BRIEFING SÉCURITÉ · 10.07.2026 DEENFRES

Lexique de sécurité

Qu’est-ce que le Zero Trust ? Définition, principe et composants

Par Alec Chizhik · 7 juillet 2026 · 6 min de lecture

Qu’est-ce que le Zero Trust ? Le Zero Trust est un modèle de sécurité qui ne fait pas confiance par défaut à un utilisateur, un appareil ou un emplacement réseau. Chaque demande d’accès est authentifiée, autorisée et vérifiée individuellement, selon le principe « ne jamais faire confiance, toujours vérifier ». Le Zero Trust est un modèle d’architecture de sécurité et non une catégorie de produits. La référence centrale est la publication NIST SP 800-207.

Points clés

  • Principe : Aucune confiance implicite. Chaque demande est vérifiée, qu’elle provienne du réseau interne de l’entreprise ou d’une source externe.
  • Composants : Identités robustes, état vérifié des appareils, microsegmentation, droits minimaux et vérification continue.
  • Contexte : Le Zero Trust est une architecture. Les produits individuels en implémentent des parties, mais aucun achat ne remplace les décisions architecturales.

Ce que signifie concrètement le Zero Trust

Le modèle de sécurité classique dessine une frontière autour du réseau d’entreprise et accorde sa confiance à tout ce qui se trouve à l’intérieur. C’est précisément cette confiance implicite que chaque attaquant exploite dès qu’il parvient à franchir le périmètre. Le Zero Trust rompt avec cette hypothèse : chaque demande d’accès est vérifiée sans confiance implicite, en s’appuyant sur l’identité, l’appareil et le contexte.

SP 800-207

L’architecture de référence Zero Trust du NIST, publiée en août 2020

Source : NIST

Le NIST formule des principes clairs à cet effet. Toutes les sources de données et tous les services sont considérés comme des ressources. Chaque communication est sécurisée indépendamment de l’emplacement réseau. L’accès est accordé par session, jamais de manière permanente. Les décisions sont prises par une politique dynamique intégrant plusieurs attributs, tels que l’identité, l’état de l’appareil et le comportement. L’état de tous les systèmes est surveillé en continu.

Les piliers concrets

En pratique, tout commence par l’identité. Une gestion centralisée des identités et des accès, assortie d’une authentification multifactorielle (MFA) systématique, constitue la base : sans identités fiables, aucune politique ne peut être appliquée. À ses côtés, l’état des appareils joue un rôle clé : le niveau de correctifs, la protection des terminaux et la conformité sont intégrés à chaque décision d’accès.

S’ajoute à cela la microsegmentation, qui isole de manière granulaire les applications et les zones du réseau. Le principe du moindre privilège complète cette approche en attribuant des droits minimaux par session et par ressource. Le cinquième pilier est la vérification continue : l’identité et le contexte sont réévalués tout au long de la session, et non plus uniquement au moment de la connexion. Ces cinq éléments forment le socle de toute architecture Zero Trust.

Ce que les entreprises doivent vérifier dès maintenant

La démarche commence par un inventaire. Sans une connaissance précise des identités, des appareils et des applications existants, il est impossible de réguler les accès. Viennent ensuite les éléments à fort impact : sécuriser les identités et protéger en priorité les ressources les plus critiques.

À vérifier maintenant

  • Établir un inventaire complet des identités, appareils, applications et ressources de données
  • Mettre en place une gestion centralisée des identités avec une authentification multifacteur (MFA) systématique pour tous les accès
  • Instaurer des vérifications de posture des appareils avant et pendant l’accès
  • Isoler les applications et flux de données critiques grâce à une microsegmentation
  • Déployer un système de journalisation et un moteur de règles pour des décisions basées sur les sessions et les attributs

Différenciation avec les concepts apparentés

La différence majeure concerne le VPN. Un VPN étend le périmètre : toute personne connectée obtient souvent un accès large à des segments entiers du réseau. Le modèle Zero Trust inverse cette logique et n’accorde l’accès qu’à la ressource spécifique, uniquement pour la session en cours et uniquement après vérification. Les solutions ZTNA (Zero Trust Network Access) concrétisent précisément cet accès applicatif : elles constituent un module de mise en œuvre, mais ne forment pas à elles seules une architecture Zero Trust complète.

La distinction avec les promesses marketing est tout aussi nette. Aucun outil isolé ne permet de déployer un modèle Zero Trust, même si de nombreux fournisseurs laissent entendre le contraire dans leurs communications. L’architecture repose sur des décisions concernant les identités, les droits, les segments et les politiques. Les outils ne font qu’appliquer ces décisions.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

La confiance zéro (Zero Trust) est-elle un produit ?

Non. Le Zero Trust est un modèle d’architecture. Les fournisseurs d’identité, la protection des terminaux, la micro-segmentation et le ZTNA (Zero Trust Network Access) facilitent sa mise en œuvre, mais aucun produit ne prendra à votre place les décisions architecturales.

Le modèle Zero Trust remplace-t-il le VPN ?

Pas nécessairement et pas immédiatement. L’objectif est de réduire les accès réseau généralisés et de les remplacer par des connexions vérifiées à des ressources spécifiques. Un VPN peut continuer à fonctionner temporairement dans certains domaines.

Qu’est-ce que le ZTNA ?

Le Zero Trust Network Access (ZTNA) est une approche concrète pour sécuriser l’accès aux applications. L’accès n’est accordé qu’après vérification de l’identité, de l’appareil et du contexte, sans que le client ait besoin d’être sur le même réseau.

Par où commencer au mieux ?

Avec l’inventaire et les identités : un IAM centralisé, une authentification multifactorielle (MFA) systématique et la protection des comptes privilégiés. Viennent ensuite les applications les plus critiques. La migration complète s’effectue progressivement sur plusieurs années.

Que dit le NIST sur le modèle Zero Trust ?

Le NIST décrit dans le SP 800-207 l’architecture de référence avec ses principes : absence de confiance implicite, accès basé sur des sessions, politiques dynamiques et surveillance continue.

Les choix de la rédaction

À lireMicrosegmentation: Pourquoi la segmentation réseau seule ne suffit plusÀ lirePasskeys en entreprise : La fin du mot de passe

Plus du réseau MBF Media

cloudmagazinInterdire l’IA fantôme est le réflexe le plus coûteux en cybersécuritéMyBusinessFutureHygiène des équipements dans les PME : 5 leçons difficilesDigital ChiefsServices de sécurité managés : le RSSI n’est pas seul responsable

Pour aller plus loin

Un magazine d'Evernine Media GmbH