La plupart des explications sur le modèle de sécurité « zéro confiance » semblent avoir été rédigées pour un centre d’opérations de sécurité de Fortune 500 disposant de 40 analystes et d’un budget à sept chiffres. Ce n’est pas très utile lorsque votre service informatique compte trois personnes, une liste croissante d’abonnements SaaS et un audit NIS2 qui approche.
Qu’est-ce que la sécurité zéro confiance ? Il s’agit d’un modèle qui traite chaque connexion comme non fiable jusqu’à preuve du contraire. Aucun utilisateur, appareil ou application n’obtient d’accès sur la seule base de l’emplacement du réseau. Chaque demande est vérifiée, limitée au minimum nécessaire et réévaluée en fonction de l’évolution du contexte. La devise qui résume tout cela : ne jamais faire confiance, toujours vérifier.
Ce guide couvre les cinq principes de la confiance zéro dans des termes qui correspondent aux opérations quotidiennes d’organisations comptant de 50 à 400 utilisateurs. Chaque principe comprend le raisonnement qui le sous-tend, ce à quoi il ressemble dans la pratique et où il est lié aux exigences de conformité européennes. Si vous savez déjà comment mettre en œuvre l’architecture de confiance zéro, ce billet explique le « pourquoi » de chaque décision de conception.
D’où vient le modèle de confiance zéro ?
Le concept de « Zero Trust » a vu le jour en 2010 lorsque John Kindervag, analyste chez Forrester, a affirmé que la confiance elle-même était une vulnérabilité. Son principe : ne plus faire confiance au trafic simplement parce qu’il provient de l’intérieur de votre réseau. Ne faites jamais confiance, vérifiez toujours. Le NIST a ensuite codifié cette idée dans la publication spéciale 800-207, définissant sept principes qui sous-tendent la plupart des stratégies de sécurité des gouvernements et des entreprises. Microsoft les a distillés en trois piliers largement adoptés : vérifier explicitement, utiliser l’accès avec le moins de privilèges possible et supposer qu’il y a eu violation.
Les trois cadres s’accordent sur l’idée centrale : aucun utilisateur, appareil ou connexion ne mérite une confiance implicite, quelle qu’en soit l’origine. Les différences se situent au niveau du nombre de principes pris en compte par chaque cadre, et non au niveau des recommandations.
Quels sont les trois principes de la confiance zéro ?
Les trois principes les plus souvent cités sont ceux formulés par Microsoft : vérifier explicitement, utiliser l’accès avec le moins de privilèges possible et supposer une violation. Ces trois principes constituent la base de tout modèle de sécurité « zéro confiance » et apparaissent dans la documentation de pratiquement tous les fournisseurs. La norme NIST SP 800-207 reprend les mêmes concepts, mais les divise en sept principes plus granulaires.
Ces trois principes constituent un bon point de départ. Pour les équipes de taille moyenne, ils ne sont pas suffisants.
Pourquoi les équipes de taille moyenne ont besoin de cinq, et non de trois
Les quatrième et cinquième principes, la posture des appareils et l’évaluation continue, sont souvent traités comme des détails de mise en œuvre par les fournisseurs d’entreprise. Mais pour les organisations qui gèrent le BYOD, les équipements sans agent et les équipes informatiques réduites, ils méritent d’être mis sur un pied d’égalité. Le fait de négliger l’un ou l’autre de ces principes crée les angles morts que les attaquants exploitent le plus souvent.
| Le cadre | Principes définis | Ce qu’il manque au marché intermédiaire |
|---|---|---|
| NIST SP 800-207 | 7 principes couvrant les ressources, les sessions, la politique dynamique, la surveillance | Rédigé pour les agences fédérales et non pour les entreprises de 200 personnes |
| Microsoft | 3 piliers : vérifier explicitement, moindre privilège, supposer une violation | Fort sur l’identité, faible sur les dispositifs sans agent et l’OT |
| Forrester ZTX | 7 piliers couvrant le réseau, les données, la main-d’œuvre, la charge de travail, les appareils, l’analyse et l’automatisation | Cadre à l’échelle de l’entreprise, pas de cartographie de la conformité européenne |
| NCSC UK | 8 principes de conception pour l’architecture des réseaux | Orientation gouvernementale, pas d’alignement sur NIS2 ou CyFun |
Une plateforme SASE qui intègre ZTNA, la sécurité web, les politiques de pare-feu et les contrôles de périphériques permet d’appliquer les cinq principes à partir d’une seule console. C’est important car les équipes du marché intermédiaire ne peuvent pas gérer cinq outils distincts pour cinq principes distincts. La prolifération des outils est l’ennemi de l’adoption de la confiance zéro à cette échelle.
Qu’est-ce qui n’est pas un principe de confiance zéro ?
La confiance basée sur la localisation n’est pas un principe de confiance zéro. Pas plus que « sécuriser le périmètre » ou « faire confiance au trafic interne ». Le modèle de confiance zéro rejette explicitement l’idée que le fait d’être à l’intérieur du réseau de l’entreprise accorde un niveau de confiance quelconque. Une connexion à partir du bureau fait l’objet du même examen qu’une connexion à partir d’un café. Si votre architecture accorde toujours un accès plus large aux utilisateurs sur site qu’aux utilisateurs distants, il ne s’agit pas d’un modèle de confiance zéro, quelle que soit l’étiquette apposée par le vendeur.
Principe 1 : vérifier explicitement
Chaque demande d’accès doit prouver qui la demande, à partir de quel appareil et dans quelles circonstances. Aucune connexion n’est fiable parce qu’elle provient d’une adresse IP connue ou qu’elle se trouve derrière le pare-feu de l’entreprise.
En pratique, cela signifie que chaque connexion est liée à une identité vérifiée par l’intermédiaire de votre fournisseur d’identité, que l’authentification multifactorielle est appliquée et que les décisions d’accès sont prises en fonction du contexte : localisation, heure de la journée, état de l’appareil et sensibilité de la ressource demandée.
L’écart entre les entreprises de taille moyenne et les grandes entreprises est flagrant. Les organisations de moins de 100 employés ont un taux d’adoption de l’AFM d’environ un tiers de celui des grandes entreprises. Pourtant, la grande majorité des comptes compromis ne disposaient pas de MFA. Activer le MFA dans vos applications principales est la seule action à fort impact que la plupart des équipes du marché intermédiaire peuvent prendre ce trimestre.
Pour une entreprise de 200 personnes, « vérifier explicitement » ne nécessite pas un accès conditionnel de niveau entreprise avec des dizaines de règles. Cinq à dix règles bien définies couvrent la plupart des scénarios : une pour l’accès standard, une pour les applications sensibles, une pour les tâches administratives, une pour le BYOD et une pour les sous-traitants externes.
Dans une architecture d’accès au réseau à confiance zéro, cette vérification a lieu avant chaque session. Un vendeur accédant au CRM à partir de son ordinateur portable habituel à Bruxelles bénéficie d’une connexion transparente. Le même compte s’authentifiant à partir d’un appareil inconnu dans un lieu inattendu déclenche une vérification plus poussée. L’application est invisible pour quiconque n’a pas passé la vérification d’identité et les contrôles de posture de l’appareil. Cette combinaison de connaissance de l’identité et d’accès au niveau de l’application est ce qui différencie ZTNA d’un VPN traditionnel, qui accorde un large accès au réseau après une seule authentification.
Principe 2 : appliquer le principe du moindre privilège
Chaque identité, qu’il s’agisse d’un être humain, d’un compte de service ou d’une machine, ne doit avoir accès qu’aux ressources dont elle a besoin pour accomplir sa tâche actuelle. Rien de plus. C’est ce principe qui permet au modèle de sécurité « zéro confiance » de passer de la théorie à une réduction mesurable des risques.
Cela semble évident. En pratique, c’est le principe sur lequel échouent la plupart des organisations. Les recherches montrent régulièrement que les identités n’utilisent qu’environ 1 % des autorisations qui leur sont accordées. Les 99 % restants constituent une surface d’attaque inutile. Lorsqu’un attaquant compromet un identifiant, les dommages sont directement proportionnels à la surface d’attaque de cet identifiant. Les comptes sur-autorisés transforment un simple clic de phishing en un incident à l’échelle de l’entreprise.
Dans les entreprises de taille moyenne, la cause première est généralement la dérive des privilèges. Un employé commence au service clientèle, passe à la gestion des comptes, puis aux opérations. Chaque rôle ajoute des droits d’accès. Aucun rôle ne les supprime. Après deux changements de poste, un seul compte peut accéder simultanément aux tickets d’assistance, aux données financières et aux systèmes opérationnels.
Pour y remédier, il n’est pas nécessaire de mettre en place un vaste projet de gouvernance des identités. Trois actions suffisent à faire une différence mesurable :
Tout d’abord, définissez cinq à dix modèles d’accès basés sur les rôles qui correspondent au fonctionnement réel de votre organisation. Il ne s’agit pas d’un modèle par personne, mais d’un modèle par fonction. Deuxièmement, imposez des comptes distincts pour les tâches administratives. La personne qui gère votre environnement en nuage ne doit pas utiliser le même compte pour consulter son courrier électronique. Troisièmement, procédez à un examen trimestriel des accès. Il peut s’agir d’une feuille de calcul partagée avec les responsables de service : « Ces personnes ont-elles encore besoin d’accéder à ces systèmes ? Supprimez ce qui ne l’est pas.
ZTNA applique structurellement le principe du moindre privilège. Les utilisateurs s’authentifient auprès d’applications spécifiques, et non de segments entiers du réseau. Un membre de l’équipe financière accède au système de facturation mais n’a pas accès aux ressources d’ingénierie. Si ses informations d’identification sont compromises, l’attaquant accède à une application et non à l’ensemble du réseau. La plateforme Jimber va encore plus loin en cachant entièrement les applications de l’internet public. Si un attaquant ne peut pas voir l’application, il ne peut pas la cibler. Le guide des 10 erreurs les plus courantes de ZTNA couvre les pièges qui sapent le moindre privilège dans les déploiements réels, y compris la façon dont les groupes d’accès étendus s’accumulent discrètement au fil du temps.
Principe 3 : assumer la violation
Concevez chaque système comme si un attaquant s’y trouvait déjà. Car statistiquement, il l’est probablement, ou le sera bientôt.
Près de neuf organisations sur dix ont connu un incident de déplacement latéral au cours de l’année écoulée. Le temps moyen entre l’accès initial et le mouvement latéral est tombé à 29 minutes, les cas les plus rapides étant mesurés en secondes. Plus de 80 % des intrusions détectées utilisent désormais des informations d’identification valides et des outils fiables pour se déplacer dans les environnements. Pas de logiciel malveillant, pas d’exploit. Juste un mot de passe volé et un réseau plat.
Pour les entreprises de taille moyenne, l’hypothèse d’une violation se traduit par une question : après qu’une personne a cliqué sur un lien d’hameçonnage, jusqu’où l’attaquant peut-il aller ? Si la réponse est « partout », votre architecture présente un problème de segmentation.
Le confinement commence par une segmentation de base du réseau: RH, finances, production et Wi-Fi pour les invités sur des segments distincts en utilisant l’équipement existant. La microsegmentation dans une architecture SASE va plus loin. Au lieu de diviser les réseaux en zones et d’espérer que les règles de pare-feu s’appliquent, l’accès basé sur l’identité garantit que chaque connexion est vérifiée individuellement. Les utilisateurs se connectent à des applications spécifiques, et non à des segments de réseau. Chaque limite de zone est un mur qu’un attaquant doit franchir séparément. Plus il y a de murs, plus le rayon d’action est réduit.
Pour les appareils qui ne peuvent pas exécuter d’agents logiciels, tels que les imprimantes, les capteurs IoT, les systèmes de salles de réunion et les équipements industriels, le matériel d’isolation en ligne limite la communication à des destinations explicitement approuvées. Le matériel NIAC de Jimber est spécialement conçu à cet effet. Il crée un pont sécurisé entre les environnements IT et OT sans perturber les systèmes de production ni nécessiter l’installation d’un logiciel sur l’appareil lui-même. Cela permet de combler le fossé que le manuel de prévention des ransomwares identifie comme le principal point d’entrée pour les mouvements latéraux dans les environnements de production et de soins de santé.
Principe 4 : valider l’état de l’appareil
L’identité seule ne suffit pas. Un utilisateur vérifié sur un appareil compromis représente toujours un risque.
Les contrôles de posture des dispositifs vérifient les signaux de sécurité avant d’autoriser l’accès : le système d’exploitation est-il à jour ? Le chiffrement intégral du disque est-il activé ? La protection des points d’extrémité est-elle en cours d’exécution ? Les appareils qui ne satisfont pas à ces vérifications font l’objet d’un accès restreint, non pas d’un refus pur et simple, mais d’un champ d’application plus étroit qui limite l’exposition jusqu’à ce que l’appareil soit remédié. Le guide complet sur la posture des appareils couvre la configuration étape par étape, y compris la façon de faire correspondre les contrôles de posture à des contrôles CyberFundamentals spécifiques pour votre audit NIS2.
Le défi pour les équipes du marché intermédiaire est l’absence d’agent. Les ordinateurs portables gérés peuvent exécuter des agents de posture. Les imprimantes, les capteurs IoT, les caméras de vidéosurveillance et les contrôleurs industriels ne le peuvent pas. Il ne s’agit pas de cas marginaux. La recherche montre que les trois quarts des incidents de cybersécurité impliquent des actifs inconnus ou non gérés, et la grande majorité des attaques de ransomware de ces dernières années ont utilisé des appareils non gérés comme point d’entrée.
Les cadres traditionnels de confiance zéro reconnaissent ce problème mais offrent rarement une solution pratique. Jimber l’aborde avec le matériel NIAC : des dispositifs d’isolation en ligne qui imposent des flux de communication autorisés sans nécessiter de logiciel sur l’appareil. Une imprimante ne communique qu’avec le serveur d’impression. Un automate programmable (PLC) dans l’usine n’atteint que le système MES et son serveur de mise à jour. Tout le reste est refusé par défaut. C’est à cela que ressemble la « validation de la posture du périphérique » pour les périphériques qui ne peuvent pas participer eux-mêmes à l’authentification.
Une approche pratique par étapes convient à la plupart des équipes du marché intermédiaire. La phase 1 couvre la base obligatoire : Mise à jour du système d’exploitation, chiffrement intégral du disque et protection active des points finaux. La phase 2 ajoute le verrouillage de l’écran, le démarrage sécurisé et la vérification de la version du navigateur. La phase 3 introduit l’identité de l’appareil basée sur un certificat. Les organisations devraient mettre en place un accès à deux niveaux dès le départ : les appareils gérés conformes bénéficient d’un accès complet ; les appareils BYOD ou ceux dont la posture a échoué bénéficient d’un accès limité au navigateur. La plateforme ZTNA de Jimber applique ces niveaux automatiquement, avec une évaluation de la posture avant chaque session, et pas seulement lors de la connexion initiale.
Principe 5 : évaluer en permanence
La confiance n’est pas un état permanent. Une session à faible risque au départ peut devenir très risquée dès que le contexte change. C’est ce principe qui différencie un véritable modèle de confiance zéro d’un VPN traditionnel comportant des étapes supplémentaires.
L’évaluation continue consiste à réévaluer les décisions d’accès tout au long d’une session, et pas seulement au moment de la connexion. Si la posture d’un appareil se dégrade en milieu de session, si le comportement d’un utilisateur devient anormal ou si une session migre vers un réseau non fiable, l’étendue de l’accès doit s’ajuster automatiquement. Dans un modèle VPN traditionnel, l’authentification se fait une fois et le tunnel reste ouvert pendant des heures. Dans un modèle de sécurité à confiance zéro, chaque changement de contexte est un nouveau point de décision.
Pour une équipe informatique de deux à cinq personnes, la surveillance manuelle n’est pas réaliste. La clé réside dans la consolidation et l’automatisation. Des alertes préconfigurées remplacent l’examen manuel des journaux : pics d’échecs de connexion, schémas de déplacement impossibles, création de nouveaux comptes d’administrateur, téléchargements massifs de données. Une réponse automatique basée sur des règles rétrograde les appareils non conformes en accès restreint sans intervention humaine.
C’est là que la surveillance du trafic est-ouest devient un multiplicateur de force. Au lieu de s’appuyer sur les journaux du périmètre qui ne voient que le trafic entrant et sortant de votre réseau, la surveillance des flux internes met en évidence les mouvements latéraux qui constituent la véritable menace. Dans une plateforme SASE unifiée, la détection et la réponse se font dans la même console. Il n’est pas nécessaire de passer d’un outil à l’autre, de modifier manuellement les règles du pare-feu ou d’attendre qu’un ingénieur réseau mette à jour une liste de contrôle d’accès.
La console de gestion unique de Jimber couvre ZTNA, Secure Web Gateway, Firewall-as-a-Service et SD-WAN dans une seule interface gérée dans le cloud. Cela signifie un flux de logs unifié au lieu de cinq, des preuves de conformité automatisées au lieu d’un assemblage manuel de rapports, et une application cohérente des politiques à travers tous les utilisateurs, les sites et les appareils. Pour les partenaires de service qui gèrent plusieurs clients, l’architecture multi-tenant offre une visibilité par client à partir de la même plateforme. L’évaluation continue devient possible d’un point de vue opérationnel, car la plateforme se charge de l’évaluation. Votre équipe examine les résultats.
Pourquoi NIS2 fait des principes de confiance zéro une exigence de conformité
Le considérant 89 de la NIS2 désigne explicitement les principes de confiance zéro comme une pratique de base en matière d’hygiène cybernétique pour les entités essentielles et importantes de l’UE. Il ne s’agit pas d’une orientation ou d’une recommandation. Il s’agit d’une exigence de conformité.
Les exigences de l’article 21 correspondent directement aux cinq principes :
| Exigence de l’article 21 du NIS2 | Principe de confiance zéro auquel il correspond |
|---|---|
| Politiques de contrôle d’accès et authentification multifactorielle | Vérifier explicitement, appliquer le principe du moindre privilège |
| Sécurité et segmentation du réseau | Hypothèse d’une violation |
| Traitement des incidents et rapports d’alerte rapide 24 heures sur 24 | Évaluer en permanence |
| Sécurité de la chaîne d’approvisionnement et contrôle de l’accès des fournisseurs | Appliquer le principe du moindre privilège |
| Politiques de chiffrement et de cryptographie | Hypothèse d’une violation |
| Responsabilité des dirigeants et responsabilité personnelle | La gouvernance dans les cinq principes |
La Belgique a été le premier État membre de l’UE à transposer intégralement le NIS2. Le cadre CyberFundamentals (CyFun), mis à jour en octobre 2025 pour s’aligner sur le NIST CSF 2.0, est la principale voie de conformité. La propre analyse du CCB montre que les contrôles CyFun de niveau de base traitent la grande majorité des attaques courantes, les niveaux Important et Essentiel couvrant des menaces de plus en plus sophistiquées.
L’échéance est réelle : les entités belges réglementées par le NIS2 doivent soumettre leur auto-évaluation CyFun ou leur documentation ISO 27001 d’ici avril 2026. Les cyberattaques en Belgique ont augmenté de 165 % en 2025 pour atteindre une moyenne de 275 par jour. Seulement 46 % des organisations belges ont mis en œuvre l’AMF sur les connexions externes. Le rapport sur l’état de la cybersécurité des entreprises de taille moyenne en Belgique couvre l’ensemble du paysage des menaces et ce qui fonctionne réellement.
Une plateforme SASE unifiée simplifie la conformité car les contrôles qui appliquent les principes de confiance zéro génèrent également les preuves d’audit exigées par NIS2. Les décisions d’accès, les évaluations de la posture des appareils, les changements de politique et les événements de sécurité sont enregistrés de manière centralisée et contrôlés par version. Lorsque l’organisme d’évaluation de la conformité examine vos contrôles Protect, vous démontrez que les contrôles techniques sont actifs, mesurés et améliorés, le tout à partir d’une seule console.
Vous êtes prêt à voir à quoi ressemblent les principes de confiance zéro dans votre environnement ? Réservez une démonstration et découvrez les cinq principes appliqués à vos utilisateurs, appareils et sites.
FAQ
Trois ou cinq principes de confiance zéro sont-ils le bon nombre ?
Microsoft et le NIST définissent trois principes fondamentaux couvrant l’identité, l’accès et l’endiguement des brèches. Ces trois principes constituent le cœur du modèle de confiance zéro et apparaissent dans tous les principaux cadres de référence. Pour les entreprises de taille moyenne qui gèrent le BYOD, les équipements sans agent et les petites équipes informatiques, la validation de la posture de l’appareil et l’évaluation continue méritent le même statut. Ce sont les principes les plus souvent ignorés et les plus souvent exploités.
Qu’est-ce que la sécurité zéro confiance en termes simples ?
La sécurité zéro est un modèle dans lequel aucun utilisateur, appareil ou connexion n’est fiable par défaut. Chaque demande d’accès est vérifiée sur la base de l’identité et du contexte, limitée au minimum requis et réévaluée en fonction de l’évolution des conditions. Le principe « ne jamais faire confiance, toujours vérifier » remplace l’ancienne hypothèse selon laquelle tout ce qui se trouve à l’intérieur du réseau de l’entreprise est sûr.
Mon organisation a-t-elle besoin de Zero Trust pour se conformer à NIS2 ?
Le considérant 89 de la NIS2 cite explicitement les principes de confiance zéro comme pratique de base. L’article 21 exige des capacités de contrôle d’accès, de segmentation et de traitement des incidents qui correspondent directement à la confiance zéro. Bien que la confiance zéro ne soit pas la seule voie possible, c’est le moyen le plus efficace de satisfaire simultanément à plusieurs exigences de la NIS2. La liste de contrôle de conformité NIS2 couvre l’ensemble des contrôles.
Une équipe de taille moyenne composée de trois informaticiens peut-elle mettre en œuvre Zero Trust ?
Oui, si vous consolidez. L’utilisation de cinq outils de sécurité distincts n’est pas viable avec une petite équipe. Une plateforme SASE qui intègre le ZTNA, la sécurité web, les contrôles de pare-feu et la posture des appareils dans une seule console rend la confiance zéro gérable. Commencez par le MFA et l’accès par application pour vos applications les plus sensibles, puis élargissez.
Qu’en est-il des appareils qui ne peuvent pas exécuter d’agents de sécurité ?
Les imprimantes, les capteurs IoT, les équipements industriels et les systèmes de gestion des bâtiments ont besoin d’une isolation en ligne. Le matériel NIAC de Jimber applique les flux de communication autorisés sans nécessiter de logiciel sur l’appareil. Cela permet de fermer l’angle mort sans agent que les cadres traditionnels de confiance zéro reconnaissent mais résolvent rarement.
En quoi la confiance zéro diffère-t-elle de la segmentation traditionnelle du réseau ?
La segmentation traditionnelle divise les réseaux en zones à l’aide de VLAN et de règles de pare-feu. Le modèle de confiance zéro va plus loin : l’accès est lié à l’identité et à la santé de l’appareil, appliqué par application et réévalué en permanence. La comparaison entre la segmentation et la microsegmentation explique les différences pratiques dans un contexte SASE.
Par où devrions-nous commencer si nous ne disposons pas aujourd’hui de contrôles « Zero Trust » ?
Trois actions dans l’ordre : activer le MFA sur toutes les applications tournées vers l’extérieur, remplacer le VPN par un ZTNA par application pour un groupe d’utilisateurs, et isoler les dispositifs sans agent derrière des points d’accès contrôlés. Ces mesures permettent de réduire les risques de manière mesurable en l’espace de quelques semaines et de jeter les bases d’un modèle de sécurité zéro confiance plus large.
