Étude des protocoles VPN modernes, comparaison WireGuard / OpenVPN / IPSec, et évolutions vers le Zero Trust Network Access (ZTNA) dans les infrastructures d'entreprise.
Chez Paul Hartmann SAS, j'ai déployé un serveur VPN WireGuard via Docker, administré avec l'interface WGDashboard. Ce VPN permet aux utilisateurs autorisés d'accéder aux ressources de l'infrastructure depuis l'extérieur de manière sécurisée, via un tunnel chiffré.
| Critère | WireGuard | OpenVPN | IPSec |
|---|---|---|---|
| Code source | ~4 000 lignes | ~70 000 lignes | Très complexe |
| Performance | Excellente | Bonne | Bonne |
| Configuration | Simple | Modérée | Complexe |
| Chiffrement | ChaCha20, Curve25519 | AES, RSA | AES, 3DES |
| Noyau Linux | Intégré (5.6+) | User space | Noyau |
| Cas d'usage | Site-to-site, remote | Remote access | Site-to-site |
WireGuard utilise le modèle clé publique / clé privée (similaire à SSH). Chaque pair dispose d'une paire de clés générée localement. La clé publique est échangée et configurée sur le serveur.
Chez Hartmann, la règle pfSense n°8 autorisait les clients VPN à accéder au LAN sur des ports spécifiques, limitant la surface d'attaque même pour les connexions distantes.
Le VPN traditionnel accorde un accès large au réseau interne une fois connecté. Le ZTNA est plus granulaire : chaque application est protégée individuellement, l'accès est accordé selon l'identité, l'appareil et le contexte.