Une architecture Zero Trust permet d'économiser en moyenne 1,76 million de dollars par violation de données, selon le rapport Cost of a Data Breach 2025 d'IBM. Pourtant, Gartner estime que d'ici 2026, seules 10 % des grandes entreprises disposeront d'un programme Zero Trust mature et mesurable. Cet écart entre la valeur démontrée du modèle et son adoption réelle constitue probablement la plus grande opportunité de cybersécurité inexploitée pour une organisation aujourd'hui. La bonne nouvelle, c'est que Zero Trust n'est ni un produit que l'on achète ni un interrupteur que l'on actionne : c'est une stratégie que l'on déploie par phases, et toute organisation peut commencer dès lundi prochain avec les actifs qu'elle possède déjà.
Dans ce guide pratique, nous expliquons ce qu'est réellement Zero Trust (au-delà du discours marketing des éditeurs), en quoi il se distingue du VPN traditionnel, ce que recouvrent les piliers NIST et CISA, le rôle de ZTNA dans l'accès moderne aux applications et, surtout, comment mettre le modèle en production sans paralyser le métier ni réécrire toute l'infrastructure.
Qu'est-ce que Zero Trust et en quoi se distingue-t-il du VPN traditionnel ?
Zero Trust (« confiance zéro ») est un modèle de sécurité fondé sur un constat inconfortable mais réaliste : aucun utilisateur, aucun équipement ni aucune connexion ne doit faire l'objet d'une confiance implicite, qu'il se trouve à l'intérieur ou à l'extérieur du périmètre d'entreprise. Plutôt que de supposer que tout ce qui est « dans le réseau » est sûr, chaque demande d'accès est explicitement vérifiée, autorisée pour une ressource précise et réévaluée en continu.
Le contraste avec le VPN traditionnel est saisissant. Le VPN a été conçu pour répondre à un autre problème : connecter un équipement distant au réseau d'entreprise comme s'il se trouvait physiquement dans les locaux. Le problème est justement ce « comme s'il était à l'intérieur » : une fois le tunnel établi, l'équipement obtient un accès étendu à tout un segment réseau. Si les identifiants sont compromis ou si le poste est infecté, l'attaquant hérite de cette même confiance et peut se déplacer latéralement dans le réseau avec une relative liberté.
Zero Trust inverse la logique. Le concept d'« être à l'intérieur » n'existe plus. L'accès est accordé ressource par ressource, session par session, en fonction de l'identité vérifiée, de l'état de l'équipement et du contexte de la requête.
| Dimension | VPN traditionnel | Zero Trust / ZTNA |
|---|---|---|
| Modèle de confiance | Implicite après l'authentification initiale | Ne jamais faire confiance, toujours vérifier |
| Périmètre d'accès | Segment ou réseau entier | Une application ou ressource précise |
| Granularité | Par réseau | Par session et par ressource |
| Déplacement latéral | Possible une fois dans le tunnel | Bloqué par conception |
| Contexte évalué | Identifiants au moment de la connexion | Identité, équipement et contexte, en continu |
| Visibilité des applications | Ressources exposées sur le réseau interne | Applications invisibles jusqu'à l'autorisation |
La différence concrète est considérable pour une PME ou une entreprise de taille intermédiaire : avec Zero Trust, des identifiants volés ne sont plus le passe-partout du royaume. Ils ouvrent, au mieux, une seule porte — et uniquement tant que le contexte demeure légitime.
Les principes de NIST 800-207 et les 5 piliers du modèle CISA
Parler sérieusement de Zero Trust implique de s'appuyer sur des référentiels reconnus, et non sur des brochures commerciales. Les deux documents de référence sont la publication NIST SP 800-207 (Zero Trust Architecture) et le Zero Trust Maturity Model 2.0 de la CISA.
Les sept principes de NIST SP 800-207
Le modèle Zero Trust repose sur sept principes fondamentaux définis dans NIST SP 800-207. Parmi eux, on retiendra notamment que toute communication est sécurisée indépendamment de l'emplacement réseau, que l'accès à chaque ressource est accordé par session individuelle, et que l'authentification et l'autorisation sont dynamiques et strictement appliquées avant chaque accès. Dans la pratique, ces principes se traduisent par plusieurs règles opérationnelles :
- Toutes les sources de données et tous les services de calcul sont traités comme des ressources à protéger.
- Toute communication est sécurisée quelle que soit sa localisation réseau (à l'intérieur ou à l'extérieur du périmètre).
- L'accès aux ressources individuelles est accordé par session, non de manière permanente.
- L'accès est déterminé par des politiques dynamiques intégrant l'état observable de l'identité, de l'application et de l'actif demandeur.
- L'organisation surveille et mesure l'intégrité et la posture de sécurité de l'ensemble de ses actifs.
- L'authentification et l'autorisation sont dynamiques et appliquées strictement avant tout accès.
- L'organisation collecte le maximum d'informations sur l'état du réseau et les utilise pour améliorer sa posture de sécurité.
L'intérêt de NIST 800-207 est qu'il n'impose aucune technologie spécifique : il décrit des principes et des composants logiques (le moteur de politiques, l'administrateur de politiques et le point d'application des politiques) que chaque organisation met en œuvre avec les outils qu'elle possède déjà ou choisit d'acquérir.
Les cinq piliers du modèle de maturité CISA
Si NIST fournit les principes, la CISA fournit la feuille de route. Le Zero Trust Maturity Model 2.0 de la CISA structure le modèle en cinq piliers assortis de trois capacités transversales qui les traversent tous :
- Identité — vérifier de manière robuste qui accède (MFA résistant au phishing, gestion du cycle de vie des identités).
- Équipements — connaître et évaluer l'état de sécurité de chaque endpoint avant d'accorder l'accès.
- Réseaux — segmenter, chiffrer le trafic et réduire la surface exposée.
- Applications et charges de travail — protéger les applications et les workloads, y compris la chaîne d'approvisionnement logicielle.
- Données — classifier, étiqueter, chiffrer et contrôler l'accès à la donnée, qui est l'actif final à protéger.
Les trois capacités transversales sont la Visibilité et l'Analytique, l'Automatisation et l'Orchestration et la Gouvernance. La CISA définit par ailleurs quatre niveaux de maturité par pilier — Traditionnel, Initial, Avancé et Optimal — ce qui permet à une organisation de s'auto-évaluer honnêtement et de prioriser ses investissements là où ils sont le plus nécessaires, plutôt que d'acheter l'outil à la mode.
Cette approche par piliers et niveaux est précisément ce qui rend Zero Trust abordable : il n'est pas nécessaire d'atteindre le niveau « Optimal » sur les cinq piliers simultanément. Progresser d'un cran sur Identité et Équipements suffit déjà à réduire drastiquement les risques.
ZTNA : l'accès aux applications sans périmètre réseau
Si Zero Trust est la stratégie, ZTNA (Zero Trust Network Access) est la technologie qui concrétise le principe d'accès pour le cas d'usage le plus courant et le plus critique : l'accès distant aux applications.
ZTNA crée un accès un-à-un entre un utilisateur vérifié et une application précise, sans jamais placer l'utilisateur « dans le réseau ». Les applications restent invisibles pour qui n'est pas explicitement autorisé : aucune plage d'adresses IP à scanner, aucun port à sonder, aucune surface réseau à attaquer. Le broker ZTNA évalue l'identité, la posture de l'équipement et le contexte avant d'établir chaque connexion, puis réévalue ces éléments pendant la session.
C'est pourquoi ZTNA remplace le VPN à un rythme accéléré. Gartner prévoit que jusqu'à 70 % des nouveaux déploiements d'accès distant seront basés sur ZTNA plutôt que sur la technologie VPN en 2025, contre moins de 10 % fin 2021. Le marché confirme cette tendance : selon MarketsandMarkets, le marché ZTNA devrait passer de 1,34 milliard de dollars en 2025 à 4,18 milliards en 2030, avec un taux de croissance annuel composé de 25,5 %.
Quand ZTNA s'impose face au VPN
- Travail hybride et télétravail à grande échelle — lorsqu'une part significative des collaborateurs accède aux applications métier depuis l'extérieur du bureau.
- Accès tiers — fournisseurs, sous-traitants ou partenaires qui ont besoin d'une application précise, et non de tout le réseau.
- Applications critiques ou réglementées — où le principe de moindre privilège n'est pas une option mais une exigence réglementaire.
- Réduction de la surface d'attaque — lorsque l'on souhaite cesser d'exposer des serveurs et des services sur Internet.
Un avertissement s'impose : ZTNA n'est pas Zero Trust à lui seul. C'est une brique — généralement la première et la plus rentable — d'une architecture plus large qui englobe les cinq piliers de la CISA. Acquérir une solution ZTNA et déclarer « nous avons Zero Trust » est l'une des erreurs les plus fréquentes. Il convient donc d'inscrire ZTNA dans une stratégie globale de services de cybersécurité couvrant également l'identité, les équipements, les données et la supervision.
Comment implémenter Zero Trust par phases en entreprise
La vraie question n'est pas « qu'est-ce que Zero Trust », mais « par où commencer sans tout casser ». La réponse est un déploiement incrémental, aligné sur les niveaux de maturité de la CISA, qui crée de la valeur à chaque phase. Nous proposons ci-dessous un parcours en cinq phases conçu pour les moyennes et grandes entreprises.
Phase 0 — Découverte et état des lieux
On ne peut pas protéger ce que l'on ne connaît pas. La première phase consiste en un inventaire rigoureux des identités, des équipements, des applications, des flux de données et des dépendances. L'objectif est de répondre à trois questions : qui accède à quoi, depuis où et pourquoi. Cette phase révèle souvent des accès hérités, des comptes orphelins et des applications exposées dont personne ne se souvenait. C'est également le moment de s'auto-évaluer par rapport aux quatre niveaux de maturité de la CISA pour chaque pilier.
Phase 1 — L'identité comme nouveau périmètre
L'identité est le pilier offrant le meilleur rapport entre effort et réduction des risques. Les actions essentielles sont :
- Déployer une MFA résistante au phishing pour tous les accès (idéalement des passkeys ou des clés FIDO2).
- Centraliser la gestion des identités et appliquer le principe de moindre privilège.
- Mettre en place un accès conditionnel basé sur les risques (localisation, équipement, comportement).
- Revoir et supprimer les accès permanents non nécessaires.
Phase 2 — Équipements et accès aux applications (ZTNA)
Une fois l'identité maîtrisée, la posture de l'équipement est intégrée à la décision d'accès et ZTNA est déployé pour remplacer progressivement le VPN. C'est à ce stade que la plupart des organisations vivent leur premier « moment Zero Trust » tangible : l'accès distant cesse d'être un tunnel réseau pour devenir des connexions un-à-un vers des applications spécifiques. Il est recommandé de commencer par un groupe pilote et une ou deux applications, et non par toute l'organisation en une seule fois.
Phase 3 — Microsegmentation et protection des données
Une fois l'accès sécurisé, le travail se tourne vers l'intérieur : segmenter le réseau pour empêcher les déplacements latéraux, chiffrer le trafic est-ouest et, au niveau du pilier données, classifier et étiqueter l'information afin d'appliquer des contrôles d'accès proportionnels à sa sensibilité. Cette phase est celle qui s'articule le mieux avec les référentiels de gestion tels qu'ISO 27001, où le contrôle des accès et la classification de l'information sont des exigences formelles. Aligner le projet Zero Trust avec une certification ISO 27001 évite de dupliquer les efforts.
Phase 4 — Visibilité, automatisation et amélioration continue
Zero Trust n'est pas un projet qui se termine ; c'est une posture qui se maintient. Les trois capacités transversales de la CISA deviennent centrales : télémétrie centralisée, détection et réponse, et automatisation des décisions de politique. Pour de nombreuses organisations, maintenir cette phase en 24x7 en interne n'est pas viable. Un service SOC et MDR managé apporte alors la supervision continue et la réponse aux incidents que le modèle exige, sans avoir à constituer une équipe de sécurité dédiée.
Règle pratique : chaque phase doit produire une réduction des risques mesurable de manière autonome. Si une phase ne peut pas se justifier indépendamment, c'est qu'elle est mal dimensionnée.
Récapitulatif du parcours par phases
| Phase | Objectif | Pilier CISA dominant | Résultat attendu |
|---|---|---|---|
| 0. Découverte | Inventaire et état des lieux | Visibilité | Cartographie des accès et auto-évaluation de la maturité |
| 1. Identité | MFA et moindre privilège | Identité | Des identifiants volés ne sont plus un passe-partout |
| 2. Équipements et ZTNA | Posture + accès aux applications | Équipements / Applications | Remplacement progressif du VPN |
| 3. Segmentation et données | Microsegmentation et chiffrement | Réseaux / Données | Déplacements latéraux bloqués |
| 4. Opération continue | Télémétrie et réponse | Automatisation / Gouvernance | Posture soutenue et mesurable |
Zero Trust et conformité réglementaire : NIS2, ENS et RGPD
Pour une organisation européenne, Zero Trust n'est pas seulement une bonne pratique technique : c'est de plus en plus un levier direct de conformité réglementaire. Le contrôle granulaire des accès, le moindre privilège et la vérification continue correspondent exactement à ce qu'exigent les cadres réglementaires en vigueur et à venir.
Le contexte réglementaire européen est en pleine évolution. NIS2 est progressivement transposée dans les États membres, et la pression est réelle : la Commission européenne a adressé des avis motivés à plusieurs États pour retard de transposition. Pour les entreprises concernées — un périmètre que NIS2 élargit considérablement par rapport à l'ancienne directive NIS —, cela signifie que les obligations de sécurité vont s'imposer, et mieux vaut les anticiper.
Zero Trust s'inscrit naturellement dans ce contexte. Soutenu par le NIST et par l'ENISA (l'agence européenne pour la cybersécurité), le modèle se positionne comme standard pour aligner le contrôle des accès et le moindre privilège avec les exigences de NIS2 et de DORA dans le secteur financier, en partant précisément du principe de ne faire confiance à aucun utilisateur ou équipement, qu'il soit à l'intérieur ou à l'extérieur du périmètre.
Comment Zero Trust soutient chaque référentiel
- NIS2 — impose des mesures de gestion des risques, de contrôle des accès et de gouvernance de la sécurité ; les piliers Identité, Équipements et Gouvernance de la CISA y répondent directement.
- ISO 27001 — le moindre privilège et la segmentation sont des contrôles centraux qu'Zero Trust implémente par conception, facilitant la certification.
- RGPD — la protection de la donnée (classification, chiffrement et accès sur la base du besoin d'en connaître) réduit la portée et la gravité d'une éventuelle violation de données personnelles.
- DORA — dans la banque, les assurances et les marchés financiers, la résilience opérationnelle numérique repose sur la vérification continue et la supervision que Zero Trust formalise.
Le message essentiel est que investir dans Zero Trust n'est pas une dépense de conformité « en silo » : c'est construire une fois une architecture qui satisfait simultanément plusieurs référentiels. Cette efficacité distingue précisément les organisations qui abordent la sécurité de manière stratégique de celles qui réagissent audit après audit.
Conclusion : commencer petit, mesurer et progresser
Zero Trust n'est ni un produit ni une destination, mais une façon disciplinée d'accorder les accès : jamais par défaut, toujours vérifié, ressource par ressource. Les données plaident en faveur de cette démarche — 1,76 million de dollars d'économies en moyenne par violation selon IBM — et le contexte réglementaire, avec NIS2 en cours de transposition, en fait une priorité incontournable. La clé est de ne pas tout vouloir mettre en œuvre d'un coup : commencer par l'identité, remplacer le VPN par ZTNA, segmenter, protéger la donnée et maintenir l'opération avec une visibilité continue. Chaque phase réduit les risques de manière mesurable et s'appuie sur la précédente.
Si votre organisation souhaite franchir ce premier pas de manière structurée, Technova Partners conçoit des feuilles de route Zero Trust adaptées au niveau de maturité réel de chaque entreprise. Vous pouvez commencer par télécharger notre checklist de préparation à la certification ISO 27001, un excellent point de départ pour auditer vos contrôles d'accès et de gouvernance, ou contacter directement notre équipe cybersécurité pour évaluer votre situation et prioriser les phases qui réduisent le plus vos risques.
