Zero Trust : du concept radio au réseau d'entreprise

Le modèle de confiance traditionnel — et pourquoi il a échoué

Le modèle de sécurité réseau traditionnel repose sur une hypothèse : ce qui est à l'intérieur du périmètre réseau est de confiance. Les équipements connectés au réseau interne de l'entreprise peuvent accéder aux ressources internes — parce qu'ils sont "dedans". Ce modèle fonctionnait quand le périmètre était clair et physiquement défendable : les serveurs sont dans la salle machine, les postes de travail sont dans les bureaux, le réseau interne est séparé d'internet par un pare-feu.

Ce modèle s'est effondré progressivement. Le Wi-Fi a introduit des équipements potentiellement non maîtrisés dans le périmètre. Le BYOD a mis des appareils personnels non gérés sur le réseau interne. Le cloud a déplacé les ressources en dehors du périmètre. Le télétravail a mis les utilisateurs en dehors du périmètre. Et les attaquants ont appris à pénétrer le périmètre — une fois à l'intérieur, la confiance implicite leur donnait accès à tout.

Le principe Zero Trust — et sa racine radio

Le Zero Trust reformule l'hypothèse fondamentale : aucun équipement, aucun utilisateur, aucun réseau n'est de confiance par défaut. Chaque demande d'accès est vérifiée individuellement, indépendamment de la position réseau. L'identité de l'utilisateur est vérifiée. L'état de l'équipement est vérifié. Le contexte de la demande (heure, localisation, comportement) est évalué. L'accès est accordé uniquement aux ressources nécessaires, pour la durée nécessaire.

Ce principe n'est pas nouveau. Les systèmes radio trunked professionnels l'appliquaient mécaniquement depuis les années 80 : un terminal radio, même à portée de l'infrastructure, n'accède pas au réseau tant qu'il n'est pas authentifié. Sa position géographique dans la zone de couverture ne lui donne aucune confiance automatique. L'authentification est la condition d'accès, pas la position. Le Zero Trust IP formalise et étend ce principe à des infrastructures bien plus complexes.

ZTNA vs VPN traditionnel

Un VPN traditionnel établit un tunnel qui donne accès à un segment réseau entier. Une fois connecté, l'utilisateur est "dedans" — il peut accéder à tous les équipements et services de ce segment. Le Zero Trust Network Access (ZTNA) remplace cette approche par un accès applicatif : chaque application ou service est accessible individuellement, après vérification de l'identité et du contexte, sans exposition du réseau sous-jacent.

La différence opérationnelle est significative. Avec un VPN traditionnel, un compte compromis expose l'ensemble du segment réseau auquel ce compte avait accès. Avec ZTNA, un compte compromis expose uniquement les applications spécifiquement autorisées pour ce compte — et même cet accès peut être révoqué instantanément sans impact sur les autres utilisateurs.

SASE — convergence infrastructure

SASE (Secure Access Service Edge) combine ZTNA, pare-feu as a service, et sécurité web dans une plateforme unifiée délivrée depuis le cloud. NordLayer, Cloudflare Access, Zscaler sont des exemples de plateformes SASE orientées PME. Ils appliquent les principes Zero Trust sans infrastructure on-premise dédiée.

Implémenter Zero Trust sans repartir de zéro

La transition vers Zero Trust ne nécessite pas de remplacer l'infrastructure existante d'un coup. Une approche progressive consiste à commencer par l'accès aux applications les plus exposées — outils collaboratifs, CRM, outils de développement — en implémentant du ZTNA en superposition du VPN existant. Progressivement, les accès migrent vers le modèle Zero Trust pendant que le VPN traditionnel reste disponible pour les cas d'usage qui le nécessitent.

Les solutions VPN d'entreprise modernes intègrent des fonctionnalités Zero Trust — Device Posture Check, segmentation par rôle, intégration IdP — qui permettent de progresser vers ce modèle sans changer de fournisseur. La grille de critères de sélection d'un VPN professionnel inclut ces fonctionnalités comme indicateurs de maturité.

Zero Trust et télétravail

Le télétravail massif depuis 2020 a été le catalyseur de l'adoption Zero Trust. Des millions d'équipements personnels accédant aux ressources d'entreprise depuis des réseaux domestiques inconnus ont rendu insoutenable le modèle de confiance basé sur la position réseau. Le Zero Trust répond précisément à ce contexte : peu importe d'où l'équipement se connecte, la vérification d'identité et de posture s'applique de la même façon. La sécurisation du télétravail est aujourd'hui le cas d'usage primaire du Zero Trust pour les PME.

Implémenter Zero Trust progressivement

Une migration Zero Trust complète est un projet de plusieurs années. L'approche progressive commence par les ressources les plus critiques et les accès les plus risqués — accès administrateurs, données financières, systèmes exposés à l'extérieur. Ces accès sont migrés vers ZTNA en priorité pendant que le reste continue avec le modèle existant. La deuxième phase étend la vérification à l'ensemble des accès aux applications métier. La troisième implémente la micro-segmentation interne — chaque workload ne communique qu'avec les workloads explicitement autorisés, éliminant le mouvement latéral libre sur le réseau interne.

Les métriques de maturité Zero Trust

Le modèle de maturité Zero Trust du CISA américain fournit une grille d'évaluation concrète. Les indicateurs clés incluent le pourcentage d'accès soumis à vérification MFA, le pourcentage d'équipements avec posture check actif, le délai moyen de révocation d'accès après un départ, et le pourcentage de trafic réseau interne soumis à inspection. Ces métriques permettent de mesurer la progression et d'identifier les lacunes prioritaires.

Pour les PME sans équipe dédiée, des solutions comme Cloudflare Access, Tailscale ou NordLayer implémentent les principes Zero Trust avec une configuration accessible — sans infrastructure on-premise complexe. Ces outils permettent de commencer avec les cas d'usage les plus critiques et d'étendre progressivement la couverture. La sécurisation du télétravail est souvent le premier cas d'usage qui justifie concrètement l'investissement Zero Trust pour une PME.