Introduction

Cela fait longtemps que le terme « zero trust » est martelé. Entre SASE, ZTNA ou le renforcement de l’IAM, on le présente comme une magie digne d’une nouvelle ère. Pourtant, sur le terrain, bien des ingénieurs se demandent froidement : « Au final, on ne fait que durcir l’authentification, non ? »

Le zero trust est-il réellement un nouveau paradigme de sécurité, ou seulement un mot à la mode ? Je propose d’en examiner la réalité avec un regard critique.

Le postulat de la sécurité périmétrique

Commençons par revenir sur le modèle de sécurité traditionnel. À l’époque de l’IPv4, les réseaux locaux étaient protégés par des adresses privées et le NAT, ce qui les rendait presque invisibles depuis l’extérieur. Les pare-feu bloquaient les communications « de l’extérieur vers l’intérieur », si bien que l’on considérait que il suffisait de protéger la frontière pour que l’intérieur soit sûr.

Ce modèle s’est avéré extrêmement efficace et a réellement soutenu la sécurité de l’usage d’Internet des années 1990 aux années 2010. « Une fois connecté au VPN, c’est open bar » : voilà le résumé typique de la sécurité périmétrique.

Pourquoi le zero trust s’est imposé

Mais la donne a changé.

L’essor du cloud et du mobile

Les employés utilisent désormais des SaaS depuis leur domicile ou un café, ce qui brouille la frontière traditionnelle.

Menaces internes et propagation latérale des malwares

Dès qu’une intrusion réussit, l’intérieur du LAN — cette « île de confiance » — se retrouve sans défense.

L’influence de Google BeyondCorp

Le programme BeyondCorp de Google a popularisé l’idée d’« abattre la frontière » comme nouvelle voie en matière de sécurité.

Ainsi est apparu l’étendard « zero trust ». Son slogan percutant « ne faites confiance à personne » a fortement résonné jusqu’auprès des dirigeants.

Les idées reçues autour du zero trust

En réalité, ni le NIST ni la CISA ne prônent de « supprimer totalement la frontière ». Ils rappellent que « la transition est progressive et que la plupart des organisations conserveront un hybride entre sécurité périmétrique et zero trust ».

Pourquoi alors cette croyance dans une panacée universelle ?

  • Les vendeurs voulaient présenter leur gamme de produits comme « indispensable pour réaliser le zero trust ».
  • L’exemple de Google a été lu de travers comme « un modèle universel que chacun peut copier ».
  • Après un incident, on a invoqué « le zero trust l’aurait empêché », en faire un mot d’après-coup pour refaire l’histoire.

Autrement dit, le zero trust est cohérent comme pensée, mais sa dimension buzzword l’a gonflé hors de toute mesure.

Le piège du « plus besoin de périmètre » : tant que les clients riches existent, la frontière reste nécessaire

Voici un point crucial. Si tout le monde utilisait des clients légers qui ne conservent aucune donnée locale, le zero trust s’intégrerait parfaitement. Mais dans la vraie vie, les entreprises continuent d’utiliser des clients riches — des PC complets.

Ces clients riches gardent applications et données en local. Une fois la machine compromise, l’attaquant franchit les authentifications légitimes et se propage en interne. Pour freiner ce mouvement latéral, on s’appuie toujours sur des contrôles de type périmétrique comme les pare-feu ou la segmentation.

En clair, assimiler « zero trust » à « plus aucun périmètre » est une erreur. La vraie question de conception consiste à déterminer quelle épaisseur optimale donner à votre frontière.

Alors, qu’est-ce que le zero trust au juste ?

On peut désormais le résumer simplement.

  • L’image fantasmée « Une nouvelle technologie magique » « Une révolution qui supprime tout périmètre » « Une solution universelle »

  • La réalité Cesser de croire que « parce que l’on est à l’intérieur du LAN, on est automatiquement en sécurité » Combiner authentification, autorisation, contrôle des terminaux et surveillance des journaux pour déployer une exploitation de sécurité qui bannit toute confiance implicite

Les briques techniques ne sont pas nouvelles.

  • MFA (authentification à facteurs multiples)
  • Fédération d’identité via SAML ou OAuth
  • MDM (gestion des terminaux mobiles)
  • EDR (détection et réponse sur les endpoints)
  • CASB (contrôle d’accès aux services cloud)
  • SASE (plateforme intégrée réseau + sécurité dans le cloud)

Tout existait déjà : le zero trust se contente de regrouper ces éléments sous une bannière commune.

Conclusion : la vraie valeur du zero trust

Le zero trust n’est-il qu’un buzzword ? Une technologie ? La réponse est : « c’est un buzzword qui empaquette une philosophie, mais il a de la valeur parce qu’il remet en question les présupposés ».

À la question « Qu’est-ce que le zero trust ? », j’aimerais répondre ainsi :

Abandonner l’idée que l’intérieur d’une sécurité périmétrique (par exemple un LAN) est automatiquement sûr, et implémenter une exploitation de sécurité qui assemble ces briques pour supprimer la confiance implicite. Parce que sinon, la réalité ne tient pas.

Ce n’est ni une technologie magique ni une nouvelle famille de produits. Mais si l’on retire les fictions exagérées, la « philosophie de conception » qui reste vaut la peine d’être considérée.

FAQ (Questions fréquentes)

Q : Quelle est la différence entre zero trust et VPN ? A : Le VPN est « la clé qui ouvre la frontière » et, une fois à l’intérieur, tout est considéré comme fiable. Le zero trust continue d’authentifier et de surveiller même après l’entrée.

Q : Le zero trust rend-il les pare-feu obsolètes ? A : Non. Pour empêcher l’infection des terminaux (notamment les clients riches) et leur propagation, des contrôles de type périmétrique restent essentiels.

Q : Les PME peuvent-elles adopter le zero trust ? A : Oui, progressivement. On peut commencer par introduire le MFA ou renforcer la surveillance des journaux.

Q : Le zero trust est-il une technologie nouvelle ? A : Les technologies ne sont pas nouvelles. C’est une redéfinition qui associe des briques existantes dans une philosophie.

Liens utiles