Qu'est-ce qu'un VPN site à site ? IPsec et alternatives

Chargement...

15 avril 2026·1 min de lecture·195 mots

Un VPN site-à-site (IPsec) connecte deux sites (siège + succursale, DC + cloud) via Internet avec chiffrement end-to-end. Alternative économique au MPLS dédié. Compatible tous vendors via IKEv2. Guide définition + exemple.

Principe

2 firewalls/routeurs configurés en peers
Tunnel IPsec chiffré ESP entre eux
Trafic LAN → trafic LAN passe à travers le tunnel
Invisible pour les endpoints

Composants

Phase 1 (IKE) : authentification peers + canal sécurisé
Phase 2 (IPsec) : SA pour data encrypt/decrypt
Proposals : algorithmes chiffrement (AES-GCM 256), intégrité (SHA-384)
PSK (Pre-Shared Key) ou certificats
Proxy IDs : IP/subnets autorisés

Use cases

HQ ↔ succursale (connectivité permanente)
Corporate ↔ cloud (AWS, Azure)
Multi-sites interconnectés (hub-and-spoke ou mesh)
Remplacement MPLS
B2B (partenaires industriels)

Algorithmes recommandés 2026

IKEv2 obligatoire (pas IKEv1)
Phase 1 : AES-256-GCM + SHA-384 + DH 19 (ECP-256)
Phase 2 : ESP AES-256-GCM + PFS DH 19
À éviter : DES, 3DES, SHA-1, MD5

Topologies

Point-to-point : 2 sites
Hub-and-spoke : tous vers HQ
Full mesh : N(N-1)/2 tunnels, ne scale pas >15 sites
ADVPN/DMVPN : tunnels inter-spoke dynamiques à la demande

Commander chez OPTINOC

VPN IPsec multi-vendor : FortiGate, Cisco, Palo Alto, Juniper, pfSense. Configuration clé-en-main. Devis sous 2h.

Questions fréquentes

IPsec ou GRE ?

IPsec assure chiffrement + authentification + intégrité (sécurité). GRE assure encapsulation (transport multi-protocole). Souvent on combine GRE-over-IPsec pour bénéficier des deux : flexibilité GRE + sécurité IPsec.

Combien de débit pour un VPN IPsec ?

Dépend du firewall : un FortiGate 60F atteint 6.5 Gbps IPsec en AES-GCM, un Cisco ISR4321 plafonne à 250 Mbps. Toujours vérifier le débit IPsec spécifique à votre modèle (souvent 3-5× moindre que le débit firewall).