Zero Trust est-il un produit ?

Non, c'est une architecture de sécurité. Aucun produit ne fournit Zero Trust à lui seul. C'est un assemblage : NAC + ZTNA + Micro-segmentation + EDR + SIEM + IAM. Construire progressivement sur 2-5 ans.

Par où commencer Zero Trust ?

(1) Inventaire identités et devices, (2) IAM moderne avec MFA généralisé, (3) ZTNA pour remplacer VPN remote-access, (4) micro-segmentation par VRF/SGT, (5) NAC pour authentification filaire/Wi-Fi, (6) EDR sur tous les endpoints.

Architecture Zero Trust and ZTNA

April 15, 2026·3 min read·460 words

L'architecture Zero Trust Network Access (ZTNA) remplace progressivement le VPN traditionnel. Principe : 'ne jamais faire confiance, toujours vérifier' — chaque accès est authentifié, autorisé and chiffré en continu, indépendamment of the localisation. Part of SASE. Guide complet 2026.

Principes Zero Trust

Verify explicitly : tous les facteurs (user, device, location, time) for chaque requête
Least privilege access : micro-segmentation, juste-à-temps
Assume breach : toujours supposer que le network est compromis
Continuous verification : pas de 'session' long-lived trusted

ZTNA vs VPN classique

VPN : tunnel unique, accès plein au network interne (broad access)
ZTNA : tunnels per-application, accès limité to l'app précise
VPN : auth initial puis trust session
ZTNA : auth+auth continue (device posture + user context)
VPN : IP routable côté corporate (lateral movement possible)
ZTNA : IP opaque, pas de lateral movement

Architecture ZTNA

Service-initiated (SDP — Software-Defined Perimeter)

App publie elle-même its présence via connector sortant vers broker cloud. User → broker → connector → app. Cas : Cloudflare Access, Zscaler Private Access, Palo Alto Prisma Access.

Client-initiated (Agent-based)

Agent sur device utilisateur → broker → app. Plus de features (device posture, split tunnel). Cas : Netskope NPA, Cato SDP, Fortinet ZTNA.

Composants

Identity Provider (IdP) : Azure AD, Okta, Google Workspace
Device Trust : EDR agent (CrowdStrike, SentinelOne) + MDM (Intune)
ZTNA Broker : cloud service (Zscaler, Cloudflare, Prisma Access) or on-prem
Connectors : gateways applicatifs (Cloud Connector, App Connector)
Policy Engine : règles contextuelles (user, group, device, time, location, risk score)

Déploiement step-by-step

Phase 1 : pilote (1-2 mois)

Identifier 3-5 applications critiques internes (ERP, CRM, dev tools)
Déployer connectors for these apps
Enrôler 10-20 utilisateurs pilotes
Mesurer UX vs VPN

Phase 2 : extension (3-6 mois)

Migrer 80% of applications internes vers ZTNA
Intégrer SSO + MFA obligatoire
Integration EDR for device posture
VPN = backup uniquement

Phase 3 : decommission VPN (6-12 mois)

Décommissionner VPN legacy
Migrer cas d'usage restants (SSH, RDP admin) vers ZTNA
Audit continu

Solutions leaders

Zscaler Private Access (ZPA) : leader Gartner, maturité
Palo Alto Prisma Access : intégration SASE complète
Cloudflare Access : simple, pay-per-user, bonne UX
Netskope NPA : dataloss prevention integratede
Cisco Secure Access (Umbrella + Duo) : cloud Cisco
Fortinet ZTNA : integrated FortiGate + FortiClient, without abonnement cloud requis
Microsoft Entra Private Access : integrated M365 E5

ZTNA = brique SASE

SASE (Secure Access Service Edge) combine :

SD-WAN (connectivité)
ZTNA (accès privé)
SWG (Secure Web Gateway)
CASB (Cloud Access Security Broker)
DNS Security
FWaaS (Firewall-as-a-Service)

Coût

ZTNA pure : 6-12€ HT/user/mois
SASE complet : 15-25€ HT/user/mois
Rentabilité vs VPN + FW dédié : 3-5 ans typique for 500+ users

Commander chez OPTINOC

Déploiement ZTNA clé-en-main : Fortinet ZTNA natif FortiGate, Cisco Secure Access, Zscaler. Audit VPN → ZTNA. Devis sous 48h.