Zero Trust

Définition

Zero Trust est un framework de sécurité qui suppose qu’aucun utilisateur, appareil ou trafic réseau ne doit être approuvé par défaut — que ce soit à l’intérieur ou à l’extérieur du périmètre du réseau. Chaque demande d’accès est vérifiée, authentifiée et autorisée avant de conceder l’accès.

Zero Trust est résumé par le principe : « Ne jamais faire confiance, toujours vérifier. » Il a été popularisé par Forrester (2010) puis adopté par NIST (SP 800-207) et le gouvernement américain.

Zero Trust vs sécurité traditionnelle

|| Aspect | Traditionnelle (basée sur le périmètre) | Zero Trust | |——–|——————————|————| | Modèle de confiance | Confiance à l’intérieur, méfiance à l’extérieur | Aucune confiance implicite, partout | | Limite réseau | Périmètre de firewall | Pas de limite fixe (cloud, distant) | | Contrôle d’accès | Réseau (plages IP) | Identité (contexte utilisateur/appareil) | | Mouvement latéral | Limité par la segmentation réseau | Micro-segmentation pour le prévenir | | Hypothèse de breach | Le périmètre tient | La breach est inévitable | | Exemple | VPN corporate + firewall | SASE, ZTNA, proxies aware d’identité |

Principes Zero Trust (NIST SP 800-207)

1. Toutes les sources de données et services sont des ressources
2. L’accès est établi avant la connexion (vérifier l’identité en premier)
3. L’accès est concedé en privilège minimum (minimum requis)
4. Les décisions d’accès sont dynamiques (contexte-aware : temps, lieu, état de l’appareil)
5. Supposer la breach (minimiser le blast radius, vérifier explicitement)

Architecture Zero Trust (NIST)

Policy Engine
    │
    ├── Identity & Access Management (IAM)
    ├── Vérification de l'état de l'appareil
    ├── Contexte (temps, lieu, score de risque)
    └── Autorisation (privilège minimum)
            │
            ▼
    Décision de confiance (allow/deny/requérir MFA)
            │
            ▼
    Point d'application (proxy, SDP, firewall)
            │
            ▼
    Ressource (app, database, service)

Composants Zero Trust

|| Composant | Objectif | |———–|———| | Identity Provider (IdP) | Vérifier l’identité utilisateur (OAuth, SAML, OIDC) | | MFA (Multi-Factor Auth) | Requérir plusieurs facteurs de vérification | | Device Posture Check | Vérifier que l’appareil est conforme (patché, chiffré) | | Micro-segmentation | Segmenter le réseau pour limiter le mouvement latéral | | SDP (Software-Defined Perimeter) | Masquer les services jusqu’à l’authentification | | ZTNA (Zero Trust Network Access) | Remplacer le VPN par un accès au niveau applicatif | | SIEM/SOAR | Surveiller et répondre aux menaces | | PAM (Privileged Access Mgmt) | Contrôler et surveiller l’accès privilégié |

Zero Trust vs VPN

|| Fonctionnalité | VPN | ZTNA | |———|—–|——| | Portée d’accès | Réseau (subnet entier) | Applicatif (apps spécifiques) | | Modèle de confiance | Confiance après connexion VPN | Vérifier chaque demande | | Mouvement latéral | Possible après VPN | Empêché par l’accès au niveau app | | Expérience utilisateur | Se connecter au réseau, puis naviguer | Accès direct à l’app, pas de login réseau | | Sécurité | Plus faible (accès large) | Plus forte (privilège minimum) | | Exemple | Cisco AnyConnect, OpenVPN | Zscaler, Cloudflare Access, Netskope |

Étapes d’implémentation Zero Trust

1. Inventorier les assets — identifier toutes les ressources, utilisateurs, appareils
2. Cartographier les flux de trafic — comprendre comment les données circulent
3. Architecturer Zero Trust — définir les politiques, l’identité, la segmentation
4. Surveiller et contrôler — implémenter ZTNA, SIEM, MFA
5. Automatiser et intégrer — connecter les composants, automatiser les réponses
6. Former les utilisateurs — formation sur les nouveaux patterns d’accès

Outils Zero Trust

|| Outil | Type | Vendor | |——|——|——–| | Zscaler Internet Access | ZTNA/SASE | Zscaler | | Cloudflare Access | ZTNA | Cloudflare | | Netskope | SASE/ZTNA | Netskope | | Cisco Secure | ZTNA | Cisco | | BeyondCorp | ZTNA | Google | | OPA | Application de politiques | CNCF | | Istio | Service mesh (micro-segmentation) | CNCF |

Termes associés

• mTLS — mutual TLS pour l’authentification appareil/service
• IAM — l’identité est le périmètre dans Zero Trust
• MFA — l’auth multi-facteur est au cœur de Zero Trust
• SDP — software-defined perimeter pour Zero Trust
• Waf — surveillance et détection de menaces

Références

• NIST SP 800-207 : https://csrc.nist.gov/pubs/sp/800-207/final
• Zero Trust Architecture (Google BeyondCorp) : https://cloud.google.com/architecture/beyondcorp-zero-trust-architecture
• Forrester Zero Trust : https://www.forrester.com/report/Res:FORR2507