Rapport ThreatLabz 2025 sur les VPN : Pourquoi 81 % des entreprises prévoient d’adopter le Zero Trust d’ici 2026

Les technologies VPN ont longtemps été l’épine dorsale de l’accès à distance, mais selon une nouvelle étude de ThreatLabz, les risques de sécurité et les problèmes de performance liés aux VPN pourraient rapidement changer les choses pour les entreprises.

Lerapport Zscaler ThreatLabz 2025 sur les risques liés aux VPN, publié par Cybersecurity Insiders, s’appuie sur les analyses de plus de 600 professionnels de l’informatique et de la sécurité concernant les risques croissants et les défis opérationnels que posent les VPN. Il révèle que les entreprises luttent activement contre les risques de sécurité, les problèmes de performance et la complexité opérationnelle des VPN. Une tendance se démarque : les entreprises commencent à adoptermassivement des solutions Zero Trust. Globalement,65 % des entreprises prévoient de remplacer leurs services VPN dans l’année, ce qui représente une augmentation de 23 % par rapport aux résultats de l’année dernière. Parallèlement, 96 % des entreprises privilégient une approche Zero Trust et 81 % prévoient de déployer des stratégies Zero Trust au cours des 12 prochains mois.

Tous ces changements s’inscrivent dans un contexte de menaces facilitées par l’IA. Les VPN étant connectés à Internet, il est devenu relativement simple pour les hackers d’utiliser l’IA pour automatiser la reconnaissance des vulnérabilités des VPN. Il leur suffit par exemple de demander à leur chatbot IA préféré de leur renvoyer toutes les CVE actuelles pour les produits VPN qu’utilise une entreprise, qui pourront ensuite être facilement scannées sur l’Internet public. Lorsque l’on sait que des chercheurs ont récemment découvert que des dizaines de milliers d’adresses IP publiques hébergées par au moins l’un des plus grands fournisseurs de sécurité sont activement analysées, probablement par des hackers, le nœud du problème pour les VPN devient clair : si vous êtes accessible, vous êtes accessible. 

Le rapport analyse ces risques dans le contexte des préoccupations et des projets des entreprises, ainsi que de leur adoption de stratégies Zero Trust pour sécuriser le personnel hybride et garantir une connectivité sécurisée aux applications privées. Cet article de blog présente trois conclusions fondamentales du rapport qui sous-tendent ces changements critiques. Pour des informations complètes, des analyses et des bonnes pratiques, téléchargez dès aujourd’hui le rapport Zscaler ThreatLabz 2025 sur les risques liés aux VPN.

1.  Les défis de sécurité généralisés des VPN

Les réseaux privés virtuels (VPN) étaient autrefois la référence absolue pour l’accès à distance sécurisé. Cependant, avec l’évolution des cybermenaces, les VPN sont passés du statut d’outils fiables à celui de risques majeurs.En effet, les vulnérabilités VPN attirent irrésistiblement les hackers, des entreprises ont signalé des violations exploitant les VPN l’année dernière, soit une augmentation notable par rapport à l’année précédente.

Ces vulnérabilités constituent un défi majeur. Les VPN étant des dispositifs connectés à Internet, les acteurs malveillants peuvent facilement détecter les infrastructures VPN affectées et les exploiter avant la publication ou l’application d’un correctif. Récemment, la CISA a publié un avis invitant les entreprises concernées à appliquer les mises à jour de sécurité pour CVE-2025-22457, une vulnérabilité critique désormais connue et exploitée qui pourrait permettre à des hackers non authentifiés d’exécuter du code à distance (RCE).

Ces failles sont devenues des points d’entrée privilégiés pour les campagnes de ransomware, le vol d’identifiants et les campagnes de cyberespionnage qui peuvent causer des dégâts considérables sur les réseaux. En effet, 92 % des personnes interrogées craignent que des failles non corrigées des VPN entraîne directement des incidents de ransomwares, soulignant ainsi la difficulté de corriger les VPN en temps voulu. Parallèlement, 93 % des personnes interrogées s’inquiètent des vulnérabilités de portes dérobées introduites par les connexions VPN tierces, les hackers exploitant de plus en plus les identifiants tiers pour s’infiltrer dans les réseaux sans être détectés.

Cartographie de l’augmentation des CVE liés aux VPN de 2020 à 2025

Afin de comprendre l’augmentation des vulnérabilités liées aux VPN, ThreatLabz a également analysé les vulnérabilités et expositions courantes (CVE) des VPN de 2020 à 2025, à partir des données du programme MITRE CVE. En général, le signalement des vulnérabilités est une bonne chose, car la divulgation et la correction rapides des vulnérabilités aident l’ensemble de l’écosystème à améliorer la cybersécurité, la collaboration communautaire et à réagir rapidement face aux nouveaux vecteurs d’attaque. Aucun logiciel n’est à l’abri des vulnérabilités, ni ne devrait supposer l’être.

Illustration 1 : Type d’impact des CVE VPN de 2020 à 2024, couvrant l’exécution de code à distance (RCE), l’élévation des privilèges, le déni de service, la fuite d’informations sensibles et le contournement de l’authentification.

La manière dont ces CVE sont découvertes et les informations qu’elles contiennent reflètent l’évolution du paysage des menaces. Dans le cas des VPN, ThreatLabz a constaté que non seulement les vulnérabilités des VPN ont augmenté au fil du temps, reflétant en partie leur popularité pendant la transition post-COVID vers le travail hybride, mais qu’elles sont souvent graves.

Au cours de la période d’échantillonnage, les CVE VPN ont augmenté de 82,5 % (notez que les données du début de 2025 ont été supprimées pour cette partie de l’analyse). Au cours de l’année écoulée, environ 60 % des vulnérabilités ont affiché un score CVSS élevé ou critique, indiquant un risque potentiellement grave pour les entreprises concernées. Qui plus est, ThreatLabz a constaté que les vulnérabilités qui permettent l’exécution de code à distance (RCE) étaient les plus répandues, en termes d’impact ou des capacités qu’elles peuvent conférer aux hackers. Ces types de vulnérabilités sont généralement graves, car elles peuvent permettre aux hackers d’exécuter du code arbitraire sur le système. En d’autres termes, loin d’être inoffensives, la plupart des CVE VPN exposent leurs clients à des exploits que les hackers peuvent exploiter, et exploitent souvent.

Alors que les entreprises s’efforcent de suivre le rythme de la sophistication croissante des attaquants, elles doivent tourner vers d’autres options. Les architectures Zero Trust s’imposent comme la solution pour combler ces lacunes de sécurité. Contrairement aux VPN, qui reposent sur une confiance implicite et un accès étendu au réseau, les cadres Zero Trust appliquent des politiques d’accès granulaires et basées sur l’identité qui limitent directement les déplacements des hackers au sein des réseaux et éliminent le risque de voir des actifs connectés à Internet et au réseau facilement détectés et exploités par des hackers.

2. La frustration des utilisateurs finaux influence les décisions des entreprises

Les inefficacités des VPN ne constituent pas seulement un problème de sécurité, elles frustrent également les utilisateurs. La lenteur de la connectivité, les déconnexions fréquentes et les processus d’authentification complexes affectent les utilisateurs de VPN depuis des années, et ces défis figurent en tête de liste des frustrations des utilisateurs finaux dans nos conclusions. Selon le rapport, ces frustrations liées à l’expérience utilisateur influencent de plus en plus les stratégies informatiques, les entreprises se tournant vers le Zero Trust pour fournir un accès sécurisé sans problèmes de performances ni compromis.

Les modèles Zero Trust répondent à ces attentes en contournant les dépendances réseau centralisées au profit de connexions directes et spécifiques à l’application. Le résultat ? Les employés bénéficient d’un accès rapide et fluide aux outils dont ils ont besoin, tandis que les équipes informatiques peuvent assurer les contrôles de sécurité et l’application des politiques en temps réel. Sans surprise, la satisfaction à l’égard des solutions Zero Trust s’étend à la fois aux utilisateurs finaux et aux équipes informatiques, consolidant cette approche comme la prochaine évolution de l’accès sécurisé.

3. 81 % des entreprises sont activement engagées dans leur transition vers des cadres Zero Trust

Conséquence de ces tendances, une prise de conscience généralisée est en train de transformer les stratégies de cybersécurité : le Zero Trust n’est plus seulement un concept, c’est une nécessité fondamentale. Avec 81 % des entreprises ayant l’intention de déployer activement des cadres Zero Trust au cours de l’année à venir, celles-ci s’affranchissent progressivement des systèmes VPN traditionnels qui ne répondent plus à leurs besoins d’accès à distance. Cette évolution marque une transition importante : le Zero Trust n’est plus considéré comme un idéal théorique, mais comme une solution pratique.

Pourquoi l’approche Zero Trust est-elle privilégiée ? Contrairement aux VPN, qui accordent généralement un accès étendu au réseau sur la base d’une confiance implicite, le Zero Trust repose sur le principe « ne jamais faire confiance, toujours vérifier ». Le Zero Trust permet un contrôle d’accès extrêmement granulaire aux applications privées, une vérification d’identité robuste et une surveillance continue, offrant ainsi une protection efficace aux effectifs dispersés et aux environnements informatiques hybrides. En général, les entreprises qui sont passées d’une technologie VPN au Zero Trust ont cité l’amélioration de la sécurité et de la conformité comme principal avantage (76 %), ce qui confirme que le Zero Trust remplace l’accès implicite au réseau et réduit l’exposition aux ransomwares, au vol d’identifiants et aux risques de mouvements latéraux. Associées à des gains en termes d’évolutivité, de conformité et de simplicité opérationnelle, les raisons pour lesquelles les architectures Zero Trust remplacent rapidement les VPN sont de plus en plus évidentes.

Télécharger le rapport

Le rapport ThreatLabz 2025 sur les risques liés aux VPN fournit des informations clés aux entreprises qui souhaitent en savoir plus sur les VPN et l’accès à distance. Téléchargez votre exemplaire pour obtenir des informations essentielles sur:  

• Sécurité d’entreprise et défis opérationnels liés aux VPN
• Bonnes pratiques essentielles pour sécuriser le personnel hybride
• Avis de pairs sur la transition vers le Zero Trust
• Prévisions concernant les VPN pour 2025 et au-delà