Page d'accueil
Retour à l'aperçu

Zero Trust

Le Zero Trust est un concept de sécurité basé sur le principe « never trust, always verify ». Aucun utilisateur, aucun appareil et aucune application n'est automatiquement considéré comme fiable, même s'il se trouve déjà dans le réseau interne. Plutôt que de s'appuyer sur la sécurité périmétrique classique, qui considère tout ce qui se trouve dans le réseau d'entreprise comme sûr, le Zero Trust exige une vérification explicite de l'identité, de l'état de l'appareil et du contexte à chaque tentative d'accès.

Le mécanisme central du Zero Trust est l'authentification continue et le principe du moindre privilège. Chaque accès est évalué dynamiquement en fonction de facteurs tels que l'identité de l'utilisateur, la configuration de l'appareil, la localisation et les schémas comportementaux. Des technologies telles que l'authentification multi-facteurs, l'accès conditionnel et la microsegmentation garantissent que les utilisateurs ne peuvent accéder qu'aux ressources dont ils ont réellement besoin pour leur tâche spécifique.

Un scénario d'utilisation typique concerne les entreprises comptant de nombreux collaborateurs en déplacement, qui accèdent quotidiennement aux données de l'entreprise depuis différents appareils et sites. Les collectivités scolaires gérant des tablettes et des ordinateurs portables sur plusieurs sites bénéficient également de l'approche Zero Trust, les appareils n'obtenant accès aux systèmes sensibles que lorsqu'ils sont configurés de manière sécurisée. Les administrations et organismes publics utilisent en outre ce concept pour satisfaire de manière structurée aux exigences réglementaires telles que la directive NIS2 ou le RGPD.

Un avantage majeur du Zero Trust est la réduction du rayon d'impact en cas d'incident. Même si un appareil ou un compte utilisateur est compromis, le contrôle d'accès strict empêche les attaquants de se déplacer latéralement dans le réseau et d'accéder à d'autres ressources. Cela fait du Zero Trust l'une des stratégies les plus efficaces contre les scénarios de menaces modernes tels que les ransomwares ou les attaques internes.

La mise en œuvre du Zero Trust commence au niveau des appareils, car seuls les appareils conformes aux politiques de sécurité définies obtiennent accès aux données de l'entreprise. Comment cela peut être mis en œuvre de manière cohérente dans une infrastructure informatique conforme au RGPD est décrit en détail à cet endroit.