VPN site-à-site : interconnecter vos bureaux en toute sécurité

Un VPN site-à-site crée un tunnel chiffré permanent entre deux ou plusieurs sites de votre entreprise, permettant aux collaborateurs d’accéder aux ressources distantes comme s’ils étaient sur le réseau local.

Pourquoi un VPN site-à-site ?

Votre entreprise a des bureaux à Paris et Lyon ? Vos collaborateurs lyonnais ont besoin d’accéder au serveur ERP hébergé à Paris ? Sans VPN, ces échanges transitent sur internet en clair et sans contrôle.

Le VPN site-à-site résout ce problème en créant un réseau privé virtuel entre vos sites. Le trafic est chiffré de bout en bout et transite de manière transparente. Pour les utilisateurs, c’est comme si les deux sites étaient sur le même réseau local.

Les protocoles VPN site-à-site

IPsec : le standard de l’industrie pour les VPN site-à-site. Robuste, éprouvé et supporté par tous les équipements réseau. Fonctionne au niveau 3 (réseau) du modèle OSI. C’est le choix par défaut.

WireGuard : protocole moderne, plus simple et plus performant qu’IPsec. Code minimal (4000 lignes vs 400 000 pour IPsec), latence réduite, et configuration simplifiée. Idéal pour les nouvelles installations.

OpenVPN : solution open source flexible basée sur SSL/TLS. Plus adapté aux VPN d’accès distant qu’aux tunnels site-à-site, mais reste une option viable.

GRE over IPsec : combine le tunneling GRE (qui supporte le multicast et les protocoles de routage) avec le chiffrement IPsec. Nécessaire si vous avez besoin de routage dynamique entre les sites.

Architecture et dimensionnement

Pour deux sites, la topologie est simple : un tunnel point-à-point entre les deux pare-feux. Pour trois sites ou plus, plusieurs architectures sont possibles :

• Hub-and-spoke : tous les sites se connectent à un site central. Simple à gérer mais le site central est un point de défaillance unique
• Full mesh : chaque site est connecté à tous les autres. Performance optimale mais complexité croissante (n×(n-1)/2 tunnels)
• Partial mesh : compromis entre les deux, seuls les sites qui communiquent fréquemment sont interconnectés directement

Pour les architectures complexes (5+ sites), le SD-WAN est souvent préférable car il simplifie la gestion des tunnels et optimise le routage automatiquement.

Bonnes pratiques de déploiement

• Chiffrement fort : AES-256-GCM pour le chiffrement, SHA-256 ou SHA-384 pour l’intégrité, DH Group 14 ou supérieur pour l’échange de clés
• Adressage IP : planifiez vos plages IP pour éviter les conflits entre sites. Chaque site doit avoir un sous-réseau distinct
• Redondance : prévoyez un tunnel de secours sur un second lien internet pour éviter les coupures
• Monitoring : surveillez l’état des tunnels, la latence et le débit pour détecter les dégradations
• DPD (Dead Peer Detection) : activez la détection de panne pour basculer automatiquement sur le tunnel de secours

Sécurité du VPN site-à-site

Le VPN chiffre le trafic mais ne le filtre pas. Complétez avec des règles de pare-feu inter-sites pour contrôler précisément quels flux sont autorisés entre les sites. Un accès VPN ne doit pas signifier un accès total au réseau distant.

Odyssix déploie et gère vos interconnexions VPN site-à-site. Contactez-nous pour étudier votre architecture multi-sites.