Le VPN a été la solution de référence pendant 20 ans pour sécuriser les accès distants. Mais les menaces ont évolué, les organisations aussi — et le VPN seul ne répond plus aux exigences actuelles de traçabilité, de contrôle et de conformité. Voici pourquoi, et ce que le bastion PAM apporte de différent.
Ce que fait un VPN — et ce qu'il ne fait pas
Un VPN (Virtual Private Network) crée un tunnel chiffré entre l'utilisateur distant et votre réseau. C'est sa seule fonction : sécuriser le transport. Une fois connecté au VPN, l'utilisateur est "sur le réseau" et peut, selon les règles de pare-feu, atteindre les ressources autorisées.
Le VPN ne sait pas ce que fait l'utilisateur une fois connecté. Il ne peut pas enregistrer les sessions RDP, journaliser les commandes SSH ou interrompre une session suspecte. Il ne gère pas les droits d'accès applicatifs. Il ne produit pas de rapport de conformité.
Ce que fait un bastion PAM — la différence fondamentale
Un bastion PAM est un point d'accès unique qui se place entre l'utilisateur et les ressources cibles. Il ne donne pas d'accès réseau — il donne un accès contrôlé, limité et tracé à des ressources spécifiques, via des protocoles précis (RDP, SSH, VNC).
La différence tient en une phrase : le VPN fait confiance à l'utilisateur une fois authentifié. Le bastion vérifie chaque action, limite chaque périmètre, et enregistre chaque session.
VPN — ce qu'il fait
- Chiffrement du transport
- Authentification réseau (avec ou sans MFA)
- Accès réseau étendu
- Masquage d'IP pour l'utilisateur distant
- Compatible avec tous les protocoles
Bastion PAM — ce qu'il ajoute
- Authentification forte MFA/SSO
- Accès limité à des ressources définies
- Enregistrement vidéo des sessions
- Audit trail complet et horodaté
- Supervision et kill session en temps réel
- Accès JIT avec expiration automatique
- Rapports de conformité NIS2/ISO/SOC2
- Accès 100 % navigateur, sans client lourd
Comparatif détaillé : VPN vs Bastion PAM
| Critère | VPN seul | Bastion PAM |
|---|---|---|
| Chiffrement du transport | ✓ Oui | ✓ Oui (TLS 1.3) |
| Authentification MFA | ~ Possible (selon produit) | ✓ Natif (TOTP, SSO) |
| Contrôle granulaire des accès | ✗ Accès réseau large | ✓ Par ressource, par protocole |
| Enregistrement des sessions | ✗ Non | ✓ Vidéo complète RDP/SSH/VNC |
| Audit trail exploitable | ~ Logs connexion seulement | ✓ Actions détaillées, exportables |
| Supervision temps réel | ✗ Non | ✓ Observer et killer une session |
| Accès Just-in-Time | ✗ Non | ✓ Workflow + expiration auto |
| Gestion accès prestataires | ✗ Manuel, risqué | ✓ Comptes dédiés, traçables |
| Rapports conformité NIS2 | ✗ Non | ✓ NIS2, ISO 27001, SOC 2 |
| Client à installer | ~ Souvent oui | ✓ 100 % navigateur |
| Déploiement on-premise | ✓ Oui | ✓ Oui (docker-compose) |
| Conformité NIS2 article 21.2.i | ~ Partielle (MFA) | ✓ Complète |
Pourquoi le VPN seul échoue face aux menaces actuelles
Le mouvement latéral
Une fois sur le VPN, un attaquant peut scanner le réseau, tenter des connexions vers d'autres machines, et progresser vers des ressources plus sensibles. Avec un bastion PAM, l'accès est limité aux ressources explicitement autorisées — le mouvement latéral est structurellement impossible.
Les accès prestataires permanents
Votre infogérant a besoin d'accéder à vos serveurs. Avec un VPN, vous lui créez un compte avec un accès réseau large — souvent jamais révoqué. Avec un bastion, vous créez un accès limité aux serveurs concernés, avec un accès JIT activé uniquement lors des interventions, et vous avez l'enregistrement vidéo de chaque session.
Les credentials compromis
Si les credentials VPN d'un utilisateur sont volés (phishing, keylogger, réutilisation de mot de passe), l'attaquant dispose d'un accès réseau. Sans MFA robuste et sans limitation d'accès, la compromission peut rester invisible pendant des semaines. Le bastion ajoute une couche d'authentification forte et limite la surface d'impact.
L'absence de traçabilité post-incident
Après un incident, la question clé est : que s'est-il passé exactement ? Les logs VPN disent "connexion établie de 10h23 à 14h45 depuis l'IP X". Ils ne disent pas quels fichiers ont été consultés, quelles commandes ont été exécutées, quelles données ont été exfiltrées. L'enregistrement de sessions du bastion répond à ces questions.
VPN et bastion sont-ils complémentaires ?
Dans certaines architectures, oui. Le VPN peut sécuriser l'accès réseau global, tandis que le bastion sécurise spécifiquement les accès administrateurs et privilégiés. Cette approche est courante dans les grandes entreprises avec des règles de segmentation réseau strictes.
Pour les PME et ETI, le bastion PAM peut souvent remplacer le VPN pour les accès distants aux serveurs. Les utilisateurs finaux qui n'ont pas besoin d'accès réseau global — mais seulement d'accéder à des serveurs spécifiques — se connectent directement via le bastion, sans VPN.
- Accès distants administrateurs → Bastion PAM (Remsek)
- Accès des prestataires IT → Bastion PAM uniquement, accès JIT
- Accès des utilisateurs nomades → Bastion PAM pour les serveurs, ou VPN si accès réseau nécessaire
- Aucun port RDP/SSH exposé directement sur internet
Le cas du télétravail : VPN ou bastion ?
La pandémie a forcé un déploiement massif de VPN en urgence, souvent sans MFA et avec des droits d'accès trop larges. Le résultat : une surface d'attaque considérablement élargie, que les attaquants ont immédiatement exploitée.
Le bastion PAM résout plusieurs problèmes du télétravail :
- Pas de client à installer — l'utilisateur se connecte depuis son navigateur, sur n'importe quel poste (y compris les clients légers ou les machines personnelles dans certains contextes)
- MFA natif — impossible de contourner
- Accès limité — l'utilisateur ne voit que les ressources auxquelles il est autorisé, pas le réseau entier
- Traçabilité complète — ce qui est fait en télétravail est aussi traçable qu'au bureau
Ce que cela change pour vos audits
Lors d'un audit NIS2 ou ISO 27001, votre auditeur demandera des preuves de contrôle des accès privilégiés. Avec un VPN seul, vos réponses seront incomplètes :
- "Enregistrez-vous les sessions RDP de vos prestataires ?" → Non
- "Pouvez-vous démontrer qui a accédé à ce serveur et ce qu'il a fait ?" → Logs de connexion seulement
- "Vos accès prestataires sont-ils limités dans le temps et révocables immédiatement ?" → Difficile à garantir
Avec un bastion PAM, chaque réponse est "oui, avec preuve à l'appui".
Conclusion
Le VPN reste un outil utile pour sécuriser le transport réseau. Mais il ne remplace pas un bastion PAM pour la gestion des accès privilégiés. Les deux ne font pas le même travail.
En 2026, avec NIS2 en vigueur et des attaquants qui ciblent en priorité les accès distants, se contenter d'un VPN pour les accès administrateurs est un risque opérationnel et réglementaire. Le bastion PAM est la couche de contrôle que le VPN n'apporte pas.
Pour les DSI qui souhaitent simplifier leur architecture : Remsek permet souvent d'éliminer le VPN pour les accès serveurs, de réduire la surface d'attaque, et de produire des preuves de conformité clés en main.
Remplacez votre VPN admin par un bastion PAM en moins d'une heure
Remsek se déploie avec docker-compose. Essai gratuit, sans carte bancaire.
Demander une démo