Qu’est-ce qu’un modèle de maturité « zéro confiance » ?
Un modèle de maturité « Zero Trust » est un cadre structuré qui mesure les progrès réalisés par une organisation pour passer d’une sécurité basée sur le périmètre à un accès basé sur l’identité et vérifié en permanence. La version la plus largement adoptée est le modèle CISA Zero Trust Maturity Model v2.0, qui décrit les progrès réalisés sur cinq piliers (identité, appareils, réseaux, applications et données) à travers quatre niveaux : Traditionnel, Initial, Avancé et Optimal. La plupart des entreprises de taille moyenne qui adoptent une architecture SASE passent du niveau initial au niveau avancé dans un délai de 6 à 18 mois, en fonction de leur point de départ et de la capacité de leur équipe.
La confiance zéro semble binaire. Soit vous faites confiance, soit vous ne faites pas confiance. Mais dans la pratique, chaque organisation se situe quelque part sur un spectre. Certaines ont déployé le MFA et considèrent que c’est fait. D’autres appliquent l’accès basé sur l’identité par application mais ont toujours des imprimantes et des appareils IoT sur des segments de réseau plats. L’écart entre « nous faisons une confiance zéro » et la maturité réelle est l’endroit où le risque vit.
Un modèle de maturité vous donne un point de repère honnête. Il vous indique quels piliers sont solides, lesquels sont à la traîne et où le prochain investissement permettra de réduire le plus de risques. CISA a construit son modèle sur les fondations du NIST SP 800-207, et il s’applique aussi bien aux agences gouvernementales qu’aux organisations du secteur privé. Ce guide vous présente les quatre niveaux, vous propose une méthode d’auto-évaluation pratique, établit une correspondance entre la maturité et les exigences du NIS2 et vous indique les étapes à suivre pour passer de votre situation actuelle à celle que vous devez atteindre.
Les quatre niveaux de maturité expliqués
Le modèle de maturité de la confiance zéro de la CISA v2.0 définit quatre étapes réparties sur cinq piliers. Chaque étape s’appuie sur la précédente et les progrès entre les piliers sont généralement inégaux. La plupart des organisations sont plus avancées dans le domaine de l’identité que dans celui de la segmentation des réseaux ou du contrôle des données.
| Niveau | Identité | Dispositifs | Réseaux | Applications | Données |
|---|---|---|---|---|---|
| Traditionnel | Mots de passe, éventuellement une AMF de base pour certains systèmes | Inventaire manuel ou incomplet des dispositifs | Pare-feu périphérique, réseau interne plat | Accès sur site, autorisations étendues | Accès plat, classification minimale |
| Initiale | MFA et SSO dans la plupart des applications | Inventaire de base, un peu de protection des points finaux | Une certaine segmentation du réseau par le biais de réseaux locaux virtuels (VLAN) | Accès basé sur les rôles et adapté à l’informatique en nuage | Contrôles d’accès basés sur les rôles, cryptage partiel |
| Avancé | ZTNA avec intégration d’un fournisseur d’identité, contrôle de la posture des appareils | Vérification automatisée de la posture avant l’accès | Microsegmentation, politiques de réseau basées sur l’identité | Accès par application, pas d’entrée dans un réseau étendu | Cryptés en transit et au repos, classés selon leur sensibilité |
| Optimal | Authentification continue basée sur le risque, analyse comportementale | Mise en conformité en temps réel, isolation automatisée | Ajustement dynamique des politiques basé sur l’identité | Pas de privilèges permanents, accès juste à temps | DLP en temps réel, classification automatisée, marquage des données |
Trois capacités transversales sont présentes dans les cinq piliers : la visibilité et l’analyse, l’automatisation et l’orchestration, et la gouvernance. Une organisation peut atteindre une maturité avancée en matière d’identité mais rester au stade initial en matière de visibilité si les journaux sont dispersés dans des outils déconnectés sans analyse centralisée.
En pratique, il n’est pas nécessaire d’atteindre le niveau optimal pour chaque pilier. Les gains de sécurité les plus importants sont obtenus en faisant passer le pilier le plus faible du pilier traditionnel au pilier initial, puis du pilier initial au pilier avancé. C’est sur cette asymétrie que la plupart des équipes du marché intermédiaire devraient se concentrer.
Comment évaluer votre niveau actuel
L’auto-évaluation ne nécessite pas de consultants externes ni d’outils coûteux. Elle requiert de l’honnêteté. Les questions suivantes sont directement liées aux piliers de la CISA et vous permettront de situer votre organisation sur l’échelle de maturité en l’espace d’une heure.
Pilier de l’identité
Chaque utilisateur peut-il accéder uniquement aux applications spécifiques que son rôle exige, ou certains utilisateurs ont-ils un accès plus large que nécessaire ? Si vous ne pouvez pas répondre à cette question avec certitude, vous êtes au niveau traditionnel ou au niveau initial. Les organisations de niveau avancé appliquent l’accès au moindre privilège par application par l’intermédiaire de leur fournisseur d’identité, avec des politiques qui s’adaptent au contexte.
Pilier des dispositifs
Pouvez-vous citer tous les appareils connectés à votre réseau à l’heure actuelle ? Si la réponse est « la plupart, à l’exception des imprimantes et de cet ancien système dans l’entrepôt », vous êtes au niveau Initial. Les organisations de niveau avancé effectuent des contrôles automatisés de la posture des appareils, qui vérifient la version du système d’exploitation, le chiffrement des disques et la protection des points d’extrémité avant d’accorder une session.
Pilier « Réseaux
Si un pirate compromet aujourd’hui les informations d’identification d’un utilisateur, jusqu’où pourrait-il se déplacer latéralement ? Si la réponse est « il pourrait atteindre la plupart des systèmes internes », vous êtes dans la zone traditionnelle. Initial signifie que les VLANs séparent certaines zones. Le niveau avancé signifie que la microsegmentation limite les mouvements aux applications spécifiques que chaque identité est autorisée à atteindre.
Pilier « Applications
Les utilisateurs distants se connectent-ils à un VPN qui les place sur le réseau de l’entreprise, ou accèdent-ils directement aux applications individuelles ? L’accès par VPN est de type traditionnel ou initial. L’accès par application via ZTNA, où le reste du réseau est invisible pour l’utilisateur, est avancé.
Pilier des données
Les données sensibles sont-elles classifiées et cryptées en transit et au repos ? Pouvez-vous démontrer quels utilisateurs ont accédé à quels ensembles de données au cours des 30 derniers jours ? Si la classification des données n’est pas cohérente et que les journaux d’accès sont incomplets, vous êtes dans la situation de Initial.
Transversal : visibilité
Vos journaux de sécurité provenant des outils d’identité, de réseau et d’extrémité sont-ils intégrés dans une vue unique ou sont-ils dispersés dans des consoles distinctes ? La visibilité fragmentée est le goulot d’étranglement le plus courant qui empêche les organisations d’atteindre une maturité avancée, même lorsque les contrôles de leurs piliers individuels sont solides.
Attribuez-vous une note honnête pour chacun des cinq piliers. Votre maturité globale est effectivement limitée par votre pilier le plus faible. Le modèle ZTX de Forrester est explicite à cet égard : si l’un des piliers tombe en dessous d’un certain seuil, l’ensemble de votre score est plafonné. Une organisation disposant de contrôles d’identité avancés mais d’une segmentation de réseau traditionnelle dispose toujours d’un rayon d’action de niveau traditionnel pour les mouvements latéraux.
Les erreurs commises par la plupart des entreprises de taille moyenne
L’erreur la plus fréquente consiste à assimiler le déploiement de l’AMF à la maturité de la confiance zéro. L’AMF est un contrôle unique au sein du pilier de l’identité. Elle est nécessaire mais loin d’être suffisante. Une organisation qui a mis en place l’AMF pour toutes les applications, mais qui continue à gérer un réseau plat avec un accès à distance basé sur un VPN et aucun contrôle de la posture des appareils, se trouve au mieux à un niveau de maturité initial.
Une étude menée par Zscaler a révélé que la grande majorité des décideurs informatiques estiment que leurs mesures de cyber-résilience sont efficaces, alors que plus de la moitié d’entre eux s’attendent à une violation importante au cours de l’année à venir. Ce manque de confiance est une conséquence directe de la mesure des intrants (nous avons déployé le MFA, nous avons acheté un pare-feu) plutôt que des résultats (un attaquant peut-il se déplacer latéralement après avoir compromis un compte ?)
La deuxième erreur consiste à investir verticalement dans un seul pilier. Les organisations consacrent leur budget à l’identité parce que c’est le pilier le plus visible et le mieux compris, alors que la segmentation du réseau et la classification des données restent négligées. Cela crée un profil de maturité inégal où le pilier le plus faible détermine l’exposition réelle au risque. Une couche d’identité solide ne signifie rien si une imprimante compromise sur un segment de réseau plat peut atteindre votre serveur de fichiers.
La troisième erreur consiste à considérer la confiance zéro comme un projet avec une date de fin. Le modèle CISA décrit explicitement la maturité comme un parcours continu. Le paysage des menaces évolue, de nouvelles applications sont déployées, des employés rejoignent et quittent l’entreprise. Des politiques avancées il y a six mois peuvent être initiales aujourd’hui si elles n’ont pas été revues et mises à jour. Notre guide sur les 10 erreurs courantes de ZTNA couvre les pièges spécifiques à la mise en œuvre qui freinent les progrès.
Passer du niveau initial au niveau avancé : les étapes pratiques
C’est la transition qui permet de réduire le plus les risques pour les entreprises de taille moyenne. Le passage de la version traditionnelle à la version initiale consiste à déployer des contrôles de base. Le passage du niveau initial au niveau avancé consiste à relier ces contrôles dans une architecture cohérente, axée sur l’identité.
Étape 1 : Remplacer le VPN par le ZTNA (semaines 1 à 4)
Le VPN place les utilisateurs sur votre réseau. Le ZTNA leur donne accès à des applications spécifiques sans exposition au réseau. Ce simple changement élimine le risque de mouvement latéral étendu qui définit la maturité des réseaux traditionnels et initiaux. Commencez par les travailleurs à distance et les sous-traitants externes, puis étendez l’accès à tous les utilisateurs. Le guide de l’architecture de confiance zéro couvre en détail le séquençage.
Étape 2 : Activer les contrôles de posture des appareils (semaines 2 à 6)
Avant d’établir une session, vérifiez que l’appareil connecté répond à vos critères de base : système d’exploitation actuel, chiffrement du disque activé, protection des points d’extrémité en cours d’exécution. Les appareils qui ne répondent pas à ces critères se voient accorder un accès restreint ou sont interdits d’accès. Votre pilier « appareils » passe ainsi du niveau « initial » au niveau « avancé ». Des plateformes comme Jimber regroupent le ZTNA et les contrôles de posture des appareils dans une seule console, ce qui signifie qu’une équipe informatique de trois personnes peut appliquer ces contrôles sans avoir à gérer des outils distincts pour chaque fonction.
Étape 3 : Mise en œuvre de la microsegmentation (semaines 4 à 12)
Passez des zones de réseau basées sur les VLAN à des politiques basées sur l’identité qui limitent la communication aux chemins explicitement autorisés. L’objectif est de réduire le rayon d’action : si un appareil ou un compte est compromis, l’attaquant ne peut pas atteindre les systèmes en dehors de ce périmètre spécifique. L’approche de Jimber utilise l’isolation en ligne et l’accès au niveau de l’application plutôt que des ensembles de règles de pare-feu complexes, ce qui permet aux petites équipes de gérer les frais généraux opérationnels.
Étape 4 : Intégrer votre fournisseur d’identité (semaines 1 à 4, en parallèle)
Connectez votre IdP (Microsoft Entra ID, Okta, Google Workspace) à votre couche ZTNA afin que les groupes d’annuaires déterminent les politiques d’accès dans toutes les applications. Vous disposez ainsi d’une source unique de vérité pour savoir qui peut accéder à quoi. Lorsque quelqu’un quitte l’organisation, la désactivation de son compte IdP révoque immédiatement l’accès partout.
Étape 5 : Centralisation de l’enregistrement et de la visibilité (semaines 6 à 12)
Rassemblez les journaux d’identité, d’appareils, de réseaux et d’applications en une seule vue. C’est la capacité transversale qui transforme les contrôles déconnectés en une posture de sécurité cohérente. Sans visibilité centralisée, vous ne pouvez pas détecter les anomalies, enquêter efficacement sur les incidents ou fournir les preuves d’audit attendues par les autorités de réglementation.
Délai réaliste : La plupart des entreprises de taille moyenne, comptant entre 50 et 400 utilisateurs, peuvent passer de la version initiale à la version avancée en l’espace de 6 à 12 mois. Si votre équipe gère actuellement des outils distincts pour les politiques de VPN, de filtrage Web et de pare-feu, la consolidation dans une plateforme SASE unique est la voie la plus rapide. Elle élimine le travail d’intégration qui allonge généralement les délais.
Comment NIS2 s’inscrit dans les niveaux de maturité « Zero Trust » ?
Pour les organisations européennes, la maturité de la confiance zéro n’est plus seulement une décision de sécurité. Il s’agit d’une exigence de conformité. Le considérant 89 de la NIS2 cite explicitement les principes de confiance zéro comme une pratique de base en matière de cyberhygiène. L’article 21 exige des contrôles d’accès documentés, des capacités de confinement des incidents et des mesures de sécurité de la chaîne d’approvisionnement. La question est de savoir quel niveau de maturité satisfait à la réglementation.
Traditionnel = non conforme. La sécurité du seul périmètre avec des réseaux internes plats ne répond pas aux attentes du NIS2 en matière de gouvernance des accès, de segmentation ou d’endiguement des incidents. Les organisations qui se situent à ce niveau s’exposent à des mesures d’application et à des amendes pouvant aller jusqu’à 10 millions d’euros.
Initial = partiellement conforme. L’AMF et la segmentation de base répondent à certaines exigences de NIS2, mais les lacunes en matière de gestion des appareils, de journalisation et de réponse aux incidents laissent une grande marge de manœuvre. Les auditeurs signaleront l’absence de vérification continue et de politiques d’accès documentées.
Avancé = conforme pour la plupart des organisations. L’accès basé sur l’identité, les contrôles de posture des appareils, la microsegmentation et la journalisation centralisée couvrent les exigences techniques de l’article 21 de la NIS2. Il s’agit du niveau cible pour les organisations du marché intermédiaire classées comme entités « importantes » ou « essentielles ».
Optimal = dépasse les exigences. L’authentification continue, la réponse automatisée et la classification des données en temps réel vont au-delà de ce que prévoit la norme NIS2. Ce niveau est ambitieux pour la plupart des équipes du marché intermédiaire, mais il est pertinent pour les organisations qui traitent des données très sensibles.
En Belgique, le cadre CyberFundamentals (CyFun) traduit le NIS2 en quatre niveaux : Petit, Basique, Important et Essentiel. La correspondance n’est pas univoque, mais l’alignement est clair. Le niveau CyFun Basic correspond à peu près à la maturité initiale pour la plupart des piliers. CyFun Important correspond à une maturité avancée dans les domaines de l’identité, des appareils et des réseaux. Le guide d’auto-évaluation CyFun couvre la documentation spécifique que les organisations belges doivent préparer. Pour une vision plus large des attentes des auditeurs, la liste de contrôle de la conformité NIS2 établit une correspondance entre chaque exigence et les contrôles pratiques.
La journalisation intégrée, la vérification de la posture des appareils et l’accès basé sur l’identité de Jimber couvrent les exigences de NIS2 qui correspondent à la maturité avancée. Comme ces fonctionnalités sont regroupées dans une seule console plutôt que dans des outils distincts, les preuves sont cohérentes et prêtes à être auditées.
Questions fréquemment posées
L’AMF est-elle suffisante pour la confiance zéro ?
L’AMF est un contrôle au sein du pilier de l’identité. La confiance zéro exige un accès avec le moins de privilèges possible, une vérification de la posture des appareils, une microsegmentation, une surveillance continue et une gouvernance centralisée. L’AMF seule laisse votre organisation à la maturité initiale. Le guide des principes de la confiance zéro couvre les autres exigences du modèle.
Combien de temps faut-il pour passer du niveau initial au niveau avancé ?
Pour les entreprises de taille moyenne comptant de 50 à 400 utilisateurs, la transition prend généralement de 6 à 12 mois. Le délai dépend de votre point de départ, de la capacité de votre équipe et du fait que vous consolidez les outils ou intégrez des solutions ponctuelles. Les organisations qui utilisent une plateforme SASE unifiée atteignent généralement le niveau avancé plus rapidement, car le travail d’intégration est déjà fait.
Quel est le niveau de maturité « Zero Trust » requis par NIS2 ?
Le NIS2 ne fait pas directement référence au modèle CISA, mais ses exigences techniques s’alignent sur la maturité avancée. L’accès basé sur l’identité, les contrôles de posture des appareils, la microsegmentation et la journalisation centralisée sont les contrôles qui satisfont à l’article 21. Les niveaux de maturité traditionnel et initial laissent des lacunes documentées en matière de conformité.
Les petites équipes informatiques peuvent-elles atteindre une maturité avancée ?
Oui, mais la consolidation des outils est une condition préalable. Une équipe informatique de trois personnes ne peut pas gérer six consoles de sécurité distinctes et avoir encore le temps de régler les politiques, de répondre aux incidents et de documenter la conformité. La consolidation de ZTNA, de la sécurité web, des politiques de pare-feu et de la gestion des dispositifs en une seule plateforme réduit suffisamment les frais généraux opérationnels pour que la maturité avancée devienne réaliste.
Quelle est la différence entre les modèles CISA et Forrester ?
Ces deux cadres mesurent la maturité de la confiance zéro dans des domaines similaires. CISA utilise cinq piliers (identité, appareils, réseaux, applications, données) avec quatre niveaux (traditionnel, initial, avancé, optimal) et trois capacités transversales. Le modèle ZTX de Forrester couvre sept domaines et utilise une méthodologie de notation dans laquelle le pilier le plus faible plafonne votre note globale. Le modèle CISA est indépendant des fournisseurs et disponible gratuitement, ce qui en fait le point de départ le plus pratique pour la plupart des organisations. L’approche de Forrester ajoute une rigueur quantitative mais nécessite son outil d’évaluation.
Comment une plateforme SASE accélère-t-elle la croissance de la maturité ?
Une plateforme SASE unifiée regroupe les contrôles nécessaires à une maturité avancée (ZTNA, posture des appareils, microsegmentation, SWG, journalisation centralisée) dans une architecture unique. Cela élimine les lacunes d’intégration entre les solutions ponctuelles qui ralentissent généralement les progrès. Cela signifie également que les changements de politique se propagent simultanément dans tous les piliers au lieu de nécessiter des mises à jour dans plusieurs consoles déconnectées.
Prêt à évaluer votre maturité Zero Trust et à combler les lacunes les plus importantes ? Réservez une démonstration et passez en revue votre environnement avec un spécialiste Jimber. Pas de projet complexe, pas de coûts cachés, juste une vision claire de votre situation et de ce qu’il faut faire ensuite.
