À l’heure des violations massives et des environnements hybrides, la cybersécurité ne peut plus reposer sur la confiance implicite. Le modèle Zero Trust privilégie la micro-segmentation, l’analyse comportementale et une vérification permanente des accès pour garder un temps d’avance. Décryptage…
Avec la montée en puissance des cyberattaques, le mythe de l’entreprise-forteresse a du plomb dans l’aile. Aujourd’hui, les collaborateurs se connectent depuis n’importe quel endroit, les données circulent sur de multiples infrastructures cloud, et les fournisseurs tiers manipulent souvent les mêmes ressources que les équipes internes.
Dans ce paysage mouvant, le modèle Zéro Trust est devenu une évidence et une nécessité incontournable.
Une transition devenue prioritaire
L’idée qui sous tend le Zéro Trust est simple, mais radicale : on ne fait confiance à rien ni à personne, sauf preuve du contraire, et chaque requête, chaque accès et chaque identité est vérifié, contextualisé et justifié, en permanence et en temps réel.
Selon l’étude “the State of Zero Trust Security in the Cloud”, en 2024, 81 % des organisations dans le monde déclaraient avoir déjà commencé à déployer le modèle Zero Trust, les 19 % restantes étant en phase de planification.
Une autre étude intitulée “State of Zero Trust & Encryption “ indique que pour 67 % des responsables interrogés, c’est la peur d’une violation de données qui pousse les dirigeants interrogés à adopter une approche Zero Trust.
Une approche adapté aux évolutions actuelles
Des tendances convergentes expliquent cette accélération de l’adoption : la multiplication des violations de données, la complexification des environnements hybrides, et la pression réglementaire de plus en plus forte autour de la gouvernance des accès et de la protection des données. En effet, la menace ne vient plus seulement de l’extérieur.
Avec la montée en puissance des modèles de travail hybrides et l’explosion du nombre de terminaux connectés, la surface d’attaque des systèmes a été considérablement élargie.
Savoir où l’on en est avant de bâtir
Mais avant de plonger tête baissée dans un projet Zero Trust, il est essentiel d’opérer un arrêt sur image. Où en êtes-vous concrètement ? Quels sont vos points d’appui, vos angles morts ? C’est là qu’intervient le modèle de maturité Zero Trust (ZTMM) proposé notamment par la CISA. Ce dernier structure l’étape d’évaluation autour de cinq grands domaines : les identités, les terminaux, le réseau, les applications et les données.
Chaque entreprise peut ainsi situer sa posture sur une échelle allant du niveau « traditionnel » — celui où la confiance est implicite — jusqu’au stade « optimal », où les règles sont dynamiques, automatisées, et ancrées dans une analyse contextuelle. Ce cadre n’est pas un exercice bureaucratique : il est le point de départ d’une feuille de route réaliste, alignée sur les priorités de sécurité et les contraintes métiers.
Traduire les principes dans l’architecture existante
Ce qui fait la robustesse d’une démarche Zero Trust, ce n’est pas une technologie miracle, mais une cohérence d’ensemble.
Tout commence avec l’identité. L’authentification multifacteur est aujourd’hui une exigence de base. Mais ce n’est plus suffisant. Il est nécessaire de croiser plusieurs signaux : qui est l’utilisateur, sur quel appareil opère-t-il, où se trouve-t-il, comment s’est-il comporté ces derniers jours ? Cette évaluation combinée est essentielle pour prendre une décision d’accès fiable.
L’étape suivante consiste à porter son attention sur la zone des terminaux. Un poste non mis à jour, non chiffré, ou sans antivirus actif ne peut pas être traité de la même façon qu’un appareil conforme. Il faut pouvoir détecter les écarts et isoler les éléments douteux, sans nécessairement couper l’accès brutalement.
Micro-segmenter le réseau et contrôler les applications et les données
Le réseau, quant à lui, doit être segmenté, cloisonné, structuré. Cette micro-segmentation, encore peu mise en œuvre dans de nombreuses structures, est l’un des leviers les plus efficaces pour garantir la résilience de l’infrastructure, en conformité avec les exigences des règlements NIS2 et DORA : elle permet de visualiser en détail les ressources, les contrôles d’accès, les flux réseau, avec une application granulaire de la stratégie de sécurité.
En cas de violation, ces murs invisibles limiteront les mouvements latéraux et empêcheront un assaillant de circuler librement.
Les applications et les données, enfin, doivent bénéficier d’un niveau de contrôle encore plus fin. Ce n’est pas parce qu’un utilisateur s’est authentifié qu’il doit avoir carte blanche. Il faut surveiller ce qu’il fait, détecter des comportements anormaux, ajuster les autorisations en fonction de l’usage. Ici, l’analyse comportementale en temps réel peut faire la différence.
Ne pas tout faire d’un coup, mais faire les bons choix
Néanmoins, le Zero Trust, ce n’est pas une bascule brutale. C’est un changement de posture, qui s’implémente pas à pas. Commencez par sécuriser un périmètre critique — un accès distant, une application sensible, une population à privilèges — puis élargissez progressivement. Ce qui compte, ce n’est pas la vitesse d’exécution, mais la solidité de l’architecture en place. Ce changement implique aussi un volet humain considérable. Les utilisateurs doivent comprendre pourquoi certains accès sont restreints. Les responsables métiers doivent être associés aux décisions. Les équipes IT doivent pouvoir expliquer, tester, ajuster. Sinon, la résistance au changement viendra freiner la stratégie globale. Et ce serait dommage : bien mis en œuvre, le Zero Trust ne ralentit pas les usages. Non seulement il les sécurise mais il contribue même souvent à les simplifier.
Le marché reflète cette tendance : en 2023, les entreprises ont investi plus de 30 milliards de dollars dans des solutions Zero Trust. Ce chiffre pourrait atteindre plus de 130 milliards à l’horizon 2032 (selon l’étude ElectroIQ). Au-delà des budgets et des outils, c’est une autre façon de penser la cybersécurité qui infuse aujourd’hui les esprits. Une approche plus souple, plus fine, plus intelligente mais surtout, bien mieux adaptée aux menaces actuelles.
____________________________
Par Yann Fralo, Regional Sales Director, Akamai
puis