Retour aux actualités
Cybersécurité20 février 20265 min de lecture

Fin du VPN SSL : pourquoi migrer vers IPsec dès maintenant

Les éditeurs, dont Fortinet, orientent clairement vers l'abandon du VPN SSL. Vulnérabilités répétées, surface d'attaque trop large — voici pourquoi et comment migrer vers IPsec ou ZTNA.

Par Équipe SYIT

Une fin annoncée

Le VPN SSL a longtemps été la solution de confort pour l'accès distant : simple à déployer, accessible depuis un navigateur. Mais les choses évoluent rapidement.

Les éditeurs, dont Fortinet, orientent clairement vers l'abandon du VPN SSL au profit de solutions plus robustes. La raison est simple : le modèle atteint ses limites.

Pourquoi maintenant ?

  • Vulnérabilités critiques répétées (CVE à score CVSS > 9 ces deux dernières années)
  • Surface d'attaque importante — le portail SSL est exposé directement sur Internet
  • Modèle de sécurité périmétrique qui ne correspond plus aux architectures hybrides actuelles

    • Les risques actuels

    Sur le terrain, nous constatons les mêmes schémas de compromission :

  • Exploitation de failles non patchées sur les concentrateurs VPN SSL
  • Accès non maîtrisés avec des comptes locaux non contrôlés
  • Compromission du SI complet à partir d'un simple accès VPN

    • Une fois dans le tunnel VPN SSL, l'attaquant a souvent un accès réseau très large — l'opposé du principe de moindre privilège.

    Les alternatives

    IPsec

  • Protocole plus mature et plus robuste
  • Natif sur la plupart des OS (Windows, macOS, Linux, iOS, Android)
  • Meilleure intégration réseau, compatible avec les politiques BGP et les architectures multi-sites
  • Recommandé par l'ANSSI pour les accès sensibles

    • Zero Trust Network Access (ZTNA)

  • Accès basé sur l'identité et le contexte (qui, depuis quel appareil, depuis où)
  • Segmentation applicative — l'utilisateur n'accède qu'aux ressources dont il a besoin
  • Réduction drastique de la surface d'exposition
  • Compatible avec les modèles NIS2 et LPM

    • Notre approche chez SYIT

    Nous accompagnons nos clients dans trois étapes :

    1. Audit des accès existants — inventaire des tunnels SSL actifs, des comptes, des politiques appliquées.

    2. Migration vers IPsec — conception de la nouvelle architecture, déploiement par vagues avec double-run pendant la transition.

    3. Intégration AD et MFA — authentification centralisée via Active Directory, second facteur obligatoire pour tous les accès distants.

    Conclusion

    Le VPN SSL n'est plus une option viable à long terme. La question n'est pas de savoir si vous devez migrer, mais quand.

    > Il ne s'agit pas d'une évolution. C'est un changement de paradigme.

    Une question sur ce sujet ?

    Nos ingénieurs sont disponibles pour échanger sur vos enjeux spécifiques.

    Nous contacter

    Articles similaires

    Sécuriser Milestone XProtect : HTTPS, haute disponibilité et Active Directory

    5 min de lecture

    Sécuriser Active Directory avec le modèle Tier 0 / Tier 1 / Tier 2

    6 min de lecture