{"id":13028,"date":"2026-04-22T09:00:30","date_gmt":"2026-04-22T07:00:30","guid":{"rendered":"https:\/\/jimber.io\/?p=13028"},"modified":"2026-04-22T09:00:30","modified_gmt":"2026-04-22T07:00:30","slug":"risques-lies-a-la-separation-des-tunnels-pourquoi-la-protection-vpn-partielle-echoue-sous-nis2","status":"publish","type":"post","link":"https:\/\/jimber.io\/fr\/blog\/risques-lies-a-la-separation-des-tunnels-pourquoi-la-protection-vpn-partielle-echoue-sous-nis2\/","title":{"rendered":"Risques li\u00e9s \u00e0 la s\u00e9paration des tunnels : pourquoi la protection VPN partielle \u00e9choue sous NIS2"},"content":{"rendered":"<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Quels sont les risques de s\u00e9curit\u00e9 li\u00e9s au fractionnement des tunnels VPN ?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La tunnellisation fractionn\u00e9e fait passer une partie du trafic par le VPN et envoie le reste directement sur l&rsquo;internet. Il en r\u00e9sulte quatre risques : la fuite de DNS qui expose les noms d&rsquo;h\u00f4tes internes, la diffusion de logiciels malveillants via le chemin non prot\u00e9g\u00e9, l&rsquo;exfiltration de donn\u00e9es par des connexions directes \u00e0 l&rsquo;internet et les r\u00e9seaux domestiques compromis qui se connectent aux syst\u00e8mes de l&rsquo;entreprise. Dans le cadre du NIS2, ces angles morts violent les exigences de l&rsquo;article 21 en mati\u00e8re de contr\u00f4le d&rsquo;acc\u00e8s et de gestion des risques. ZTNA \u00e9limine enti\u00e8rement le dilemme en rempla\u00e7ant le tunnel par un acc\u00e8s bas\u00e9 sur l&rsquo;identit\u00e9 et par application.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La s\u00e9paration des tunnels a commenc\u00e9 comme une solution de performance. Pendant la pand\u00e9mie, les concentrateurs VPN ont pli\u00e9 sous le poids des configurations \u00e0 tunnel complet, et Microsoft a recommand\u00e9 d&rsquo;acheminer le trafic des \u00e9quipes autour du tunnel pour r\u00e9duire la latence. Ce conseil avait du sens lorsque la priorit\u00e9 \u00e9tait de maintenir les appels vid\u00e9o. Il a moins de sens maintenant que les auditeurs NIS2 posent des questions pr\u00e9cises sur la visibilit\u00e9 du trafic et le contr\u00f4le d&rsquo;acc\u00e8s.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le probl\u00e8me est simple. Chaque paquet qui contourne votre VPN contourne \u00e9galement votre pile de s\u00e9curit\u00e9. Pas d&rsquo;inspection de pare-feu, pas de filtrage de passerelle web, pas de contr\u00f4les DLP. Pour les responsables informatiques qui utilisent encore des configurations de tunnel divis\u00e9, la question n&rsquo;est plus de savoir si cela cr\u00e9e un risque. C&rsquo;est le cas. La question est de savoir si vous pouvez d\u00e9fendre cette configuration lors d&rsquo;un audit de <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/nis2-compliance-checklist-for-it-managers-what-your-audit-expects\/\">conformit\u00e9 NIS2<\/a>.     <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Qu&rsquo;est-ce que le split tunnelling et pourquoi les \u00e9quipes informatiques l&rsquo;utilisent-elles ?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le tunnelage fractionn\u00e9 divise le trafic r\u00e9seau au niveau du point d&rsquo;extr\u00e9mit\u00e9. Certains paquets transitent par le tunnel VPN crypt\u00e9 jusqu&rsquo;\u00e0 la passerelle de l&rsquo;entreprise. Les autres vont directement sur l&rsquo;internet via la connexion locale de l&rsquo;utilisateur.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Il existe trois configurations courantes. Le tunnel complet fait transiter tout le trafic par le VPN, ce qui permet \u00e0 l&rsquo;\u00e9quipe de s\u00e9curit\u00e9 d&rsquo;avoir une visibilit\u00e9 totale, mais augmente la latence et sollicite la bande passante. Le tunnel divis\u00e9 (bas\u00e9 sur l&rsquo;inclusion) n&rsquo;achemine que le trafic destin\u00e9 \u00e0 des plages d&rsquo;adresses IP sp\u00e9cifiques de l&rsquo;entreprise \u00e0 travers le VPN, tandis que tout le reste du trafic est achemin\u00e9 directement. Le tunnel invers\u00e9 (bas\u00e9 sur l&rsquo;exclusion) envoie tout via le VPN sauf les destinations explicitement exclues comme Microsoft 365 ou Zoom.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les \u00e9quipes informatiques mettent en place un tunnel divis\u00e9 pour des raisons pratiques. Les configurations \u00e0 tunnel complet acheminent le trafic li\u00e9 au cloud via une passerelle centrale, ce qui ajoute une latence qui nuit \u00e0 la qualit\u00e9 des appels vid\u00e9o et ralentit les applications SaaS. Lorsque votre employ\u00e9 bas\u00e9 \u00e0 Bruxelles a besoin d&rsquo;acc\u00e9der aux serveurs Microsoft 365 \u00e0 Amsterdam, acheminer ce trafic via un concentrateur VPN \u00e0 Anvers est une perte de temps. Le fractionnement des tunnels r\u00e9sout le probl\u00e8me de performance.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">En contrepartie, vous perdez la visibilit\u00e9 sur tout ce qui est direct.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Les risques de s\u00e9curit\u00e9 sous-estim\u00e9s par les \u00e9quipes informatiques<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La tunnellisation fractionn\u00e9e cr\u00e9e un point d&rsquo;extr\u00e9mit\u00e9 \u00e0 double appartenance. L&rsquo;appareil se trouve \u00e0 la fois sur le r\u00e9seau de l&rsquo;entreprise (via le VPN) et sur le r\u00e9seau local, quel qu&rsquo;il soit, \u00e0 partir duquel l&rsquo;utilisateur se connecte. Cette combinaison est \u00e0 l&rsquo;origine de tous les risques ci-dessous.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Les fuites de DNS exposent votre infrastructure interne<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Lorsque la tunnellisation fractionn\u00e9e est active, les requ\u00eates DNS pour des destinations non professionnelles sont souvent r\u00e9solues par le serveur DNS du r\u00e9seau local au lieu du r\u00e9solveur de l&rsquo;entreprise. Cela entra\u00eene des fuites de noms d&rsquo;h\u00f4tes internes et r\u00e9v\u00e8le la structure de votre r\u00e9seau \u00e0 toute personne surveillant le trafic DNS local. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Un routeur domestique compromis peut exploiter cette situation en d\u00e9tournant le DNS, en redirigeant l&rsquo;utilisateur vers une page de connexion falsifi\u00e9e pour les services de l&rsquo;entreprise. Comme la requ\u00eate voyage en dehors du tunnel VPN, aucun de vos contr\u00f4les de s\u00e9curit\u00e9 ne la voit. L&rsquo;utilisateur saisit ses informations d&rsquo;identification sur ce qui semble \u00eatre une page l\u00e9gitime, et l&rsquo;attaquant les r\u00e9cup\u00e8re. Notre guide sur <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/dns-security-in-zero-trust-why-traditional-dns-is-a-blind-spot\/\">la s\u00e9curit\u00e9 DNS dans le cadre de la confiance z\u00e9ro<\/a> couvre ce vecteur d&rsquo;attaque en d\u00e9tail.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Les logiciels malveillants p\u00e9n\u00e8trent par le chemin non prot\u00e9g\u00e9<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Un utilisateur naviguant sur le web en dehors du tunnel t\u00e9l\u00e9charge un fichier malveillant. La passerelle Web s\u00e9curis\u00e9e de l&rsquo;entreprise ne le voit jamais, car ce trafic contourne enti\u00e8rement le VPN. Une fois le logiciel malveillant ex\u00e9cut\u00e9, il a deux options : exfiltrer les donn\u00e9es directement via la connexion internet non prot\u00e9g\u00e9e ou passer par le tunnel VPN actif pour p\u00e9n\u00e9trer dans le r\u00e9seau de l&rsquo;entreprise.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le deuxi\u00e8me sc\u00e9nario est le plus dangereux. Le tunnel VPN est authentifi\u00e9 et fiable. Les logiciels malveillants qui empruntent ce tunnel ont l&rsquo;air d&rsquo;un trafic interne l\u00e9gitime. Les \u00e9quipes de s\u00e9curit\u00e9 qui surveillent le concentrateur VPN voient des connexions d&rsquo;apparence normale provenant d&rsquo;un utilisateur de confiance, alors que la compromission initiale s&rsquo;est produite enti\u00e8rement en dehors de leur champ de vision.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Exfiltration de donn\u00e9es via des connexions directes \u00e0 l&rsquo;internet<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Toute application s&rsquo;ex\u00e9cutant en dehors du tunnel peut envoyer des donn\u00e9es directement sur l&rsquo;internet sans passer par les contr\u00f4les DLP. Un utilisateur qui copie des fichiers sensibles sur un compte personnel de stockage en nuage, une extension de navigateur compromise qui t\u00e9l\u00e9charge des jetons de session, un enregistreur de frappe qui envoie des informations d&rsquo;identification \u00e0 un serveur de commande et de contr\u00f4le, tout cela se produit de mani\u00e8re invisible lorsque la tunnellisation fractionn\u00e9e est active. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/legacy-vpn-risk-report-2026-the-70-problem\/\">rapport sur les risques li\u00e9s aux anciens VPN<\/a> montre comment les mouvements lat\u00e9raux apr\u00e8s la compromission initiale du VPN sont devenus le mod\u00e8le d&rsquo;attaque dominant dans les incidents de ransomware au Benelux.<\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Les r\u00e9seaux domestiques compromis deviennent un pont<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les appareils connect\u00e9s au VPN sur les r\u00e9seaux r\u00e9sidentiels partagent ce r\u00e9seau avec des t\u00e9l\u00e9viseurs intelligents, des appareils IoT, des consoles de jeu pour enfants et d&rsquo;autres points d&rsquo;extr\u00e9mit\u00e9 avec une s\u00e9curit\u00e9 minimale. Un attaquant qui compromet n&rsquo;importe quel appareil sur le r\u00e9seau domestique peut potentiellement atteindre l&rsquo;ordinateur portable professionnel connect\u00e9 au VPN. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Lorsque le tunnelage fractionn\u00e9 est actif, l&rsquo;attaquant peut utiliser l&rsquo;ordinateur portable professionnel comme pont. Le trafic provenant du r\u00e9seau domestique compromis atteint l&rsquo;environnement de l&rsquo;entreprise par le biais du tunnel VPN authentifi\u00e9. L&rsquo;incident du ransomware de l&rsquo;h\u00f4pital AZ Monica en janvier 2026 a illustr\u00e9 la vuln\u00e9rabilit\u00e9 des r\u00e9seaux de sant\u00e9 lorsque les architectures d&rsquo;acc\u00e8s \u00e0 distance permettent ce type de pontage lat\u00e9ral.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Lorsque le split tunnelling est en conflit avec NIS2<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;article 21, paragraphe 2, de la NIS2 \u00e9num\u00e8re les mesures minimales de cybers\u00e9curit\u00e9 que les organisations doivent mettre en \u0153uvre. Les tunnels fractionn\u00e9s sont en contradiction avec au moins quatre de ces exigences. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Article 21, paragraphe 2, point a) : analyse des risques et politiques de s\u00e9curit\u00e9 des syst\u00e8mes d&rsquo;information.<\/strong>  Vous ne pouvez pas effectuer une analyse de risque ad\u00e9quate sur un trafic que vous ne pouvez pas voir. La tunnellisation fractionn\u00e9e achemine d\u00e9lib\u00e9r\u00e9ment une partie du trafic des terminaux en dehors de votre p\u00e9rim\u00e8tre de surveillance. Un auditeur vous demandera quel pourcentage du trafic de vos utilisateurs distants contourne vos contr\u00f4les de s\u00e9curit\u00e9. Si la r\u00e9ponse est sup\u00e9rieure \u00e0 z\u00e9ro, vous avez besoin d&rsquo;une justification document\u00e9e.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Article 21, paragraphe 2, point e) : s\u00e9curit\u00e9 dans l&rsquo;acquisition, le d\u00e9veloppement et la maintenance des r\u00e9seaux et des syst\u00e8mes d&rsquo;information.<\/strong>  L&rsquo;exploitation d&rsquo;une infrastructure VPN pr\u00e9sentant des faiblesses architecturales connues, alors que la communaut\u00e9 des fournisseurs a largement reconnu ces faiblesses et propos\u00e9 des solutions de remplacement, est difficile \u00e0 d\u00e9fendre en tant que mesure proportionn\u00e9e. La chronologie de la <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/ssl-vpn-is-deprecated-every-vendors-timeline-and-what-replaces-it\/\">suppression du VPN SSL par les fournisseurs<\/a> montre \u00e0 quel point l&rsquo;industrie s&rsquo;\u00e9loigne rapidement de l&rsquo;acc\u00e8s \u00e0 distance traditionnel. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Article 21, paragraphe 2, point g) : pratiques de base en mati\u00e8re de cyberhygi\u00e8ne et formation \u00e0 la cybers\u00e9curit\u00e9.<\/strong>  Le NIS2 fait explicitement r\u00e9f\u00e9rence aux principes de la confiance z\u00e9ro dans le cadre d&rsquo;une bonne cyberhygi\u00e8ne. Le tunnelage fractionn\u00e9 fonctionne sur la base d&rsquo;une confiance implicite : une fois le tunnel \u00e9tabli, les d\u00e9cisions d&rsquo;acheminement du trafic sont prises sans v\u00e9rification continue. C&rsquo;est le contraire de la confiance z\u00e9ro.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\"><strong>Article 21, paragraphe 2, point i) : politiques de contr\u00f4le d&rsquo;acc\u00e8s.<\/strong>  Les VPN accordent g\u00e9n\u00e9ralement un acc\u00e8s au niveau du sous-r\u00e9seau apr\u00e8s authentification. Le fractionnement des tunnels ajoute une autre couche de faiblesse en permettant aux points d&rsquo;extr\u00e9mit\u00e9 de maintenir des connexions non contr\u00f4l\u00e9es parall\u00e8lement \u00e0 cet acc\u00e8s d\u00e9j\u00e0 large. Les auditeurs attendent l&rsquo;application du principe du moindre privil\u00e8ge, et non des exceptions architecturales qui \u00e9largissent la surface d&rsquo;attaque.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le guide de mise en \u0153uvre technique de l&rsquo;ENISA, publi\u00e9 en juin 2025 pour soutenir le r\u00e8glement d&rsquo;application (UE) 2024\/2690, traite directement de la s\u00e9curit\u00e9 de l&rsquo;acc\u00e8s \u00e0 distance. Ces orientations recommandent aux entit\u00e9s de d\u00e9sactiver ou de restreindre le fractionnement des tunnels pour l&rsquo;acc\u00e8s \u00e0 distance, en partant du principe que tout le trafic provenant d&rsquo;appareils externes doit passer par les contr\u00f4les de s\u00e9curit\u00e9 de l&rsquo;organisation. Pour les entit\u00e9s des secteurs r\u00e9glement\u00e9s par le NIS2, le fait d&rsquo;ignorer ces orientations cr\u00e9e une lacune directe en mati\u00e8re de conformit\u00e9.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Comment les niveaux de CyFun s&rsquo;adressent \u00e0 la configuration VPN en Belgique<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le cadre belge CyberFundamentals (CyFun) traduit le NIS2 en contr\u00f4les pratiques. La date limite d&rsquo;avril 2026 pour la soumission d&rsquo;auto-\u00e9valuations \u00e0 la CCB signifie que les configurations VPN sont maintenant examin\u00e9es de pr\u00e8s. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Au niveau CyFun Basic, les organisations doivent d\u00e9montrer que l&rsquo;acc\u00e8s \u00e0 distance est authentifi\u00e9 et crypt\u00e9. Le tunnelling fractionn\u00e9 n&rsquo;enfreint pas intrins\u00e8quement cette exigence, mais la charge de documentation augmente car vous devez justifier pourquoi certains trafics sont exclus du cryptage et de l&rsquo;inspection. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Aux niveaux Important et Essentiel de la CyFun, les exigences sont plus strictes. Les mesures de contr\u00f4le d&rsquo;acc\u00e8s doivent suivre les principes du moindre privil\u00e8ge et le trafic r\u00e9seau doit \u00eatre surveill\u00e9 pour d\u00e9tecter les anomalies. Le fractionnement des tunnels compromet ces deux aspects : il accorde un acc\u00e8s plus large que n\u00e9cessaire en autorisant des connexions internet non contr\u00f4l\u00e9es parall\u00e8lement \u00e0 l&rsquo;acc\u00e8s de l&rsquo;entreprise, et il cr\u00e9e des angles morts dans la surveillance du trafic.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les contr\u00f4les de la fonction Protect de CyFun (PR.AC-3, PR.AC-4) exigent des preuves document\u00e9es que l&rsquo;acc\u00e8s est limit\u00e9 \u00e0 ce dont chaque r\u00f4le a besoin. Une configuration VPN qui permet de diviser les tunnels est plus difficile \u00e0 documenter comme \u00e9tant conforme parce que vous excluez d\u00e9lib\u00e9r\u00e9ment le trafic de votre cadre de contr\u00f4le. Le <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/fr\/blog\/auto-evaluation-de-la-cyfun-ce-que-les-organisations-belges-doivent-documenter-apres-avril-2026\/\">guide d&rsquo;auto-\u00e9valuation de la CyFun<\/a> d\u00e9crit les attentes des \u00e9valuateurs.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les organisations qui cherchent \u00e0 obtenir la v\u00e9rification de la CyFun constateront qu&rsquo;une plateforme de s\u00e9curit\u00e9 consolid\u00e9e g\u00e9n\u00e8re les preuves dont les auditeurs ont besoin de mani\u00e8re bien plus efficace qu&rsquo;une pile fragment\u00e9e avec des exceptions VPN document\u00e9es dans des feuilles de calcul.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Comment ZTNA \u00e9limine le dilemme des tunnels fractionn\u00e9s<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le d\u00e9bat sur le fractionnement du tunnel existe en raison d&rsquo;une limitation du VPN : le tunnel est tout ou rien au niveau du r\u00e9seau, de sorte que vous pouvez soit tout acheminer \u00e0 travers lui (lent), soit exempter une partie du trafic (risqu\u00e9). Le ZTNA supprime enti\u00e8rement le tunnel, ce qui rend le dilemme sans objet. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Avec ZTNA, il n&rsquo;y a pas de tunnel \u00e0 diviser. Les utilisateurs se connectent directement aux applications sp\u00e9cifiques auxquelles ils sont autoris\u00e9s \u00e0 acc\u00e9der, apr\u00e8s v\u00e9rification de l&rsquo;identit\u00e9 et de la position de l&rsquo;appareil \u00e0 chaque demande. Le trafic vers les applications en nuage telles que Microsoft 365 est direct, sans d\u00e9tour par une passerelle centrale, mais il passe tout de m\u00eame par une passerelle Web s\u00e9curis\u00e9e native qui inspecte et applique la politique. Vous b\u00e9n\u00e9ficiez des performances d&rsquo;un acc\u00e8s direct et de la s\u00e9curit\u00e9 d&rsquo;une visibilit\u00e9 totale. Aucun compromis n&rsquo;est n\u00e9cessaire.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le ZTNA de Jimber remplace enti\u00e8rement le tunnel. Les utilisateurs se connectent aux applications dont ils ont besoin, apr\u00e8s <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/device-posture-checks-for-nis2-the-complete-guide-for-2026\/\">v\u00e9rification de l&rsquo;identit\u00e9 et de l&rsquo;\u00e9tat de l&rsquo;appareil<\/a>, sans acheminer l&rsquo;ensemble du trafic via une passerelle centrale. Il n&rsquo;y a pas de concentrateur VPN \u00e9coutant sur l&rsquo;internet public, donc pas de cible pour le balayage de port ou l&rsquo;exploitation de type \u00ab\u00a0zero-day\u00a0\u00bb. Chaque connexion d&rsquo;application est autoris\u00e9e individuellement. M\u00eame si un appareil est compromis par une attaque du r\u00e9seau local, l&rsquo;attaquant ne peut pas passer \u00e0 d&rsquo;autres syst\u00e8mes car ceux-ci sont invisibles et inaccessibles.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le SWG de Jimber inspecte l&rsquo;ensemble du trafic web, quelle que soit la localisation de l&rsquo;utilisateur, comblant ainsi le manque de visibilit\u00e9 cr\u00e9\u00e9 par le split tunnelling. Chaque demande d&rsquo;acc\u00e8s est enregistr\u00e9e avec l&rsquo;identit\u00e9 de l&rsquo;utilisateur, l&rsquo;\u00e9tat de l&rsquo;appareil, la cible de l&rsquo;application et la d\u00e9cision politique. C&rsquo;est pr\u00e9cis\u00e9ment la piste d&rsquo;audit que les \u00e9valuateurs NIS2 attendent, et elle est g\u00e9n\u00e9r\u00e9e automatiquement plut\u00f4t qu&rsquo;assembl\u00e9e manuellement \u00e0 partir de plusieurs outils.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour les responsables informatiques qui effectuent la <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/from-vpn-to-ztna-your-complete-migration-guide-for-2026\/\">migration du VPN vers ZTNA<\/a>, la question de la s\u00e9paration des tunnels dispara\u00eet d\u00e8s le premier jour du projet pilote. Les premi\u00e8res applications publi\u00e9es via ZTNA b\u00e9n\u00e9ficient imm\u00e9diatement d&rsquo;un acc\u00e8s granulaire et d&rsquo;une journalisation compl\u00e8te, tandis que l&rsquo;acc\u00e8s VPN traditionnel peut fonctionner en parall\u00e8le jusqu&rsquo;\u00e0 la fin de la migration. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Questions fr\u00e9quemment pos\u00e9es<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Le split tunnelling est-il toujours acceptable sous NIS2 ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le NIS2 n&rsquo;interdit pas explicitement le split tunnelling par son nom. Les exigences de l&rsquo;article 21 en mati\u00e8re de contr\u00f4le d&rsquo;acc\u00e8s, de gestion des risques et de surveillance du trafic sont difficiles \u00e0 satisfaire lorsqu&rsquo;une partie du trafic des terminaux est invisible pour votre pile de s\u00e9curit\u00e9. Si vous maintenez la s\u00e9paration des tunnels, attendez-vous \u00e0 devoir documenter une \u00e9valuation d\u00e9taill\u00e9e des risques justifiant l&rsquo;exception.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Microsoft recommande-t-il toujours le split tunnelling pour Teams ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les recommandations initiales de Microsoft sur le tunnelling divis\u00e9, datant de 2020, \u00e9taient une r\u00e9ponse aux contraintes de capacit\u00e9 des VPN pendant la pand\u00e9mie. La recommandation concernait sp\u00e9cifiquement le trafic multim\u00e9dia de Teams, qui est d\u00e9j\u00e0 crypt\u00e9 au niveau de la couche application. Depuis, Microsoft a introduit des fonctionnalit\u00e9s telles que Global Secure Access qui achemine le trafic via des contr\u00f4les de s\u00e9curit\u00e9 dans le nuage sans n\u00e9cessiter de tunnellisation VPN traditionnelle. La solution de contournement de l&rsquo;\u00e9poque de la pand\u00e9mie n&rsquo;est plus la seule option.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">En quoi le ZTNA g\u00e8re-t-il le trafic Microsoft 365 diff\u00e9remment du VPN \u00e0 tunnel divis\u00e9 ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Avec le VPN \u00e0 tunnel divis\u00e9, le trafic M365 va directement aux serveurs Microsoft sans aucune inspection de s\u00e9curit\u00e9. Avec ZTNA et un SWG \u00ab\u00a0cloud-native\u00a0\u00bb, le trafic M365 est toujours direct (pas de backhaul via une passerelle centrale), mais il passe par une application des politiques qui v\u00e9rifie la perte de donn\u00e9es, les logiciels malveillants et les violations de la conformit\u00e9. M\u00eame performance, posture de s\u00e9curit\u00e9 diff\u00e9rente.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Est-il possible de d\u00e9sactiver la tunnellisation fractionn\u00e9e sans nuire aux performances ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pas avec un VPN traditionnel. Les configurations avec tunnel complet obligent tout le trafic \u00e0 passer par le concentrateur, ce qui augmente la latence et cr\u00e9e un goulot d&rsquo;\u00e9tranglement au niveau de la bande passante. C&rsquo;est pourquoi le ZTNA est la solution pratique : il \u00e9limine compl\u00e8tement le besoin d&rsquo;un tunnel, de sorte qu&rsquo;il n&rsquo;y a pas de p\u00e9nalit\u00e9 de performance \u00e0 \u00e9viter. La <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/ipsec-vpn-vs-ztna-which-path-makes-sense-for-your-migration\/\">comparaison entre le VPN IPsec et le ZTNA<\/a> met en \u00e9vidence les diff\u00e9rences de performances.   <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Que dois-je v\u00e9rifier en premier lieu si j&rsquo;utilise actuellement un tunnel divis\u00e9 ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Commencez par la configuration DNS. V\u00e9rifiez si les points d&rsquo;extr\u00e9mit\u00e9 de votre tunnel partag\u00e9 utilisent le DNS de l&rsquo;entreprise ou des r\u00e9solveurs locaux. Si les requ\u00eates DNS fuient vers les r\u00e9solveurs locaux, la structure de votre r\u00e9seau interne est expos\u00e9e. V\u00e9rifiez ensuite quelles applications sont exclues du tunnel et \u00e9valuez si certaines d&rsquo;entre elles traitent des donn\u00e9es sensibles. Documentez ces r\u00e9sultats, car un \u00e9valuateur CyFun vous les demandera.    <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">En combien de temps puis-je passer d&rsquo;un VPN \u00e0 tunnel divis\u00e9 \u00e0 ZTNA ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Une approche progressive est typique. Publiez d&rsquo;abord deux ou trois applications \u00e0 faible risque via ZTNA, validez l&rsquo;exp\u00e9rience de l&rsquo;utilisateur, puis \u00e9tendez la couverture application par application. La plupart des entreprises de taille moyenne ach\u00e8vent la migration en quelques semaines, et non en quelques mois. VPN et ZTNA fonctionnent en parall\u00e8le pendant la transition, de sorte qu&rsquo;il n&rsquo;y a pas de coupure brutale.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pr\u00eat \u00e0 combler le foss\u00e9 des tunnels fractionn\u00e9s avant la date limite de CyFun ? R\u00e9servez une d\u00e9monstration et d\u00e9couvrez comment Jimber remplace une protection VPN partielle par une ZTNA \u00e0 visibilit\u00e9 totale dans une plateforme unique g\u00e9r\u00e9e dans le cloud. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le fractionnement des tunnels cr\u00e9e des angles morts que les auditeurs du NIS2 n&rsquo;accepteront pas. D\u00e9couvrez les quatre risques, leur conflit avec l&rsquo;article 21 et la mani\u00e8re dont ZTNA les r\u00e9sout. <\/p>\n","protected":false},"author":8,"featured_media":13025,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-13028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorise"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/comments?post=13028"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13028\/revisions"}],"predecessor-version":[{"id":13045,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13028\/revisions\/13045"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media\/13025"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media?parent=13028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/categories?post=13028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/tags?post=13028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}