EQF_SOFTWARE
[réglementation]

Conformité réglementaire

RGPD, NIS2, ISO 27001, SOC 2 — ces référentiels ne prescrivent pas de protocole VPN spécifique. Ils définissent des exigences sur la gestion des accès, la traçabilité, la responsabilité des sous-traitants et la notification des incidents. Cette page traduit ces exigences en obligations concrètes pour les déploiements VPN.

[rgpd] RGPD & sous-traitance

RGPD — sous-traitance VPN et transferts hors UE

Qualification du fournisseur VPN

Un fournisseur VPN managé qui traite des données de collaborateurs (logs d'accès nominatifs, données de connexion) est un sous-traitant au sens de l'article 28 du RGPD. Cette qualification entraîne des obligations précises pour le responsable de traitement (votre organisation) :

  • Data Processing Agreement (DPA) obligatoire : contrat précisant les finalités du traitement, les mesures de sécurité techniques et organisationnelles, les conditions de sous-traitance ultérieure (data centers tiers), et les obligations en cas de violation de données.
  • Vérification des sous-traitants ultérieurs : le fournisseur VPN peut héberger son infrastructure chez un tiers (AWS, OVH, Hetzner). Ce sous-traitant de sous-traitant doit offrir des garanties équivalentes.
  • Registre des activités de traitement (article 30) : le traitement "accès distant VPN" doit y figurer — finalité, données traitées, durée de rétention, mesures de sécurité.
Responsabilité en cas d'absence de DPA

L'absence de DPA engage la responsabilité du responsable de traitement, pas celle du fournisseur. La CNIL a sanctionné des organisations pour cette raison. Un fournisseur qui ne propose pas de DPA ou qui refuse de le signer n'est pas un partenaire conforme RGPD.

CLOUD Act — implications pour les fournisseurs américains

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) permet aux autorités américaines d'exiger d'une entreprise soumise à la juridiction américaine l'accès à des données qu'elle contrôle, indépendamment de leur localisation physique. Un fournisseur VPN immatriculé aux États-Unis — ou dont la société mère est américaine — est soumis à cette loi, même si ses serveurs sont en Europe.

Schrems II et Transfer Impact Assessment

L'arrêt Schrems II de la Cour de justice de l'UE (juillet 2020) a invalidé le Privacy Shield et imposé une évaluation cas par cas des transferts de données hors UE. Pour tout transfert vers les États-Unis, un Transfer Impact Assessment (TIA) est requis. Le TIA évalue si le droit du pays de destination offre une protection équivalente au RGPD. Pour les États-Unis, l'EU-US Data Privacy Framework (juillet 2023) offre un cadre d'adéquation — mais son avenir juridique est incertain, plusieurs recours étant en cours devant la CJUE.

Conséquence pratique : pour les organisations traitant des données sensibles (secret professionnel, données de santé, données stratégiques), choisir un fournisseur VPN établi dans un pays de l'UE ou de l'EEE élimine le risque de transfert hors UE et simplifie le dispositif de conformité.

[nis2] NIS2

NIS2 — directive UE 2022/2555, en vigueur depuis octobre 2024

Périmètre

NIS2 s'applique aux entités essentielles et importantes dans les secteurs suivants : énergie, transports, santé, eau, infrastructure numérique (IXP, DNS, TLD, cloud, datacenters, CDN, DMARC), services de confiance, services postaux, gestion des déchets, fabrication de produits critiques (pharma, dispositifs médicaux, chimie), industrie manufacturière, numérique (places de marché, moteurs de recherche, réseaux sociaux). Seuils : entités importantes à partir de 50 salariés ou 10 M€ de CA.

Exigences sur les accès distants

  • Politiques formalisées d'accès : document écrit définissant qui peut se connecter depuis l'extérieur, avec quelles méthodes d'authentification, depuis quels terminaux, et avec accès à quelles ressources. Révisé périodiquement.
  • MFA obligatoire pour les systèmes critiques : NIS2 impose l'authentification multifacteur sur les accès aux systèmes et réseaux critiques. Les méthodes résistantes au phishing (FIDO2, certificats) sont recommandées.
  • Inventaire des terminaux accédant au SI : liste maintenue à jour des appareils autorisés à se connecter via VPN. Mécanisme de révocation immédiate pour les terminaux compromis ou perdus.
  • Sécurité de la chaîne d'approvisionnement : évaluer les pratiques de sécurité des fournisseurs VPN — politique de divulgation des vulnérabilités, délais de patching, audits disponibles.

Notification des incidents

Un incident significatif affectant les accès distants (compromission de credentials VPN avec accès constaté, exploitation d'une CVE sur le concentrateur, violation de données via le tunnel) déclenche des obligations de notification :

DélaiRapportContenu
24 heuresAlerte initialeIncident détecté, nature présumée, impact estimé
72 heuresNotification intermédiaireÉvaluation initiale, mesures prises, indicateurs de compromission
1 moisRapport finalAnalyse complète, cause racine, mesures correctives
[iso] ISO 27001:2022 & SOC 2

ISO 27001:2022 et SOC 2 Type II

ISO 27001:2022 — contrôles applicables aux accès distants

La révision 2022 de la norme introduit des contrôles directement applicables aux déploiements VPN :

  • A.8.20 — Sécurité des réseaux : politique de sécurité réseau documentée, contrôle des accès distants, séparation des réseaux, protection contre les menaces réseau.
  • A.8.21 — Sécurité des services réseau : identification des mécanismes de sécurité des services réseau utilisés, y compris les tunnels chiffrés. Le déploiement VPN doit figurer dans le Statement of Applicability (SoA).
  • A.8.24 — Utilisation de la cryptographie : politique cryptographique documentée — choix des algorithmes, gestion des clés, durées de validité, protocoles autorisés. Justification des choix par rapport aux recommandations ANSSI ou NIST.
  • A.5.15 — Contrôle d'accès : politique de contrôle d'accès formalisée. Pour le VPN : qui peut se connecter, comment, à quoi, et comment les accès sont révoqués.

Dossier de preuve pour un audit ISO 27001

Pour un audit de certification portant sur les accès distants, préparer :

  • Politique d'accès distant documentée et approuvée par la direction
  • Liste des protocoles et algorithmes utilisés avec justification par rapport à A.8.24
  • Architecture PKI documentée — CA racine, CA intermédiaires, procédures de révocation
  • Preuve de test des révocations (PV de test)
  • Procédure d'offboarding incluant la révocation des accès VPN
  • Politique de rétention des logs avec durées définies
  • Historique des patches appliqués sur le concentrateur VPN

SOC 2 Type II — Trust Services Criteria

SOC 2 Type II est pertinent pour les prestataires de services qui hébergent des données clients. Les critères CC6 (contrôle d'accès logique) couvrent directement les accès VPN : CC6.1 (identification et authentification), CC6.2 (suppression des accès à la résiliation), CC6.3 (restriction des accès par rôle). Un audit SOC 2 Type II sur une période de 6 à 12 mois vérifie que les contrôles sont effectivement opérés dans la durée, pas seulement en place au moment de l'audit.

← Précédent Sécurité avancée