Documentation
VPN télétravail pour PME : simple, chiffré, sans serveur à gérer
Une petite entreprise a les mêmes besoins d’accès distant qu’un grand groupe — joindre l’ERP, le NAS, le logiciel de paie depuis chez soi — sans en avoir les moyens : pas de DSI, pas de serveur VPN, pas de budget matériel. VIGIL-MESH répond à ce cas précis : chaque salarié et chaque machine du bureau rejoignent un espace de travail privé, chiffré de bout en bout, administré depuis une console web. Rien à installer au bureau côté serveur, aucun port à ouvrir sur la box, et des règles d’accès par rôle qui n’autorisent que le nécessaire.
Le problème du télétravail en PME
Le besoin est toujours le même : un salarié à la maison doit atteindre des ressources qui vivent au bureau. L'ERP ou le logiciel de gestion installé sur le serveur de l'entreprise, le NAS qui porte les dossiers clients, l'imprimante-copieur, parfois le poste de travail lui-même pour y retrouver un logiciel métier sous licence. Ces ressources ne sont pas — et ne doivent pas être — accessibles depuis Internet : il faut un chemin privé entre le domicile et le bureau.
La réponse traditionnelle est le VPN de la box ou du routeur : on active un serveur IPsec ou OpenVPN sur l'équipement du bureau, on ouvre un port sur la connexion Internet de l'entreprise, et chaque salarié configure un client avec un fichier de profil. Le modèle fonctionne, mais il suppose des compétences et un suivi que la plupart des petites structures n'ont pas en interne.
Un serveur à ouvrir sur Internet
Le VPN routeur exige un port entrant ouvert en permanence sur la connexion du bureau. C'est une porte exposée qu'il faut surveiller et maintenir à jour — un travail d'administrateur, sans administrateur pour le faire.
Une adresse IP qu'il faut retrouver
Pour que les clients trouvent le bureau, il faut une adresse publique stable ou un service de DNS dynamique. Un changement d'opérateur, un passage en 4G/5G de secours ou un NAT d'opérateur suffit à casser l'accès.
Des profils partagés, jamais révoqués
Dans la pratique, le fichier de configuration circule par e-mail et survit aux départs. Savoir qui détient encore un accès, et le couper proprement quand un salarié part, devient vite impossible.
Un accès tout ou rien
Une fois le tunnel monté, le salarié voit généralement tout le réseau du bureau — le NAS de la comptabilité comme la caméra de l'atelier — alors que son travail n'exige qu'une ou deux ressources.
L'approche réseau privé : un espace de travail pour l'entreprise
VIGIL-MESH prend le problème dans l'autre sens. Au lieu d'installer un serveur VPN au bureau, chaque machine — le portable du salarié à la maison, le serveur de l'ERP, le NAS, le poste de l'atelier — devient membre d'un espace de travail : le réseau privé de l'entreprise, isolé de tous les autres. Les machines se joignent alors directement, de pair à pair, par des connexions chiffrées de bout en bout, sans qu'aucun équipement du bureau ne serve de passerelle.
- Rien à installer côté serveur : pas de concentrateur VPN, pas de boîtier, pas de configuration de routeur. Le client s’installe sur les machines concernées (Windows, Linux, Android), et c’est tout.
- Zéro port ouvert au bureau : chaque nœud établit un unique flux sortant (443 UDP). Aucune redirection de port sur la box, aucune adresse IP fixe à souscrire, aucun DNS dynamique à entretenir.
- Des adresses stables et des noms lisibles : chaque machine reçoit une adresse qui la suit partout et un nom court via MagicDNS. Le salarié joint « l’ERP » ou « le NAS » par son nom, comme s’il était au bureau.
- Une connexion qui marche du premier coup : la session s’établit immédiatement via un relais, puis migre sans coupure vers le chemin direct entre le domicile et le bureau dès qu’il est disponible.
| VPN routeur classique | Espace de travail VIGIL-MESH | |
|---|---|---|
| Serveur au bureau | Oui, à configurer et maintenir | Aucun |
| Port entrant sur la box | Requis, exposé en permanence | Aucun — un seul flux sortant 443 UDP |
| Adresse IP fixe | Souvent nécessaire | Inutile |
| Accès une fois connecté | Souvent tout le réseau | Uniquement ce que les ACL autorisent |
| Départ d'un salarié | Profil à retrouver et invalider | Révocation immédiate depuis la console |
| Compétences requises | Administration réseau | Console web, sans DSI |
Des accès par rôle, refusés par défaut
Être membre du réseau n'ouvre aucun droit en soi : tout ce qui n'est pas explicitement autorisé est refusé. Les règles d'accès (ACL) se raisonnent par rôle, pas par adresse : on écrit « la comptabilité atteint l'ERP », et la règle reste vraie quand un salarié arrive ou change de poste, sans réécriture. Pour une PME, quelques règles suffisent à couvrir toute l'organisation.
| Source | Destination | Action |
|---|---|---|
| groupe:direction | réseau:bureau (tous services) | Autoriser |
| groupe:compta | tag:erp, tag:nas (partage de fichiers) | Autoriser |
| groupe:commerciaux | tag:erp (application métier) | Autoriser |
| groupe:atelier | tag:nas (dossiers techniques) | Autoriser |
| (toute source) | (toute destination) | Refuser par défaut |
Les règles s'évaluent dans l'ordre et la première qui correspond décide. Chaque modification produit une nouvelle génération de la politique, signée par le contrôleur et vérifiée par chaque machine avant application — y compris hors ligne. Personne, pas même un relais, ne peut glisser une règle que vous n'avez pas écrite.
Arrivée et départ d'un salarié
Le cycle de vie d'un accès suit le cycle de vie du contrat. À l'arrivée, on enrôle la machine du salarié ; au départ, on la révoque. Les deux opérations se font depuis la console, en quelques gestes, sans toucher au bureau ni aux autres machines.
- 1À l'arrivée : enrôler la machineInstallez le client sur le poste du nouveau salarié, puis autorisez la machine dans le workspace — par une clé d'enrôlement à usage unique, une invitation à durée courte ou une file d'approbation où l'administrateur valide la demande.
- 2Affecter le rôlePlacez la machine dans le groupe correspondant au poste (compta, commerciaux, atelier…). Les règles d'accès écrites pour le groupe s'appliquent aussitôt, sans nouvelle règle à écrire.
- 3Au départ : révoquerRévoquez la machine depuis la console. La révocation est immédiate : retirée de la carte réseau signée, la machine perd instantanément tout accès — flux directs comme relayés. Aucun mot de passe à changer, aucun profil VPN à courir après.
Dépanner une machine à distance, depuis un navigateur
Sans DSI, le dépannage repose souvent sur la personne « qui s'y connaît » — qui n'est pas toujours sur place. La console VIGIL-MESH intègre pour cela un terminal SSH qui s'ouvre directement dans le navigateur, vers n'importe quelle machine en ligne du réseau : le navigateur devient lui-même un nœud du mesh, et la session est chiffrée de bout en bout jusqu'à la machine cible. Le bureau à distance Windows (RDP) suit le même modèle.
- Rien à installer sur le poste d’où l’on dépanne : un navigateur et la connexion au compte suffisent, même depuis une machine non enrôlée.
- Aucun port ouvert sur la machine dépannée : son serveur SSH n’est joignable que par son adresse du réseau privé, sous le contrôle des ACL.
- Aucun intermédiaire qui voit les identifiants : le mot de passe est consommé par le client SSH dans le navigateur et n’est transmis qu’à la machine cible, dans la session chiffrée.
La sécurité, expliquée à un patron non technique
Pas besoin d'être ingénieur réseau pour comprendre ce qui protège l'entreprise. Quatre propriétés se vérifient et se racontent simplement.
Chiffré de bout en bout
Chaque échange entre deux machines est une session QUIC/TLS 1.3 chiffrée de bout en bout, avec un échange de clés hybride post-quantique (X25519 + ML-KEM). Seules les deux machines concernées détiennent les clés — personne d’autre, pas même l’infrastructure VIGIL.
Zéro port ouvert au bureau
Aucune machine n'écoute sur Internet : les connexions partent toujours vers l'extérieur. Vu du dehors, le bureau n'expose rien — il n'y a littéralement pas de porte à forcer.
Des relais aveugles
Quand un chemin direct n'est pas encore établi, le trafic transite par un relais structurellement aveugle : il ne détient pas les clés et ne voit que des paquets opaques. Il peut même être hébergé par l'entreprise si elle le souhaite.
Un accès qui se retire d'un geste
Chaque machine a une identité propre, vérifiée à chaque échange. La révoquer depuis la console coupe son accès immédiatement — c'est l'équivalent numérique de récupérer la clé du local en fin de contrat.
Un coût maîtrisé, sans investissement matériel
Le VPN routeur cache des coûts que l'on découvre après coup : l'équipement compatible, l'adresse IP fixe facturée par l'opérateur, et surtout les heures de prestataire pour l'installer puis intervenir à chaque incident. L'approche VIGIL-MESH supprime ces postes : aucun matériel à acheter, aucun serveur à héberger, aucune option opérateur à souscrire — le client s'installe sur les machines existantes.
- L’usage personnel est gratuit, avec le trafic direct illimité — de quoi tester le produit en conditions réelles avant d’engager l’entreprise.
- Le trafic qui transite par les relais est soumis à un quota sur l’offre gratuite ; en régime établi, l’essentiel des échanges passe par le chemin direct.
- Les offres, quotas et options (dont la vigie dédiée) sont détaillés sur la page tarifs du site — les montants y font foi, pas ailleurs.
Mise en place complète, pas à pas
De zéro au premier accès distant, la mise en place tient en cinq étapes. Aucune ne demande de toucher à la box du bureau ni d'ouvrir un port.
- 1Créez un compte et un espace de travailLe compte identifie une personne ; l'espace de travail créé à la première connexion est le réseau privé de l'entreprise. Activez l'authentification forte et invitez un second administrateur.
- 2Installez le client sur les machines concernéesLe serveur de l'ERP, le NAS s'il peut porter l'agent (ou une machine du bureau qui le publiera), et les postes des salariés en télétravail — Windows, Linux ou Android.
- 3Enrôlez chaque machineDans la console, page Réseaux → Machines → « Ajouter une machine », générez une clé à usage unique et utilisez-la sur la machine. Elle rejoint le workspace et reçoit son identité.
- 4VérifiezChaque machine enrôlée apparaît dans la console avec son adresse stable et son nom MagicDNS. Un ping entre deux machines confirme que le réseau est en place.
- 5Accédez à vos services comme en localDepuis chez lui, le salarié joint l'ERP ou le NAS par son adresse ou son nom de machine, exactement comme s'il était au bureau. Écrivez ensuite les règles d'accès par rôle pour n'autoriser que le nécessaire.