je dirai qu'il y a aussi le fait qu'on puisse acceder a un aussi grand volume de données sans que ca leve d'alerte
J'ai des clients chez qui l'acces à certaines données est comptabilisé et entierement loguée evidement. Et si un utilisateur consultes un volume de données important, y a des alertes qui remontent en interne.
Filer ses acces vpn ou pas ca ne change pas le principe de base, celui qui a acces aux données, que ce soit ton employé ou son pote hackeur, peut tres bien etre (ou devenir) un connard.

A voir où tu mets la limite. Potentiellement au service clients, les conseillers accèdent à un certain nombre de dossiers tous les jours en toute légitimité. Les alertes ne vont d'ailleurs pas empêcher les fuites, seulement retrouver le coupable plus rapidement.

Je me demande si OpenVPN permet de sécuriser le terminal qui le lance (ne peut être utilisé que sur un PC géré par le SI).

J'aime bien OpenVPN (c'est open source) mais je me demande s'il permet le niveau de sécurité nécessaire pour qu'un vol de l'identifiant / mot de passe ne permette pas au hacker de se connecter.

Je me demande si OpenVPN permet de sécuriser le terminal qui le lance (ne peut être utilisé que sur un PC géré par le SI).

J'aime bien OpenVPN (c'est open source) mais je me demande s'il permet le niveau de sécurité nécessaire pour qu'un vol de l'identifiant / mot de passe ne permette pas au hacker de se connecter.

A quoi tu penses exactement ? Chez nous, l'usage de nos VPN via OpenVPN nécessite d'accéder à la session utilisateur sur la machine. Tu ne peux pas recréer la session ailleurs parce que la configuration (certificat et cie) n'est accessible qu'à root. Par ailleurs tu as une double authentification, il faut se connecter sur un portail captif pour autoriser la connexion aux VPN.

Pour certains VPN, le fait de s'y connecter coupe l'accès à Internet ce qui isole le poste.

J'ai aussi utilisé OpenVPN il y a quelque temps, et on ne peut pas dire que ce soit le plus convivial des VPN. Et il est effectivement un peu ancien, même s'il a continué à être développé. Et depuis est apparu Wireguard sous Linux, intégré dans le noyau, et nettement plus convivial à utiliser, pour les machines sous Linux.

C'est sûr que les VPN commerciaux, par exemple Fortinet ou Palo Alto, ont des outils plus évolués, utilisant IPSec, et avec plus d'outils dont de scan antivirus (mais qui demandent aussi pas mal de ressources côté passerelle VPN), et qui peuvent être chers.

On est sûr que Free continue à utiliser OpenVPN ? Qu'ils l'aient fait à leurs début, où ils utilisaient surtout du Debian, peut-être, mais maintenant ?

Wireguard, c'est bien le truc qui ne gère pas la négociation de MTU ?
Pour du VPN nomade, y'a rien de mieux qu'OpenVPN amha.

Quand tu le règle dans ta conf, aucun pb. De plus, si tu changes d'ip (ou même de réseau), ça vas être la galère avec OpenVPN, ce qui ne l'est pas avec WG

Wireguard, c'est bien le truc qui ne gère pas la négociation de MTU ?
Pour du VPN nomade, y'a rien de mieux qu'OpenVPN amha.

il semblerait que tonton linus soit d'un avis opposé :

Pulled.

Btw, on an unrelated issue: I see that Jason actually made the pull request to have wireguard included in the kernel.

Can I just once again state my love for it and hope it gets merged soon? Maybe the code isn't perfect, but I've skimmed it, and compared to the horrors that are OpenVPN and IPSec, it's a work of art.
              Linus
https://lwn.net/ml/linux-kernel/CA+55aFz5EWE9OTbzDoMfsY2ez04Qv9eg0KQhwKfyJY0vFvoD3g@mail.gmail.com/