Zero Trust Architecture
De la doctrine NIST au déploiement opérationnel dans l'entreprise étendue
Le modèle périmétrique de sécurité des systèmes d'information, fondé sur la distinction entre un intérieur de confiance et un extérieur hostile, a montré ses limites de manière répétée depuis le début des années 2010. La généralisation du télétravail, la dispersion des applications dans des environnements multi-cloud, et la sophistication des attaques par mouvement latéral ont rendu ce paradigme structurellement inadapté. Zero Trust n'est pas un produit ni une technologie unique : c'est un changement de doctrine qui reformule le problème de la confiance dans les systèmes d'information.
L'origine intellectuelle du Zero Trust remonte aux travaux de John Kindervag chez Forrester Research en 2010. La publication du NIST SP 800-207 en 2020 constitue aujourd'hui la référence normative internationale. Le NIST identifie sept tenets qui définissent ce qu'est une architecture ZTA.
Le rapport IBM X-Force 2025 Threat Intelligence Index documente une évolution des tactiques d'attaque qui justifie pleinement l'urgence de la transition. Les attaques à base d'identités représentent désormais 30 % du total des intrusions signalées, avec les identifiants valides et l'exploitation d'applications exposées publiquement comme deux des principaux vecteurs d'accès initial. Les attaques infostealer (logiciels malveillants aspirant les identifiants) ont progressé de 84 % en un an, alimentant un marché souterrain de vente de credentials qui permet à des acteurs peu sophistiqués d'accéder à des systèmes d'entreprise avec des credentials légitimes.
Dans une architecture Zero Trust correctement implémentée, un attaquant disposant d'identifiants valides achetés sur le dark web se heurte à des contrôles contextuels continus. Vérification du device, analyse du comportement de navigation, micro-segmentation réseau limitant les mouvements latéraux, et détection d'anomalies en temps réel identifiant les séquences d'accès inhabituelles.
Toute implémentation Zero Trust sérieuse commence par un travail de cartographie qui révèle systématiquement des surprises : comptes de service oubliés avec des droits excessifs, applications legacy utilisant des mots de passe partagés non rotatifs, accès VPN permanents accordés à des prestataires ayant terminé leur mission depuis des mois.
Le déploiement de l'authentification multifacteur (MFA) sur l'ensemble des accès, y compris les accès internes et les comptes de service, constitue la première mesure à fort impact. IBM recommande de consolider les systèmes d'identité dans un tissu d'identité unifié (identity fabric), permettant une vision centralisée de toutes les authentifications. Microsoft Entra, Okta, Ping Identity et CyberArk dominent ce marché avec des architectures couvrant simultanément les applications SaaS, les applications on-premise et les accès API.
La micro-segmentation divise le réseau d'entreprise en zones d'isolation les plus petites possibles, avec des contrôles d'accès explicites entre chaque zone. Cette approche (VMware NSX, Illumio, Akamai Guardicore) élimine les possibilités de mouvement latéral qui constituent le cœur des stratégies d'attaque modernes. Une fois qu'un attaquant a compromis un endpoint dans un environnement micro-segmenté, ses déplacements vers d'autres systèmes sont bloqués par des règles de flux explicites.
Kyndryl, dans son Zero Trust Adoption Framework déployé sur ses clients en Amérique du Nord, Europe et Asie-Pacifique, a identifié deux facteurs de succès constants. La gouvernance de programme, avec un RSSI disposant d'une autorité réelle sur les décisions d'architecture et un sponsor C-Level engagé sur la durée du programme (généralement 24 à 36 mois). Et la définition préalable des cas d'usage prioritaires, permettant de démontrer une valeur mesurable au COMEX avant la généralisation. Les programmes Zero Trust qui ont échoué partageaient un facteur commun : définis comme des projets IT sans portage stratégique au niveau de la direction générale.
L'attaque SolarWinds, révélée en décembre 2020, constitue la démonstration la plus éloquente des limites du modèle périmétrique. Le groupe APT29 a compromis le système de build de SolarWinds pour injecter un backdoor dans les mises à jour de la plateforme Orion, distribuées à environ 18 000 clients dont plusieurs agences gouvernementales américaines et des entreprises Fortune 500. Les attaquants ont pu se déplacer latéralement dans les réseaux des victimes pendant des mois sans être détectés, en bénéficiant de la confiance implicite accordée aux processus système légitimes.
Dans une architecture Zero Trust, plusieurs mécanismes auraient pu détecter ou contenir cette attaque. La supervision comportementale des processus système aurait identifié des comportements inhabituels d'un processus pourtant signé légitimement. La micro-segmentation aurait limité les mouvements latéraux. Et les politiques d'accès au moindre privilège auraient réduit le rayon d'action exploitable depuis les comptes compromis.
L'intégration de l'IA dans les architectures Zero Trust ouvre la capacité du raisonnement contextuel continu sur des volumes de signaux impossibles à traiter manuellement. Les plateformes SIEM/SOAR nouvelle génération (IBM QRadar, Microsoft Sentinel, Palo Alto Cortex XSIAM) utilisent le machine learning pour établir des baselines comportementales individualisées et détecter en temps réel les déviations signalant une compromission potentielle.
Les algorithmes de cryptographie à clé publique (RSA, ECC) qui sécurisent aujourd'hui les communications dans les architectures ZTA sont théoriquement vulnérables aux ordinateurs quantiques suffisamment puissants. Kyndryl a lancé en décembre 2025 son service Quantum Safe Assessment pour aider les entreprises à évaluer leur exposition cryptographique et préparer la transition vers des algorithmes post-quantiques standardisés par le NIST (CRYSTALS-Kyber, CRYSTALS-Dilithium).
Zero Trust n'est pas un projet informatique. C'est une transformation de la gouvernance des accès qui engage la direction générale, les métiers, la DSI et le RSSI dans un programme pluriannuel. Les organisations qui le traitent comme un projet technique produisent des résultats partiels et temporaires. La première action concrète recommandée est la réalisation d'un diagnostic Zero Trust, disponible en version gratuite auprès de l'ANSSI (questionnaire de maturité) ou en version approfondie auprès de prestataires certifiés. Ce diagnostic positionne l'organisation sur le modèle de maturité ZTA et identifie les trois ou quatre actions prioritaires à fort impact sur la réduction de la surface d'attaque.