ZTNA pour PME : comment remplacer le VPN en 2026

Le VPN d'entreprise tel qu'on le connaît depuis 25 ans (IPsec, OpenVPN, FortiClient SSL) est en fin de vie. Le ZTNA (Zero Trust Network Access) le remplace progressivement. Voici pourquoi et comment migrer une PME en 30 jours.

1. Pourquoi le VPN d'entreprise est obsolète

• Modèle "château fort" : une fois connecté au VPN, on accède au réseau interne entier. Ransomware adore.
• Concentrateur centralisé : tout le trafic passe par le VPN gateway, qui devient goulot d'étranglement et SPOF.
• Authentification faible : login/password + parfois MFA ; le VPN n'évalue pas le contexte (device sain ? localisation ?)
• Vulnérabilités fréquentes : Pulse Secure, Fortinet, Citrix Gateway ont chacun eu des CVE critiques exploitées en masse 2022-2025.

2. Ce qu'apporte le ZTNA

• Accès par application, pas par réseau : utilisateur accède à l'app autorisée, jamais au réseau global
• Vérification continue : identité + device posture + localisation + comportement à chaque requête
• Micro-segmentation : compromission d'un compte n'expose pas tout
• Pas d'IP publique exposée : connecteurs sortants vers le service ZTNA, surface d'attaque externe nulle
• Performance : routage intelligent, edge POPs proches de l'utilisateur

3. Solutions ZTNA pour PME en 2026

• Cloudflare Zero Trust : gratuit jusqu'à 50 utilisateurs, ensuite 7$/user/mois. Pas de console à héberger, déploiement en 1h.
• Tailscale : 5$/user/mois business. WireGuard mesh, ultra simple, idéal devops/IT.
• Twingate : 5$/user/mois, focus business, console sympa.
• Microsoft Entra Private Access : inclus dans M365 E5 ou licence Entra Suite. Bonne intégration AD.
• Fortinet FortiSASE : pour ceux déjà équipés FortiGate, intégration native.

4. Migration PME 30 jours type

Semaine 1 — Inventaire et choix

• Lister applications accédées via VPN actuel (intranet, ERP, fichiers, RDP serveurs)
• Lister utilisateurs concernés et leur device (Windows, Mac, mobile)
• Choisir solution ZTNA selon volume + écosystème existant
• POC sur 5 utilisateurs pilotes

Semaine 2 — Déploiement infrastructure

• Installer connecteurs ZTNA dans le LAN (1 par site)
• Définir applications privées (URL interne, IP serveur, port)
• Créer policies par groupe AD : qui accède à quoi
• Activer device posture check (antivirus à jour, OS patché, disque chiffré)

Semaine 3 — Onboarding utilisateurs

• Déploiement client ZTNA via Intune/MDM
• Formation 30 min : nouvelle UX (login SSO, plus de connexion VPN manuelle)
• Migration progressive 20% utilisateurs / jour

Semaine 4 — Décommissionnement VPN

• Monitoring : aucun trafic VPN sur 7 jours
• Désactivation VPN gateway (mais garder config 90j en backup)
• Documentation runbook + handover équipe
• Audit configuration ZTNA par tiers

5. Coût indicatif PME 30 utilisateurs

• Cloudflare Zero Trust : ~210 €/mois (au-delà de 50 free)
• Tailscale Business : ~150 €/mois
• Migration j-h prestation : 4-6 jours-homme
• Économie : suppression appliance VPN + maintenance + licences clients = ~3 000-8 000 €/an

6. Pièges à éviter

• Garder le VPN actif "au cas où" trop longtemps : double maintenance, double surface d'attaque
• Oublier device posture check : ZTNA sans contrôle device = VPN+ marketing
• Ne pas former les utilisateurs : tickets support explosent semaine 1
• Choisir solution sans MFA fort (FIDO2 / passkey) : l'auth reste le maillon faible

Conclusion

ZTNA n'est plus une option enterprise ; c'est devenu accessible aux PME en 2026 avec Cloudflare, Tailscale, Twingate. Migration 30 jours réaliste si scope clair. KOLOSALTech accompagne les déploiements ZTNA pour PME 20-200 utilisateurs.