Pendant des décennies, la logique était simple : ce qui se passe à l’intérieur du réseau est sûr, le reste est hostile. Un pare-feu en bordure et un VPN pour les accès distants suffisaient à considérer le système d’information comme protégé. Ce modèle, connu sous le nom de castle-and-moat, a structuré l’architecture des DSI pendant plus de vingt ans.
Il est aujourd’hui structurellement dépassé. L’explosion du Cloud (SaaS, IaaS, PaaS), la généralisation du télétravail, la multiplication des accès tiers et l’externalisation de services critiques ont effacé toute frontière réseau claire. Dans ce contexte, la notion de « réseau interne de confiance » ne tient plus et s’y accrocher reviens à laisser une porte ouverte que les attaquants ont appris à franchir.
Selon le rapport Zscaler ThreatLabz 2024, 92 % des entreprises s’inquiètent que des tiers utilisant un accès VPN puissent servir de point d’entrée pour une attaque — et 56 % ont déjà subi une compromission via leurs infrastructures VPN.
Ce que le Zero Trust change concrètement
Le Zero Trust n’est pas un produit que l’on installe, ni un projet que l’on termine. C’est un principe architectural formulé dès 2010 par John Kindervag chez Forrester Research, puis consacré par le NIST dans sa publication SP 800-207 en 2020. Son postulat est simple : aucun utilisateur, aucun appareil, aucun flux réseau ne bénéficie d’une confiance accordée par défaut même depuis l’intérieur du réseau de l’entreprise.
La CISA structure ce modèle en cinq piliers complémentaires, qui couvrent l’ensemble des vecteurs d’exposition d’un système d’information :
Identité. Authentification forte (MFA, FIDO2), gouvernance des accès (IAM/PAM) et moindre privilège appliqué à chaque compte y compris les comptes de service et les accès tiers souvent oubliés lors des révisions de droits.
Appareils. Chaque terminal accédant aux ressources est évalué en temps réel : niveau de patch, conformité aux politiques de sécurité, intégrité système. Un appareil non conforme se voit refuser l’accès, indépendamment de l’identité de l’utilisateur.
Réseau. Micro-segmentation et remplacement progressif du VPN par une architecture ZTNA. Les flux internes (Est-Ouest) sont inspectés au même titre que les flux entrants car un attaquant déjà dans le réseau est souvent plus dangereux qu’un attaquant à l’extérieur.
Applications & workloads. L’accès est accordé par session, selon le contexte et non par simple appartenance à un sous-réseau. Les API et workloads Cloud sont pleinement intégrés dans la politique de contrôle d’accès.
Données. Classification, chiffrement en transit et au repos, DLP (Data Loss Prevention) et surveillance des flux sortants pour détecter toute exfiltration, qu’elle soit malveillante ou accidentelle.
Pourquoi tant d’entreprises n’ont pas encore franchi le pas
La résistance au Zero Trust ne vient pas d’un manque de conviction sur son efficacité, mais de la complexité perçue de sa mise en œuvre.
Deux freins reviennent systématiquement lors des accompagnements menés par nos équipes :
Un patrimoine applicatif ancien et hétérogène. Les entreprises accumulent des décennies d’applications legacy qui n’ont pas été conçues pour fonctionner dans un modèle d’accès conditionnel. Les intégrer sans rupture de service est un chantier d’ingénierie à part entière.
Une cartographie des identités insuffisante. Impossible de contrôler ce que l’on ne connaît pas. La plupart des organisations ignorent l’étendue réelle de leurs comptes à privilèges, de leurs comptes de service dormants ou de leurs accès tiers non révoqués.
Les quatre chantiers prioritaires pour démarrer
Ces freins ne sont pas une fatalité. Une roadmap Zero Trust réaliste s’articule autour de quatre axes, qui permettent d’avancer progressivement sans attendre une transformation complète du patrimoine existant :
- Maîtriser les identités et les accès. Cartographier l’ensemble des comptes, appliquer le moindre privilège et imposer le MFA sur tous les accès sensibles. Les comptes à privilèges doivent être gérés via une solution PAM et leurs sessions administrées depuis un bastion : un point d’accès unique, traçable et sécurisé, qui garantit qu’aucune connexion critique ne s’effectue en dehors d’un canal contrôlé. Pour les applications qui ne peuvent pas être modifiées, des solutions comme Zscaler Private Access permettent d’ajouter une couche d’authentification forte et de contrôle d’accès contextuel sans toucher au code, l’identité devient le périmètre, même devant un applicatif legacy. Sans cette visibilité préalable sur les identités et les accès, toute démarche Zero Trust reste une déclaration d’intention.
- Sécuriser les postes et les équipements. Chaque terminal accédant aux ressources de l’entreprise doit respecter une politique de sécurité définie : niveau de patch, configuration, intégrité système, EDR. Un appareil non conforme se voit refuser l’accès, indépendamment de l’identité de l’utilisateur. C’est le principe de la vérification du poste avant toute autorisation et le premier rempart contre les compromissions qui partent d’un équipement mal maîtrisé.
- Segmenter et contrôler les accès réseau. Un attaquant qui franchit une première barrière ne doit pas pouvoir atteindre librement l’ensemble du système d’information. La segmentation fonctionnelle du réseau est le principal obstacle au mouvement latéral : chaque zone constitue un compartiment étanche, limitant mécaniquement la portée d’une compromission. Les flux Est-Ouest trop souvent ignorés, doivent être inspectés et contrôlés au même titre que les flux entrants. Sur les accès distants, le passage au ZTNA marque un changement de paradigme concret, on ne donne plus accès à un réseau, on donne accès à une application, pour une session, dans un contexte précis.
- Superviser et réagir en continu. Un utilisateur qui accède à des ressources inhabituelles, à des horaires atypiques ou depuis un appareil non référencé doit déclencher une réauthentification ou un blocage automatique. Cette détection comportementale est le système nerveux du Zero Trust. Elle gagne en efficacité lorsqu’elle est opérée par un SOC, capable d’analyser les alertes en continu, de qualifier les incidents et d’intervenir avant que la situation ne s’aggrave.
Conclusion
La cybersécurité n’offre aucune garantie absolue. Aucun système n’est inviolable, et les attaquants ont aujourd’hui les moyens et la patience pour trouver la faille. Ce qu’une bonne architecture peut offrir, en revanche, c’est de la résilience : la capacité à limiter l’impact d’une compromission inévitable, à la détecter tôt et à y répondre avant qu’elle ne devienne incontrôlable.
Le Zero Trust est aujourd’hui l’approche la plus mature pour y parvenir en faisant en sorte que chaque intrusion reste contenue, détectée et maîtrisable. Un attaquant qui franchit une barrière ne doit pas pour autant accéder à l’ensemble du système. C’est précisément ce que le Zero Trust garantit : compartimenter l’échec.
Références : NIST SP 800-207 – Zero Trust Architecture, CISA Zero Trust Maturity Model v2 (2023)
