Mettre en œuvre Zero Trust : NIST SP 800-207, identités et microsegmentation

📍 Article de référence : Sécuriser les systèmes d’information : guide complet 2026
Ce tutoriel détaille la mise en œuvre opérationnelle d’une architecture Zero Trust. Pour la vue d’ensemble, consultez le guide de référence.

Le modèle traditionnel de sécurité reposait sur une distinction binaire : l’intérieur du réseau d’entreprise est de confiance, l’extérieur ne l’est pas. Une fois la frontière franchie — connecté en VPN ou physiquement présent dans les locaux — un utilisateur ou une machine bénéficiait d’un accès large, souvent disproportionné à son rôle. Ce modèle s’est effondré sous quatre pressions convergentes : le télétravail systémique, la migration des charges vers le cloud, la prolifération des appareils non gérés (BYOD), et la sophistication des compromissions d’identifiants. La réponse architecturale est le Zero Trust — formalisé par le NIST dans la publication SP 800-207 (août 2020) — qui érige en principe absolu : ne jamais faire confiance, toujours vérifier.

Prérequis conceptuels et organisationnels

• Un programme de sécurité existant — Zero Trust n’est pas un produit, c’est une transformation architecturale qui s’étale sur 18 à 36 mois.
• Un fournisseur d’identité moderne déjà déployé (voir le tutoriel Authentification forte et IAM).
• Un sponsor de direction (DSI, RSSI ou COMEX) avec mandat clair, car le projet touche l’ensemble du SI.
• Niveau attendu : architecte sécurité ou senior infrastructure.
• Temps estimé pour la lecture et le design initial : 4 heures ; pour une implémentation complète : 12 à 24 mois.

Étape 1 — Les principes fondamentaux selon NIST SP 800-207

La publication NIST SP 800-207 Zero Trust Architecture, publiée en août 2020 et restée la référence en 2026, formalise sept principes (tenets) qui définissent ce qu’est une architecture Zero Trust :

1. Toutes les sources de données et services informatiques sont considérés comme des ressources. Un capteur IoT, une API interne, une boîte mail, un fichier dans un share, un cluster Kubernetes — tous sont des ressources qui méritent une politique d’accès explicite.
2. Toute communication est sécurisée indépendamment de la localisation réseau. Un flux interne entre deux serveurs du data center est traité avec les mêmes exigences (chiffrement, authentification mutuelle) qu’un flux Internet — la notion de réseau interne de confiance est abolie.
3. L’accès aux ressources est accordé sur une base par session. Une authentification réussie ouvre l’accès à une ressource précise pour une durée précise, pas un accès permanent à un réseau.
4. L’accès est déterminé par une politique dynamique qui combine identité, état de l’appareil (posture), contexte applicatif, et attributs comportementaux. La politique n’est pas une liste de règles figées mais un moteur qui évalue en temps réel.
5. L’organisation surveille et mesure l’intégrité et la posture de sécurité de tous ses actifs. Aucun appareil n’est de confiance par défaut — chaque connexion vérifie l’état actuel (correctifs, EDR actif, conformité).
6. Toute l’authentification et l’autorisation des ressources sont dynamiques et strictement appliquées avant l’accès. La vérification est continue, pas ponctuelle à l’ouverture de session.
7. L’organisation collecte autant d’information que possible sur l’état actuel des actifs, l’infrastructure réseau, et les communications, et l’utilise pour améliorer sa posture de sécurité. Le télémétrie continue alimente le moteur de décision et le SIEM.

Étape 2 — Les composants logiques du modèle

NIST SP 800-207 décompose l’architecture Zero Trust en trois composants logiques centraux, séparés volontairement pour éviter qu’une compromission d’un composant ne dégrade tout l’ensemble :

• Policy Engine (PE) — Le cerveau. C’est le composant qui décide si une demande d’accès est autorisée ou refusée, en consommant les signaux suivants : identité de l’utilisateur (provenant du fournisseur d’identité), posture de l’appareil (MDM, EDR), contexte de la requête (heure, géolocalisation, type de réseau), sensibilité de la ressource demandée, comportement passé de l’identité (UEBA). Le moteur applique des politiques exprimées dans un langage déclaratif (Rego avec OPA, par exemple) et émet une décision Permit / Deny / Permit with caveats.
• Policy Administrator (PA) — Le porte-parole. Reçoit la décision du Policy Engine et émet les commandes nécessaires aux Policy Enforcement Points pour l’appliquer : génération d’un token d’accès temporaire, ouverture d’une session, fermeture d’une session existante en cas de changement de posture.
• Policy Enforcement Point (PEP) — Le bras armé. Présent à proximité immédiate de chaque ressource (ou intégré dedans), il intercepte chaque tentative d’accès et la soumet à la décision du Policy Engine via le Policy Administrator. Selon les implémentations : agent local sur l’endpoint, proxy applicatif (Identity-Aware Proxy de Google, AWS Verified Access), gateway API, sidecar Envoy dans une mesh de services.

Le NIST identifie trois variantes d’implémentation pratique selon le rapport entre PE/PA et PEP :

• Resource-based deployment : un PEP par ressource, généralement intégré (sidecar). Adapté aux architectures microservices.
• Enclave-based deployment : un PEP devant un groupe de ressources homogènes. Adapté aux migrations progressives de SI existants où on regroupe par segment.
• Cloud-routed deployment : le trafic transite par un service cloud (SASE, Secure Service Edge) qui héberge PE/PA/PEP. Adapté aux organisations mobiles et multi-cloud.

Étape 3 — Identités et authentification continue

La pierre angulaire du Zero Trust est l’identité. Sans identité forte et vérifiée, aucun des autres principes ne tient. Les prérequis indispensables :

• Fournisseur d’identité unique pour utilisateurs et services (Keycloak, Entra ID, Okta, Google IAM, AWS IAM Identity Center) avec fédération vers les annuaires existants.
• MFA universel, résistant au phishing (WebAuthn/FIDO2 idéalement, TOTP en transition) — l’authentification est revérifiée à intervalle régulier ou sur événement (changement de posture, accès à une ressource hautement sensible).
• Identités des charges de travail (workload identities) — chaque microservice, conteneur, fonction lambda dispose d’une identité cryptographique propre (SPIFFE/SPIRE, mTLS avec certificats X.509 émis par une PKI interne, IAM roles cloud) au lieu de partager des secrets statiques.
• Rotation systématique des secrets — clés API, tokens de service, certificats X.509 ont des durées de vie courtes (heures à quelques jours) et tournent automatiquement.
• Just-In-Time access — les privilèges administrateur sont attribués à la demande pour une durée limitée, après validation (workflow d’approbation, MFA renforcé), au lieu d’être permanents. Outils : Microsoft Privileged Identity Management, AWS IAM with permission boundaries, Teleport, Boundary HashiCorp.

Étape 4 — Posture de l’appareil et conformité continue

Une identité forte sur un appareil compromis n’apporte aucune sécurité. Le Zero Trust impose donc une vérification continue de la posture de l’appareil avant chaque accès sensible :

• OS à jour — version supportée, correctifs critiques appliqués sous 14 jours.
• Chiffrement disque actif — BitLocker, FileVault, LUKS (cf. tutoriels Durcissement Windows et Durcissement Linux).
• EDR actif et reportant — l’absence de check-in EDR depuis plus de 24h dégrade la posture et restreint les accès.
• MDM enrôlé — pour les appareils mobiles et les Mac/PC personnels utilisés professionnellement (BYOD géré).
• Pas de jailbreak ou root — détecté par MDM ou par les attestations matérielles (Android SafetyNet, iOS DeviceCheck, Windows Device Attestation).

Côté implémentation, des produits comme Microsoft Intune + Conditional Access dans l’écosystème Microsoft 365, Google BeyondCorp Enterprise / Chrome Enterprise Premium dans l’écosystème Google, ou des solutions agnostiques comme Cloudflare Zero Trust, Zscaler Private Access, Tailscale Tailnet Policy permettent de matérialiser ces contrôles.

Étape 5 — Microsegmentation par identité applicative

Dans une architecture Zero Trust, le réseau n’est plus le périmètre de confiance. La microsegmentation impose que chaque charge de travail communique uniquement avec celles strictement nécessaires, avec une politique exprimée en termes d’identité applicative (pas d’IP). En Kubernetes, cela se traduit par des NetworkPolicy appliquées par un CNI compatible (Cilium, Calico) :

# Exemple : la base de données acceptera uniquement les connexions du service order-api
# dans le namespace orders, sur le port 5432.
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: db-orders-allow-api
  namespace: orders
spec:
  podSelector:
    matchLabels:
      app: orders-database
  policyTypes:
    - Ingress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: order-api
      ports:
        - protocol: TCP
          port: 5432

# Application et vérification
kubectl apply -f network-policy-orders.yaml
kubectl describe networkpolicy -n orders db-orders-allow-api

# Test : un pod arbitraire ne doit PAS pouvoir joindre la base
kubectl run test --image=busybox --rm -it -- nc -zv orders-database.orders.svc.cluster.local 5432
# Attendu : timeout / refused

Pour les charges hors Kubernetes (VM, serveurs bare-metal, équipements industriels), des solutions de microsegmentation distribuée comme Illumio, Akamai Guardicore ou VMware NSX appliquent les politiques par identité applicative découverte via agents légers ou intégration vSphere. Le projet open-source NetBird et Tailscale (basés sur WireGuard) implémentent un Zero Trust Network Access (ZTNA) léger pour les petites et moyennes organisations.

Étape 6 — Identités des charges de travail : SPIFFE/SPIRE et mTLS

Le défi du Zero Trust pour les services est de leur attribuer une identité cryptographique vérifiable, sans secret partagé. Le standard ouvert SPIFFE (Secure Production Identity Framework For Everyone) et son implémentation de référence SPIRE, projets gradués CNCF, fournissent à chaque charge un SPIFFE Verifiable Identity Document (SVID) au format X.509 ou JWT, signé par une autorité de confiance interne.

Architecture simplifiée :

• Un SPIRE Server dans chaque environnement (cluster, région) émet les SVID.
• Un SPIRE Agent est déployé sur chaque nœud Kubernetes ou VM. Il atteste l’identité du nœud (via Kubernetes Service Account Token, AWS instance identity document, GCP Workload Identity) puis récupère un SVID pour chaque charge de travail qu’il héberge.
• Les charges de travail consomment leur SVID via l’API Workload (socket Unix local, jamais réseau) — pas de secret transitant sur le réseau, pas de fichier à protéger.

Les SVID X.509 permettent ensuite l’établissement de canaux mTLS (mutual TLS) entre services : chaque partie présente son certificat, l’autre vérifie qu’il est signé par l’autorité interne et que l’identité (SPIFFE ID au format spiffe://exemple.io/ns/orders/sa/order-api) correspond à ce qu’elle attend. Le service mesh Istio ou Linkerd peut intégrer SPIFFE pour automatiser cela sans modification applicative.

Étape 7 — ZTNA et accès distant moderne

L’accès distant à un VPN classique consiste à dropper l’utilisateur sur un segment réseau interne avec un large accès. Le Zero Trust Network Access (ZTNA) remplace ce modèle par un accès par application : l’utilisateur authentifié accède uniquement aux applications spécifiques auxquelles sa politique l’autorise, jamais au réseau sous-jacent. Aucune route IP, pas de mouvement latéral possible.

Implémentations courantes en 2026 :

• Cloudflare Access — service cloud qui place un reverse proxy authentifié devant chaque application. L’application accepte uniquement les requêtes signées par Cloudflare (header Cf-Access-Jwt-Assertion à vérifier côté serveur).
• Tailscale (open-source WireGuard managé) — connecte les appareils dans un réseau privé chiffré où chaque accès est régi par des ACL identité-centriques (Tailnet policy file en HuJSON).
• NetBird (open-source, auto-hébergeable) — alternative à Tailscale entièrement contrôlée par l’organisation.
• Teleport — bastion identité-centrique pour SSH, RDP, Kubernetes API, bases de données, avec enregistrement de session et MFA par défaut.
• Zscaler Private Access — solution cloud entreprise complète intégrant ZTNA, CASB et SWG.

Le tutoriel pratique de déploiement Tailscale ou NetBird sera l’objet d’un article dédié dans ce parcours.

Étape 8 — Trajectoire de mise en œuvre réaliste

Une transformation Zero Trust ne s’opère pas en un trimestre. Le NIST et la CISA proposent un modèle de maturité en cinq stades dans le Zero Trust Maturity Model publié par la CISA (version 2.0, avril 2023) : Traditional → Initial → Advanced → Optimal pour chacun des cinq piliers (Identity, Devices, Networks, Applications & Workloads, Data) avec des fonctions transverses Visibility, Automation, Governance.

Trajectoire pragmatique en quatre vagues sur 24 mois :

1. Vague 1 — Fondations (6 mois). Consolidation du fournisseur d’identité unique, MFA universel (TOTP minimum, FIDO2 pour les privilégiés), inventaire complet des actifs et des flux applicatifs, déploiement EDR partout, journalisation centralisée vers un SIEM.
2. Vague 2 — Conditional Access (6 mois). Politiques d’accès conditionnel sur les applications SaaS critiques (Microsoft 365, Google Workspace, Salesforce, ServiceNow) — vérification de la posture appareil avant accès, MFA renforcé pour les sessions privilégiées, blocage des géolocalisations à risque.
3. Vague 3 — Microsegmentation (6 mois). Microsegmentation des charges Kubernetes (NetworkPolicies + Cilium), microsegmentation des serveurs critiques par solution agentielle, remplacement progressif du VPN d’accès distant par ZTNA, mTLS systématique pour les communications interservices.
4. Vague 4 — Optimisation (6 mois et au-delà). UEBA (User and Entity Behavior Analytics) sur le SIEM, automatisation de la réponse (SOAR), identités SPIFFE pour les charges critiques, déprovisioning automatique des accès dormants, gouvernance unifiée des données (DLP, classification automatique).

Le KPI structurant est le pourcentage d’accès aux ressources passant par le Policy Engine. À 100 %, l’organisation est en architecture Zero Trust complète. La progression réaliste : 30 % en fin de vague 2, 70 % en fin de vague 3, 95 %+ en fin de vague 4.

Erreurs fréquentes à éviter

Tutoriels complémentaires

• Authentification forte et IAM : MFA, SSO, OAuth 2.0/OIDC et Keycloak — la fondation indispensable d’identité forte.
• Durcissement Linux : Benchmarks CIS, SSH, pare-feu et AppArmor — posture appareil Linux conforme à Zero Trust.
• Durcissement Windows : GPO, BitLocker, Defender et AppLocker — posture appareil Windows conforme à Zero Trust.
• 🔝 Retour au guide complet : Sécuriser les systèmes d’information : guide complet 2026.

Questions fréquentes (FAQ)

Q : Zero Trust est-il accessible à une petite organisation ?
R : Oui, et c’est même souvent plus facile qu’en grand groupe. Une PME de 50 utilisateurs peut atteindre un Zero Trust crédible avec : un fournisseur d’identité SaaS (Google Workspace, Microsoft 365), MFA universel par WebAuthn (passkeys), un ZTNA cloud (Cloudflare Access ou Tailscale), un MDM léger (Jamf, Intune) — l’investissement annuel reste modeste, et l’absence de dette technique facilite la transformation.

Q : Le ZTNA remplace-t-il complètement le VPN ?
R : Pour l’accès utilisateur aux applications, oui — sans regret. Le VPN site-à-site entre deux datacenters peut conserver son rôle, mais le VPN d’accès distant individuel est obsolète dans une architecture moderne.

Q : Quelle différence entre Zero Trust et SASE ?
R : Le SASE (Secure Access Service Edge) est une catégorie de solutions cloud qui combine SD-WAN, SWG (Secure Web Gateway), CASB (Cloud Access Security Broker) et ZTNA dans une plateforme unifiée. Le SASE est une implémentation possible du Zero Trust pour les organisations qui veulent un service managé global. Zero Trust est l’architecture cible ; SASE est un produit qui aide à y arriver.

Q : Comment justifier l’investissement Zero Trust auprès de la direction ?
R : Trois leviers chiffrables. Premièrement, la réduction du coût d’incident — un incident majeur coûte en moyenne 4,44 M\$ en 2025 (IBM), une posture Zero Trust mature divise typiquement ce coût par deux selon les enquêtes Forrester. Deuxièmement, la conformité réglementaire — NIS2, DORA et certaines exigences sectorielles convergent explicitement vers les principes Zero Trust. Troisièmement, l’agilité opérationnelle — Zero Trust facilite le télétravail durable, l’intégration de partenaires externes (M&A), l’adoption multi-cloud.

Q : Quels sont les pièges des solutions « Zero Trust » des fournisseurs ?
R : Trois principaux. Le lock-in de plateforme (la politique exprimée dans le langage propriétaire d’un fournisseur est non-portable). Le coût de licence par utilisateur qui devient prohibitif au-delà de quelques milliers de comptes. La couverture incomplète des charges héritées (mainframes, équipements industriels, applications anciennes) qui maintient des exceptions structurelles. Évaluer en POC avec un périmètre représentatif avant tout engagement contractuel.

Références et ressources officielles

• NIST SP 800-207 Zero Trust Architecture (août 2020) — csrc.nist.gov/publications/detail/sp/800-207
• CISA Zero Trust Maturity Model v2.0 (avril 2023) — cisa.gov/zero-trust-maturity-model
• OMB Memorandum M-22-09 Federal Zero Trust Strategy — whitehouse.gov/M-22-09
• SPIFFE / SPIRE — spiffe.io
• Kubernetes NetworkPolicy — kubernetes.io/docs/concepts/services-networking/network-policies
• Cilium documentation — docs.cilium.io
• Tailscale docs — tailscale.com/kb
• Teleport docs — goteleport.com/docs
• Google BeyondCorp publications — cloud.google.com/beyondcorp