Skip to content
Glossaire

Zero Trust

Le Zero Trust est un modèle de sécurité informatique qui part du principe qu'aucun utilisateur, appareil ou réseau ne mérite une confiance implicite — même à l'intérieur du périmètre de l'entreprise. Chaque demande d'accès doit être vérifiée, autorisée et chiffrée avant d'être accordée. Le concept a été formalisé en 2010 par l'analyste John Kindervag chez Forrester Research.

12 min de lecture Thomas Ferreira

Comment fonctionne le Zero Trust

Origines : de Forrester à Google BeyondCorp

L’expression “Zero Trust” a été formulée en 2010 par John Kindervag, analyste chez Forrester Research. Sa thèse : le modèle de sécurité traditionnel — construire un périmètre solide autour du réseau et faire confiance à tout ce qui se trouve à l’intérieur — est défaillant. Les menaces ne viennent pas uniquement de l’extérieur. Un employé négligent, un poste compromis par du phishing, un prestataire avec un accès trop large : le danger est déjà à l’intérieur.

En 2014, Google a mis en pratique cette vision avec BeyondCorp, un projet interne né après l’opération Aurora — une attaque attribuée à des acteurs étatiques qui avait pénétré le réseau interne de Google en 2009. Avec BeyondCorp, Google a supprimé la notion de réseau de confiance : les employés accèdent aux applications internes via internet, exactement comme un utilisateur externe. Chaque requête est évaluée en fonction de l’identité de l’utilisateur et de l’état de l’appareil. Le VPN traditionnel n’est plus nécessaire.

En 2020, le NIST a publié le document SP 800-207 “Zero Trust Architecture”, qui formalise les principes et les architectures de référence. Ce document est devenu la référence mondiale pour les implémentations Zero Trust, y compris pour l’ANSSI qui recommande l’approche dans ses guides de sécurisation.

Les trois principes

1. Ne jamais faire confiance, toujours vérifier (Never Trust, Always Verify)

Dans le modèle périmétrique classique, un utilisateur connecté au réseau de l’entreprise — via un câble Ethernet ou un VPN — est considéré comme légitime. Le Zero Trust renverse cette logique : chaque demande d’accès est traitée comme si elle venait d’un réseau hostile. L’utilisateur doit prouver son identité, l’appareil doit être conforme, et le contexte (localisation, heure, comportement) est analysé avant d’autoriser l’accès.

2. Le moindre privilège (Least Privilege)

Chaque utilisateur ne reçoit que les droits strictement nécessaires à son travail. Le comptable accède au logiciel de comptabilité, pas aux serveurs de développement. Le stagiaire en marketing ne voit pas les dossiers RH. Et ces droits sont révisés régulièrement, pas accordés une fois pour toutes à l’embauche.

3. Supposer la compromission (Assume Breach)

L’architecture est conçue en partant du principe qu’un attaquant est déjà dans le réseau. Conséquence : le réseau est segmenté pour qu’une compromission d’un poste ou d’un compte ne donne pas accès à l’ensemble du système d’information. Les mouvements latéraux — la technique par laquelle un attaquant passe d’une machine compromisée à d’autres machines du réseau — sont détectés et bloqués.

La différence avec le modèle périmétrique

Le modèle périmétrique fonctionne comme un château médiéval : des murailles épaisses protègent l’intérieur, et toute personne qui franchit les portes (le VPN, le pare-feu) est considérée comme de confiance. Le Zero Trust fonctionne comme un immeuble de bureaux moderne : chaque porte a un badge, chaque étage a son propre contrôle d’accès, et le fait d’être entré dans le hall ne donne pas accès au coffre-fort.

Pourquoi le modèle périmétrique ne suffit plus

Le périmètre a disparu

Le modèle périmétrique suppose que les ressources de l’entreprise se trouvent à l’intérieur d’un réseau physique protégé. Cette hypothèse a volé en éclats.

Le travail à distance. Depuis 2020, une part significative des employés travaille régulièrement depuis leur domicile, un espace de coworking ou un hôtel. Ils accèdent aux mêmes fichiers et applications que depuis le bureau, mais leur connexion passe par leur box internet personnelle ou un réseau Wi-Fi public. Le périmètre ne les couvre plus.

Le cloud. Les données de l’entreprise ne sont plus sur un serveur dans une salle informatique. Elles sont sur Microsoft 365, Google Workspace, Salesforce, Dropbox, Notion. L’email, les fichiers partagés, le CRM, la comptabilité : tout est accessible par navigateur, depuis n’importe où. Le pare-feu de l’entreprise ne protège pas ces accès.

Le BYOD. De plus en plus d’employés — en particulier dans les PME — utilisent leur smartphone personnel pour consulter leurs emails professionnels, valider des opérations ou accéder à des fichiers partagés. Ces appareils ne sont pas gérés par le service informatique. Leur niveau de sécurité est inconnu.

Les VPN ne sont pas la solution

Beaucoup d’entreprises ont répondu au télétravail en déployant un VPN. Le problème : un VPN étend le périmètre à l’appareil distant. Une fois connecté, l’utilisateur accède au réseau comme s’il était au bureau. Si son poste est compromis — par un malware téléchargé via un email de phishing — l’attaquant hérite de son accès VPN et peut se déplacer librement dans le réseau.

Les VPN concentrent aussi les risques : une vulnérabilité dans le serveur VPN ouvre une porte vers tout le réseau interne. Les exploits sur Fortinet, Pulse Secure et Citrix ont montré à quel point cette surface d’attaque est ciblée. En 2023, l’ANSSI a publié un avis concernant des vulnérabilités activement exploitées sur des équipements VPN, confirmant que ces points d’entrée sont une cible prioritaire pour les attaquants.

L’attaque de la chaîne d’approvisionnement

Le périmètre de l’entreprise inclut aussi ses prestataires. Un intégrateur, un éditeur SaaS, un sous-traitant avec un accès VPN ou un compte admin : chacun est un maillon de la chaîne. En France, la fuite de France Travail en mars 2024 — 43 millions d’enregistrements exposés — a été initiée via la compromission de comptes de prestataires habilités. Le modèle Zero Trust traite chaque accès prestataire exactement comme un accès externe : vérification de l’identité, moindre privilège, accès limité dans le temps.

Les piliers du Zero Trust pour une PME

Mettre en œuvre le Zero Trust dans une PME de 100 personnes ne nécessite pas le budget de Google. Voici les cinq piliers concrets, adaptés aux outils que la plupart des PME françaises utilisent déjà.

1. Vérification de l’identité : le MFA partout

Le premier pilier est la vérification systématique de l’identité. L’authentification multifacteur (MFA) est la mesure la plus efficace, à coût quasiment nul, pour bloquer les accès non autorisés. Selon Microsoft, le MFA bloque 99,9 % des attaques automatisées sur les comptes.

En pratique pour une PME :

  • Activer le MFA sur Microsoft 365 ou Google Workspace (inclus dans l’abonnement)
  • Imposer le MFA sur le VPN, le CRM, l’ERP, et tout outil accessible depuis internet
  • Privilégier une application d’authentification (Microsoft Authenticator, Google Authenticator) plutôt que les SMS, vulnérables au SIM swapping

2. Conformité de l’appareil

Le Zero Trust ne vérifie pas seulement qui se connecte, mais aussi depuis quoi. Un appareil à jour, chiffré et protégé par un antivirus à jour est plus fiable qu’un poste sous Windows 7 sans mises à jour depuis deux ans.

En pratique pour une PME :

  • Configurer des stratégies d’accès conditionnel qui exigent un appareil conforme (chiffrement activé, OS à jour, antivirus présent)
  • Avec Microsoft 365 Business Premium : utiliser Microsoft Intune pour vérifier l’état des appareils avant d’autoriser l’accès
  • Pour les appareils personnels (BYOD) : restreindre l’accès au navigateur web uniquement, sans synchronisation locale des fichiers

3. Le moindre privilège dans la pratique

Le moindre privilège signifie que chaque employé n’a accès qu’aux ressources nécessaires à son poste. C’est le pilier le plus mal appliqué dans les PME, où un compte administrateur partagé ouvre souvent les portes de tous les systèmes.

En pratique pour une PME :

  • Séparer les comptes administrateurs des comptes utilisateurs quotidiens (l’admin ne consulte pas ses emails avec un compte admin)
  • Utiliser les groupes de sécurité dans Microsoft 365 ou Google Workspace pour attribuer les accès par équipe (marketing, finance, direction)
  • Révoquer les accès des anciens employés le jour même du départ — pas la semaine suivante
  • Auditer les droits d’accès tous les trimestres : qui a accès à quoi ? Les droits correspondent-ils toujours aux fonctions ?

4. Segmentation du réseau

La segmentation divise le réseau en zones isolées. Si un poste est compromis, l’attaquant ne peut pas rebondir librement vers le serveur de fichiers, le serveur de base de données ou les postes des autres employés.

En pratique pour une PME :

  • Séparer le réseau Wi-Fi invités du réseau interne (c’est le minimum, mais beaucoup de PME ne le font pas)
  • Créer des VLAN distincts pour les postes de travail, les serveurs et les imprimantes
  • Isoler les applications critiques (comptabilité, ERP) dans un segment réseau dédié avec des règles de pare-feu restrictives
  • Si vous utilisez des services 100 % cloud : la segmentation passe par les permissions et les politiques d’accès conditionnel plutôt que par le réseau physique

5. Supervision et détection

Le dernier pilier du Zero Trust est la capacité à détecter les comportements anormaux. Un compte qui se connecte à 3h du matin depuis un pays où l’entreprise n’a pas de bureau, un utilisateur qui télécharge 10 000 fichiers en une heure, une connexion VPN depuis deux lieux géographiques différents en même temps — ces signaux doivent déclencher une alerte.

En pratique pour une PME :

  • Activer les journaux d’audit de Microsoft 365 ou Google Workspace (inclus, souvent désactivés par défaut)
  • Configurer des alertes de connexion suspecte (Microsoft propose des alertes automatiques pour les “impossible travel” et les connexions à risque)
  • Pour les PME avec un budget sécurité : envisager un service EDR managé ou un SOC externalisé

Zero Trust et phishing

Le MFA bloque la majorité des attaques

L’attaque de phishing classique vise à voler les identifiants d’un employé : l’attaquant envoie un email contenant un lien vers une fausse page de connexion, l’employé saisit son email et son mot de passe, l’attaquant les récupère. Dans un modèle traditionnel, ces identifiants suffisent pour accéder au compte.

Avec le Zero Trust, le MFA ajoute une vérification supplémentaire. L’attaquant possède le mot de passe, mais il n’a pas le deuxième facteur (application d’authentification, clé FIDO2). La connexion est bloquée. Selon le rapport DBIR 2024 de Verizon, les identifiants volés restent le vecteur d’accès initial le plus fréquent — le MFA coupe ce vecteur dans la grande majorité des cas.

Les attaques qui contournent le MFA

Les attaquants les plus sophistiqués utilisent des techniques de proxy en temps réel — appelées Adversary-in-the-Middle (AiTM) — qui interceptent le code MFA au moment où l’employé le saisit. Des outils comme EvilProxy ou Evilginx permettent de capturer à la fois le mot de passe et le jeton de session MFA, rendant le MFA classique (SMS, TOTP) inefficace.

C’est là que les autres piliers du Zero Trust limitent les dégâts :

  • Le moindre privilège : même si l’attaquant prend le contrôle d’un compte, il n’accède qu’aux ressources de ce compte. Le commercial compromis ne donne pas accès au serveur de base de données.
  • L’accès conditionnel : une connexion depuis une géolocalisation inhabituelle ou un appareil non conforme déclenche une vérification supplémentaire ou un blocage, même avec un jeton de session valide.
  • La supervision : le comportement anormal de l’attaquant (accès massif à des fichiers, tentatives d’élévation de privilèges) déclenche une alerte et une réponse rapide.

Le phishing comme vecteur de compromission initiale

Le Zero Trust reconnaît que le phishing réussira parfois. Des employés cliqueront sur des liens malveillants. C’est le principe “Assume Breach”. La question n’est pas d’empêcher toute compromission — c’est de limiter ce qu’un attaquant peut faire après avoir pris pied dans le système.

Mais la prévention reste la première ligne de défense. Un employé qui reconnaît un email de spear-phishing et le signale empêche l’attaque avant même que le Zero Trust n’ait besoin d’intervenir. La sensibilisation et la simulation de phishing forment cette première barrière humaine.

Le rapport IBM Cost of a Data Breach 2024 confirme cette double approche : les organisations qui combinent la formation des employés et un modèle Zero Trust réduisent le coût moyen d’une violation de données de manière significative par rapport à celles qui ne déploient qu’un seul de ces deux leviers.

Mettre en place le Zero Trust : par où commencer

Le Zero Trust est un cheminement, pas un déploiement unique. Voici un plan en quatre étapes pour une PME française qui part de zéro.

Étape 1 : MFA sur tous les comptes (semaine 1-2)

C’est la mesure au meilleur rapport effort/impact. Activez le MFA sur :

  • Les comptes Microsoft 365 ou Google Workspace (via les Security Defaults ou les stratégies d’accès conditionnel)
  • Les accès VPN
  • Les outils SaaS critiques (CRM, ERP, outil de facturation)
  • Les comptes d’administration système

Microsoft 365 : les Security Defaults activent le MFA pour tous les utilisateurs en un clic. Pour un contrôle plus fin, les stratégies d’accès conditionnel (disponibles avec Microsoft 365 Business Premium ou Microsoft Entra ID P1) permettent de définir des règles contextuelles.

Google Workspace : la validation en deux étapes se configure dans la console d’administration. Vous pouvez l’imposer à toute l’organisation ou par groupe d’utilisateurs.

Étape 2 : accès conditionnel et moindre privilège (semaine 3-6)

Maintenant que l’identité est vérifiée, ajoutez des conditions contextuelles :

  • Bloquer les connexions depuis des pays où l’entreprise n’a pas d’activité
  • Exiger un appareil conforme (chiffrement, mises à jour) pour accéder aux données sensibles
  • Restreindre l’accès aux outils d’administration à des postes dédiés

En parallèle, appliquez le moindre privilège :

  • Auditez les droits d’accès actuels : qui est admin ? Qui a accès aux dossiers RH ? Les anciens employés ont-ils encore des comptes actifs ?
  • Supprimez les accès inutiles
  • Créez des groupes de sécurité par fonction et attribuez les accès par groupe, pas individuellement

Étape 3 : segmentation réseau (semaine 7-10)

Divisez votre réseau pour contenir les compromissions :

  • Créez un VLAN séparé pour le Wi-Fi invités
  • Séparez les postes de travail des serveurs
  • Si vous avez des applications internes critiques, isolez-les dans un segment dédié

Pour les entreprises 100 % cloud, cette étape se traduit par des politiques d’accès conditionnel plus granulaires : accès à certaines applications uniquement depuis des appareils gérés, restrictions de partage externe, règles DLP (prévention de fuite de données) sur les documents sensibles.

Étape 4 : supervision et amélioration continue (en continu)

Activez les journaux d’audit et configurez des alertes :

  • Connexions impossibles (deux lieux géographiques en même temps)
  • Téléchargements massifs de fichiers
  • Tentatives de connexion échouées en série
  • Modifications de droits d’accès

Revoyez vos politiques chaque trimestre. De nouveaux outils sont adoptés, des employés arrivent et partent, les risques évoluent. Le Zero Trust n’est pas un état final — c’est une posture de sécurité qui s’adapte.

Évaluez la résilience de vos équipes face au phishing avec notre simulation de phishing. Le Zero Trust commence par des collaborateurs capables de détecter les tentatives d’hameçonnage.

Questions fréquentes

C'est quoi le Zero Trust en sécurité informatique ?

Le Zero Trust est un modèle de sécurité qui refuse d'accorder une confiance par défaut à quiconque, même un employé connecté depuis le bureau. Chaque accès à une ressource (fichier, application, base de données) est vérifié individuellement : identité de l'utilisateur, état de l'appareil, contexte de la connexion. Si l'un de ces éléments est suspect, l'accès est refusé ou soumis à une vérification supplémentaire.

Quels sont les 3 principes du Zero Trust ?

Premièrement, ne jamais faire confiance, toujours vérifier (Never Trust, Always Verify) : chaque demande d'accès est authentifiée et autorisée, quel que soit l'endroit d'où elle provient. Deuxièmement, le moindre privilège (Least Privilege) : chaque utilisateur n'a accès qu'aux ressources strictement nécessaires à son travail. Troisièmement, supposer la compromission (Assume Breach) : l'architecture est conçue comme si un attaquant était déjà dans le réseau, ce qui limite sa capacité à se déplacer latéralement.

Le Zero Trust est-il adapté aux PME ?

Oui. Le Zero Trust n'est pas un produit à acheter mais une stratégie à appliquer progressivement. Une PME peut commencer par activer le MFA sur tous les comptes, appliquer le moindre privilège dans ses outils cloud (Microsoft 365, Google Workspace), et segmenter son réseau pour séparer les postes de travail des serveurs. Ces premières étapes ne nécessitent pas de budget supplémentaire — elles exploitent des fonctionnalités déjà incluses dans les abonnements existants.

Quel est le lien entre Zero Trust et le phishing ?

Le Zero Trust limite les dégâts d'une attaque de phishing réussie. Si un employé se fait voler ses identifiants, le MFA bloque la connexion de l'attaquant. Si l'attaquant contourne aussi le MFA (attaque AiTM), le moindre privilège limite ce qu'il peut atteindre : il n'accède qu'aux ressources du compte compromis, pas à l'ensemble du système d'information.

Combien coûte la mise en place du Zero Trust ?

Le Zero Trust n'est pas un logiciel à acheter, c'est une stratégie de sécurité. Les premières étapes sont gratuites ou incluses dans les abonnements existants : le MFA est inclus dans Microsoft 365 et Google Workspace, les stratégies d'accès conditionnel sont disponibles dans les licences Microsoft 365 Business Premium, et la segmentation réseau se configure sur les équipements en place. Les coûts n'apparaissent que pour les déploiements avancés (micro-segmentation, EDR, SIEM).

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire