Actualités & ressources

Actualités & ressources

Nos articles, conseils et nouveautés sur la cybersécurité, l'IA et la data.

← Tous les articles
Cybersécurité2026-07-03 · 10 min de lecture · KLE Formations

La fin du VPN ? L'authentification, nouveau champ de bataille

Serrure numérique et empreinte digitale symbolisant l'authentification forte et le Zero Trust

Pendant des décennies, la sécurité informatique a fonctionné comme un château fort : de hautes murailles, un pont-levis (le VPN), et une confiance implicite pour tous ceux qui étaient « à l'intérieur ». Ce modèle est en train de s'effondrer. En 2026, le vrai périmètre n'est plus le réseau, c'est l'identité, et l'authentification est devenue le principal champ de bataille. Décryptage d'une bascule majeure, et des compétences qu'elle rend précieuses.

Le pare-feu n'est plus le périmètre : l'identité l'est

Un chiffre résume tout : selon le rapport Verizon DBIR 2025, environ 81 % des compromissions impliquent des identifiants volés ou faibles. Autrement dit, les attaquants ne « percent » plus les murs, ils entrent par la porte, avec les clés de quelqu'un d'autre. Face à ce constat, une philosophie s'est imposée : le Zero Trust, dont le principe est aussi simple que radical, « ne jamais faire confiance, toujours vérifier ». Aucune connexion n'est de confiance par défaut, qu'elle vienne du bureau, du VPN ou du réseau interne. Chaque accès doit être authentifié, autorisé et validé en continu, selon le contexte et le niveau de risque.

Pourquoi le VPN vacille

C'est là que le VPN montre ses limites. Dans le modèle traditionnel, une fois connecté au VPN, l'utilisateur se retrouve « à l'intérieur » du réseau, avec un accès souvent large et une confiance implicite. Un identifiant volé, et l'attaquant hérite de ce même accès étendu. C'est pourquoi l'éditeur BeyondTrust estime que les organisations qui utilisent encore le VPN pour des accès critiques ou à privilèges sont en situation de risque permanent.

La réponse s'appelle le ZTNA (Zero Trust Network Access) : plutôt qu'un accès global au réseau, il accorde un accès contextuel, ressource par ressource, selon le principe du moindre privilège. Attention à la nuance : il ne s'agit pas de « supprimer son VPN demain », mais de changer de modèle, en cessant d'accorder une confiance globale à quiconque a franchi le pont-levis.

Toutes les authentifications ne se valent pas

L'authentification multifacteur (MFA) est devenue un standard. Mais, et c'est le point pédagogique essentiel, toutes les méthodes ne se valent pas, loin de là.

Les formes les plus répandues (code par SMS, mot de passe à usage unique, notification « push ») sont vulnérables à une attaque redoutable, l'adversaire du milieu (Adversary-in-the-Middle, ou AiTM) : un site de phishing s'interpose, capture le code saisi par la victime et le rejoue en temps réel sur le vrai site. Des kits d'attaque accessibles ont rendu cette technique courante, et la « fatigue du push » (des notifications si fréquentes qu'on finit par valider machinalement) a fait ses preuves lors de brèches retentissantes. Le NIST a d'ailleurs déclassé le SMS comme méthode fiable dès 2017.

À l'inverse, une seule catégorie résiste vraiment : le MFA résistant au phishing, c'est-à-dire FIDO2, les passkeys et les certificats. Sa force tient à un principe élégant : la preuve d'authentification est liée cryptographiquement à l'adresse exacte du site légitime. Concrètement, la clé de sécurité ne signe la demande que si le domaine correspond exactement à celui enregistré. Un faux site, même visuellement identique, hébergé sur une adresse légèrement différente, ne déclenchera jamais la signature. Cette « liaison d'origine » réduit à néant le modèle économique de l'AiTM. C'est pourquoi FIDO2 et les passkeys sont recommandés par la CISA, le NIST et l'ANSSI.

La nouvelle tactique des attaquants : la régression

Face à ces défenses, les attaquants changent de stratégie, et c'est ce qu'anticipe l'éditeur Proofpoint : plutôt que d'affronter une authentification forte, ils cherchent à la faire régresser vers une méthode plus faible. C'est l'attaque par « downgrade ».

Comment ? En exploitant les portes dérobées laissées ouvertes. Les protocoles de messagerie historiques (IMAP, POP3), par exemple, transmettent les identifiants sans réelle protection et ne supportent pas le MFA moderne : selon Microsoft, les comptes qui les autorisent sont trois fois plus susceptibles d'être compromis. La leçon est claire : déployer une authentification forte ne suffit pas s'il reste des chemins de contournement. Fermer ces portes latérales fait partie intégrante du travail.

Une bascule déjà engagée

Le mouvement est puissant et bien réel. Les passkeys, portées par Apple, Google et Microsoft, se généralisent, offrant le meilleur équilibre entre sécurité et simplicité (une authentification par biométrie ou code local, sans mot de passe à saisir). Le cabinet Gartner anticipe que, d'ici fin 2026, l'authentification sans mot de passe deviendra la norme pour les accès professionnels dans de nombreuses entreprises, et qu'en 2027, plus de 90 % des transactions MFA par jeton reposeront sur les standards FIDO. Les secteurs régulés (finance, santé, administration, infrastructures critiques) mènent la marche, poussés par des exigences comme celles de DORA ou NIS2.

La réalité du terrain : une trajectoire, pas un interrupteur

Restons lucides, car la théorie se heurte à une réalité plus rugueuse. Le Zero Trust n'est pas un produit qu'on installe, mais une trajectoire. Plusieurs obstacles ralentissent les organisations : les terminaux personnels (BYOD) parfois incompatibles avec les standards récents, l'hétérogénéité des parcs, la fragmentation des écosystèmes (iOS, Android, Windows), les référentiels d'identité mal synchronisés, et le coût (une clé physique coûte de 25 à 70 €, et la bonne pratique en prévoit deux par utilisateur). Chaque exception mal gérée devient une faille potentielle.

La bonne approche est donc progressive : commencer par sécuriser les accès les plus critiques (comptes à privilèges, direction, finance) avec le niveau maximal, puis étendre par paliers, plutôt que d'imposer FIDO2 à tout le monde du jour au lendemain. Un investissement rationnel, quand on sait qu'équiper une PME de trente personnes revient au coût d'une seule journée d'interruption d'activité.

Une compétence d'architecture très recherchée

Pour qui se forme, voilà un domaine en or. Concevoir une architecture d'identité et d'accès moderne (IAM, Zero Trust, ZTNA, MFA résistant au phishing) est devenu l'une des compétences les plus stratégiques de la cybersécurité, et l'une des plus recherchées. Le besoin est criant : selon Gartner, près de la moitié des organisations n'ont même pas de stratégie IAM formalisée. Il y a là un espace considérable pour des professionnels bien formés.

Chez KLE Formations, notre parcours en cybersécurité couvre ces fondations : gestion des identités et des accès, principes du Zero Trust, authentification forte et architecture de sécurité. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7. Pour prolonger, lisez notre article sur les cyberattaques dopées à l'IA (où le MFA résistant au phishing joue un rôle clé), notre analyse de DORA et notre guide des métiers de la cybersécurité.

Le VPN ne disparaîtra pas du jour au lendemain, mais son règne comme unique gardien du château est terminé. Dans un monde sans murailles, c'est l'identité que l'on protège, une authentification à la fois. Et cette bascule appelle, partout, des architectes capables de la piloter.


Sources : Verizon Data Breach Investigations Report 2025 (part des compromissions liées aux identifiants) ; CISA et NIST (classification du MFA résistant au phishing, déclassement du SMS) ; FIDO Alliance et documentations Microsoft Entra / Cloudflare (FIDO2, passkeys, liaison d'origine, ZTNA) ; BeyondTrust et Proofpoint (risque VPN, attaques par régression d'authentification) ; Gartner (prévisions passwordless et FIDO, stratégies IAM) ; guides techniques Ayi Nedjimi, ACME et Login-Sécurité (déploiement, obstacles, coûts). Chiffres à jour à la mi-2026. Cet article traite le sujet sous l'angle défensif, sans détailler de procédé offensif.