Aller au contenu
Sécurité medium

Zero Trust : ne jamais faire confiance, toujours vérifier

11 min de lecture

Le Zero Trust est une manière de sécuriser un système d'information qui tient en une phrase : ne jamais faire confiance, toujours vérifier. Concrètement, personne n'obtient un accès simplement parce qu'il se trouve déjà « à l'intérieur » du réseau de l'entreprise. Chaque connexion, chaque demande d'accès à un fichier ou à une application est vérifiée comme si elle venait d'un inconnu. Cette page explique, sans prérequis technique, d'où vient cette idée, pourquoi l'ancien modèle du réseau interne « sûr » ne tient plus, et ce que le Zero Trust change en pratique. Elle s'adresse à toute personne qui découvre la sécurité informatique.

Le Zero Trust est aujourd'hui la référence des grandes organisations et des services cloud (des serveurs et logiciels loués à distance plutôt qu'installés dans ses propres locaux). En lisant cette page, vous saurez :

  • Définir le Zero Trust et le distinguer de l'ancien modèle dit périmétrique (protéger une frontière unique autour du réseau).
  • Reconnaître ses trois principes clés : vérifier explicitement, limiter les droits, supposer la brèche.
  • Comprendre pourquoi le télétravail et le cloud ont rendu la frontière du réseau obsolète.
  • Suivre un scénario concret d'attaque bloquée par le Zero Trust.
  • Éviter le piège le plus fréquent : croire que le Zero Trust s'achète comme un logiciel.
  • Relier ce concept au moindre privilège, à la défense en profondeur et au modèle de menaces SOCLE, qui décrit contre quoi on se protège.

Le Zero Trust (« confiance zéro » en anglais) est un modèle de sécurité qui part d'un principe simple : la position d'une personne ou d'une machine sur le réseau ne prouve rien. Être connecté au réseau de l'entreprise ne suffit pas pour accéder aux données. Chaque accès doit être justifié par une identité vérifiée (qui êtes-vous ?) et par un contexte acceptable (depuis quel appareil, à quelle heure, pour faire quoi ?).

Zero Trust : ne jamais faire confiance et vérifier chaque accès, par opposition au modèle périmétrique

Pour comprendre ce que le Zero Trust remplace, imaginez un château fort. Le modèle de sécurité classique, dit périmétrique, construit une seule grande muraille autour du réseau : le pare-feu (un filtre qui contrôle ce qui entre et sort). Tout ce qui a franchi la muraille est considéré comme digne de confiance. Une fois dans la cour du château, on circule librement. Ce raisonnement paraît logique, mais il a une faiblesse majeure : si un intrus franchit la muraille une seule fois, plus rien ne l'arrête à l'intérieur.

Le Zero Trust abandonne cette confiance automatique. Reprenons une analogie plus moderne : l'aéroport. Un passager qui a passé le premier contrôle de sécurité n'est pas dispensé des suivants. Il remontre sa carte d'embarquement à la porte, son passeport au contrôle des frontières, son billet à l'entrée de l'avion. Chaque étape revérifie son droit de passer. Le Zero Trust fonctionne ainsi : avoir passé un premier contrôle ne donne jamais un laissez-passer permanent pour tout le reste.

Le Zero Trust repose sur trois idées qui se complètent. Les comprendre suffit à saisir tout le modèle, sans entrer dans la technique.

Le premier principe est la vérification explicite. Chaque demande d'accès est contrôlée, à chaque fois, jamais « une fois pour toutes ». On vérifie deux choses : l'identité (prouver qui l'on est, souvent avec un mot de passe plus un code envoyé sur le téléphone, ce qu'on appelle l'authentification à plusieurs facteurs) et le contexte (l'appareil est-il à jour ? la demande vient-elle d'un lieu habituel ?). Un accès accordé le matin peut être redemandé l'après-midi si le contexte a changé.

Le deuxième principe est le moindre privilège. Chaque personne, chaque programme ne reçoit que les droits strictement nécessaires à sa tâche, et rien de plus. Un comptable accède aux fichiers de comptabilité, pas au code source du produit. L'idée est de réduire les dégâts possibles : si un compte est piraté, l'attaquant n'hérite que de ces droits limités, pas des clés de tout le système. Ce principe a sa propre page, le moindre privilège.

Le troisième principe est de supposer la brèche. On conçoit le système comme si un attaquant était déjà présent à l'intérieur. En pratique, cela signifie chiffrer tous les échanges même internes (les rendre illisibles sans la bonne clé), journaliser les accès (garder une trace de qui a fait quoi) et surveiller les comportements anormaux. Plutôt que d'espérer qu'aucun intrus n'entrera, on se prépare à le détecter vite et à limiter sa progression.

Le modèle du château fort a fonctionné tant que tout le monde travaillait au bureau, sur des machines de l'entreprise, connectées au réseau interne. Ce n'est plus le cas, et trois évolutions ont fait tomber la muraille.

D'abord le télétravail. Les salariés se connectent depuis chez eux, depuis un train, depuis un café. La « frontière » du réseau n'existe plus vraiment : les utilisateurs sont partout. Protéger un périmètre n'a plus de sens quand les personnes à protéger sont dispersées.

Ensuite le cloud. Les applications et les données ne vivent plus uniquement dans une salle serveur de l'entreprise, mais chez des fournisseurs externes accessibles par Internet. Il n'y a plus une seule muraille à défendre, mais une multitude de services répartis, chacun avec sa propre porte d'entrée.

Enfin, le périmètre ne protège pas contre le mouvement latéral. Ce terme désigne la façon dont un attaquant, une fois entré sur une première machine, se déplace de proche en proche vers d'autres machines et d'autres données. Dans un château fort sans contrôle interne, cette progression est facile. Le Zero Trust la bloque, car chaque nouvelle porte redemande une preuve que l'attaquant ne possède pas. Pour aller plus loin sur la manière dont les attaquants opèrent, la page modèle de menaces SOCLE décrit les grandes familles d'attaques.

Prenons une situation réaliste. Une employée reçoit un courriel de hameçonnage (un message piégé qui imite un expéditeur de confiance pour la pousser à cliquer). Elle ouvre une pièce jointe, et un programme malveillant s'installe discrètement sur son ordinateur portable. L'attaquant contrôle désormais cette machine.

Dans le modèle périmétrique classique, la partie est presque terminée pour la victime. L'ordinateur est « à l'intérieur » du réseau, donc considéré comme de confiance. L'attaquant explore le réseau, trouve un serveur de fichiers accessible sans mot de passe supplémentaire, copie des données sensibles, puis rebondit vers d'autres serveurs. En quelques heures, une seule machine compromise devient une fuite de données de grande ampleur.

Dans un modèle Zero Trust, le même clic n'a pas les mêmes conséquences. L'ordinateur compromis n'a accès qu'aux quelques applications autorisées à cette employée, et chacune redemande une authentification à plusieurs facteurs que l'attaquant ne peut pas fournir depuis un simple vol de machine. Les échanges entre serveurs sont chiffrés et authentifiés, donc l'attaquant ne peut pas se faire passer pour un service légitime. Enfin, son comportement anormal (des tentatives d'accès inhabituelles) déclenche une alerte, et l'équipe sécurité isole la machine. L'incident reste limité à un poste, au lieu de contaminer toute l'organisation.

Le Zero Trust est un modèle, pas une recette magique, et plusieurs malentendus reviennent souvent. Les connaître évite de dépenser du temps et de l'argent dans la mauvaise direction.

Le piège le plus répandu est de croire que le Zero Trust est un produit à acheter. De nombreux éditeurs vendent des solutions estampillées « Zero Trust », mais aucun logiciel ne rend à lui seul une organisation « Zero Trust ». C'est une façon de concevoir la sécurité, qui se met en place progressivement, application par application. Acheter un outil sans changer sa manière d'accorder les accès ne change rien au fond.

Un deuxième piège est de vouloir tout transformer d'un coup, en un grand projet unique. Le passage au Zero Trust est graduel : on commence par centraliser les identités, on ajoute l'authentification à plusieurs facteurs, puis on resserre les droits, service après service. Vouloir tout basculer d'un seul coup mène à des blocages et à l'abandon.

Un troisième piège est d'oublier l'expérience des utilisateurs. Si on demande un code de vérification cinquante fois par jour, les gens cherchent des contournements qui affaiblissent la sécurité. Le bon Zero Trust vérifie souvent, mais intelligemment : il ne redemande une preuve que lorsque le contexte l'exige vraiment. Enfin, il ne faut pas se limiter aux humains : les programmes qui se parlent entre eux doivent aussi prouver leur identité, sinon une faille subsiste.

  1. La position réseau ne vaut pas confiance. Être « à l'intérieur » du réseau ne donne aucun droit ; un intrus interne doit être bloqué comme un intrus externe.

  2. Vérifier explicitement, à chaque accès. L'identité et le contexte sont contrôlés à chaque demande, pas seulement à la première connexion.

  3. Appliquer le moindre privilège. Chaque personne et chaque programme n'obtient que les droits nécessaires, ce qui limite les dégâts en cas de compromission.

  4. Supposer la brèche. On chiffre, on journalise et on surveille comme si un attaquant était déjà présent, pour le détecter vite et freiner sa progression.

  5. Le Zero Trust n'est pas un produit. C'est un modèle qui se déploie progressivement, pas un logiciel qui s'installe en une fois.

  6. L'identité devient le nouveau périmètre. La décision d'autoriser repose sur « qui » et « dans quel contexte », plus sur « où » sur le réseau.

  7. Le Zero Trust répond à des menaces précises. Il bloque notamment le mouvement latéral et le vol de session ; pour cartographier ces risques, voyez le modèle de menaces SOCLE.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn