Sécuriser les accès distants RDP et VPN : guide PME 2026
Le RDP (Remote Desktop Protocol) exposé sur Internet est l'une des premières portes d'entrée des ransomwares. Le VPN mal configuré est la deuxième. En 2025, plus de 60 % des incidents ransomware ayant touché des PME françaises ont débuté par un accès distant compromis. Ce guide vous donne les mesures concrètes pour fermer ces vecteurs d'attaque.
Pourquoi RDP est-il si dangereux ?
Le port RDP (3389/TCP) est scanné en permanence sur Internet par des groupes criminels. En quelques secondes, un serveur RDP exposé est découvert et attaqué. Les vecteurs d'exploitation sont multiples :
Brute force
Attaques automatisées qui testent des millions de combinaisons login/mot de passe jusqu'à trouver le bon
Credential stuffing
Réutilisation de credentials volés lors d'autres violations de données (LinkedIn, etc.)
BlueKeep / DejaBlue
Vulnérabilités critiques (CVE-2019-0708, CVE-2019-1181) permettant l'exécution de code sans authentification
Man-in-the-Middle
Interception du trafic RDP non chiffré ou avec certificat auto-signé non vérifié
Chiffre clé : Shodan recense en permanence plusieurs millions d'instances RDP exposées directement sur Internet. En France, plusieurs dizaines de milliers de serveurs sont accessibles directement sur le port 3389 — dont une majorité appartenant à des PME. Chaque jour, des groupes ransomware comme LockBit ou Black Basta exploitent ces accès pour s'introduire dans les réseaux.
12 mesures pour sécuriser RDP en PME
Ne jamais exposer RDP directement sur Internet
C'est la règle numéro 1. Placez toujours le RDP derrière un VPN ou un bastion. Si RDP est accessible sur le port 3389 depuis Internet, fermez ce port immédiatement en firewall.
Utiliser un bastion (Remote Desktop Gateway)
Un serveur RD Gateway expose uniquement HTTPS (443) et gère l'authentification avant de relayer la connexion vers le serveur cible. Les connexions RDP ne traversent jamais directement Internet.
Activer le MFA sur tous les accès RDP
Un login/mot de passe ne suffit pas. Ajoutez le MFA via Duo Security, Microsoft Authenticator, ou une solution intégrée au RD Gateway. Un credential volé ne permet plus l'accès sans le second facteur.
Restreindre les comptes autorisés à utiliser RDP
Limitez le groupe 'Remote Desktop Users' au strict nécessaire. Les comptes d'administration globale (Domain Admin) ne doivent jamais être autorisés à se connecter en RDP depuis l'extérieur.
Activer Network Level Authentication (NLA)
NLA oblige l'authentification avant l'établissement de la session RDP, réduisant la surface d'attaque. C'est un paramètre de stratégie de groupe (GPO) simple à activer.
Changer le port RDP par défaut (sécurité par l'obscurité)
Changer le port 3389 vers un port non standard réduit considérablement le volume de scans automatisés. Ce n'est pas une mesure suffisante seule, mais elle élimine 95 % du bruit de scan.
Configurer un verrouillage de compte après X tentatives
5 tentatives échouées en 15 minutes = verrouillage 30 minutes. Cette politique rend le brute force classique impossible tout en restant acceptable pour les utilisateurs légitimes.
Activer les logs d'audit des connexions RDP
Activez les journaux de sécurité Windows pour les connexions réussies ET échouées. Centralisez dans un SIEM ou un outil de log management pour détecter les tentatives d'accès anormales.
Appliquer les patches Windows en priorité absolue
Les vulnérabilités RDP comme BlueKeep permettent l'exécution de code sans authentification. Une politique de patch management stricte (patches critiques sous 72h) est non négociable.
Utiliser des comptes dédiés au télétravail
Créez des comptes AD spécifiques pour les connexions distantes, avec des droits limités. En cas de compromission, l'attaquant ne dispose que de droits restreints.
Segmenter le réseau accessible depuis RDP
Un utilisateur en RDP ne doit accéder qu'aux ressources nécessaires à son travail. Utilisez des VLANs et des ACLs pour limiter les déplacements latéraux depuis un poste compromis.
Superviser les sessions actives en temps réel
Un EDR moderne (Microsoft Defender for Business, SentinelOne, CrowdStrike) détecte les comportements anormaux post-connexion : exécution de scripts, téléchargement de ransomware, chiffrement de fichiers.
VPN : les risques spécifiques et comment les mitiger
Le VPN est plus sûr que le RDP exposé, mais présente ses propres risques en 2026 :
Vulnérabilités critiques dans les appliances VPN
Fortinet, Pulse Secure/Ivanti, Citrix Gateway, Palo Alto GlobalProtect ont tous subi des CVE critiques en 2023-2025 permettant l'accès sans authentification. Un VPN non patché est aussi dangereux qu'un RDP exposé.
Mesure : Patchez les appliances VPN en priorité absolue (sous 24h pour les CVE critiques). Abonnez-vous aux bulletins de sécurité du fabricant.
Pas de MFA sur le VPN
Un VPN protégé uniquement par login/mot de passe reste vulnérable au credential stuffing et au phishing. Les credentials VPN sont parmi les plus recherchés sur les forums cybercriminels.
Mesure : Activez le MFA sur l'authentification VPN. La plupart des solutions (Fortinet, OpenVPN, WireGuard) supportent TOTP ou FIDO2.
Split tunneling non contrôlé
Le split tunneling permet aux utilisateurs de router une partie du trafic hors VPN. Si mal configuré, un poste infecté peut communiquer avec l'attaquant tout en étant connecté au réseau interne.
Mesure : Auditez votre configuration split tunneling. En cas de doute, forcez tout le trafic dans le tunnel VPN.
Pas de contrôle de conformité des postes
Un poste personnel non géré peut se connecter au VPN avec un système non patché, sans antivirus, ou déjà compromis.
Mesure : Implémentez une vérification d'état (posture check) avant autorisation VPN : OS à jour, antivirus actif, chiffrement disque activé.
L'alternative : Zero Trust Network Access (ZTNA)
Le ZTNA (Zero Trust Network Access) remplace progressivement le VPN traditionnel dans les organisations matures. Principe : l'accès est accordé application par application, après vérification de l'identité, du contexte et de la conformité du poste — plutôt qu'un accès global au réseau interne.
Avantages ZTNA vs VPN
- • Accès granulaire app par app
- • Vérification continue de la conformité
- • Pas d'accès latéral sur le réseau
- • Meilleure expérience utilisateur
- • Logs d'accès détaillés par application
Solutions ZTNA pour PME
- • Cloudflare Access (gratuit jusqu'à 50 users)
- • Tailscale (mesh VPN Zero Trust)
- • Microsoft Entra Private Access
- • Zscaler Private Access
- • Cisco Secure Access (ex-Duo BeyondTrust)
Auditez la sécurité de vos accès distants
Nos experts évaluent votre configuration RDP, VPN et accès distants : exposition sur Internet, configuration MFA, gestion des comptes, journalisation. Rapport avec plan de remédiation priorisé. À partir de 1 800 € HT.
Demander un audit des accès distants