Dire qu'IPSec (Internet Protocol Security) s'est imposé comme un standard de fait du RPV est un euphémisme : « Tous les produits réseau commercialisés depuis deux ans connaissent IP-Sec. Les routeurs sont tous compatibles IPSec et les piles IP des systèmes d'exploitation récents le sont également. Il n'y a donc souvent rien à ajouter », s'enthousiasme Paul-André Pays, fondateur de la SSII EdelWeb. Le protocole d'authentification et de chiffrement IPSec permet l'établissement rapide d'un tunnel chiffré entre deux équipements compatibles IPSec. L'entreprise peut donc chiffrer facilement et de façon standard tous les flux entre ses filiales, ses bureaux ou même avec ses collaborateurs nomades.

« Le chiffrement [des flux, Ndlr] est le seul aspect de la sécurité qui montre un retour sur investissement rapide et réel. Notamment entre deux sites, par l'utilisation d'offres Internet au lieu d'une ligne louée. C'est largement moins cher mais il faut chiffrer puisqu'on utilise alors un réseau public », explique Pascal Delprat, consultant sécurité chez Cisco France. Un retour sur investissement qui est favorisé par la baisse des coûts du matériel : un routeur faisant office de modem ADSL, de coupe-feu et de RPV IPSec est vendu moins de 500 € ht. Concrètement, chiffrer avec IP-Sec consiste à mettre en relation deux équipements compatibles, parfois en modifiant légèrement la configuration des routeurs ou des coupe-feu à chaque extrémité du tunnel. Le protocole définit alors les algorithmes à mettre en oeuvre selon les capacités de chaque équipement. Afin d'assurer l'interopérabilité, IP-Sec oblige les fabricants à implémenter au moins les algorithmes MD5 et SHA-1 pour l'authentification et DES (RFC 2406) et bientôt AES avec des clés de 128 bits (draft IETF en cours) pour le chiffrement des paquets. Le protocole utilise également IKE (Internet Key Ex-change) afin d'échanger les clés de chiffrement, souvent avec l'algorithme Diffie-Hellman. Mis à part ces algorithmes obligatoires, chaque fabricant est libre d'implémenter ceux qu'il souhaite, afin de se démarquer de ses concurrents. On y retrouve souvent Blowfish, 3DES, CAST, Idea ou RC5. Mais pour que deux équipements dialoguent entre eux, il faut qu'ils puissent se mettre d'accord sur un protocole qu'ils connaissent tous les deux. Cependant, même s'il ne connaît que le vénérable DES, un équipement n'assurant que les fonctions exigées par IPSec, pourra dialoguer de façon sûre avec n'importe quel autre, à condition de changer les clés régulièrement durant l'échange.