Quelle est la différence entre Zero Trust et VPN ?

Un VPN donne un accès large au réseau interne une fois authentifié : c'est l'approche périmétrique traditionnelle. Le Zero Trust, à l'inverse, accorde uniquement l'accès à l'application précise demandée, vérifie chaque requête individuellement et tient compte du contexte (appareil, lieu, comportement). Un VPN dit "tu es dedans ou dehors", le Zero Trust dit "prouve-moi que tu as le droit d'accéder à cette ressource précise, maintenant".

Zero Trust est-il obligatoire en entreprise ?

Pas stricto sensu, mais fortement recommandé. NIS2 impose des principes qui orientent clairement vers du Zero Trust (segmentation, contrôles d'accès, surveillance continue). Aux États-Unis, le gouvernement fédéral a rendu Zero Trust obligatoire via l'executive order 14028 de 2021. Les assureurs cyber le valorisent fortement dans leurs questionnaires.

Combien de temps prend un déploiement Zero Trust ?

C'est une transformation de 2 à 5 ans pour une grande organisation. Ce n'est pas un projet unique mais une série d'initiatives : SSO + MFA forte, inventaire et classification des ressources, micro-segmentation réseau, remplacement du VPN par du ZTNA, déploiement EDR, etc. Les PME peuvent atteindre un niveau Zero Trust acceptable en 6 à 18 mois.

Zero Trust remplace-t-il le firewall ?

Non, il le complète. Le firewall périmétrique reste utile pour filtrer le trafic entrant/sortant et bloquer les menaces évidentes. Zero Trust ajoute une couche d'authentification et de contrôle par ressource, à l'intérieur et à l'extérieur du périmètre. On ne renforce plus seulement les murs, on vérifie chaque porte intérieure.

Zero Trust : définition, principes et mise en place de l'architecture

Paternité: John Kindervag (Forrester), 2010
Standard de référence: NIST SP 800-207 (2020)
Devise: « Never trust, always verify »
Durée type de déploiement: 2 à 5 ans pour une grande organisation
Composants clés: IAM, MFA, micro-segmentation, ZTNA, EDR, analytique

01 — DéfinitionQu'est-ce que le Zero Trust ?

Le Zero Trust — littéralement « confiance zéro » — est un modèle de sécurité informatique qui repose sur un principe simple et disruptif : aucune requête ne doit être considérée comme fiable par défaut, qu'elle provienne de l'intérieur ou de l'extérieur du réseau. Chaque accès à une ressource doit être vérifié individuellement, à chaque fois, en tenant compte de l'identité de l'utilisateur, de l'état de l'appareil, et du contexte de la demande.

Ce modèle rompt radicalement avec la sécurité périmétrique traditionnelle, dite du « château fort » : un gros mur (le firewall) qui sépare l'extérieur dangereux de l'intérieur réputé sûr. Une fois qu'on est dedans, on a accès à presque tout. Le Zero Trust supprime cette notion d'intérieur sûr : chaque porte intérieure est verrouillée individuellement.

La formule qui résume tout : never trust, always verify. Ne jamais faire confiance, toujours vérifier — même après authentification, même à l'intérieur du réseau, même pour les administrateurs.

02 — ContextePourquoi Zero Trust a émergé

Le modèle périmétrique reposait sur deux hypothèses qui ont cessé d'être vraies :

Les utilisateurs sont dans les bureaux, connectés au LAN depuis des postes de travail fixes. Faux depuis 2015, massivement faux depuis le télétravail.
Les applications sont dans le datacenter, derrière le firewall. Faux avec l'explosion du SaaS et du cloud : Microsoft 365, Salesforce, Workday sont hors du périmètre de l'entreprise.

Résultat : le périmètre est devenu poreux et mal défini. Les attaques modernes — phishing qui compromet un compte interne, ransomware qui se propage latéralement, compromission via prestataire — exploitent précisément cette confiance excessive envers l'intérieur. Une fois un pied dans la place, l'attaquant peut se déplacer librement.

Le Zero Trust est la réponse à ce constat. Le concept a été formalisé par John Kindervag chez Forrester en 2010, puis standardisé par le NIST dans la publication SP 800-207 en 2020, qui reste la référence technique aujourd'hui.

03 — PrincipesLes 5 principes fondateurs

1. Vérifier explicitement

Chaque requête d'accès est authentifiée et autorisée sur la base de tous les signaux disponibles : identité de l'utilisateur, localisation, état de santé de l'appareil, service visé, classification de la donnée, comportement historique. Pas de confiance implicite liée à la position réseau.

2. Appliquer le moindre privilège

Les utilisateurs reçoivent uniquement les droits strictement nécessaires à leur tâche, pour la durée strictement nécessaire. Préférer le just-in-time access (droits accordés à la demande et expirant automatiquement) au standing access (droits permanents).

3. Présumer la compromission

Concevoir le système comme si une partie était déjà compromise. Segmenter finement pour limiter l'impact d'une intrusion. Chiffrer les données en transit et au repos, même en interne. Surveiller en continu plutôt que se contenter de barrières préventives.

4. Vérifier en continu

L'authentification n'est pas un événement unique en début de session, mais un processus continu. L'accès peut être révoqué à tout moment si les signaux changent — nouvelle géolocalisation, comportement anormal, appareil qui sort de conformité.

5. Simplifier et automatiser

Un Zero Trust efficace repose sur une politique centralisée et des contrôles automatisés, pas sur des interventions manuelles. Plus c'est complexe à opérer, plus ça finit par être contourné.

04 — ComparaisonZero Trust vs modèle périmétrique

La bascule conceptuelle est profonde. Voici les principales différences opérationnelles.

Modèle périmétrique

VPN pour accéder au réseau interne, puis confiance large.
Firewall comme ligne de défense principale.
Segmentation grossière (DMZ, réseau interne, DB).
Authentification forte à l'entrée, faible ensuite.
Hypothèse implicite : l'intérieur est sûr.

Zero Trust

Accès par ressource via ZTNA (Zero Trust Network Access).
Identité comme nouveau périmètre, firewall comme couche parmi d'autres.
Micro-segmentation — chaque application, voire chaque workload, est isolé.
MFA forte partout, authentification continue.
Hypothèse explicite : rien n'est fiable avant vérification.

05 — ComposantsLes briques techniques

Zero Trust n'est pas un produit qu'on achète, mais une architecture qu'on assemble à partir de composants complémentaires.

IAM / IGA — gestion centralisée des identités et des cycles de vie des comptes. Fondation indispensable : sans référentiel d'identité propre, rien ne marche.
MFA forte et SSO — authentification unique vers tous les services, renforcée par une MFA résistante au phishing (FIDO2 idéalement).
ZTNA (Zero Trust Network Access) — remplace le VPN. Donne accès à une application précise, pas au réseau entier. Exemples : Zscaler Private Access, Cloudflare Access, Palo Alto Prisma Access.
Micro-segmentation — cloisonner finement le réseau pour que chaque workload ne puisse parler qu'à ceux qu'il doit. Bloque la propagation latérale d'un ransomware.
EDR / XDR — surveillance comportementale des postes et serveurs. L'état de santé de l'appareil devient un signal d'autorisation.
DLP et classification des données — connaître ses données critiques pour adapter les contrôles. Zero Trust est inopérant sans cet inventaire.
SIEM / analytique — corréler les signaux pour détecter les anomalies et ajuster les politiques d'accès en temps réel.
PAM (Privileged Access Management) — gestion séparée et durcie des comptes à privilèges, avec rotation automatique et session-brokering.

06 — DéploiementComment se lancer

Zero Trust est un voyage, pas un projet. Voici une roadmap pragmatique pour progresser par paliers.

Phase 1 — Fondations (6-12 mois)

Inventaire exhaustif des identités, applications, données.
Consolidation IAM et déploiement d'un SSO central.
MFA obligatoire partout, avec FIDO2 pour les comptes à privilèges.
Classification des données sensibles (RGPD, IP, secrets industriels).

Phase 2 — Segmentation (12-24 mois)

Remplacement progressif du VPN par une solution ZTNA.
Micro-segmentation du datacenter et des workloads cloud.
Déploiement EDR/XDR sur tous les endpoints, postes et serveurs.
Restriction forte des mouvements latéraux (pare-feu hôte, politique zone).

Phase 3 — Continu (24 mois+)

Analytique et corrélation centralisée (SIEM, UEBA).
Authentification adaptative basée sur le risque en temps réel.
Politique de moindre privilège automatisée avec accès JIT.
Audit et tests réguliers (red team, pentest) pour mesurer la maturité.

07 — PiègesLes erreurs à éviter

Acheter « une solution Zero Trust » — aucun éditeur ne vend du Zero Trust clé en main. Se méfier du marketing : c'est une architecture, pas un produit.
Oublier l'identité — sans IAM propre, toute la suite est compromise. C'est la fondation à poser en premier, avant tout le reste.
Vouloir tout faire en même temps — mène à l'échec. Mieux vaut progresser par domaine (accès distant → applications SaaS → datacenter → OT) que d'ouvrir 15 chantiers en parallèle.
Négliger l'expérience utilisateur — un Zero Trust qui oblige à se réauthentifier toutes les 10 minutes sera contourné. Le SSO et l'authentification adaptative sont cruciaux pour rester utilisable.
Ignorer le legacy — les applications anciennes (AS/400, ERP hébergés depuis 15 ans) ne supportent souvent ni SSO, ni MFA, ni les protocoles modernes. Prévoir une stratégie de reverse proxy ou de modernisation progressive.

08 — FAQQuestions fréquentes

Zero Trust est-il adapté aux PME ?

Oui, et c'est même plus facile à mettre en place en PME qu'en grand groupe. Moins d'applications legacy, moins de processus figés, moins de politique. En PME, une combinaison Microsoft 365 + Azure AD + Intune + MFA FIDO2 + Cloudflare Access ou Tailscale permet d'atteindre un niveau Zero Trust correct en 6 à 12 mois avec un budget raisonnable.

Quel lien avec SASE et SSE ?

Le SASE (Secure Access Service Edge) est une architecture qui combine réseau (SD-WAN) et sécurité (ZTNA, CASB, SWG) dans un service cloud unifié. Le SSE (Security Service Edge) est le volet sécurité seul du SASE. Ces architectures sont des implémentations cloud-first du Zero Trust. On peut faire du Zero Trust sans SASE, mais le SASE rend le déploiement plus simple.

Doit-on abandonner le firewall périmétrique ?

Non. Le firewall reste utile pour filtrer le trafic entrant/sortant et bloquer les menaces évidentes avant qu'elles n'atteignent les applications. Zero Trust ne le remplace pas, il ajoute une couche d'authentification et de contrôle par ressource, à l'intérieur et à l'extérieur du périmètre.

Combien ça coûte ?

Très variable. Pour une entreprise de 200 personnes déjà sur Microsoft 365, les briques principales (licences E5, Intune, Conditional Access, clés FIDO2) ajoutent quelques dizaines d'euros par utilisateur et par mois. Pour une ETI, compter 50 à 150 €/utilisateur/mois tout compris (identité, endpoint, accès, surveillance). Le coût d'opportunité de ne pas déployer Zero Trust, mesuré en incidents évités, est généralement bien supérieur.

Le Zero Trust ralentit-il les équipes ?

Bien conçu, non. Un utilisateur final ne voit presque rien : il se connecte une fois le matin avec sa passkey, et accède à ses applications sans friction. Les tracas concernent surtout les administrateurs et les accès exceptionnels, où c'est précisément l'effet recherché.