En août 2019, le terme « zero trust » circule partout en sécurité, mais il reste souvent mal expliqué, noyé dans le jargon de fournisseurs. Comme directeur technique, je veux le sortir de ce flou pis le ramener à une idée simple. Le zero trust, c’est un changement de mentalité: arrêter de faire confiance par défaut à ce qui est « à l’intérieur » du réseau, pis vérifier chaque accès, chaque fois, peu importe d’où il vient. Pour mes dealers, c’est une réponse au fait que le vieux modèle ne tient plus.

Le vieux modèle, c’était le château fort: un gros mur autour du réseau, un fossé, pis une fois à l’intérieur, on te faisait confiance. Le problème? Une fois qu’un attaquant franchit le mur, il se promène librement. Pis avec le télétravail, le cloud pis les mobiles, le « à l’intérieur » ne veut presque plus rien dire.

Du château fort à la vérification continue

Le zero trust renverse la logique. Au lieu de protéger un périmètre, on protège chaque ressource. Chaque demande d’accès est vérifiée: qui es-tu, depuis quel appareil, as-tu le droit pour cette ressource précise, maintenant? La confiance n’est jamais acquise; elle se prouve à chaque fois.

flowchart TD
    R[Une demande d'accès arrive] --> Q{Quel modèle?}
    Q -->|Château fort| A[Gros mur autour du réseau]
    Q -->|Zero trust| Z[Vérifier chaque accès]
    A --> A1[Une fois dedans =<br/>confiance totale]
    A1 --> A2[L'attaquant qui entre<br/>se promène librement]
    Z --> V1{Qui?}
    Z --> V2{Quel appareil?}
    Z --> V3{Quel droit?}
    V1 --> H[Confiance jamais acquise,<br/>toujours prouvée]
    V2 --> H
    V3 --> H
    H --> I[Un intrus reste coince a chaque porte]

Pour mes dealers, ça se traduit par des choses concrètes: authentification forte partout, droits limités au strict nécessaire, segmentation du réseau pour qu’une brèche ne donne pas accès à tout, pis surveillance continue. L’idée n’est pas magique; c’est une discipline appliquée à chaque porte plutôt qu’à un seul gros mur.

Sortir du jargon, garder le bon sens

Mon réflexe de directeur technique, c’est de me méfier des fournisseurs qui vendent « une solution zero trust » comme un produit qu’on installe. Le zero trust n’est pas un boîtier qu’on achète; c’est une approche qu’on adopte, morceau par morceau. Vouloir tout faire d’un coup, c’est se paralyser.

Le piège, c’est de se laisser séduire par le terme à la mode pis d’oublier le problème réel qu’il règle: limiter les dégâts quand — pas si — quelqu’un franchit une première barrière. Le zero trust, bien compris, c’est juste du bon sens de sécurité poussé à sa logique: on ne fait confiance à personne aveuglément, pis on rend la vie difficile à un intrus à chaque étape.

Ce que je retiens

En août 2019, sortir le zero trust du jargon, c’est le ramener à une idée claire: ne jamais faire confiance par défaut, vérifier chaque accès, chaque fois. C’est la fin du modèle château fort, dépassé par le cloud, le mobile pis le télétravail.

Pour mes dealers, ça veut dire authentification forte, droits minimaux, segmentation pis surveillance — adoptés morceau par morceau, pas comme un produit miracle. Le zero trust n’est pas un boîtier qu’on achète; c’est une discipline qu’on applique à chaque porte. Bien compris, c’est du bon sens: limiter les dégâts quand quelqu’un finit par entrer. Pis ça, ce n’est pas une mode — c’est devenu une nécessité.