Aller au contenu principal
Sécurité Guide pratique PME

Sécuriser les accès distants avec VPN et MFA

Les accès distants (VPN, bureau distant) sont-ils sécurisés et auditables ?

En bref — ce que vous devez retenir

Le bureau à distance et les VPN sans sécurité renforcée sont devenus les principales portes d'entrée des ransomwares depuis 2020. Un accès RDP exposé sur Internet sans MFA peut être compromis en quelques heures par des scanners automatiques.

Glossaire

VPN

Virtual Private Network

Réseau Privé Virtuel

Tunnel chiffré entre votre appareil et internet (ou votre réseau d'entreprise). Vos données transitent de façon sécurisée, même sur un Wi-Fi public.

MFA

Multi-Factor Authentication

Authentification Multi-Facteurs

Sécurité qui exige deux preuves d'identité pour se connecter : votre mot de passe + un code reçu par SMS ou via une application dédiée.

? Nature du problème

Depuis le développement du télétravail, les accès distants (VPN, Bureau à Distance/RDP, TeamViewer) ont explosé. Les attaquants les ont immédiatement ciblés car ils donnent un accès direct au réseau interne.

RDP (port 3389) exposé sur Internet est scanné en permanence par des bots. Les attaques par force brute trouvent des comptes avec des mots de passe faibles en heures. WannaCry et la majorité des ransomwares d'entreprise entrent par cette porte. Un VPN sans MFA n'est qu'un verrou avec une seule clé — volable.

Depuis 2023, une nouvelle surface d'attaque s'est ajoutée : les interfaces d'administration des VPN eux-mêmes (Ivanti, Fortinet, Citrix). Plusieurs vulnérabilités critiques ont permis des compromissions sans authentification. Maintenir le firmware VPN à jour est aussi important que sécuriser les accès.

Tailscale et WireGuard offrent une alternative moderne aux VPN traditionnels : architecture peer-to-peer, cryptographie contemporaine (Curve25519), configuration simplifiée. Particulièrement adaptés aux PME sans équipe IT dédiée, ils réduisent la surface d'attaque par rapport aux solutions VPN traditionnelles exposant des ports sur Internet.

Comment corriger — étape par étape

  1. Ne jamais exposer RDP directement sur Internet — si c'est le cas, fermez immédiatement le port 3389 en externe
  2. VPN obligatoire : tout accès distant doit passer par un VPN (OpenVPN, WireGuard, Tailscale, ou solution d'entreprise comme Cisco AnyConnect)
  3. MFA sur le VPN : activez l'authentification à deux facteurs sur votre solution VPN
  4. Portail RDP via VPN : le bureau à distance ne doit être accessible que depuis le VPN, pas depuis Internet
  5. Bloquez les connexions depuis les pays où vous n'avez aucun collaborateur (géo-blocage)
  6. Auditez les logs d'accès VPN mensuellement : tentatives échouées, connexions à des heures anormales

! Incidents réels

PME industrie — Mulhouse, 2022

Un serveur avec RDP exposé sur Internet avait un compte "admin" avec le mot de passe "Admin2019". Compromis en 4 heures par force brute. LockBit déployé sur tout le réseau. Rançon de 150 000 € demandée.

Agence de voyage — Nice, 2023

"Notre VPN n'avait pas de MFA. Un attaquant a obtenu les identifiants via phishing et s'est connecté depuis la Roumanie à 3h du matin. Il a exfiltré les données de 8 000 clients avant qu'on détecte quoi que ce soit."

Cabinet d'expertise comptable — Lyon, 2024

"Un associé utilisait TeamViewer sans authentification renforcée pour accéder à son PC depuis chez lui. Son compte a été compromis par force brute. L'attaquant a eu accès pendant 48 heures à tous les dossiers clients — 600 dossiers fiscaux — avant que les logs alertent notre prestataire IT."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →