VIGIL MESH

Documentation

VPN télétravail pour PME : simple, chiffré, sans serveur à gérer

Une petite entreprise a les mêmes besoins d’accès distant qu’un grand groupe — joindre l’ERP, le NAS, le logiciel de paie depuis chez soi — sans en avoir les moyens : pas de DSI, pas de serveur VPN, pas de budget matériel. VIGIL-MESH répond à ce cas précis : chaque salarié et chaque machine du bureau rejoignent un espace de travail privé, chiffré de bout en bout, administré depuis une console web. Rien à installer au bureau côté serveur, aucun port à ouvrir sur la box, et des règles d’accès par rôle qui n’autorisent que le nécessaire.

Le problème du télétravail en PME

Le besoin est toujours le même : un salarié à la maison doit atteindre des ressources qui vivent au bureau. L'ERP ou le logiciel de gestion installé sur le serveur de l'entreprise, le NAS qui porte les dossiers clients, l'imprimante-copieur, parfois le poste de travail lui-même pour y retrouver un logiciel métier sous licence. Ces ressources ne sont pas — et ne doivent pas être — accessibles depuis Internet : il faut un chemin privé entre le domicile et le bureau.

La réponse traditionnelle est le VPN de la box ou du routeur : on active un serveur IPsec ou OpenVPN sur l'équipement du bureau, on ouvre un port sur la connexion Internet de l'entreprise, et chaque salarié configure un client avec un fichier de profil. Le modèle fonctionne, mais il suppose des compétences et un suivi que la plupart des petites structures n'ont pas en interne.

Un serveur à ouvrir sur Internet

Le VPN routeur exige un port entrant ouvert en permanence sur la connexion du bureau. C'est une porte exposée qu'il faut surveiller et maintenir à jour — un travail d'administrateur, sans administrateur pour le faire.

Une adresse IP qu'il faut retrouver

Pour que les clients trouvent le bureau, il faut une adresse publique stable ou un service de DNS dynamique. Un changement d'opérateur, un passage en 4G/5G de secours ou un NAT d'opérateur suffit à casser l'accès.

Des profils partagés, jamais révoqués

Dans la pratique, le fichier de configuration circule par e-mail et survit aux départs. Savoir qui détient encore un accès, et le couper proprement quand un salarié part, devient vite impossible.

Un accès tout ou rien

Une fois le tunnel monté, le salarié voit généralement tout le réseau du bureau — le NAS de la comptabilité comme la caméra de l'atelier — alors que son travail n'exige qu'une ou deux ressources.

L'approche réseau privé : un espace de travail pour l'entreprise

VIGIL-MESH prend le problème dans l'autre sens. Au lieu d'installer un serveur VPN au bureau, chaque machine — le portable du salarié à la maison, le serveur de l'ERP, le NAS, le poste de l'atelier — devient membre d'un espace de travail : le réseau privé de l'entreprise, isolé de tous les autres. Les machines se joignent alors directement, de pair à pair, par des connexions chiffrées de bout en bout, sans qu'aucun équipement du bureau ne serve de passerelle.

  • Rien à installer côté serveur : pas de concentrateur VPN, pas de boîtier, pas de configuration de routeur. Le client s’installe sur les machines concernées (Windows, Linux, Android), et c’est tout.
  • Zéro port ouvert au bureau : chaque nœud établit un unique flux sortant (443 UDP). Aucune redirection de port sur la box, aucune adresse IP fixe à souscrire, aucun DNS dynamique à entretenir.
  • Des adresses stables et des noms lisibles : chaque machine reçoit une adresse qui la suit partout et un nom court via MagicDNS. Le salarié joint « l’ERP » ou « le NAS » par son nom, comme s’il était au bureau.
  • Une connexion qui marche du premier coup : la session s’établit immédiatement via un relais, puis migre sans coupure vers le chemin direct entre le domicile et le bureau dès qu’il est disponible.
VPN routeur classiqueEspace de travail VIGIL-MESH
Serveur au bureauOui, à configurer et maintenirAucun
Port entrant sur la boxRequis, exposé en permanenceAucun — un seul flux sortant 443 UDP
Adresse IP fixeSouvent nécessaireInutile
Accès une fois connectéSouvent tout le réseauUniquement ce que les ACL autorisent
Départ d'un salariéProfil à retrouver et invaliderRévocation immédiate depuis la console
Compétences requisesAdministration réseauConsole web, sans DSI

Des accès par rôle, refusés par défaut

Être membre du réseau n'ouvre aucun droit en soi : tout ce qui n'est pas explicitement autorisé est refusé. Les règles d'accès (ACL) se raisonnent par rôle, pas par adresse : on écrit « la comptabilité atteint l'ERP », et la règle reste vraie quand un salarié arrive ou change de poste, sans réécriture. Pour une PME, quelques règles suffisent à couvrir toute l'organisation.

SourceDestinationAction
groupe:directionréseau:bureau (tous services)Autoriser
groupe:comptatag:erp, tag:nas (partage de fichiers)Autoriser
groupe:commerciauxtag:erp (application métier)Autoriser
groupe:ateliertag:nas (dossiers techniques)Autoriser
(toute source)(toute destination)Refuser par défaut

Les règles s'évaluent dans l'ordre et la première qui correspond décide. Chaque modification produit une nouvelle génération de la politique, signée par le contrôleur et vérifiée par chaque machine avant application — y compris hors ligne. Personne, pas même un relais, ne peut glisser une règle que vous n'avez pas écrite.

Arrivée et départ d'un salarié

Le cycle de vie d'un accès suit le cycle de vie du contrat. À l'arrivée, on enrôle la machine du salarié ; au départ, on la révoque. Les deux opérations se font depuis la console, en quelques gestes, sans toucher au bureau ni aux autres machines.

  1. 1
    À l'arrivée : enrôler la machineInstallez le client sur le poste du nouveau salarié, puis autorisez la machine dans le workspace — par une clé d'enrôlement à usage unique, une invitation à durée courte ou une file d'approbation où l'administrateur valide la demande.
  2. 2
    Affecter le rôlePlacez la machine dans le groupe correspondant au poste (compta, commerciaux, atelier…). Les règles d'accès écrites pour le groupe s'appliquent aussitôt, sans nouvelle règle à écrire.
  3. 3
    Au départ : révoquerRévoquez la machine depuis la console. La révocation est immédiate : retirée de la carte réseau signée, la machine perd instantanément tout accès — flux directs comme relayés. Aucun mot de passe à changer, aucun profil VPN à courir après.

Dépanner une machine à distance, depuis un navigateur

Sans DSI, le dépannage repose souvent sur la personne « qui s'y connaît » — qui n'est pas toujours sur place. La console VIGIL-MESH intègre pour cela un terminal SSH qui s'ouvre directement dans le navigateur, vers n'importe quelle machine en ligne du réseau : le navigateur devient lui-même un nœud du mesh, et la session est chiffrée de bout en bout jusqu'à la machine cible. Le bureau à distance Windows (RDP) suit le même modèle.

  • Rien à installer sur le poste d’où l’on dépanne : un navigateur et la connexion au compte suffisent, même depuis une machine non enrôlée.
  • Aucun port ouvert sur la machine dépannée : son serveur SSH n’est joignable que par son adresse du réseau privé, sous le contrôle des ACL.
  • Aucun intermédiaire qui voit les identifiants : le mot de passe est consommé par le client SSH dans le navigateur et n’est transmis qu’à la machine cible, dans la session chiffrée.

La sécurité, expliquée à un patron non technique

Pas besoin d'être ingénieur réseau pour comprendre ce qui protège l'entreprise. Quatre propriétés se vérifient et se racontent simplement.

Chiffré de bout en bout

Chaque échange entre deux machines est une session QUIC/TLS 1.3 chiffrée de bout en bout, avec un échange de clés hybride post-quantique (X25519 + ML-KEM). Seules les deux machines concernées détiennent les clés — personne d’autre, pas même l’infrastructure VIGIL.

Zéro port ouvert au bureau

Aucune machine n'écoute sur Internet : les connexions partent toujours vers l'extérieur. Vu du dehors, le bureau n'expose rien — il n'y a littéralement pas de porte à forcer.

Des relais aveugles

Quand un chemin direct n'est pas encore établi, le trafic transite par un relais structurellement aveugle : il ne détient pas les clés et ne voit que des paquets opaques. Il peut même être hébergé par l'entreprise si elle le souhaite.

Un accès qui se retire d'un geste

Chaque machine a une identité propre, vérifiée à chaque échange. La révoquer depuis la console coupe son accès immédiatement — c'est l'équivalent numérique de récupérer la clé du local en fin de contrat.

Un coût maîtrisé, sans investissement matériel

Le VPN routeur cache des coûts que l'on découvre après coup : l'équipement compatible, l'adresse IP fixe facturée par l'opérateur, et surtout les heures de prestataire pour l'installer puis intervenir à chaque incident. L'approche VIGIL-MESH supprime ces postes : aucun matériel à acheter, aucun serveur à héberger, aucune option opérateur à souscrire — le client s'installe sur les machines existantes.

  • L’usage personnel est gratuit, avec le trafic direct illimité — de quoi tester le produit en conditions réelles avant d’engager l’entreprise.
  • Le trafic qui transite par les relais est soumis à un quota sur l’offre gratuite ; en régime établi, l’essentiel des échanges passe par le chemin direct.
  • Les offres, quotas et options (dont la vigie dédiée) sont détaillés sur la page tarifs du site — les montants y font foi, pas ailleurs.

Mise en place complète, pas à pas

De zéro au premier accès distant, la mise en place tient en cinq étapes. Aucune ne demande de toucher à la box du bureau ni d'ouvrir un port.

  1. 1
    Créez un compte et un espace de travailLe compte identifie une personne ; l'espace de travail créé à la première connexion est le réseau privé de l'entreprise. Activez l'authentification forte et invitez un second administrateur.
  2. 2
    Installez le client sur les machines concernéesLe serveur de l'ERP, le NAS s'il peut porter l'agent (ou une machine du bureau qui le publiera), et les postes des salariés en télétravail — Windows, Linux ou Android.
  3. 3
    Enrôlez chaque machineDans la console, page Réseaux → Machines → « Ajouter une machine », générez une clé à usage unique et utilisez-la sur la machine. Elle rejoint le workspace et reçoit son identité.
  4. 4
    VérifiezChaque machine enrôlée apparaît dans la console avec son adresse stable et son nom MagicDNS. Un ping entre deux machines confirme que le réseau est en place.
  5. 5
    Accédez à vos services comme en localDepuis chez lui, le salarié joint l'ERP ou le NAS par son adresse ou son nom de machine, exactement comme s'il était au bureau. Écrivez ensuite les règles d'accès par rôle pour n'autoriser que le nécessaire.

Questions fréquentes

Faut-il un serveur VPN ou un routeur compatible au bureau ?
Non. Il n'y a aucun serveur à installer ni équipement à acheter : le client s'installe directement sur les machines concernées (le serveur de l'ERP, le NAS, les postes des salariés), et chacune établit ses connexions vers l'extérieur. La box du bureau reste intacte, sans redirection de port ni DMZ.
Faut-il une adresse IP fixe ou ouvrir des ports sur la box ?
Non. Chaque machine n'émet qu'un seul flux sortant (443 UDP) et n'ouvre aucun port entrant. Cela fonctionne derrière une box grand public, un NAT d'opérateur ou une connexion 4G/5G, et survit à un changement d'adresse ou d'opérateur sans aucune reconfiguration.
Une PME sans informaticien peut-elle vraiment l'administrer ?
Oui, c'est le cas visé par cette page. L'administration se fait depuis une console web : enrôler une machine avec une clé à usage unique, la placer dans un groupe, la révoquer au départ du salarié. Les règles d'accès s'écrivent par rôle en langage simple (« la compta atteint l'ERP »), et le refus par défaut fait qu'un oubli ferme l'accès au lieu de l'ouvrir.
Que se passe-t-il quand un salarié quitte l'entreprise ?
Vous révoquez sa machine depuis la console et l'effet est immédiat : retirée de la carte réseau signée, elle perd instantanément tout accès, en direct comme via relais. Contrairement à un profil VPN classique qui peut survivre au départ, il n'y a aucun fichier de configuration à retrouver ni de mot de passe partagé à changer.
Toute la navigation Internet des salariés passe-t-elle par l'entreprise ?
Non. VIGIL-MESH n'achemine que le trafic destiné aux machines du réseau privé ; la navigation ordinaire du salarié continue de passer par sa propre connexion, sans détour ni interception. VIGIL-MESH n'est pas un proxy d'anonymisation : c'est un réseau privé entre vos machines.
Le VPN va-t-il ralentir l'accès aux fichiers du bureau ?
La connexion s'établit immédiatement via un relais puis migre sans coupure vers le chemin direct entre le domicile et le bureau dès qu'il est disponible : en régime établi, les données vont de machine à machine sans détour par un serveur central, contrairement à un VPN en étoile où tout remonte par la passerelle.
Combien ça coûte pour une petite équipe ?
L'usage personnel est gratuit, avec le trafic direct illimité et un quota sur le trafic relayé — de quoi valider le fonctionnement en conditions réelles. Pour l'entreprise, les offres et les montants sont détaillés sur la page tarifs du site ; il n'y a ni matériel à acheter ni serveur à héberger en plus de l'abonnement.
Lire ensuiteRemplacer un VPN d'entreprise par un mesh Zero Trust