Le VPN IPsec dans les réseaux industriels : fonctionnement et comparaison avec OpenVPN et WireGuard

IPsec, OpenVPN ou WireGuard — le choix d'un protocole VPN pour les réseaux industriels ne se limite pas à une comparaison de performances : il dépend aussi de la topologie, de la compatibilité des équipements et de la complexité d'exploitation.

À mesure que les réseaux industriels passent de systèmes fermés à des architectures interconnectées à distance, le VPN n'est plus une simple option de sécurité informatique, mais une décision d'infrastructure fondamentale pour chaque déploiement de routeur industriel. Remontée de données SCADA, maintenance distante des automates (PLC), interconnexion de postes électriques, réseaux de terminaux ATM — chacun de ces cas d'usage nécessite un canal de communication chiffré et authentifié entre les sites, les équipements et le personnel d'exploitation.

Cependant, le coût d'un mauvais choix de protocole n'est pas négligeable. Une configuration IPsec incorrecte peut empêcher un tunnel de traverser le NAT d'un opérateur ; OpenVPN peut créer un goulot d'étranglement sur le débit WAN des équipements à faible puissance ; WireGuard manque souvent de prise en charge native sur les équipements OT anciens. Le choix du protocole ne se résume pas à classer des résultats de tests de performance : il doit tenir compte de la topologie du réseau, de l'écosystème d'équipements existant, des exigences de conformité et des compétences opérationnelles de l'équipe.

Cet article décompose, à partir de scénarios réels de déploiement de routeurs industriels, le fonctionnement, les différences clés et les limites d'usage de ces trois protocoles, et propose des recommandations de configuration par scénario, afin d'aider les ingénieurs réseau et les décideurs d'achat à identifier rapidement la solution la mieux adaptée à leur projet.

Sommaire

1. Pourquoi les réseaux industriels doivent utiliser un VPN

2. Conclusion rapide : quel protocole choisir selon le scénario

3. Configurations VPN recommandées pour les routeurs industriels

4. Fonctionnement d'IPsec dans les réseaux industriels

5. Fonctionnement et cas d'usage d'OpenVPN

6. Fonctionnement et cas d'usage de WireGuard

7. 5 comparaisons clés pour les déploiements industriels

8. Cas d'usage industriels réels

9. Ce qu'il faut vérifier en choisissant un routeur industriel compatible avec les trois VPN

10. Questions fréquentes

11. Références techniques

12. Conclusion

1. Pourquoi les réseaux industriels doivent utiliser un VPN

Lors du déploiement de routeurs industriels destinés au SCADA, à l'accès distant aux automates, aux postes électriques, aux stations de traitement d'eau, aux réseaux ATM ou aux systèmes de vidéosurveillance, le choix du protocole VPN influence directement la sécurité, le taux de disponibilité, les coûts de maintenance et la capacité d'évolution à long terme. Dans ces environnements, le VPN n'est pas une fonctionnalité de sécurité informatique facultative, mais un élément constitutif de l'architecture de communication industrielle.

Les réseaux industriels modernes ne sont plus des systèmes totalement isolés. Les déploiements courants comprennent des terminaux SCADA distants transmettant des données via 4G/5G, plusieurs postes électriques envoyant des données de télémétrie vers un centre de contrôle, des sites distants téléversant des données de qualité de l'eau vers une plateforme cloud, ou des ingénieurs effectuant un diagnostic à distance depuis leur ordinateur portable sur des équipements situés à des centaines de kilomètres. Chaque connexion distante peut devenir un point d'entrée pour une attaque.

Les conséquences d'un incident de sécurité dans un environnement OT sont généralement plus graves que dans un réseau IT d'entreprise classique. Un accès non autorisé à un système SCADA ou à un automate peut entraîner des dommages matériels, un arrêt de production, des risques de non-conformité, voire des incidents de sécurité, et pas seulement une fuite de données. Le VPN constitue donc le mécanisme fondamental permettant de chiffrer et d'authentifier les communications entre sites, équipements et personnel d'exploitation dans les réseaux industriels. Il doit être planifié conjointement avec la gestion des droits d'accès, l'exposition des ports, les politiques d'accès distant et la maintenance des firmwares, plutôt qu'ajouté après la mise en service du système. Pour une analyse complète des risques de sécurité et des stratégies de prévention dans les déploiements de routeurs industriels, ce sujet peut faire l'objet d'un article complémentaire.

Pour les équipes d'achat et les ingénieurs réseau, la véritable question n'est pas de savoir s'il faut utiliser un VPN, mais quel protocole VPN industriel choisir : IPsec, OpenVPN ou WireGuard. Ce choix dépend de la topologie du réseau, des équipements existants, des exigences de conformité et de la complexité opérationnelle que l'équipe peut assumer.

2. Conclusion rapide : quel protocole choisir selon le scénario

Pour une décision rapide, le tableau comparatif ci-dessous peut servir de point de départ. Dans la pratique, il convient de prendre en compte simultanément le type de protocole, la topologie de déploiement, le mode d'accès distant et la configuration côté routeur.

• Choisir IPsec : si des tunnels site-to-site permanents entre sites fixes sont nécessaires, si de nombreux équipements OT traditionnels sont présents sur le terrain, ou si les exigences de conformité du secteur privilégient explicitement IPsec.

• Choisir OpenVPN : si le besoin principal est l'accès distant des ingénieurs et techniciens aux équipements sur site, ou si le pare-feu du réseau amont impose des restrictions strictes.

• Choisir WireGuard : en cas de déploiement sur des passerelles industrielles Linux modernes, avec des exigences de faible latence et de haut débit, et sans besoin de compatibilité avec du matériel ancien.

3. Configurations VPN recommandées pour les routeurs industriels

Le protocole VPN ne doit pas être choisi uniquement sur la base de résultats de tests de performance, mais en fonction de la topologie du réseau et du mode d'exploitation. Le routage, le pare-feu, la gestion à distance et la capacité de basculement influencent également directement la stabilité à long terme de ces configurations.

De manière générale, IPsec avec IKEv2 constitue le choix de sécurité par défaut pour les réseaux industriels fixes ; OpenVPN convient mieux à l'accès de maintenance distante ; WireGuard est adapté aux déploiements haute performance disposant d'un écosystème d'équipements récent.

4. Fonctionnement d'IPsec dans les réseaux industriels

IPsec (Internet Protocol Security) est un ensemble de protocoles de sécurité opérant au niveau de la couche réseau (couche 3). Il authentifie et chiffre chaque paquet IP au sein d'une session de communication, ce qui le rend pratiquement transparent pour les applications industrielles de niveau supérieur. Ce point est important pour les environnements OT, car de nombreuses applications SCADA, automates ou protocoles industriels ne peuvent pas être facilement modifiées.

IKEv1 et IKEv2

IPsec nécessite un mécanisme d'échange de clés pour établir le tunnel. IKEv1 est la norme la plus ancienne, encore présente dans de nombreux routeurs industriels et pare-feu traditionnels ; IKEv2 s'établit plus rapidement, résiste mieux aux interruptions réseau et gère plus facilement la traversée NAT. Pour les nouveaux projets, il est généralement recommandé de privilégier IKEv2, et de ne conserver IKEv1 que lorsque la compatibilité avec des équipements anciens l'impose.

Mode tunnel et mode transport

Les déploiements industriels utilisent presque systématiquement le mode tunnel. Celui-ci encapsule l'intégralité du paquet IP d'origine dans un nouveau paquet IP, masquant ainsi les adresses source et destination initiales. Ce mécanisme est particulièrement essentiel pour un VPN site-to-site où un sous-réseau privé accède à un autre sous-réseau privé via un réseau public ou 4G/5G. Le mode transport ne chiffre que la charge utile et sert principalement aux communications hôte à hôte ; il est moins utilisé dans les réseaux industriels.

AH et ESP

IPsec comprend deux types de protocoles de sécurité : AH (Authentication Header) et ESP (Encapsulating Security Payload). AH fournit principalement l'authentification sans chiffrer la charge utile, tandis qu'ESP assure à la fois l'authentification et le chiffrement. Dans les environnements industriels nécessitant la confidentialité des données opérationnelles, les déploiements réels recourent presque exclusivement à ESP.

Topologies industrielles typiques

• Hub-and-spoke : une salle de contrôle centrale ou un système SCADA cloud fait office de hub IPsec, tandis que les postes électriques, stations de pompage et équipements de terrain agissent comme des spokes, tout le trafic distant étant relayé via le nœud central.

• Maillage complet (full mesh) : chaque site établit un tunnel IPsec direct avec les autres sites, offrant une fiabilité accrue mais une gestion plus complexe à grande échelle.

• Routeur vers cloud : le routeur industriel cellulaire sur site établit directement un tunnel IPsec avec le système SCADA cloud ou la base de données historiques.

5. Fonctionnement et cas d'usage d'OpenVPN

OpenVPN est un VPN basé sur TLS/SSL qui s'exécute en espace utilisateur plutôt qu'en mode noyau. Il peut utiliser un seul port TCP ou UDP, ou être configuré sur le port 443 pour partager le même port que le trafic HTTPS, ce qui facilite son passage à travers les pare-feu restrictifs.

Cette flexibilité rend OpenVPN particulièrement adapté à l'accès distant des ingénieurs ou techniciens aux équipements sur site. Par exemple, lorsqu'un ingénieur de maintenance doit se connecter temporairement à un automate distant pour un diagnostic, le client OpenVPN permet d'établir rapidement un tunnel chiffré vers le routeur sur site. Ce type d'accès distant s'accompagne souvent de collecte de données sur site, de conversion de protocoles et de téléversement de données.

Le principal inconvénient d'OpenVPN concerne la performance. Comme il fonctionne généralement en espace utilisateur, il ne peut pas exploiter pleinement l'accélération matérielle de chiffrement des routeurs industriels, contrairement à IPsec. Sur les routeurs embarqués à faible puissance, cela peut constituer un goulot d'étranglement ; mais sur les équipements récents disposant d'AES-NI ou de processeurs multicœurs, cet écart se réduit.

6. Fonctionnement et cas d'usage de WireGuard

WireGuard est un protocole VPN plus récent, intégré nativement dans les noyaux Linux modernes. Son code source, plus compact, facilite l'audit et la maintenance, tout en offrant des performances souvent supérieures à celles d'IPsec et d'OpenVPN dans de nombreux tests. WireGuard repose sur des composants cryptographiques modernes tels que ChaCha20 et Curve25519, avec un modèle de connexion davantage orienté point à point et une configuration plus simple.

Dans les contextes industriels, la principale limite de WireGuard ne concerne pas la sécurité, mais la prise en charge matérielle. De nombreux routeurs industriels embarqués, RTU ou systèmes propriétaires fonctionnent avec des versions de firmware anciennes qui ne prennent pas nécessairement en charge WireGuard de façon native. Il convient donc davantage aux nouveaux projets, aux passerelles Linux modernes et aux scénarios exigeants en débit et en latence.

La vidéosurveillance haute définition, par exemple, génère une demande de bande passante importante. Lorsqu'une usine intelligente fait remonter les flux de plusieurs caméras via un réseau sans fil ou cellulaire, la faible latence et la faible charge CPU de WireGuard peuvent constituer un avantage. Ce type de scénario privilégie une bande passante élevée, une faible latence et une remontée de données stable.

7. 5 comparaisons clés pour les déploiements industriels

   1. Performance sous forte charge

Sur du matériel moderne, WireGuard offre généralement le débit le plus élevé et la charge CPU la plus faible ; IPsec avec accélération matérielle suit de près ; OpenVPN est généralement plus lent sous forte charge de chiffrement. Cependant, pour le polling SCADA courant, les données de capteurs et la télémétrie à faible bande passante, l'écart de performance n'est pas toujours le facteur limitant principal.

2.Compatibilité avec les équipements OT traditionnels

IPsec reste le choix le plus sûr. Il est déployé depuis de nombreuses années dans les routeurs industriels, les pare-feu et les équipements terminaux distants, avec une compatibilité nettement supérieure à celle de WireGuard. La prise en charge d'OpenVPN est également large, bien que moins universelle qu'IPsec.

3.Pare-feu et traversée NAT

L'avantage d'OpenVPN réside dans la flexibilité des ports, notamment sa capacité à fonctionner sur le port TCP 443. IPsec nécessite généralement l'activation du NAT Traversal derrière un NAT, en encapsulant le trafic via UDP 4500. WireGuard utilise UDP, ce qui simplifie relativement l'adaptation au NAT, mais nécessite tout de même l'ouverture des ports correspondants dans les environnements à pare-feu strict.

4.Gestion des certificats et des clés

IPsec avec IKEv2 prend en charge une authentification par certificat PKI mature, adaptée aux environnements à fortes exigences de conformité. OpenVPN utilise également un système de certificats, avec une chaîne d'outils éprouvée. WireGuard utilise des paires de clés publique/privée statiques, simples à configurer initialement, mais la rotation et la révocation des clés à grande échelle nécessitent une planification spécifique.

5.Prise en charge de l'accélération matérielle

De nombreux routeurs industriels modernes intègrent AES-NI ou des coprocesseurs de chiffrement dédiés, ce qui améliore nettement les performances de chiffrement IPsec. Le ChaCha20 de WireGuard donne également de bons résultats sur les processeurs ARM modernes. En raison de son modèle en espace utilisateur, OpenVPN exploite généralement moins efficacement l'accélération matérielle que IPsec.

8. Cas d'usage industriels réels

Réseaux ATM et terminaux financiers : IPsec

Les distributeurs automatiques bancaires et les terminaux financiers nécessitent une connexion chiffrée, permanente et auditable. L'architecture IPsec site-to-site over 4G est courante : chaque routeur de terminal établit un tunnel IPsec persistant avec le réseau central de la banque, et l'ensemble du trafic transactionnel passe par ce canal chiffré. Ce type de remontée sécurisée entre terminaux fixes et réseau central privilégie généralement l'authentification, l'audit et la stabilité du tunnel. Un plan de déploiement détaillé peut être consulté dans le cas d'usage des routeurs cellulaires Wavetel pour les réseaux ATM bancaires.

Surveillance distribuée de la qualité de l'eau : IPsec sur 4G

Les stations de traitement d'eau, les points de surveillance fluviale et les capteurs de réservoirs présentent généralement des caractéristiques de faible bande passante, de multiplicité des nœuds et de déploiement distant. IPsec sur 4G/5G permet de chiffrer de manière transparente, au niveau IP, la remontée des données sans modifier les applications des capteurs ou des automates sur site. L'architecture spécifique d'un système de surveillance distribuée de la qualité de l'eau illustre la mise en œuvre concrète de cette approche dans un projet réel.

Exploitation et maintenance distante SCADA : OpenVPN

Lorsque les ingénieurs de contrôle doivent consulter à distance des alarmes, accéder à une IHM ou modifier la configuration d'un automate, OpenVPN est généralement plus pratique. L'ingénieur se connecte au routeur sur site via un client logiciel selon ses besoins, sans nécessiter le maintien permanent d'un tunnel site-to-site. L'application des routeurs industriels dans les systèmes SCADA développe plus en détail ce type d'architecture d'accès distant.

Remontée vidéosurveillance pour usine intelligente : WireGuard

Les caméras IP haute définition génèrent une pression notable sur la bande passante. Pour les nouveaux projets d'usines intelligentes utilisant des passerelles industrielles Linux modernes, WireGuard permet de transporter la vidéosurveillance chiffrée avec une charge CPU réduite, particulièrement adapté aux scénarios de faible latence et de débit élevé.

9. Ce qu'il faut vérifier en choisissant un routeur industriel compatible avec les trois VPN

La prise en charge des protocoles n'est qu'une première étape ; un routeur VPN véritablement adapté au terrain industriel doit également disposer d'un matériel fiable, de capacités de basculement et d'une gestion à distance.

• Accélération matérielle du chiffrement : AES-NI ou un coprocesseur de chiffrement dédié permet d'éviter que le chiffrement VPN ne devienne un goulot d'étranglement pour le débit WAN.

• Prise en charge d'IKEv2 : les nouveaux déploiements devraient privilégier les routeurs 4G/5G industriels prenant en charge IKEv2.

• Double SIM et basculement cellulaire : les tunnels VPN 4G/5G doivent se reconnecter automatiquement après un changement d'opérateur ou de carte SIM.

• Plateforme de gestion à distance : pour les déploiements à grande échelle, il est nécessaire de pouvoir distribuer les configurations de manière centralisée, surveiller l'état des tunnels et effectuer la rotation des clés. La plateforme de gestion à distance Wavetel RMS prend en charge la gestion des modèles VPN et la surveillance groupée des tunnels.

• Flexibilité des protocoles : la prise en charge simultanée d'IPsec, OpenVPN et WireGuard sur un même équipement permet d'utiliser différents profils VPN selon les besoins métier. Les routeurs Wavetel basés sur WRTOS prennent en charge ces trois protocoles ainsi que L2TP et PPTP sur le même matériel, avec accélération matérielle AES intégrée et basculement cellulaire double SIM.

10. Questions fréquentes

Peut-on exécuter IPsec et OpenVPN simultanément sur le même routeur ?

Oui. Une pratique courante consiste à utiliser IPsec comme tunnel site-to-site permanent vers le système SCADA central, tout en activant un serveur OpenVPN pour permettre aux ingénieurs un accès distant temporaire.

WireGuard est-il suffisamment sécurisé pour un usage industriel ?

WireGuard utilise des algorithmes cryptographiques modernes et un code source compact, facile à auditer. Dans un usage industriel, le principal enjeu n'est généralement pas la sécurité, mais la compatibilité avec les équipements et plateformes de gestion existants.

IPsec peut-il fonctionner sur un réseau cellulaire 4G/5G ?

Oui. Comme les opérateurs mobiles utilisent souvent le CGNAT, il est généralement nécessaire d'activer le NAT-T lors du déploiement, afin que le trafic IPsec ESP soit encapsulé via UDP 4500.

Quelle est la différence entre un VPN site-to-site et un VPN d'accès distant ?

Un VPN site-to-site relie deux réseaux fixes, par exemple un poste électrique et un centre de contrôle, et reste généralement actif en permanence ; un VPN d'accès distant permet à un équipement individuel de se connecter au réseau sur site selon les besoins, par exemple un ordinateur portable d'ingénieur accédant à un automate d'usine.

11. Les routeurs industriels 4G prennent-ils en charge le VPN IPsec ?

La plupart des routeurs industriels 4G/5G prennent en charge IPsec, généralement avec des options IKEv1/IKEv2. Pour les déploiements sur réseau cellulaire, il est recommandé d'activer le NAT-T.

IPsec est-il plus adapté qu'OpenVPN pour les réseaux SCADA ?

Pour les connexions SCADA site-to-site fixes et de longue durée, IPsec est généralement plus adapté, car il fonctionne au niveau de la couche réseau, offre une forte compatibilité et facilite l'accélération matérielle. OpenVPN convient mieux à l'accès distant ponctuel.

Comment choisir un routeur VPN pour l'accès distant aux automates ?

Il convient de choisir un routeur industriel prenant en charge OpenVPN, IPsec, l'authentification des utilisateurs, les politiques de pare-feu, la gestion à distance et le basculement cellulaire. Si le projet exige des performances élevées, la prise en charge de WireGuard présente également un intérêt. Les spécifications du routeur industriel 5G WR677 peuvent servir de référence comparative.

Références techniques

• IETF RFC 4301 : Security Architecture for the Internet Protocol

• IETF RFC 7296 : Internet Key Exchange Protocol Version 2 (IKEv2)

• IETF RFC 4303 : IP Encapsulating Security Payload (ESP)

• RFC 3948 : UDP Encapsulation of IPsec ESP Packets

• Documentation officielle OpenVPN : OpenVPN Daemons Interface and Ports

• Documentation officielle du protocole et de la cryptographie WireGuard

12. Conclusion

Le choix d'un protocole VPN industriel ne consiste pas simplement à comparer la sophistication technique de chaque option, mais à évaluer son adéquation avec la topologie du terrain, les équipements existants, les exigences de conformité et le mode d'exploitation. IPsec reste le protocole principal de la sécurité des réseaux industriels, en raison de sa généralité, de sa maturité, de sa forte compatibilité, de sa prise en charge de l'accélération matérielle et de son adéquation aux interconnexions de sites fixes à fortes exigences de conformité. OpenVPN complète ces usages pour l'accès distant et la traversée des pare-feu. WireGuard représente quant à lui l'orientation moderne vers des connexions chiffrées à faible surcharge, adaptée aux nouvelles passerelles Linux et aux applications haute performance.

Du côté des équipements, la prise en charge simultanée d'IPsec, d'OpenVPN et de WireGuard déterminera la capacité à couvrir des scénarios variés tels que le SCADA, l'accès distant aux automates, la vidéosurveillance, les réseaux ATM, les services publics et les réseaux industriels multi-sites. L'accélération matérielle AES, le basculement cellulaire double SIM et les capacités de gestion à distance influenceront en outre la stabilité des tunnels, la reprise après incident et l'efficacité de l'exploitation à grande échelle. Pour connaître le modèle de routeur le mieux adapté à votre projet, n'hésitez pas à contacter l'équipe Wavetel ou à consulter la liste des produits de routeurs industriels.