environnement local, sans nécessiter de refonte complète de l’infrastructure existante.