Zero Trust : bien plus qu’un mot à la mode – Meilleures pratiques concernant les limites, la maturité et l’évolution, et l’architecture ZTNA

Une architecture Zero Trust Network Access (ZTNA) est construite sur plusieurs meilleures pratiques interconnectées pour garantir un accès sécurisé et granulaire aux ressources. Au cœur de ce modèle se trouvent l'authentification et l'autorisation continues, où chaque demande d'accès est précédée d'une vérification dynamique de l'identité de l'utilisateur — souvent à l'aide d'une authentification multifactorielle (MFA) ou de la biométrie — ainsi que de la posture de sécurité de l'appareil. Cette approche élimine la visibilité du réseau pour l'utilisateur en mettant en place une segmentation au niveau applicatif qui n'expose que les ressources autorisées. Cela réduit drastiquement la surface d'attaque et, grâce à la micro-segmentation, limite le déplacement latéral en cas de violation.

Ces règles sont gérées par un moteur de politiques avancé et distribué, capable de réaliser des évaluations contextuelles en temps réel basées sur l'identité, le rôle, l'appareil et le comportement. Tout le trafic est acheminé via des intermédiaires et des tunnels cryptés qui inspectent et sécurisent les données échangées entre l'utilisateur et l'application, empêchant ainsi un accès direct aux ressources du back-end. Parallèlement, une télémétrie et des analyses continues, alimentées par des journaux détaillés, permettent l'analyse du comportement des utilisateurs et des entités (UEBA) ainsi qu'une optimisation dynamique des politiques. Ce système se concrétise par une surveillance continue et une réponse adaptative : tout changement dans le profil de risque, tel qu'une modification de la posture de l'appareil ou un comportement anormal, déclenche une réaction immédiate et automatisée. Cette réponse peut consister à exiger une vérification supplémentaire (authentification en renforcement) ou à révoquer instantanément la session.

Défis opérationnels : là où se cache la complexité

Abordons maintenant les véritables obstacles. En examinant les détails, la gestion des identités fédérées dans des environnements SaaS, sur site et OT met en lumière des limites auxquelles la théorie Zero Trust ne répond pas facilement. Bien que la sécurité repose en théorie sur la définition de règles d'accès structurées (RBAC/ABAC), les impératifs du métier requièrent fluidité, rapidité, collaboration externe avec des partenaires (fédération), autorisations temporaires (gestion des privilèges) et une réponse aux risques en temps réel. Ces exigences concurrentes créent des frictions. Si les règles — si sécurisées soient-elles — deviennent trop dynamiques et complexes à mettre en œuvre, elles ralentissent le travail et les utilisateurs finiront par trouver une solution de contournement. Cela conduit à l’informatique parallèle (Shadow IT) et à des solutions alternatives de productivité qui, en fin de compte, compromettent la sécurité.

En ce qui concerne les environnements hérités, la situation se complique davantage : la micro-segmentation théorique se heurte à des machines virtuelles obsolètes, à du matériel incompatible et à des API non standardisées. Des écarts apparaissent souvent entre l'orchestration déclarée et l'application effective, notamment dans des architectures multi-cloud et hybrides.

Et n'oublions pas la gestion du changement : les personnes restent le facteur de succès le plus critique. Gartner et Forrester le répètent depuis des années : la résistance interne, les habitudes enracinées et les solutions de contournement silencieuses demeurent les véritables obstacles à une montée en puissance efficace d'un modèle ZTNA.

Modèle de maturité : mesurer pleinement le progrès

C'est ici qu'intervient un outil fondamental : le modèle de maturité. Aujourd'hui, la référence la plus reconnue est le Zero Trust Maturity Model (ZTMM) de la CISA, qui s'aligne sur la norme NIST SP 800-207. Il offre un chemin et une échelle permettant aux organisations de comprendre la vue d'ensemble, le parcours à venir et leur niveau actuel sur une échelle de maturité — Traditionnel, Initial, Avancé et Optimal.

Si nous considérons les cinq piliers :

1. Identité : Gestion minutieuse du cycle de vie et des privilèges.
2. Appareils : Évaluation continue de la posture, isolation et conformité.
3. Réseaux : Segmentation, contrôle du trafic est-ouest et inspections détaillées.
4. Applications et charges de travail : Accès contextualisé, contrôle des API et des charges de travail.
5. Données : Classification, politiques axées sur les données et chiffrement en cours d'utilisation.

Aucune entreprise dans le monde n'excelle de manière homogène dans tous les piliers à chaque niveau de maturité. La feuille de route Zero Trust est un parcours, et chaque nouvel audit peut modifier les priorités opérationnelles.

Évolution et opportunités

L'avenir est clair. Dans un futur proche, nous verrons :

1. Des politiques adaptatives basées sur l'IA capables de se mettre à jour en temps réel en fonction des comportements anormaux détectés dans les charges de travail ou parmi les utilisateurs, grâce à des références dynamiques.
2. Des tableaux de bord et des métriques pilotés par les données, intégrés aux modèles de maturité, qui fourniront non seulement des décisions techniques mais également des orientations en termes d'investissements, d'audit et de gestion des risques directement aux comités de gouvernance.
3. Une sécurité axée sur les données et le calcul confidentiel, qui étendra le modèle Zero Trust aux données « en usage », et pas seulement au niveau du réseau et de l'identité, en tirant parti des TEE et d'un chiffrement avancé.
4. Une intégration plus étroite entre la micro-segmentation du réseau et les politiques ZTNA, réduisant davantage la surface vulnérable et la possibilité de déplacements latéraux.
5. Une sécurité adaptative pour soutenir les environnements distribués, les utilisateurs mobiles et l'IoT, offrant une réponse efficace face aux limitations des VPN traditionnels et à la segmentation statique.

Le parcours Zero Trust ne peut être improvisé, ni acheté « sur étagère ». Il nécessite une conception, une mesure et un réalignement constants à l'aide de modèles de maturité, de cadres structurés et d'un modèle de gouvernance adapté aux données réelles et aux risques opérationnels. Intégrez la discussion sur la résilience et la maturité Zero Trust dans vos comités de pilotage IT, réunions d'audit et échanges interservices. Aujourd'hui, votre feuille de route peut être le véritable moteur de l'innovation et de la continuité des activités.

Raffaele Sarno

Responsable Avant-Vente, Département des Opérations de Sécurité NEVERHACK, Italie