Le Zero Trust est un modèle de sécurité qui rejette explicitement la notion de « périmètre de confiance » : aucune connexion, identité, device, ou requête n'est implicitement fiable, peu importe sa provenance (interne ou externe au réseau). Le principe est résumé par la formule « never trust, always verify » forgée par John Kindervag (Forrester analyst) en 2010 dans son paper fondateur. Le concept est formalisé par NIST SP 800-207 « Zero Trust Architecture » publié en août 2020, qui reste la référence canonique en 2026. CISA a publié son Zero Trust Maturity Model 2.0 en avril 2023 avec 5 piliers (Identity, Devices, Networks, Applications & Workloads, Data) + 3 cross-cutting capabilities (Visibility & Analytics, Automation & Orchestration, Governance) et 4 niveaux de maturité (Traditional, Initial, Advanced, Optimal). En 2026, le marché Zero Trust est dominé par les leaders SSE (Security Service Edge, Gartner 2021), Zscaler (ZIA + ZPA + ZDX), Cloudflare One, Microsoft Entra Internet Access + Private Access, Palo Alto Prisma Access, Netskope Intelligent SSE, Cisco Secure Connect (intègre Duo). Le pivot opérationnel le plus visible est la migration ZTNA (Zero Trust Network Access) → remplacement progressif VPN legacy dans 70-80 % des grandes organisations. Comprendre la distinction Zero Trust strategy vs marketing, les 5 piliers CISA, l'arbitrage ZTNA/SASE/SSE, l'implémentation pragmatique 12-24 mois, et le ROI réel vs VPN est non-négociable pour tout RSSI ou architecte sécurité 2026.
Pour le contexte adjacent : voir IAM - Identity and Access Management pour le pilier Identity (le plus structurant), et CNAPP - Cloud-Native Application Protection Platform pour la couche Apps & Workloads dans le cloud.
1. Origine du concept et formalisation NIST 2020
Le concept Zero Trust a une chronologie longue, ancrée dans la rupture du modèle « château + douves » :
| Date | Événement |
|---|---|
| 2010 | John Kindervag (Forrester) publie « No More Chewy Centers: Introducing The Zero Trust Model Of Information Security » |
| 2014 | Google publie BeyondCorp, première implémentation Zero Trust à grande échelle |
| 2017 | Forrester formalise le Zero Trust eXtended (ZTX) framework |
| 2018-2019 | Adoption progressive dans secteur tech, terme « ZTNA » émerge chez Gartner |
| Août 2019 | Gartner forge SASE (Secure Access Service Edge), Neil MacDonald |
| Août 2020 | NIST SP 800-207 « Zero Trust Architecture » publié (référence canonique) |
| 2021 | Gartner introduit SSE (Security Service Edge), SASE moins SD-WAN |
| Mai 2021 | Executive Order 14028 Biden mandate Zero Trust pour gov US |
| Janvier 2022 | OMB Memorandum M-22-09 fixe deadline 2024 pour agencies fédérales US |
| Avril 2023 | CISA Zero Trust Maturity Model 2.0 publié |
| 2024-2026 | Adoption mainstream, NIST CSF 2.0 (février 2024) intègre Zero Trust |
John Kindervag a quitté Forrester en 2017 pour Palo Alto Networks, puis Illumio en 2019, puis fondé son propre cabinet conseil en 2024. Il reste la référence intellectuelle du Zero Trust en 2026.
2. NIST SP 800-207 - les 7 tenets canoniques
NIST SP 800-207 (août 2020) définit 7 tenets qui sont la définition opérationnelle de Zero Trust :
| # | Tenet | Implication concrète |
|---|---|---|
| 1 | Toutes les sources de données et services informatiques sont des ressources | Inventaire exhaustif IT + IoT + OT |
| 2 | Toutes les communications sont sécurisées indépendamment de la localisation réseau | mTLS partout, pas de réseau « interne de confiance » |
| 3 | Accès aux ressources individuelles accordé sur base session unique | Per-app access via ZTNA, pas tunnel global VPN |
| 4 | Accès déterminé par politique dynamique (identity, app, device, behavior, time, location) | ABAC avec contexte runtime |
| 5 | Surveillance et mesure intégrité + posture continue de tous les assets | EDR + UEBA + device compliance |
| 6 | Authentification et autorisation strictes appliquées avant chaque accès aux ressources | MFA + Continuous Access Evaluation |
| 7 | Collecte d'information sur état actuel des assets, infrastructure, communications pour améliorer la posture sécurité | Telemetry + analytics continus |
Ces 7 tenets restent la base technique de tout audit Zero Trust 2026. Une organisation peut prétendre faire du Zero Trust uniquement si elle implémente ces 7 principes, pas en achetant un produit étiqueté « Zero Trust ».
3. CISA Zero Trust Maturity Model 2.0 - les 5 piliers + 3 cross-cutting
CISA (Cybersecurity and Infrastructure Security Agency) a publié son Maturity Model 2.0 en avril 2023, qui a remplacé la v1.0 de 2021. Architecture :
3.1 5 piliers verticaux
| Pilier | Description | Capabilities clés 2026 |
|---|---|---|
| Identity | Vérification continue qui accède | MFA partout, Passkeys Tier 0, PIM/JIT admin, Continuous Access Evaluation |
| Devices | Posture device validée pour chaque accès | EDR mandatory, Intune/Jamf compliance, Hardware attestation |
| Networks | Micro-segmentation, encrypt all | mTLS east-west, ZTNA replace VPN, micro-segmentation L3-L7 |
| Applications & Workloads | Authorization continue par app | OAuth 2.1, OPA/Rego, mTLS workloads, RBAC+ABAC fine-grained |
| Data | Classification + encryption + DLP | Microsoft Purview, classification labels, DLP cloud + endpoint |
3.2 3 cross-cutting capabilities
| Cross-cutting | Description |
|---|---|
| Visibility & Analytics | Logs centralisés (SIEM/XDR), UEBA, observability cross-pillar |
| Automation & Orchestration | SOAR playbooks, Conditional Access, automated response |
| Governance | Policies, audit, compliance mapping |
3.3 4 niveaux de maturité
| Niveau | Caractéristique | % orgs 2026 |
|---|---|---|
| Traditional | Périmètre réseau classique, MFA partiel, VPN dominant | ~30-40 % grandes orgs |
| Initial | MFA partout, EDR déployé, début micro-segmentation | ~30-40 % |
| Advanced | ZTNA déployé, Conditional Access, PIM admin, UEBA | ~15-25 % |
| Optimal | Continuous Verification, ML-augmented, full automation | < 10 % |
Position tranchée 2026 : 80 % des organisations ne dépasseront pas le niveau Advanced et c'est largement suffisant pour la plupart des risk profiles. Atteindre Optimal demande typiquement un investissement 5-15 millions €/an pour une grande organisation et n'est justifié que pour banking critique, defense, gov sensitive. Mieux vaut Advanced solide que Optimal partiel.
4. ZTNA vs VPN - le pivot opérationnel 2026
4.1 Différences architecturales
| Critère | VPN traditionnel | ZTNA |
|---|---|---|
| Modèle accès | Tunnel global, accès lan-like une fois auth | Per-application, granular |
| Vérification | One-time au login VPN | Continue à chaque requête |
| Device posture | Limited (parfois NAC) | Évaluée à chaque connexion |
| Lateral movement post-compromise | Trivial (tout le LAN accessible) | Bloqué (per-app isolation) |
| UX télétravail | Lourd (tunnel à activer, latence) | Transparent (web/SSO direct) |
| Scalabilité | Limited (concentrators hardware) | Cloud-delivered, scale infini |
| Cost | Hardware + licence + 0.5-1 ETP ops | Per-user SaaS |
| Coverage cloud apps | Difficile (ne couvre pas SaaS) | Native cloud + on-prem unified |
4.2 Drivers de migration 2024-2026
Trois drivers convergents poussent la migration VPN → ZTNA dans 70-80 % des grandes orgs 2026 :
- Télétravail post-COVID : ~30-50 % des employés en hybrid permanent (selon McKinsey 2024). Le VPN scale mal sur ces volumes.
- Breaches via VPN compromise : SolarWinds (2020), Storm-0558 (2023), Snowflake credential reuse (mai-juin 2024, 165+ victimes), MGM/Caesars (Scattered Spider, septembre 2023). Pattern récurrent : credential VPN volé = lateral movement immédiat.
- Compliance : NIS2 (transposée FR octobre 2024), DORA (UE applicable janvier 2025), Executive Order 14028 (US gov) imposent ou recommandent fortement Zero Trust architecture.
5. Leaders du marché SSE / Zero Trust 2026
5.1 SSE leaders selon Gartner Magic Quadrant SSE 2024
| Produit | Vendor | Force 2026 | Limite | Tarif indicatif |
|---|---|---|---|---|
| Zscaler (ZIA + ZPA + ZDX) | Zscaler | Leader pure-play, ZIA SWG mature, ZPA ZTNA mature | Tarif premium | 30-100 $/user/mois bundle |
| Cloudflare One | Cloudflare | Edge network 320+ POPs, prix accessible, intégration WAF + Workers | Marché grand compte plus restreint | 5-50 $/user/mois selon plan |
| Microsoft Entra Internet Access + Private Access | Microsoft | Bundle Entra ID Premium P2, intégration M365 native | Lock-in Microsoft | ~9 €/user/mois (bundle Entra P2) |
| Palo Alto Prisma Access | Palo Alto Networks | Couverture la plus large (NGFW + ZTNA + SWG), threat intel Unit 42 | Complexité, tarif | 50-150 $/user/mois |
| Netskope Intelligent SSE | Netskope | CASB historique fort, DLP cloud mature | Marché moins large que Zscaler | 30-100 $/user/mois |
| Cisco Secure Connect | Cisco | Intègre Duo (ZTNA), Umbrella (SWG), bundle Cisco | Roadmap fragmentée | Variable |
| Skyhigh Security | Skyhigh (ex-McAfee Enterprise) | CASB historique, marché gov | Roadmap incertaine | Variable |
| Forcepoint ONE | Forcepoint | Marché gov + grand compte EU | Adoption modeste | Variable |
| Lookout | Lookout | Mobile + cloud SSE, pas de SD-WAN | Niche mobile-first | Variable |
| Akamai Enterprise Application Access | Akamai | EAA (ZTNA), edge mature | Couverture SSE moins large | Variable |
5.2 Open-source / self-hosted Zero Trust
| Outil | Usage | Tarif |
|---|---|---|
| Twingate | ZTNA cloud-native, prix accessible | Gratuit < 10 users, 4.5 €+/user/mois |
| Tailscale | WireGuard mesh + ZTNA léger | Gratuit < 100 devices, 4.5 €+/user/mois |
| Cloudflare Tunnel + Access | ZTNA via Cloudflare edge | Free tier généreux |
| Authelia + Authentik | OIDC self-hosted + Conditional Access | OSS gratuit |
| OpenZiti (NetFoundry) | Zero Trust networking OSS | OSS gratuit |
| Pomerium | Identity-aware proxy OSS | OSS gratuit + commercial |
| Hashicorp Boundary | Infrastructure access management | Gratuit OSS, payant Enterprise |
Position tranchée 2026 : pour PME/ETI < 500 employés sans Microsoft 365 E5, Cloudflare One ou Twingate sont rarement contestables, coût accessible, déploiement en heures. Pour orgs Microsoft 365 E5, Entra Internet Access + Private Access est inclus et largement suffisant. Pour grand compte multi-cloud cherchant SSE complet, Zscaler ou Netskope. Palo Alto Prisma Access justifié si stack Palo Alto déjà déployée.
6. Implémentation pragmatique Zero Trust en 12-24 mois
Roadmap basée sur le CISA Maturity Model 2.0 :
| Phase | Durée | Activités | Niveau atteint |
|---|---|---|---|
| 1. Foundations | 3-6 mois | MFA partout, EDR sur tous endpoints, inventaire identity (HR-driven SCIM), inventory devices Intune/Jamf | Initial |
| 2. Identity-centric ZT | 6-12 mois | Conditional Access policies, PIM/JIT admin, Passkeys Tier 0, ZTNA pilot 50 % apps critiques | Advanced (Identity, Devices) |
| 3. Network + Apps | 6-12 mois | Microsegmentation est-west, ZTNA full coverage, OAuth 2.1, mTLS workloads, DLP cloud | Advanced (Networks, Apps) |
| 4. Data + Optimization | 6-12 mois | Data classification, DSPM, UEBA Entra ID Identity Protection, automation SOAR | Advanced+ → Optimal partial |
| 5. Continuous improvement | Ongoing | Continuous Verification on transactions, ML-augmented, métriques |
Position tranchée : démarrer par Identity (MFA + Passkeys + PIM + Conditional Access). C'est la fondation. Sans Identity solide, tous les autres piliers sont des emplâtres, selon Verizon DBIR 2024, 68 % des breaches impliquent une compromission d'identité. C'est l'investissement avec le plus haut ROI sécurité.
7. Stack outillage Zero Trust 2026
Stack typique mature pour 1000 users + multi-cloud :
[Identity layer]
- Microsoft Entra ID Premium P2 (workforce IAM + PIM + Identity Protection)
- Okta Customer Identity Cloud (CIAM si applicable)
- CyberArk PAM (privileged access)
- Yubikey hardware Passkeys (Tier 0 admins)
[Endpoint layer]
- Microsoft Defender for Endpoint (EDR)
- Intune (device compliance Windows/Mac/iOS/Android)
- BitLocker (disk encryption)
[Network access layer]
- Microsoft Entra Private Access (ZTNA replace VPN)
OR Cloudflare One Zero Trust
OR Zscaler ZPA
OR Palo Alto Prisma Access
[Apps & Workloads layer]
- OAuth 2.1 / OIDC (Auth0, Entra ID, Cognito)
- OPA Gatekeeper / Kyverno (K8s admission)
- Service mesh Istio + mTLS (microservices)
[Data layer]
- Microsoft Purview (classification + DLP)
- Wiz DSPM (data discovery cloud)
- Encryption at-rest + in-transit partout
[Monitoring & Analytics]
- Microsoft Sentinel (SIEM)
- Defender XDR (XDR cross-domain)
- Entra ID Identity Protection (UEBA identity)
- Microsoft Defender for Cloud (CNAPP)Configuration Conditional Access Entra ID exemplaire (JSON via Graph API) :
{
"displayName": "ZT-Admin-RequirePasskey-CompliantDevice",
"state": "enabled",
"conditions": {
"users": {
"includeRoles": [
"62e90394-69f5-4237-9190-012177145e10",
"194ae4cb-b126-40b2-bd5b-6091b380977d"
]
},
"applications": {
"includeApplications": ["All"]
},
"platforms": {
"includePlatforms": ["all"]
},
"locations": {
"includeLocations": ["All"]
}
},
"grantControls": {
"operator": "AND",
"builtInControls": [
"compliantDevice",
"domainJoinedDevice"
],
"authenticationStrength": {
"id": "00000000-0000-0000-0000-000000000004"
}
},
"sessionControls": {
"signInFrequency": {
"value": 4,
"type": "hours",
"isEnabled": true
},
"continuousAccessEvaluation": {
"mode": "strictEnforcement"
}
}
}Cette policy impose : pour les rôles Global Admin + Privileged Role Admin, sur toutes les apps, depuis n'importe quelle plateforme et localisation → device compliant + Passkey FIDO2 obligatoire + sign-in frequency 4h + Continuous Access Evaluation strict mode. C'est le minimum Tier 0 en 2026.
8. Erreurs fréquentes Zero Trust et anti-patterns
| Erreur | Symptôme | Fix |
|---|---|---|
| Zero Trust comme rebranding marketing | Stickers vendor sans changement réel | Suivre NIST SP 800-207 + CISA Maturity Model strict |
| Ignorer le pilier Identity | MFA partiel, pas de Passkeys, PIM absent | Identity = fondation, démarrer là obligatoirement |
| ZTNA sans MFA forte upstream | ZTNA bypass via credential stuffing | MFA partout incluant Passkeys Tier 0 |
| Microsegmentation flat L3 | Lateral movement encore possible east-west | Microsegmentation L3-L7 + service mesh mTLS |
| Pas de Continuous Access Evaluation | Token volé reste valide jusqu'à expiration | Activer CAE strict mode Entra ID |
| VPN legacy en parallèle indéfini | Coexistence dette technique sans deadline | Sunset VPN à 12-18 mois explicite |
| SSE sans intégration EDR | Device posture ignorée | Conditional Access sur device compliant Intune |
| Pas de mapping CISA Maturity Model | Pas de mesure progression | Audit annuel maturity level par pilier |
| Optimal niveau visé sans budget | Projet enlisé | Advanced solide vaut mieux qu'Optimal partiel |
| Pas de Passkeys Tier 0 admins | Storm-0558 like risk | Passkeys hardware FIDO2 sur tous admins Tier 0 |
9. ROI mesurable et tarification 2026
ROI typique d'un programme Zero Trust mature en 2026 :
| Métrique | VPN legacy | Zero Trust mature 2026 |
|---|---|---|
| MTTR sur compromise account | 30-90 jours (lateral movement libre) | 1-7 jours (per-app isolation) |
| Lateral movement post-credential theft | Trivial | Bloqué |
| UX télétravail | Tunnel manuel, latence 50-200 ms | Transparent, < 20 ms latence |
| Coverage SaaS apps | Limited (tunnel-bypass) | Native unifié |
| Compliance NIS2 / DORA / EO 14028 | Audit reconstitution manuelle | Demonstrated continuously |
| Coût ops VPN concentrators | 0.5-1 ETP + hardware | 0.2-0.4 ETP managed SaaS |
Tarification 2026 ordre de grandeur pour 1000 users :
| Stack | Coût annuel | Notes |
|---|---|---|
| VPN legacy (Cisco/Palo Alto/Fortinet) | 60-200 k€ + 0.5-1 ETP | Hardware + licence + maintenance |
| Microsoft Entra Internet Access + Private Access | ~110 k€ (bundle Entra P2 ~9 €/user/mois) | Si M365 E5 déjà acquis : marginal |
| Cloudflare One Enterprise | 60-300 k€ | Selon features activées |
| Zscaler ZIA + ZPA + ZDX bundle | 360-1 200 k€ | Premium pure-play |
| Palo Alto Prisma Access | 600-1 800 k€ | Premium, intégration NGFW |
| Netskope Intelligent SSE | 360-1 200 k€ | CASB + ZTNA + SWG mature |
| Twingate / Tailscale (PME) | 60-180 k€ | Accessible PME |
Position tranchée 2026 : pour orgs déjà M365 E5, Entra Internet Access + Private Access + Conditional Access + Defender XDR est le bundle le plus rentable car coût marginal sur licences existantes. Pour orgs hors-Microsoft, Cloudflare One est l'entry-level moderne, Zscaler / Netskope pour grand compte exigeant. Toujours mesurer le ROI vs VPN existant avant signature contrat, l'investissement Zero Trust se justifie en 12-24 mois sur prévention + UX + compliance combinés.
10. Mapping Zero Trust vers compliance frameworks 2026
| Framework | Exigence | Mapping Zero Trust |
|---|---|---|
| NIST SP 800-207 (août 2020) | Référence Zero Trust officielle | Mapping direct, source canonique |
| CISA Zero Trust Maturity Model 2.0 (avril 2023) | 5 piliers + 3 cross-cutting + 4 niveaux | Cadre de mesure progression |
| NIST CSF 2.0 (février 2024) | PR.AA, PR.PS, DE.CM, RS.MA | Zero Trust contribue Detect + Protect + Respond |
| NIST SP 800-53 r5 | AC, IA, SC, SI families | Zero Trust = collection de contrôles AC + IA |
| Executive Order 14028 (mai 2021) | Zero Trust Architecture obligatoire gov fédéral US | Mandate explicite |
| OMB M-22-09 (janvier 2022) | Deadline 2024 agencies fédérales US | Mandate explicite |
| NIS2 (transposée FR octobre 2024) | Article 21 (cybersecurity risk management) | Zero Trust = mesure technique attendue |
| DORA (UE applicable janvier 2025) | Article 9 (ICT security) | Zero Trust pour acteurs financiers UE |
| ISO/IEC 27001:2022 | A.5 (org), A.8 (technological controls) | Zero Trust contribue plusieurs annexes |
| PCI-DSS v4.0 (mars 2022, mandatory mars 2025) | Req 1, 7, 8, 11 | Zero Trust contribue plusieurs requirements |
| SOC 2 | CC6 (Logical access) | Zero Trust contribue CC6.1 + CC6.6 |
11. Pour aller plus loin
- IAM - Identity and Access Management, le pilier Identity, fondation Zero Trust.
- RBAC - Role-Based Access Control, modèle d'autorisation utilisé en Zero Trust.
- ABAC - Attribute-Based Access Control, autorisation contextuelle dans Zero Trust dynamique.
- EDR - Endpoint Detection and Response, pilier Devices avec posture validation.
- CNAPP - Cloud-Native Application Protection Platform, pilier Apps & Workloads cloud.
- Bootcamp DevSecOps, formation 12 semaines couvrant Zero Trust, ZTNA, IAM.
- Hub catégorie Glossaire cyber, autres définitions de référence Zeroday.
- NIST SP 800-207 (Zero Trust Architecture, août 2020) : https://csrc.nist.gov/pubs/sp/800/207/final.
- CISA Zero Trust Maturity Model 2.0 (avril 2023) : https://www.cisa.gov/zero-trust-maturity-model.
- John Kindervag « No More Chewy Centers » (Forrester, 2010) : référence académique introuvable en open accès, voir Kindervag papers ZT.
- Executive Order 14028 (mai 2021) : https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.
- OMB M-22-09 (janvier 2022) : https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf.
- Google BeyondCorp papers : https://cloud.google.com/beyondcorp.
- Gartner Magic Quadrant SSE : https://www.gartner.com/en/research/methodologies/magic-quadrants-research.
12. Points clés à retenir
- Zero Trust = « never trust, always verify ». Concept formalisé par John Kindervag (Forrester) en 2010, NIST SP 800-207 publié août 2020 = référence canonique.
- NIST SP 800-207 définit 7 tenets opérationnels qui sont la base technique de toute architecture Zero Trust.
- CISA Zero Trust Maturity Model 2.0 (avril 2023) : 5 piliers (Identity, Devices, Networks, Apps & Workloads, Data) + 3 cross-cutting (Visibility, Automation, Governance) + 4 niveaux (Traditional, Initial, Advanced, Optimal).
- Maturité 2026 : 50-60 % grandes orgs ont stratégie ZT formalisée, 20-30 % implémenté > 50 % surface, < 10 % au niveau Optimal.
- ZTNA (Zero Trust Network Access, Gartner 2019) remplace progressivement le VPN dans 70-80 % des grandes orgs 2026.
- SASE (Gartner août 2019, Neil MacDonald) = SD-WAN + ZTNA + SWG + CASB + FWaaS. SSE (Gartner 2021) = SASE moins SD-WAN.
- Leaders SSE 2026 : Zscaler (ZIA+ZPA+ZDX), Cloudflare One, Microsoft Entra Internet Access + Private Access, Palo Alto Prisma Access, Netskope, Cisco Secure Connect.
- Open-source / self-hosted : Twingate, Tailscale, Cloudflare Tunnel, OpenZiti, Pomerium, Hashicorp Boundary.
- Tarification 2026 : Cloudflare One 5-50 $/user/mois ; Microsoft Entra Internet Access ~9 €/user/mois bundle P2 ; Zscaler bundle 30-100 $/user/mois ; Palo Alto Prisma Access 50-150 $/user/mois.
- Drivers structurels : télétravail post-COVID, breaches via VPN compromise (SolarWinds 2020, Storm-0558 2023, Snowflake credential reuse 2024), NIS2 + DORA + EO 14028.
- Implémentation pragmatique 12-24 mois : Identity first → Devices → Networks → Apps → Data. Niveau Advanced suffit pour 80 % des orgs.
- Anti-pattern n°1 : Zero Trust comme rebranding marketing sans NIST SP 800-207 + CISA Maturity Model.
- Anti-pattern n°2 : ignorer le pilier Identity. 68 % des breaches impliquent identity selon Verizon DBIR 2024, c'est la fondation.
- Compliance : Zero Trust mappe NIST SP 800-207 (référence), CISA ZT Maturity Model 2.0, NIST CSF 2.0, EO 14028, OMB M-22-09, NIS2 article 21, DORA article 9, ISO 27001:2022, PCI-DSS v4.0, SOC 2.
