Qu’est-ce que le Zero Trust ?
Ce que le Zero Trust change vraiment
C’est une philosophie de sécurité, résumée en une formule devenue mantra : « ne jamais faire confiance, toujours vérifier ». Aucun utilisateur, appareil ou application n’obtient de crédit de confiance par défaut, pas même votre DSI. Que la connexion vienne du réseau interne ou d’un café à l’autre bout du monde, elle est traitée avec la même suspicion, jusqu’à preuve du contraire. Une rupture nette avec plusieurs décennies de pratiques établies.
Car la sécurité informatique a longtemps fonctionné sur une logique de périmètre : un mur solide autour du réseau, et tout ce qui se trouve derrière présumé fréquentable. Le problème, c’est que cette présomption d’innocence interne est précisément ce que les attaquants exploitent, un identifiant volé, un poste compromis.
Le Zero Trust balaie cette présomption de confiance. Chaque demande d’accès, à chaque instant, fait l’objet d’une évaluation individuelle et continue : identité, état de l’appareil, localisation, comportement, avant d’accorder l’accès à une ressource précise.

Historique du concept
Tout commence au milieu des années 2000, avec le Jericho Forum, un collectif d’experts qui théorise la « dé-périmétrisation » : l’idée que le mur unique censé tout protéger n’a plus de sens dès lors que les frontières de l’entreprise deviennent poreuses.
C’est John Kindervag, analyste chez Forrester Research, qui formalise le concept en 2010 dans un rapport resté célèbre, « No More Chewy Centers », les réseaux d’entreprise, comme certaines confiseries, protègent bien leur enveloppe mais laissent un cœur tendre une fois la coquille percée. C’est là que le terme « Zero Trust » apparaît pour la première fois.
En 2017, Gartner fait évoluer le concept vers un cadre baptisé CARTA, qui ne se limite plus à vérifier les accès au périmètre mais évalue en continu le risque associé à chaque interaction. Puis vient le tournant institutionnel : entre 2021 et 2022, le gouvernement fédéral américain impose le Zero Trust à ses agences, le faisant basculer du rang de bonne pratique à celui d’obligation réglementaire, budgets et sanctions à l’appui.
En un peu plus d’une décennie, le Zero Trust est ainsi passé d’un concept académique débattu dans des cercles restreints à un standard opérationnel exigé par les régulateurs et attendu par les clients. Une trajectoire qui épouse fidèlement celle de la menace elle-même.
Un langage technique commun : le NIST SP 800-207
Le décret fédéral américain de 2021-2022 a fait basculer le Zero Trust du rang de bonne pratique à celui d’obligation réglementaire. Mais un décret ne suffit pas à transformer une philosophie en architecture technique : il fallait un texte de référence, assez précis pour que des équipes IT différentes construisent des systèmes compatibles entre eux. C’est le rôle qu’a joué le NIST SP 800-207.
Publiée en 2020 par le National Institute of Standards and Technology, cette publication a précédé de peu le décret fédéral avant d’en devenir le socle technique de référence. En quelques années, elle est devenue le texte que tout expert cite dès qu’il s’agit de poser un cadre sérieux à une architecture Zero Trust, bien au-delà des frontières américaines et du secteur public.
Le document va plus loin qu’un simple slogan : il formalise les principes fondateurs et propose une architecture logique complète, assez précise pour servir de socle d’ingénierie. Son apport le plus structurant tient dans une distinction reprise dans quasiment toutes les architectures sérieuses : celle entre le plan de contrôle, qui évalue les demandes d’accès et applique les politiques et le plan de données, qui achemine le trafic une fois l’autorisation accordée. Séparer ces deux fonctions évite de mélanger logique de décision et logique d’exécution.
🎯Bon à savoir
Ce texte a également servi de fondation à d’autres référentiels aujourd’hui incontournables, à commencer par le modèle de maturité Zero Trust de la CISA, qui décline ces principes en étapes concrètes de progression. La plupart des guides sérieux sur la mise en œuvre du Zero Trust s’appuient, directement ou indirectement, sur ces fondations.
Le triptyque du Zero Trust : vérifier, restreindre, anticiper
Le NIST a beau formaliser le Zero Trust en un document de plusieurs dizaines de pages, sa mécanique tient en réalité sur trois réflexes :
- Vérifier en continu : aucun accès n’est jamais acquis durablement, identité, appareil, localisation et comportement sont réévalués à chaque session, via la MFA et l’analyse comportementale.
- Restreindre au strict nécessaire : chaque utilisateur n’obtient que les droits dont il a besoin ici et maintenant, jamais « au cas où », grâce à une attribution dynamique des accès plutôt qu’à des permissions permanentes.
- Anticiper la violation : plutôt que de miser sur une prévention illusoire, on part du principe que l’attaquant est déjà dans la place, d’où l’intérêt de cloisonner le réseau en compartiments étanches et de traquer en priorité les mouvements latéraux.
Vérifier sans relâche, restreindre au strict nécessaire, anticiper la violation plutôt que de l’espérer improbable : ce triptyque, décliné à tous les niveaux, constitue le socle sur lequel reposent ensuite les cinq piliers techniques de l’architecture Zero Trust.
Les piliers de l’architecture Zero Trust
Cinq piliers structurent une architecture Zero Trust digne de ce nom : identité, appareils, réseaux, applications et données. Chacun applique la même logique : vérification continue, moindre privilège, hypothèse de violation, mais à un niveau différent de votre infrastructure. Voici l’essentiel, synthétisé.
| Pilier | Enjeu central | Leviers concrets | Risque si négligé | |
| Identité | Le nouveau périmètre de sécurité — plus le réseau ne fait foi, c’est l’identité qui compte | MFA, gestion des identités et des accès (IAM/GIA), authentification unique (SSO), vérification continue en session, moindre privilège au niveau des comptes | Un identifiant volé suffit à ouvrir la porte : plus de 8 intrusions sur 10 en 2025 n’impliquaient aucun malware, seulement des identifiants légitimes détournés | |
| Appareils (endpoints) | Un appareil non maîtrisé annule la fiabilité de l’identité qui s’y connecte | Inventaire exhaustif des terminaux, contrôle de conformité à chaque accès, solutions EDR et UEM, gestion rigoureuse du BYOD | Près de la moitié des systèmes compromis détenant des identifiants d’entreprise sont des appareils personnels échappant aux politiques de sécurité | |
| Réseaux et microsegmentation | Contenir un intrus plutôt que de compter uniquement sur le périmètre | Microsegmentation en zones étanches, remplacement du VPN par le ZTNA, politiques d’accès propres à chaque segment, visibilité accrue sur les flux internes | Sans segmentation, un point d’entrée compromis ouvre l’accès à l’ensemble du réseau, c’est le mouvement latéral qui fait le plus de dégâts | |
| Applications et charges de travail | Les API et les workloads dialoguent entre eux sans confiance implicite | Autorisation dynamique et contextuelle des accès applicatifs, sécurité intégrée dès la conception (CI/CD), protection des environnements multicloud, surveillance des comportements anormaux | La quasi-totalité des organisations ont déjà rencontré un incident de sécurité lié à leurs API, une surface d’attaque longtemps négligée | |
| Données | Le trésor que tous les autres piliers protègent indirectement | Classification par sensibilité, chiffrement au repos et en transit, DLP, contrôle d’accès granulaire, traçabilité des usages | 7 entreprises sur 10 ne savent classer que la moitié, ou moins, de leurs données : impossible de protéger ce qu’on ne sait pas identifier | |
Les bénéfices du Zero Trust pour les organisations
Bénéfices en matière de sécurité
Qu’est-ce que le Zero Trust rapporte, concrètement, une fois déployé ?
- Une surface d’attaque réduite. Segmentation, ZTNA, moindre privilège : chaque pilier retire un point d’entrée à l’attaquant, et limite l’impact d’une violation quand elle survient malgré tout.
- Une détection plus rapide des menaces internes, la surveillance continue ne distinguant pas la menace externe de l’interne.
- Une meilleure maîtrise des accès tiers et fournisseurs, en refermant la confiance disproportionnée accordée aux partenaires.
- Une sécurisation renforcée de l’IoT, ces objets connectés rarement pensés pour la sécurité, désormais traités comme n’importe quelle autre entité du système d’information.
Bénéfices organisationnels et de conformité
Le Zero Trust profite aussi bien au-delà de la sécurité pure. Sur le plan réglementaire, ses principes : traçabilité, chiffrement, journalisation, recoupent déjà l’essentiel des exigences RGPD et NIS2, facilitant d’autant la mise en conformité.
Il sécurise également le travail hybride avec un niveau de protection identique où que se connecte le collaborateur, tout en poussant naturellement à consolider des outils de sécurité souvent redondants, accumulés au fil des années. S’ajoutent enfin une visibilité globale renforcée sur les usages et une adaptabilité naturelle au multicloud, puisque le Zero Trust ne repose jamais sur un périmètre géographique.
Un investissement, donc, qui dépasse la seule sécurité : agilité et efficacité opérationnelle en sont les bénéfices collatéraux.
Vous souhaitez évaluer la maturité Zero Trust de votre environnement Microsoft 365 ?
Comment mettre en œuvre une architecture Zero Trust ?
Étapes clés du déploiement
Le Zero Trust ne se déploie pas en un claquement de doigts. C’est une trajectoire qui suit six étapes :
- Définir la surface à protéger : données sensibles, applications critiques, actifs stratégiques. Vouloir tout sécuriser avec la même intensité, c’est le meilleur moyen de ne rien sécuriser correctement.
- Cartographier les flux et les parcours d’accès : qui accède à quoi, depuis où ? Cette photographie initiale révèle souvent des accès hérités depuis des années, jamais formalisés.
- Construire une architecture centrée sur l’identité et la microsegmentation : on active ici les principes détaillés dans cet article, en commençant par l’identité, le pilier le plus rapidement actionnable, avant les chantiers plus lourds de segmentation réseau.
- Déployer une surveillance et une journalisation continues, pensées dès la conception du projet et non ajoutées après coup.
- Adopter une approche progressive plutôt qu’un déploiement global immédiat, quitte à cohabiter un temps avec des systèmes hérités moins mûrs.
- Restituer les constats via une synthèse exécutive exploitable en comité de pilotage : un audit, aussi rigoureux soit-il, ne convainc personne enfermé dans un rapport de cinquante pages. Il faut traduire les écarts en priorités P0, P1, P2, dans un langage qui parle à la gouvernance.
C’est cette démarche, du diagnostic à la restitution exécutive, que nous allons maintenant illustrer à travers deux retours d’expérience concrets sur Microsoft 365.
Zero Trust appliqué à Microsoft 365
Retour d’expérience : sécuriser un environnement M365 dans le secteur de l’assurance (~550 utilisateurs)
Un premier retour d’expérience permet de mesurer concrètement ce que change une démarche Zero Trust sur un environnement Microsoft 365 réel. Ce cas concerne un acteur du secteur de l’assurance, environ 550 utilisateurs, engagé dans un audit complet de sa posture de sécurité.
L’audit mené
- Audit M365 complet via 38 exports structurés : identité, Conditional Access, rôles, applications connectées, Exchange, Secure Score, gouvernance B2B.
- Baseline Conditional Access 2026 : 6 contrôles sur 10 couverts, avec trois écarts critiques — absence de MFA généralisée, protocoles d’authentification legacy non bloqués, Identity Protection non activée.
- Gouvernance applicative : près de 90 identifiants expirés cartographiés, source potentielle de rupture de service ou d’abus.
- Posture email : Safe Links, anti-phishing, DKIM/SPF, résidus de protocoles legacy.
- Feuille de route priorisée P0 à P2, alignée CIS Microsoft 365 v7, NIST CSF 2.0 et MITRE ATT&CK cloud.
- Restitution en synthèse exécutive devant le comité de pilotage DSI/RSSI.
Ce que cette démarche a apporté
Cette démarche a permis d’objectiver la posture Zero Trust de l’organisation, en distinguant clairement les points forts déjà en place des écarts nécessitant une action immédiate. Trois actions P0 ont ainsi pu être priorisées avant tout autre chantier.
Elle a aussi accéléré la trajectoire Zero Trust globale, avec un basculement du modèle fondé sur la confiance réseau local vers un plan combinant MFA universelle, blocage des protocoles legacy et authentification renforcée pour les comptes à privilèges. Enfin, elle a fourni un support décisionnel chiffré, qui a permis de justifier l’investissement dans une licence Entra ID P2 et le lancement d’une campagne MFA visant 95 % de couverture.
Retour d’expérience : sécuriser un environnement M365 dans une collectivité territoriale (~2 000 agents)
Deuxième retour d’expérience, cette fois dans le secteur public : une collectivité territoriale d’environ 2 000 agents, confrontée à un environnement Microsoft 365 hétérogène, hérité de plusieurs années de déploiements successifs sans revue de fond.
L’audit mené
- Audit 360° de l’environnement M365 : identité (Entra ID), Exchange Online, SharePoint/OneDrive, Secure Score, gouvernance applicative.
- Cartographie des accès privilégiés : rôles administrateurs, comptes d’urgence break-glass, invités externes, droits attribués hors rôle standard.
- Analyse Zero Trust de l’identité : couverture MFA, politiques d’accès conditionnel (dont géo-restriction), méthodes d’authentification autorisées, réinitialisation en libre-service (SSPR).
- Revue des surfaces d’attaque email : protocoles legacy encore actifs (SMTP AUTH, POP/IMAP), dispositifs anti-hameçonnage, audit des boîtes aux lettres.
- Évaluation du partage de données : paramètres d’exposition externe SharePoint/OneDrive et risques associés aux données sensibles.
- Feuille de route priorisée, alignée CIS Microsoft 365 Foundations Benchmark v7, NIST CSF 2.0 et baseline Conditional Access 2026 (MFA généralisée, blocage de l’authentification legacy, MFA renforcée pour les comptes admins).
Ce que cette démarche a apporté
Cette démarche a offert à la collectivité une vision unifiée et mesurable de sa posture de sécurité, avec des écarts critiques hiérarchisés en P0/P1/P2, comptes sans MFA, politiques d’accès conditionnel restées en mode « audit seul ».
Elle a permis de structurer une feuille de route Zero Trust progressive et testable, et fourni une base factuelle pour arbitrer entre DSI, directions métiers et élus sur les sujets sensibles, avec des livrables réutilisables en comité de pilotage comme en préparation d’un contrôle réglementaire.
Le Zero Trust n’est plus réservé aux grandes agences fédérales : c’est désormais le standard vers lequel toute organisation doit tendre, pilier après pilier. Les deux retours d’expérience présentés plus haut le confirment : la théorie ne prend tout son sens qu’au contact d’un environnement réel.
C’est cet accompagnement que BSD propose sur vos environnements Microsoft 365 : diagnostic factuel, feuille de route priorisée et déploiement concret, appuyés sur les référentiels de référence (NIST, CISA, CIS Microsoft 365).
Vous souhaitez connaître votre niveau de maturité Zero Trust ? Nos experts vous accompagnent.
À retenir
aucun
Qu’est-ce que le Zero Trust ?
Le Zero Trust est une philosophie de sécurité fondée sur un principe unique : ne jamais faire confiance, toujours vérifier. Aucun utilisateur, appareil ou application n’obtient de crédit de confiance par défaut. Chaque demande d’accès est évaluée individuellement : identité, état de l’appareil, localisation, comportement, avant d’être accordée.
Le Zero Trust est-il compatible avec un environnement Microsoft 365 ?
Oui, Microsoft 365 est l’un des environnements les mieux outillés pour une mise en œuvre Zero Trust : Entra ID, Conditional Access, MFA, Identity Protection et Secure Score couvrent l’essentiel des piliers identité et appareils. La gouvernance des identités peut être gérée depuis le même annuaire Active Directory que les accès aux emails et documents SharePoint.
Par où commencer pour déployer une architecture Zero Trust ?
Commencer par définir la surface à protéger : données sensibles, applications critiques, puis cartographier qui accède à quoi et depuis où. Le pilier identité est le plus rapidement actionnable : activation de la MFA, blocage des protocoles d’authentification legacy et gestion des comptes à privilèges constituent les actions P0 avant tout autre chantier.
Quels sont les bénéfices concrets du Zero Trust pour une organisation ?
Le Zero Trust réduit la surface d’attaque via la microsegmentation et le moindre privilège, accélère la détection des menaces internes et renforce la maîtrise des accès tiers. Au-delà de la sécurité, il facilite la conformité RGPD et NIS2, sécurise le travail hybride et offre une visibilité globale sur les usages, quel que soit l’environnement, on-premise, cloud ou hybride.

