Publié le 28 juillet 2025
Introduction
La sécurité périmétrique traditionnelle – fondée sur le concept du « trust but verify » – est aujourd’hui dépassée. Les réseaux hybrides, le télétravail, le SaaS et les menaces internes rendent la confiance implicite d’un réseau local extrêmement risquée. C’est dans ce contexte que s’impose le Zero Trust Network Access (ZTNA), une approche radicalement différente basée sur le principe du « Never Trust, Always Verify ».
Dans cet article, nous explorons l’architecture ZTNA, ses principes fondamentaux, et une méthode concrète de mise en œuvre dans un environnement réel.
1. Principes fondamentaux du ZTNA
Le Zero Trust repose sur quelques piliers clés :
- Vérification explicite : chaque demande d’accès est validée dynamiquement (identité, appareil, contexte).
- Moindre privilège : chaque utilisateur n’a accès qu’au strict nécessaire, selon son rôle et son niveau de risque.
- Micro-segmentation : le réseau est découpé en zones cloisonnées pour limiter les mouvements latéraux.
- Confiance dynamique : la confiance peut changer en temps réel selon les signaux de sécurité (état de l’appareil, géolocalisation, méthode d’authentification, etc.).
2. Architecture de référence ZTNA
Voici les composants essentiels d’une architecture Zero Trust typique :
a. Contrôleur d’accès (Policy Engine)
Centre de décision qui applique les règles d’accès.
Exemples : Zscaler ZPA, Cloudflare Access, Cisco Duo, ou solutions open source comme OPA (Open Policy Agent).
b. Connecteurs ou proxies d’accès
Portails intermédiaires (cloud ou on-premise) qui assurent un tunnel d’accès sécurisé entre l’utilisateur et l’application cible.
Ils remplacent efficacement les VPN traditionnels.
c. Identity Provider (IdP)
Fournisseur d’identité : Azure Active Directory, Okta, Keycloak, etc.
Intègre l’authentification multifactorielle (MFA) et la gestion des sessions.
d. Agents / clients ZTNA
Agents installés sur les postes clients pour vérifier la posture de sécurité, établir le tunnel chiffré et signaler des indicateurs de risque.
e. Moteur de politique de sécurité
Orchestre les règles d’accès en fonction de plusieurs facteurs : identité, appareil, localisation, heure, comportement antérieur, etc.
3. Mise en œuvre concrète
Cas : sécuriser un accès distant à une application CRM interne pour les collaborateurs en télétravail.
Étape 1 : Choix des outils
- ZTNA Provider : Cloudflare Zero Trust (gratuit et scalable)
- Identity Provider : Azure Active Directory
- Application cible : CRM hébergé en local sur 192.168.10.20:443
- Agent : Client Cloudflare Warp
Étape 2 : Déploiement du connecteur ZTNA
Sur un serveur proche de l’application, installer Cloudflare Tunnel :
cloudflared tunnel create mon-crm
cloudflared tunnel route dns mon-crm.exemple.com
Configurer la politique pour restreindre l’accès aux seuls utilisateurs authentifiés via Azure AD.
Étape 3 : Définition des politiques d’accès
Depuis le tableau de bord Cloudflare Zero Trust :
- Source autorisée : adresses email en @starmtech.fr
- Authentification : via Azure AD + MFA
- Posture de l’appareil : OS à jour, chiffrement activé, antivirus en cours d’exécution
Étape 4 : Installation et configuration des agents
Déploiement de l’agent Cloudflare Warp sur les endpoints.
Forcer l’authentification via SSO.
Valider la conformité de la posture système (via MDM ou politiques locales).
Étape 5 : Journalisation et supervision
Activer les logs dans Cloudflare Access.
Exporter les événements vers un SIEM comme Wazuh, Graylog ou Splunk.
Configurer des alertes (tentatives suspectes, géolocalisation inhabituelle, etc.).
4. Cas d’usage avancé : entreprise multisites
Contexte :
Entreprise disposant de plusieurs bureaux physiques, avec des utilisateurs en télétravail et des applications critiques hébergées localement.
ZTNA permet :
- Réduction de la surface d’attaque (pas de port ouvert en DMZ)
- Contrôle granulaire des accès, application par application
- Élimination des VPN classiques
- Centralisation des politiques d’accès et des logs
- Mise à l’échelle sans complexité réseau
5. Bonnes pratiques pour une implémentation ZTNA réussie
- Appliquer strictement le principe du moindre privilège
- Revalider fréquemment les accès utilisateurs (expiration de sessions, MFA)
- Intégrer un moteur de posture d’appareil (MDM, EDR)
- Mettre en place une micro-segmentation réseau
- Corréler les événements via un SIEM
- Réaliser des audits réguliers sur les règles d’accès
6. Comparatif : ZTNA vs VPN
| Critère | VPN traditionnel | ZTNA (Zero Trust) |
|---|---|---|
| Accès | Réseau complet | Application spécifique |
| Authentification | Simple ou MFA | MFA + vérification dynamique |
| Sécurité | Basée sur le périmètre | Basée sur l’identité et le contexte |
| Journalisation | Limitée | Granulaire et centralisée |
| Déploiement | Infrastructure lourde | Léger, souvent cloud-native |
Conclusion
Le Zero Trust Network Access est devenu une approche incontournable pour protéger efficacement les ressources critiques des entreprises modernes. Contrairement aux VPN traditionnels, ZTNA permet de contrôler chaque accès de manière granulaire, dynamique et contextualisée.
Sa mise en œuvre n’est pas réservée aux grandes entreprises : des solutions comme Cloudflare, Tailscale ou Google BeyondCorp permettent de déployer une architecture Zero Trust même dans des environnements réduits.
Il est conseillé de commencer par une ou deux applications internes, de valider la chaîne d’accès complète, puis d’étendre progressivement la couverture à l’ensemble des services.
