Accès distant — Foire aux questions

Q: 1. Quelle est la différence entre le VPN et le Proxy navigateur ?

Les deux atteignent les équipements d'un réseau de centrale, mais à des niveaux différents. Le VPN établit une connexion réseau complète depuis votre ordinateur vers les réseaux de centrales pour lesquels vous êtes autorisé, de sorte que tout protocole fonctionne (web, SSH, Modbus, vos propres outils). Le Proxy navigateur est plus étroit et plus contrôlé : il ouvre l'interface web HTTP ou HTTPS d'un équipement précis dans votre navigateur, sans client VPN, et n'atteint que les cibles web qui ont été configurées. Utilisez le Proxy pour les tâches rapides dans le navigateur et le VPN lorsque vous avez besoin d'une véritable connexion réseau.

Q: 3. Qui peut se connecter au réseau de ma centrale via le VPN ?

Seules les personnes disposant d'un accès de niveau Exploitant à cette centrale obtiennent une route VPN vers celle-ci — accordée directement sur la centrale, héritée du rôle d'organisation Admin ou Modérateur, ou reçue par une coopération qui accorde la fonction Exploitant. Les Technical Managers, Asset Managers, Spectateurs et rôles commerciaux ne reçoivent pas de connectivité VPN.

Q: 12. Qui peut utiliser le Proxy ?

Le Proxy est ouvert à un ensemble de rôles plus large que le VPN — Exploitant et Technical Manager sur la centrale, y compris les Admins et Modérateurs d'organisation qui correspondent à ces fonctions ainsi que les membres de coopération qui les détiennent ; les Spectateurs sont refusés. Il est délibérément plus large que le VPN réservé aux Exploitants, car le rayon d'impact du proxy navigateur est bien plus petit : il n'atteint que les interfaces web d'équipements configurées, jamais le réseau brut de la centrale.

Q: 13. Le Proxy exige-t-il une authentification à deux facteurs ?

Oui. Ouvrir un équipement via le Proxy exige une authentification à deux facteurs (TOTP) active sur votre compte. Sans elle, le Proxy refuse d'ouvrir un équipement, quel que soit votre rôle. L'équipement peut en outre imposer sa propre authentification, de sorte qu'il peut y avoir deux couches d'authentification indépendantes.

Q: 9. Comment l'accès est-il retiré — et à quelle vitesse ?

Lorsque votre fonction est retirée, que votre appartenance à l'organisation change ou qu'une coopération prend fin, la centrale est retirée de vos routes accessibles en quelques secondes après le changement d'autorisation, et le chemin réseau est démantelé peu après. Une vérification de fond périodique recontrôle chaque profil actif pour corriger toute dérive. Le même changement d'autorisation retire également l'accès au Proxy.

Q: 20. Chaque accès est-il enregistré ? À quelle norme le journal répond-il ?

Oui — les accès VPN et Proxy sont enregistrés automatiquement. Le journal d'accès est conçu pour répondre aux exigences de journalisation des accès distants des normes KRITIS allemande et NIS2 européenne : il enregistre qui s'est connecté, quand, depuis où, quels sous-réseaux et équipements de centrale ont été atteints, quels protocoles et ports, et quel volume de trafic a circulé ; pour le Proxy, il enregistre en outre l'activité des requêtes au niveau web. Les enregistrements sont conservés pendant 730 jours (24 mois) et ne peuvent être ni modifiés ni supprimés par les utilisateurs.

Q: 21. Qui peut consulter le journal d'accès ? Puis-je voir mes propres connexions ?

Le journal d'accès complet d'une centrale est réservé aux exploitants responsables de cette centrale — niveau Technical Manager et au-dessus sur cette centrale, y compris les techniciens invités par coopération. L'utilisateur qui se connecte ne peut pas consulter le journal d'audit de l'exploitant ; il ne peut consulter que son propre historique de connexions dans son profil. Les enregistrements d'audit ne peuvent être ni modifiés ni supprimés par les utilisateurs.

Q: 18. Le réseau de ma centrale doit-il avoir un port entrant ouvert ?

Non. L'agent sur site compose toujours vers l'extérieur, vers le cloud Mirox, de sorte que le réseau de votre centrale n'a besoin que d'une connectivité sortante. Aucun port entrant n'est ouvert, et le réseau de la centrale n'est accessible que tant que le tunnel sortant de l'agent est actif. Cela vaut aussi bien pour le VPN que pour le Proxy.

Q: 7. Quel chiffrement le VPN utilise-t-il ?

Le VPN personnel utilise WireGuard avec une cryptographie moderne — échange de clés Curve25519 et chiffrement authentifié. Votre clé privée est générée sur votre propre appareil et n'est jamais stockée par Mirox. Le tunnel est en split tunnel : seul le trafic destiné aux réseaux privés des centrales y entre, tandis que votre trafic Internet habituel reste sur votre propre connexion.

Q: 5. Un technicien externe peut-il accéder à l'une de mes centrales ?

Oui, par une coopération, et uniquement selon les mêmes règles que votre propre personnel : l'accès VPN exige toujours la fonction Exploitant sur la centrale partagée, l'accès Proxy exige Exploitant ou Technical Manager. L'octroi est limité à exactement ce que vous partagez, chaque connexion est auditée et vous pouvez la révoquer à tout moment.

Mirox vous offre deux moyens d'atteindre les équipements d'un réseau de centrale depuis n'importe où : le VPN, une connexion réseau complète pour tout protocole, et le Proxy navigateur, un chemin réservé au navigateur vers l'interface web d'un équipement. Cette page répond aux questions de sécurité que les deux soulèvent — qui peut se connecter, comment l'accès est accordé puis retiré, ce qui est enregistré et comment le service reste disponible. En bref : l'accès distant est une capacité délibérément hiérarchisée et au moindre privilège, chaque connexion est attribuée à une personne nommée et journalisée à des fins de conformité, et le réseau de votre centrale n'a jamais à exposer de port entrant. Pour la description complète des fonctionnalités, voir VPN et Proxy ; pour le détail de l'audit, voir Journalisation d'audit des accès.

Choisir entre le VPN et le Proxy

1. Quelle est la différence entre le VPN et le Proxy navigateur ?

Ils atteignent les équipements de la centrale à deux niveaux différents. Le VPN donne à votre ordinateur une véritable connexion réseau vers les réseaux de centrales pour lesquels vous êtes autorisé — tout protocole fonctionne (l'interface web d'un équipement, SSH, Modbus, SNMP ou vos propres outils d'ingénierie), ce qui est puissant mais signifie qu'il s'agit de la forme d'accès la plus privilégiée. Le Proxy navigateur est l'option délibérément plus étroite et plus contrôlée : il ouvre l'interface web HTTP ou HTTPS d'un équipement précis directement dans votre navigateur, sans client à installer, et il ne peut atteindre que les cibles web qui ont été configurées pour un équipement — jamais des adresses et ports arbitraires sur le LAN de la centrale. Choisissez le Proxy pour les tâches quotidiennes dans le navigateur ; choisissez le VPN lorsque vous avez réellement besoin d'une connexion de niveau réseau.

2. Lequel utiliser, et pourquoi sont-ils restreints différemment ?

Utilisez le Proxy lorsque la tâche se déroule dans un navigateur — consulter le portail d'un onduleur, l'interface d'un enregistreur de données, l'administration web d'un commutateur. Utilisez le VPN lorsque vous avez besoin d'un protocole non web ou de vos propres outils dialoguant directement avec les équipements. Ils sont volontairement contrôlés différemment : le VPN est réservé au seul rôle Exploitant, car un tunnel réseau complet a un large rayon d'impact ; le Proxy est ouvert à un ensemble de rôles plus large car il ne peut jamais atteindre que des pages web pré-approuvées, de sorte que le pire des cas est bien plus restreint. Restreindre étroitement l'outil puissant et plus largement l'outil limité est au cœur de la conception au moindre privilège.

VPN — Accès et autorisations

3. Qui peut se connecter au réseau de ma centrale via le VPN ?

La connectivité VPN est accordée à la seule fonction Exploitant — c'est le niveau d'accès le plus privilégié à une centrale, et c'est le seul rôle qui matérialise des routes VPN. Une personne atteint le niveau Exploitant de trois manières : un octroi Exploitant direct sur la centrale spécifique, par héritage du rôle d'organisation Admin ou Modérateur (tous deux correspondent à Exploitant sur les centrales de leur propre organisation), ou via une coopération qui accorde la fonction Exploitant sur une centrale partagée. Tout le monde en dessous — Technical Manager, Asset Manager (Technical), Asset Manager (Commercial), Spectateur, simples membres et invités — ne reçoit pas de route VPN. Il s'agit d'une conception hiérarchisée délibérée : le large public du quotidien n'obtient jamais de tunnel réseau brut vers la centrale.

4. Que peut faire un Technical Manager, s'il ne peut pas se connecter en VPN ?

Un Technical Manager n'obtient pas de tunnel réseau, mais il n'est pas exclu du travail à distance. Il peut utiliser le Proxy navigateur pour ouvrir l'interface web d'un équipement directement dans le navigateur, il peut consulter le journal d'audit des accès complet de la centrale, et au niveau de l'organisation il peut gérer les services VPN de l'organisation et les affectations aux centrales. La séparation est intentionnelle : le Proxy réservé au navigateur a un rayon d'impact bien plus petit qu'un tunnel réseau complet, il est donc ouvert à un ensemble de rôles plus large, tandis que la route VPN brute reste réservée au niveau Exploitant. Voir le Système de permissions pour la correspondance complète rôle-fonction.

5. Un technicien externe peut-il accéder à l'une de mes centrales ?

Oui — par une coopération — et selon exactement les mêmes règles que votre propre personnel. L'accès VPN exige toujours que la coopération accorde à la personne externe la fonction Exploitant sur la centrale partagée ; l'accès Proxy exige Exploitant ou Technical Manager. Aucune coopération ne peut accorder plus que ce que vous choisissez de partager, chaque connexion du technicien externe est enregistrée dans le journal d'audit des accès de votre centrale, exactement comme une connexion interne, et vous pouvez réduire ou révoquer la coopération à tout moment, ce qui retire son accès en quelques secondes.

VPN — Profils, clés et routage

6. Pourquoi chaque personne reçoit-elle son propre profil VPN plutôt qu'un profil partagé ?

Un profil personnel est ce qui rend la responsabilisation possible. Comme chaque connexion est liée à un compte Mirox nommé, le journal d'audit de conformité peut répondre à la question « qui s'est connecté » pour chaque session — une clé partagée rendrait cela impossible. Un profil personnel permet aussi à chaque utilisateur de renouveler ou de révoquer ses propres clés indépendamment, sans perturber les autres, et il garde la garde des clés du côté de l'utilisateur : la clé privée est générée sur le propre appareil de l'utilisateur et n'est jamais stockée par Mirox. La configuration n'est affichée qu'une seule fois lors de sa création ou de son renouvellement ; si vous la perdez, il suffit de la renouveler pour en obtenir une nouvelle.

7. Quel chiffrement le VPN utilise-t-il ?

Le VPN personnel utilise WireGuard avec une cryptographie moderne : échange de clés Curve25519 et chiffrement authentifié. Votre clé privée est générée sur votre propre appareil et ne le quitte jamais — Mirox ne voit jamais que votre clé publique. Le tunnel est un split tunnel : seul le trafic destiné aux réseaux privés des centrales y entre, tandis que votre trafic Internet ordinaire (web, e-mail, visioconférence) reste sur votre propre connexion et ne transite jamais par Mirox. Voir le guide de configuration du VPN personnel pour émettre et importer votre profil.

8. Comment de nouvelles centrales apparaissent-elles dans mon VPN sans rien retélécharger ?

Votre fichier de configuration est fixe pour toute la durée de vie de votre profil — vous ne le réimportez jamais lorsque votre accès change. Ce qui évolue est maintenu côté Mirox : l'ensemble des sous-réseaux de centrales que votre profil est autorisé à atteindre est calculé à partir de vos autorisations en cours et tenu à jour en continu. Dès que l'accès Exploitant à une nouvelle centrale vous est accordé, les réseaux de cette centrale deviennent accessibles via votre tunnel existant, généralement en quelques secondes, sans réinstallation et sans action de votre part. Une centrale dont l'agent sur site n'est pas encore déployé apparaît comme « pas encore accessible » et devient active automatiquement dès que son agent est en ligne.

VPN — Révocation et isolation

9. Comment l'accès est-il retiré — et à quelle vitesse ?

Lorsque votre accès Exploitant prend fin — parce que votre fonction est retirée, que votre appartenance à l'organisation change, ou qu'une coopération est réduite ou terminée — la centrale concernée est retirée de vos routes accessibles en quelques secondes après le changement d'autorisation, et le chemin réseau est démantelé peu après, lors de la prochaine réconciliation. Une vérification de fond périodique recontrôle indépendamment chaque profil actif par rapport aux autorisations en cours et corrige toute route qui ne devrait plus exister, de sorte qu'un seul événement manqué ne peut pas laisser un accès ouvert. Le même changement d'autorisation retire également votre accès au Proxy. Si votre compte utilisateur est supprimé, votre accès distant s'arrête en quelques secondes tandis que l'historique de conformité que vous avez généré est conservé pendant la durée de conservation légale.

10. Comment les différentes centrales et organisations sont-elles isolées les unes des autres ?

La connexion de chaque utilisateur est confinée à un ensemble de routes isolé, dérivé uniquement des autorisations Exploitant propres à cet utilisateur, plus toute portée de coopération explicitement invitée. Les sous-réseaux pour lesquels vous n'êtes pas autorisé ne sont tout simplement jamais routés pour vous — il n'existe aucun chemin réseau entre votre tunnel et les réseaux de centrales d'une autre organisation, et les utilisateurs d'une organisation ne peuvent pas voir ceux d'une autre. L'accessibilité est dérivée des autorisations de bout en bout, de sorte que l'isolation est imposée par ce qui est routé, et pas seulement par ce qui est affiché dans l'interface.

11. Que se passe-t-il lorsque deux centrales utilisent la même plage d'adresses IP internes ?

Cela est géré explicitement. Si deux centrales que vous pouvez atteindre utilisent toutes deux la même plage locale (par exemple deux centrales sur 192.168.1.0/24), le système détecte le chevauchement et le signale dans votre liste de routes plutôt que de deviner. Vous décidez laquelle des centrales en conflit est prioritaire pour vous, de sorte qu'il n'y a jamais d'ambiguïté sur le réseau que vous atteignez. Vous pouvez aussi désactiver temporairement une route pour atteindre l'autre, puis revenir en arrière.

Le Proxy navigateur

12. Qui peut utiliser le Proxy ?

Le Proxy est ouvert à Exploitant et Technical Manager sur la centrale — y compris les Admins et Modérateurs d'organisation qui correspondent à ces fonctions, ainsi que les membres de coopération qui les détiennent. Les Spectateurs et les rôles commerciaux sont refusés. C'est délibérément plus large que le VPN réservé aux Exploitants, pour une raison : le Proxy ne peut jamais atteindre que des interfaces web d'équipements pré-approuvées, de sorte que même dans le pire des cas l'exposition est bien plus faible qu'avec un tunnel réseau complet. Configurer quelles pages web d'équipement existent en tant que cibles est en soi une action réservée au niveau Technical Manager et au-dessus.

13. Le Proxy exige-t-il une authentification à deux facteurs ?

Oui. Ouvrir un équipement via le Proxy exige une authentification à deux facteurs (TOTP) active sur votre compte ; sans elle, le Proxy refuse d'ouvrir un équipement, quel que soit votre rôle. C'est plus strict que le reste de la plateforme, précisément parce que le Proxy est un chemin vers des équipements en service. En plus de votre connexion Mirox et de la 2FA, l'équipement lui-même peut exiger sa propre authentification, de sorte qu'il y a souvent deux couches d'authentification indépendantes protégeant un équipement.

14. Mes mots de passe d'équipement sont-ils stockés, et qui peut les voir ?

Les identifiants d'équipement que vous enregistrez pour le Proxy (et pour les vérifications de connexion aux équipements) sont conservés dans un coffre de mots de passe chiffré, et l'accès pour les saisir ou les utiliser est réservé à Exploitant et Technical Manager sur la centrale. Ils ne sont jamais exposés aux autres rôles, jamais montrés à l'assistant IA, et jamais inscrits dans les journaux. Le Proxy ne gère que le transport et le contrôle d'accès côté Mirox ; l'authentification propre de l'équipement reste en vigueur.

15. Quelqu'un peut-il entrer si je partage un lien de proxy ?

Non — une URL de proxy n'est pas un octroi d'accès. L'adresse de l'interface web proxifiée d'un équipement est stable et partageable, mais quiconque l'ouvre doit toujours être connecté à Mirox, réussir l'authentification à deux facteurs et détenir le rôle requis sur cette centrale. Un lien à lui seul n'atteint rien ; la vérification des autorisations a lieu à chaque requête.

Disponibilité et résilience

16. Quelle est la robustesse de l'accès distant — que se passe-t-il si un serveur ou une région tombe en panne ?

La plateforme fonctionne simultanément sur plusieurs régions de centres de données européens indépendantes, chacune exécutant la pile complète, et au sein de chaque région l'accès distant est servi par plusieurs serveurs — il n'y a donc aucun point de défaillance unique. Votre connexion s'attache toujours à un point d'entrée sain ; si l'un devient indisponible, elle est rétablie automatiquement sur un autre serveur sain, et vous n'avez rien à reconfigurer. Combinée à la supervision automatique des agents sur site, l'architecture est conçue pour offrir une disponibilité de 99,999 %.

17. Qu'est-ce qui maintient le côté centrale disponible ?

L'agent sur site de chaque centrale est supervisé par une couche d'orchestration qui vérifie en continu, à intervalle court, à la fois son existence et sa disponibilité. Si un agent est manquant, cesse de répondre ou si son hôte tombe en panne, il est automatiquement redémarré, redéployé ou relocalisé sur un autre hôte sain — sans visite sur site. Une protection garantit que le même agent n'est jamais exécuté à deux endroits à la fois. Comme l'agent est ce qui termine la connexion côté centrale aussi bien pour le VPN que pour le Proxy, cette supervision est ce qui maintient votre centrale accessible.

18. Le réseau de ma centrale doit-il avoir un port entrant ouvert ?

Non. L'agent sur site est toujours la partie qui compose vers l'extérieur, vers le cloud Mirox ; la connexion est établie depuis l'intérieur du réseau de votre centrale. Votre pare-feu n'a donc besoin que d'une connectivité sortante — aucun port entrant n'est ouvert, et rien sur l'Internet public ne peut initier une connexion vers le réseau de votre centrale. Cela vaut aussi bien pour le VPN que pour le Proxy.

19. L'agent est-il le seul moyen d'entrer dans le réseau de ma centrale ?

Oui. Le réseau de la centrale ne devient accessible via la plateforme que tant que le tunnel sortant de l'agent sur site est actif, et tout le trafic autorisé — VPN ou Proxy — atteint la centrale à travers cet agent. C'est le point d'entrée unique, et il est borné à sa propre centrale : il ne peut atteindre, et n'est pas un chemin vers, aucune autre centrale ni aucun autre réseau.

Audit et confidentialité

20. Chaque accès est-il enregistré ? À quelle norme le journal répond-il ?

Oui — chaque connexion VPN et chaque session Proxy est enregistrée automatiquement par la plateforme au fil du trafic ; les utilisateurs ne peuvent pas influencer ce qui est capturé. Le journal d'accès est conçu pour répondre aux exigences de journalisation des accès distants des normes KRITIS allemande et NIS2 européenne. Pour chaque accès, il enregistre qui s'est connecté, quand et depuis où (IP source et région géographique), quels sous-réseaux et équipements de centrale ont été atteints, et quels protocoles et ports ; pour le Proxy, il enregistre en outre l'activité des requêtes web (l'équipement atteint, le nombre de requêtes et les méthodes, le volume de données). Les enregistrements sont conservés pendant 730 jours (24 mois) par défaut, puis automatiquement purgés. La profondeur de cet audit est traitée en détail sur la page Journalisation d'audit des accès.

21. Qui peut consulter le journal d'accès ? Puis-je voir mes propres connexions ?

Le journal d'accès complet d'une centrale n'est visible que par les exploitants responsables de cette centrale — niveau Technical Manager et au-dessus sur la centrale, y compris les techniciens invités par coopération. L'utilisateur qui se connecte ne voit pas le journal d'audit de l'exploitant ; cette surface est réservée à la partie qui porte l'obligation de reporting. Vous pouvez en revanche consulter votre propre historique de connexions depuis votre profil : le début de chaque session, depuis quelle région et quelle IP source, la localisation approximative et le volume de données échangé. Ni les exploitants ni les utilisateurs ne peuvent modifier ou supprimer les enregistrements d'audit — voir la section conservation et résistance à l'altération du journal d'audit.

22. Mirox voit-il le contenu de mes sessions ?

Non. L'audit enregistre des métadonnées — connexions, points d'extrémité, ports, protocoles, horodatages et volumes de trafic, ainsi que les pages web d'équipement qu'une session Proxy a touchées — et non le contenu de ce que vous faites. Les charges utiles des paquets VPN, le corps des pages web, les frappes au clavier et les enregistrements d'écran ne sont délibérément pas capturés, car cela serait à la fois problématique pour la confidentialité et inutile pour le reporting de conformité. La limite de confidentialité est décrite en détail dans la section confidentialité de la page Journalisation d'audit des accès.

Fonctionnalités associées

VPN — le tunnel personnel qui atteint chaque réseau de centrale pour lequel vous êtes autorisé
Proxy — accès par navigateur aux interfaces web des équipements de centrale, sans client VPN
Journalisation d'audit des accès — l'enregistrement aligné sur KRITIS et NIS2 de tous les accès VPN et Proxy
Système de permissions — la correspondance rôle-fonction qui décide qui atteint quelles centrales
Configuration du VPN personnel — guide pas à pas pour émettre, renouveler et utiliser votre profil VPN