L’architecture “Zero Trust”, appelée aussi ZTNA (Zero Trust Network Architecture) correspond à un modèle de sécurité post-périmétrique. Celui-ci est basé sur la notion qu’il ne faut pas accorder de confiance par défaut à un terminal se connectant au réseau de l’entreprise quelle qu’en soit sa nature. Même si un terminal est connecté sur le réseau interne de l’entreprise, celui-ci doit faire l’objet de contrôle de sécurité pour s’assurer que le poste ne va pas être utilisé à des fins malveillantes. Le niveau de contrôle et les droits d’accès qui vont être accordés au poste qui se connecte vont varier en fonction de la situation dynamique de celui-ci. Les contrôles vont être particulièrement renforcés lorsque l’utilisateur souhaite se connecter au système d’information depuis une chambre d’hôtel à l’étranger, depuis un accès Wi-Fi public d’un aéroport ou son domicile.
On associe l’essor de ce modèle de sécurité au développement des utilisateurs nomades et au télétravail généralisé qui voit de plus en plus de collaborateurs vouloir accéder à des ressources IT de l’entreprise hors des locaux. La paternité du terme est attribuée à John Kindervag, analyste chez Forrester en 2009 mais ses concepts de base remontent au début des années 2000.
Le niveau de sécurité apporté par le modèle “Zero Trust” s’appuie sur 3 grands principes : D’une part, il ne faut systématiquement accorder aux utilisateurs et aux machines que des droits minimums, ne jamais faire confiance par défaut et toujours vérifier et monitorer systématiquement. Cette vérification s’appuie sur des données techniques telles que la nature du poste de travail, ses logiciels installés, son hardware, le réseau mis en œuvre, mais aussi sa géolocalisation et, bien évidemment, les moyens d’authentification qui vont être utilisés par l’utilisateur afin de lui accorder ou refuser des droits d’accès aux ressources IT de l’entreprise. La montée en puissance des services de sécurité dans le Cloud et des technologies d’Intelligence Artificielle a permis d’étendre les contrôles réalisés dynamiquement sur les accès, notamment afin d’analyser en temps réel le comportement des utilisateurs.