Espace Client ERP Espace Partenaire
Administration
Nous contacter Prendre rendez-vous
Besoin d'aide ? 01 85 48 05 54

Solutions

Gestion d'entreprise, ERP

EBP Bâtiment
Odoo ERP
Easy-KUTCH
EBP Comptabilité
Odoo Gestion Commerciale
Sage 100 Gestion Commerciale
Sage Batigest Connect
Sage BI Reporting BTP
Sage e-appels d'offres BTP
Sage e-chantier Alobees
Visual Planning

Comptabilité, Finances

Sage 100 Comptabilité
Sage Automatisation Comptable

Paye et Ressources Humaines

Sage 100 Paie
Sage Business Cloud Paie
Voir toutes les solutions

Infrastructure

Infrastructure, réseau et sécurité

Bureau Distant ACLG
Disaster Recovery ACLG
Serveurs Cloud ACLG
Stockage d'objets ACLG
Stockage en ligne ACLG
Voir toutes les infrastructure

Éditeurs

Éditeurs Partenaires

Nos partenaires éditeurs de logiciels

ATTIC+ Éditeur partenaire
EBP Éditeur partenaire
Odoo Éditeur partenaire
Sage Éditeur partenaire
Visual Planning Éditeur partenaire
Voir toutes les éditeurs

Services

Nos Services

Accompagnement et support

Formation
Intégration & Déploiement
Maintenance & Évolution
Support & Assistance
Voir toutes les services

Ressources

Derniers articles

Nos dernières publications

Comment choisir un ERP adapté à votre entreprise de BTP en 2026 ? PME du BTP, comment choisir votre ERP en 2026 ? Comparatif Sage Batigest, EBP Bâ...
Bureau distant vs VPN : quelle solution pour vos équipes terrain ? Bureau distant (RDS) ou VPN pour vos équipes terrain ? Comparatif sécurité, perf...
Facturation électronique 2026 : ce qui change pour les PME du bâtiment Réception obligatoire au 1er septembre 2026, émission pour les PME au 1er septem...

Guides & Outils

Ressources pour votre projet ERP

Tous les articles Index du blog
FAQ Questions fréquentes
Guides ERP Guides pratiques
Livres blancs Téléchargements
Voir toutes les ressources
Infrastructure

Bureau distant vs VPN : quelle solution pour vos équipes terrain ?

AC
ACLG 12 February 2026 8 min de lecture
Chef de chantier consultant son application sur tablette numérique dans un bâtiment en construction
Sommaire de l'article
in X @

L'essentiel en 30 secondes : L'ANSSI recommande de ne jamais exposer RDP sur Internet et impose le MFA sur tous les accès distants. Deux architectures sont conformes : le VPN IPsec + RDS classique, ou le bureau distant cloud accessible via navigateur web (HTML5) avec isolation applicative et authentification multi-facteurs intégrée. Cette seconde approche, dite Zero Trust (ZTNA), élimine le besoin d'installer un client VPN sur chaque poste terrain. ACLG déploie cette architecture en forfait mensuel tout inclus, certifiée ISO 27001 et conforme RGPD.

Vos équipes de chantier doivent accéder à Batigest, aux plans DWG ou aux tableaux de bord de production depuis n'importe quel site. Vous avez le choix entre deux architectures d'accès distant : le bureau distant (RDS/VDI) et le VPN. Ce guide compare les deux approches en intégrant les recommandations officielles de l'ANSSI pour les PME du BTP.

Bureau distant (RDS/VDI) : vos applications restent sur le serveur

Le bureau distant repose sur le protocole RDP (Remote Desktop Protocol). Concrètement, votre collaborateur terrain voit et manipule un bureau Windows hébergé sur votre serveur — ou dans le cloud — depuis sa tablette ou son PC de chantier. Aucune donnée ne transite vers le poste local : tout reste centralisé.

Deux variantes coexistent :

  • RDS (Remote Desktop Services) : sessions mutualisées sur un serveur Windows. Solution éprouvée, adaptée aux PME de 5 à 100 utilisateurs simultanés. Batigest Connect tourne parfaitement en RDS.
  • VDI (Virtual Desktop Infrastructure) : chaque utilisateur dispose d'un bureau virtuel dédié. Plus coûteux, réservé aux grandes structures ou aux usages très hétérogènes.

Avantages du bureau distant

  • Données centralisées : aucun fichier sensible sur les postes terrain. Perte ou vol d'une tablette = zéro risque de fuite de données.
  • Maintenance simplifiée : une mise à jour serveur bénéficie immédiatement à tous les utilisateurs. Batigest Connect nécessite Windows 11 ou Windows Server 2022/2025 (le support de Windows 10 a pris fin en octobre 2025) — en RDS, cette contrainte est gérée une seule fois côté serveur.
  • Compatibilité logicielle universelle : les applications métier conçues pour Windows (ERP, GPAO, CAO) fonctionnent sans adaptation sur n'importe quel terminal, y compris les Chromebooks ou tablettes Android via un client RDP.
  • Contrôle des accès fin : GPO Windows permettent de restreindre précisément ce que chaque profil peut faire (impression locale, copier-coller, accès aux lecteurs réseau).

Limites du bureau distant

  • Dépendance réseau forte : une coupure internet rend les applications inaccessibles. La 4G/5G sur les chantiers peut suffire, mais les zones blanches restent un facteur de risque.
  • Latence perceptible : pour des usages graphiques intensifs (CAO, rendu 3D), la latence RDP peut dégrader l'expérience utilisateur.
  • Coût serveur : nécessite un serveur RDS dédié ou une instance cloud dimensionnée, avec licences Windows Server et CAL RDS.

VPN : le tunnel sécurisé vers votre réseau

Le VPN (Virtual Private Network) crée un tunnel chiffré entre le poste terrain et le réseau de l'entreprise. Contrairement au bureau distant, les applications s'exécutent localement sur le poste de l'utilisateur — le VPN se contente d'acheminer le trafic réseau de façon sécurisée.

Deux protocoles dominent le marché professionnel :

  • IPsec/IKEv2 : robuste, recommandé par l'ANSSI pour les connexions nomades. Nécessite une passerelle VPN dédiée (Fortinet, Palo Alto, pfSense).
  • SSL/TLS (OpenVPN, WireGuard) : plus simple à déployer, traversée de pare-feux facilitée. WireGuard monte en puissance mais reste à évaluer selon votre contexte réglementaire.

Avantages du VPN

  • Coût initial réduit : pas de serveur RDS à dimensionner. Une passerelle VPN (physique ou virtuelle) suffit.
  • Usage hors ligne possible : les données rapatriées localement restent accessibles en cas de coupure réseau (fichiers Excel, PDF de plans).
  • Expérience graphique native : les applications lourdes (AutoCAD, Revit) s'exécutent avec toute la puissance du poste local.

Limites du VPN

  • Données sur le poste : le vol ou la perte d'un portable en chantier expose potentiellement les données de l'entreprise si le chiffrement du disque (BitLocker) n'est pas activé.
  • Maintenance complexe : chaque poste doit avoir la bonne version du logiciel métier, les bons paramètres et les mises à jour régulières. Sur 20 postes terrain, c'est une charge significative.
  • Sécurité endpoint critique : le VPN protège le canal, pas le poste. Un poste compromis peut propager un ransomware sur tout le réseau interne.

Bureau distant cloud (ZTNA) : l'accès sans VPN ni installation

Depuis 2024, une troisième voie s'impose dans les architectures d'accès distant : le Zero Trust Network Access (ZTNA). Le principe : au lieu de créer un tunnel réseau entre le poste terrain et le serveur (VPN), l'utilisateur accède à ses applications métier via un portail web sécurisé en HTML5, depuis n'importe quel navigateur.

Concrètement, le collaborateur terrain ouvre son navigateur (Chrome, Edge, Safari), se connecte au portail de l'entreprise, s'authentifie avec son mot de passe + un code MFA, et retrouve instantanément son bureau Windows avec Batigest Connect, ses fichiers et ses applications métier. Aucun logiciel à installer sur la tablette ou le PC de chantier.

Avantages du bureau distant cloud

  • Isolation applicative totale : contrairement au VPN qui crée un pont réseau, seuls les pixels de l'écran sont transmis au navigateur. Un ransomware sur la tablette de chantier ne peut pas se propager vers le serveur (aucun mouvement latéral possible).
  • Zéro installation, zéro maintenance poste : pas de client VPN à configurer, mettre à jour ou dépanner sur chaque terminal. Le turnover, la casse et les sous-traitants ne génèrent plus de support informatique.
  • MFA intégré nativement : l'authentification à deux facteurs est appliquée sur le portail ET sur la session Windows, conformément aux recommandations ANSSI (application TOTP, pas de SMS).
  • Scalabilité horizontale : répartition de charge automatique sur plusieurs serveurs. L'ajout d'utilisateurs se fait en quelques clics sans redimensionner l'infrastructure.
  • Chiffrement de bout en bout : connexion HTTPS (TLS 1.2+, AES-256) via le port 443, qui traverse tous les pare-feux sans configuration particulière.
  • Certifications de sécurité : l'infrastructure cloud ACLG est certifiée ISO 27001, HDS (Hébergeur de Données de Santé) et conforme au code de conduite CISPE (approuvé par la CNIL, aligné RGPD). Datacenters 100 % européens.

Limites du bureau distant cloud

  • Connexion internet requise : comme le RDS classique, le bureau distant cloud nécessite un accès réseau. La 4G/5G suffit pour Batigest et les applications de gestion.
  • Applications graphiques lourdes : pour la CAO/DAO intensive (AutoCAD, Revit avec rendu 3D), un poste local avec VPN reste plus performant. Pour la consultation de plans et le devis/facturation, le bureau distant cloud est parfaitement adapté.

L'avis de l'ANSSI : ce que dit le guide nomadisme 2023

L'ANSSI a publié en novembre 2023 son guide sur le nomadisme numérique, regroupant 50 recommandations pour sécuriser les accès distants. Voici les points clés applicables aux PME BTP :

Sur le protocole VPN : l'ANSSI recommande IPsec plutôt que SSL pour les connexions nomades d'entreprise, en raison d'une meilleure robustesse cryptographique. Les configurations SSL restent acceptables si elles utilisent TLS 1.2 minimum avec des suites cryptographiques approuvées.

Sur RDP : le guide est formel — RDP ne doit jamais être exposé directement sur Internet. En 2020, le CERT-FR avait déjà émis une alerte spécifique sur les vulnérabilités des passerelles RDP. Deux solutions sont conformes : faire passer RDP dans un tunnel VPN IPsec, ou utiliser une passerelle d'accès web sécurisée (RD Gateway ou portail HTML5) avec chiffrement TLS 1.2+, MFA et isolation via proxy inverse — une approche compatible avec les architectures Zero Trust (ZTNA).

Sur l'authentification : le MFA (authentification multi-facteurs) est obligatoire sur tous les accès distants. L'ANSSI déconseille explicitement les OTP par SMS (risque SIM-swapping) et recommande les applications TOTP (Microsoft Authenticator, Google Authenticator) ou les clés FIDO2.

Sur RDP spécifiquement : la NLA (Network Level Authentication) est obligatoire. Elle impose l'authentification avant l'établissement de la session RDP, réduisant drastiquement la surface d'attaque.

Ces recommandations sont cohérentes avec les observations de Cybermalveillance.gouv.fr : en 2024, l'accès distant reste la première porte d'entrée des ransomwares pour les TPE/PME françaises. En 2024, Cybermalveillance.gouv.fr a traité plus de 420 000 demandes d'assistance (5,4 millions de visiteurs), dont une part croissante liée à l'exploitation d'accès distants mal sécurisés : VPN sans MFA, RDP exposé directement sur Internet, mots de passe faibles.

La CNIL rappelle par ailleurs que les obligations RGPD s'appliquent intégralement au télétravail : les données personnelles traitées à distance doivent bénéficier du même niveau de protection qu'en présentiel. Bureau distant ou VPN, le chiffrement des communications et le contrôle des accès sont non négociables.

Comparatif Bureau distant vs VPN pour le BTP

Critère VPN seul VPN + RDS classique Bureau distant cloud ACLG
Sécurité des données Moyenne — données sur le poste local Bonne — données sur serveur Excellente — isolation applicative totale, aucun pont réseau
Conformité ANSSI Acceptable si IPsec + MFA + BitLocker Bonne si NLA + MFA activés Optimale — ZTNA, MFA natif, TLS 1.2+, ISO 27001
Conformité RGPD Acceptable (chiffrement requis sur postes) Bonne (données centralisées) Forte — datacenters européens, certifié CISPE/CNIL, HDS
Risque ransomware Élevé — poste compromis = accès réseau interne Moyen — mouvement latéral possible via VPN Minimal — aucun mouvement latéral, seuls les pixels transitent
Installation poste terrain Client VPN + logiciel métier Client VPN + client RDP Aucune — navigateur web uniquement (HTML5)
Maintenance postes Élevée (mises à jour chaque poste) Moyenne (VPN + postes à maintenir) Nulle — tout est côté serveur cloud
Performance réseau Bonne (données locales) Suffisante en 4G pour Batigest Suffisante en 4G pour Batigest
Applications graphiques lourdes Excellente (GPU local) Limitée (AutoCAD déconseillé en RDS) Limitée — CAO intensive mieux en local
Coût Faible initial, élevé en maintenance Moyen à élevé (serveur + CAL + VPN) Forfait mensuel tout inclus, sans investissement initial
Résistance perte/vol Partielle — dépend de BitLocker Totale — données sur serveur Totale — aucune donnée sur le terminal
Scalabilité Limitée par le matériel VPN Limitée par le serveur RDS Horizontale — ajout de serveurs cloud en quelques clics
Cas d'usage BTP CAO sur site, fichiers locaux Batigest, ERP, facturation Batigest, ERP, CRM, GED, devis — tout sauf CAO intensive

La recommandation ACLG : le bureau distant cloud sans VPN

Avec 40 ans d'expérience en infrastructure pour les PME du BTP, ACLG a fait évoluer son approche. Plutôt que l'architecture VPN + RDS classique (complexe à déployer et à maintenir sur les chantiers), ACLG propose désormais un bureau distant cloud accessible depuis un simple navigateur web, sans aucun logiciel à installer sur les postes terrain.

Cette architecture de nouvelle génération repose sur les principes du Zero Trust Network Access (ZTNA) :

  1. Accès via navigateur HTML5 : le collaborateur ouvre Chrome, Edge ou Safari, se connecte au portail ACLG et retrouve son bureau Windows avec Batigest, ses fichiers et ses applications. Aucun client VPN ni logiciel RDP à installer.
  2. Isolation applicative totale : contrairement au VPN qui crée un pont réseau, seuls les pixels de l'écran transitent vers le navigateur. Un terminal compromis ne peut pas propager de ransomware vers le serveur.
  3. MFA intégré nativement : authentification à deux facteurs sur le portail ET sur la session Windows, via application TOTP (Microsoft Authenticator, Google Authenticator) — conforme aux recommandations ANSSI.
  4. Chiffrement HTTPS (TLS 1.2+, AES-256) via le port 443 : traverse tous les pare-feux sans configuration, contrairement au VPN IPsec qui nécessite l'ouverture de ports spécifiques.
  5. Infrastructure certifiée : ISO 27001, HDS (Hébergeur de Données de Santé), code de conduite CISPE approuvé par la CNIL. Datacenters 100 % européens, Windows Server 2025.
  6. Les données restent sur le serveur cloud : un chef de chantier qui perd sa tablette ne compromet aucune donnée client ou devis en cours.

Pour les équipes terrain BTP, le gain opérationnel est immédiat : Batigest Connect, les plannings et la GED sont accessibles depuis n'importe quel appareil — tablette Android, PC de bureau en agence, Chromebook sur chantier — avec une expérience identique. Le turnover et la sous-traitance ne génèrent plus de support informatique : un nouveau collaborateur est opérationnel en 2 minutes.

Questions fréquentes

Mon VPN actuel suffit-il si j'y fais passer RDP ?

C'est une solution fonctionnelle mais pas optimale. Un VPN IPsec correctement configuré avec MFA est conforme aux recommandations ANSSI. Cependant, il impose d'installer et maintenir un client VPN sur chaque poste terrain, ce qui génère une charge de support significative dans le BTP (casse, vol, turnover, sous-traitants). L'alternative : le bureau distant cloud ACLG élimine le VPN et fonctionne via un simple navigateur web. ACLG audite votre infrastructure existante pour vous recommander la solution adaptée.

Le bureau distant fonctionne-t-il avec Batigest Connect ?

Oui. Sage requiert Windows 11 ou Windows Server 2022/2025 pour Batigest Connect (Windows 10 n'est plus supporté depuis octobre 2025). En bureau distant cloud, cette exigence est satisfaite automatiquement côté serveur, sans aucune intervention sur les postes terrain. ACLG déploie et maintient des environnements RDS Batigest pour plusieurs entreprises du BTP en Île-de-France.

Quel budget prévoir pour une PME de 15 utilisateurs terrain ?

Avec le bureau distant cloud ACLG, le modèle est un forfait mensuel par utilisateur, tout inclus : serveur cloud Windows Server 2025, licences, MFA, sauvegardes automatiques (horaires, quotidiennes, hebdomadaires), support et maintenance. Aucun investissement initial en matériel serveur ni en licences VPN. L'ajout d'utilisateurs se fait en quelques clics. Contactez-nous pour un chiffrage précis adapté à votre contexte, ou prenez rendez-vous pour une démonstration en 30 minutes.

Qu'est-ce que le Zero Trust (ZTNA) et en quoi est-ce plus sûr qu'un VPN ?

Le Zero Trust Network Access (ZTNA) est un modèle de sécurité qui part du principe qu'aucun utilisateur ni terminal n'est fiable par défaut, même à l'intérieur du réseau. Contrairement au VPN qui accorde un accès réseau complet une fois connecté (et expose donc l'infrastructure aux ransomwares en cas de poste compromis), le ZTNA ne transmet que l'affichage de l'application — jamais un accès réseau. Chaque connexion est authentifiée individuellement (MFA obligatoire), chiffrée de bout en bout, et isolée. C'est l'approche privilégiée par l'ANSSI dans ses recommandations les plus récentes.

Conclusion

En 2026, le choix entre bureau distant et VPN n'est plus binaire. Si le VPN + RDS reste une option conforme, le bureau distant cloud accessible via navigateur web (ZTNA) représente l'architecture la plus adaptée aux contraintes terrain du BTP : zéro installation poste, isolation applicative contre les ransomwares, MFA natif, et scalabilité immédiate.

ACLG accompagne les PME du BTP depuis 40 ans dans la mise en place d'infrastructures sécurisées. Notre bureau distant cloud, certifié ISO 27001 et HDS, fonctionne sur Windows Server 2025 dans des datacenters 100 % européens. Chaque déploiement commence par un audit gratuit de l'existant, sans engagement.

Pour aller plus loin

Sécurisez l'accès distant de vos équipes BTP

in X @

Besoin d'un accompagnement ERP BTP ?

Nos consultants specialises batiment vous accompagnent de l'audit au deploiement. 40 ans d'expertise.

Demander une demonstration →
AC

ACLG

ACLG — Integrateur ERP BTP depuis 40 ans

Specialiste des solutions de gestion pour les PME du batiment.

Voir tous les articles →
naviguer ouvrir fermer