Zero Trust Network Access: Successeur du VPN ou simple effet de mode?

Les VPN ont été le standard pour l’accès distant sécurisé pendant 20 ans. Cependant, les VPN font confiance à l’ensemble du réseau une fois la connexion établie – un paradigme qui ne fonctionne plus dans un monde axé sur le cloud. Le Zero Trust Network Access (ZTNA) remplace « l’accès au réseau » par « l’accès à l’application » et vérifie chaque demande individuellement.

L’essentiel

• Gartner : D’ici 2025, 70 % des entreprises remplaceront les VPN par le ZTNA
• Failles des VPN : 56 % d’augmentation des CVE signalés dans les produits VPN (2022)
• Principe du ZTNA : Ne jamais faire confiance au réseau – toujours vérifier l’identité, l’appareil et le contexte
• Leaders du marché : Zscaler, Cloudflare, Palo Alto Prisma Access, Netskope

Le problème des VPN

Un VPN établit un tunnel chiffré et donne ensuite à l’utilisateur l’accès à l’ensemble du réseau de l’entreprise. C’est comme donner la clé générale de tous les bureaux à chaque visiteur qui s’identifie à la réception. Une fois à l’intérieur, c’est à l’intérieur – le mouvement latéral est trivial.

S’ajoutent à cela des problèmes opérationnels : les concentrateurs VPN comme point de défaillance unique, des goulots d’étranglement de performance lors des pics de travail à distance et une surface d’attaque croissante en raison des failles des VPN. Les VPN Fortinet, Pulse Secure et Citrix ont été la cible de nombreuses attaques zero-day en 2022-2023.

Comment fonctionne le ZTNA

Le ZTNA inverse le modèle : au lieu d’accorder l’accès au réseau, il accorde l’accès à des applications individuelles – après vérification de l’identité (qui ?), de l’état de l’appareil (mis à jour ? géré ?), du contexte (emplacement ? heure ?) et de l’évaluation des risques (anomalies ?).

Techniquement, le ZTNA repose sur un courtier entre l’utilisateur et l’application. L’utilisateur ne se connecte jamais directement au réseau. Les applications sont invisibles depuis Internet – aucun port ouvert, aucune entrée DNS. Seules les demandes authentifiées et autorisées sont autorisées.

Migration : du VPN au ZTNA

La migration n’a pas besoin d’être radicale. Plan recommandé : Phase 1 : ZTNA pour les nouvelles applications cloud (aucun tunnel VPN nécessaire pour les SaaS). Phase 2 : Rendre les applications internes basées sur le web accessibles via un courtier ZTNA. Phase 3 : Migrer progressivement les applications héritées nécessitant un accès réseau ou les connecter via un connecteur d’application.

VPN et ZTNA peuvent fonctionner en parallèle pendant plusieurs mois. Cela réduit les risques et donne à l’équipe le temps de prendre de l’expérience avec le nouveau modèle.

Le ZTNA n’est pas une solution miracle

Limites critiques : Le ZTNA protège l’accès aux applications, pas l’application elle-même. Une injection SQL fonctionne également via un courtier ZTNA. Le ZTNA ne remplace pas un pare-feu d’application web, une validation des entrées et une gestion des correctifs.

De plus : Les solutions ZTNA sont elles-mêmes des cibles d’attaques. Un courtier ZTNA compromis a accès à tout ce qu’il transmet. La sécurité du fournisseur est cruciale – vérifier les rapports d’audit (SOC 2), les résultats des tests de pénétration et l’historique des incidents du fournisseur.

Key Facts

Adoption : Gartner : 70 % d’adoption du ZTNA d’ici 2025 (contre moins de 10 % en 2021)

CVEs VPN : 56 % de failles signalées en plus dans les produits VPN en 2022

Latence : Le ZTNA présente généralement une latence de 20 à 40 % inférieure à celle des VPN (pas de rétropropagation)

Questions fréquentes

Le ZTNA peut-il remplacer tous les cas d’utilisation des VPN ?

Presque tous. L’exception : les applications nécessitant un accès réseau réel en couche 3 (certains protocoles hérités, lecteurs réseau via SMB). Pour ces cas, les fournisseurs de ZTNA offrent des connecteurs d’applications ou un mode réseau privé.

Combien coûte la transition ?

Les licences ZTNA coûtent généralement 5 à 15 EUR/utilisateur/mois. En contrepartie : matériel de concentrateur VPN économisé, réduction des coûts de maintenance et coûts de bande passante plus faibles (pas de rétropropagation). Les coûts totaux de possession sont généralement inférieurs à ceux des VPN.

Ai-je besoin de ZTNA si j’ai déjà mis en œuvre Zero Trust ?

Le ZTNA est un composant de Zero Trust – pas l’ensemble. Zero Trust comprend également la gouvernance des identités, la micro-segmentation, la sécurité des points de terminaison et la protection des données. Le ZTNA résout spécifiquement le problème de l’accès sécurisé aux applications.

Articles connexes

• Gestion de la surface d’attaque : pourquoi les entreprises ne connaissent pas leur propre surface d’attaque
• Pourquoi l’identité est le nouveau pare-feu – et pourquoi les stratégies IAM échouent
• Tendances de la cybersécurité 2026 : les 7 évolutions que les décideurs en matière de sécurité doivent connaître

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & Business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Mohan Nannapaneni

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer