Le constat est clair : les VPN ne sont plus la clé de voûte de l’accès sécurisé
Pendant plus de vingt ans, les réseaux privés virtuels (VPN) ont été la référence pour la connectivité à distance. Mais avec l’essor du travail hybride et des opérations cloud-first, les limites des VPN sont devenues vraiment évidentes. Nous avons constaté qu’en un an, plus de la moitié des entreprises ont subi des attaques directement liées à des vulnérabilités de VPN.
Les hackers se servent de plus en plus des vulnérabilités zero-day, d’identifiants volés et de la reconnaissance optimisée par l’IA pour exploiter ces solutions d’accès obsolètes et infiltrer les réseaux. Il n’est donc pas surprenant que la grande majorité des organisations prévoient d’adopter une stratégie Zero Trust d’ici 2026.
Les VPN amplifient les risques à tous les niveaux
Fondé sur une enquête mondiale menée auprès de 632 professionnels de l’informatique et de la cybersécurité, le rapport révèle quatre tendances majeures :
- L’obsolescence des VPN s’accélère. 65 % des entreprises ont l’intention de remplacer leur VPN dans l’année à venir, soit 23 % de plus que l’année dernière.
- L’exploitation des VPN s’accélère. Cette année, 56 % des entreprises ont subi des violations liées à leurs VPN, et 92 % craignent que les VPN ne les exposent à des ransomwares.
- L’exaspération face aux VPN atteint un seuil critique. 51 % des entreprises jugent que leurs VPN offrent une expérience utilisateur peu satisfaisante, et 37 % dénoncent des coûts trop élevés.
- Le Zero Trust remplace rapidement les VPN. 96 % des entreprises ont déjà adopté une stratégie Zero Trust, sont en train de la déployer ou prévoient de le faire.
Les VPN augmentent la probabilité d’une attaque et amplifient son impact
Les groupes de ransomware savent que les VPN constituent des cibles faciles, ce qui en fait un vecteur d’attaque privilégié. Des appareils non patchés et des modèles de confiance implicites fournissent aux hackers un terrain idéal pour déployer rapidement leurs ransomwares et malwares, et se déplacer latéralement sans entrave.
En réaction, certains fournisseurs de VPN historiques ont simplement rebaptisé des machines virtuelles cloud « solutions Zero Trust ». Or, sur le plan architectural, un VPN hébergé dans le cloud reste un service exposé à Internet, doté d’adresses IP publiques que les hackers peuvent identifier et compromettre.
71 % des personnes interrogées considèrent les déplacements latéraux comme une préoccupation majeure : avec le modèle de confiance implicite des VPN, la compromission d’un seul utilisateur peut exposer l’ensemble de l’environnement. Les hackers exploitent alors cet accès étendu pour élever leurs privilèges et dérober des données sensibles avant même d’être détectés.
Les VPN ont un coût caché : interruptions et surcharge opérationnelle
Les VPN traditionnels consomment des ressources considérables, imposant une charge opérationnelle lourde à des équipes informatiques déjà sous tension. Des coûts de maintenance exorbitants combinés à une protection insuffisante montrent clairement que le modèle VPN n’est plus viable.
Par ailleurs, les VPN causent des problèmes bien au-delà des seules équipes informatiques. Les utilisateurs expriment leur frustration face à de nombreux problèmes inhérents aux VPN : piètres performances, difficultés de connexion ou impossibilité d’accéder à des ressources essentielles. Ces problèmes ralentissent la productivité et augmentent le nombre de demandes d’assistance technique.
Le Zero Trust s’impose comme la nouvelle norme
La plupart des entreprises reconnaissent que les VPN ne répondent plus à leurs besoins de sécurité et d’accès. L’accumulation de vulnérabilités, la piètre expérience utilisateur et les demandes de maintenance poussent les entreprises à abandonner les VPN à un rythme inédit, au profit de solutions d’accès sécurisé modernes telles que l’accès réseau Zero Trust (ZTNA).
Pour pallier les faiblesses des architectures VPN traditionnelles, l’immense majorité (96 %) des entreprises envisagent de déployer dans un avenir proche – ou déploient déjà – une stratégie Zero Trust.
Le débat Zero Trust contre VPN est clos
Les VPN ont longtemps incarné l’accès à distance. Aujourd’hui, ils incarnent le risque. Les périmètres traditionnels ont disparu, et les attaquants exploitent chaque faille, des chaînes CVE non corrigées aux backdoors introduites par des tiers.
Nos analyses sont sans ambiguïté : pour rester résilientes face aux menaces modernes, les entreprises doivent remplacer leurs VPN par une architecture Zero Trust.
Téléchargez le rapport complet de Zscaler ThreatLabz 2025 sur les risques liés aux VPN pour découvrir des analyses, tendances et approfondissements supplémentaires, notamment :
- Les exploits VPN les plus critiques : de l’exécution de code à distance au contournement de l’authentification
- Les principaux facteurs à l’origine des compromissions VPN de l’année
- Les risques métiers liés aux fusions-acquisitions et à l’accès tiers : des vulnérabilités traditionnelles aux portes dérobées dans les VPN des fournisseurs
- Des études de cas réels comme ManPower Group, qui a réduit de 97 % le nombre de demandes d’assistance après avoir remplacé ses VPN.
- Les 7 principales prévisions de risques liés aux VPN pour 2025 et au-delà, établies par notre équipe d’experts en recherche sur les menaces.
- Les bonnes pratiques à adopter dès aujourd’hui pour éliminer les risques critiques liés aux VPN