Dans un contexte où les utilisateurs se connectent aux ressources d’entreprise depuis partout (bureaux distants, télétravail, terminaux mobiles, environnements cloud), les modèles de sécurité périmétriques traditionnels montrent leurs limites. Les VPN historiques ne suffisent plus à protéger les données et applications sensibles.
C’est ici qu’intervient le ZTNA (Zero Trust Network Access) : une approche innovante qui applique le principe du Zero Trust Security aux accès réseau. L’objectif : ne jamais faire confiance par défaut, toujours vérifier, et accorder un accès granulaire aux ressources.
Le Zero Trust Network Access est un modèle d’accès réseau fondé sur le principe « ne jamais faire confiance, toujours vérifier ». Plutôt que d’ouvrir un tunnel complet comme le fait un VPN, le ZTNA établit une connexion sécurisée et granulaire entre un utilisateur (ou un appareil) et une ressource spécifique, après authentification et validation contextuelle.
Cette approche découle directement du modèle Zero Trust Architecture, qui considère que tout trafic est potentiellement hostile – qu’il provienne de l’extérieur ou de l’intérieur du réseau.
La première génération de ZTNA se concentrait essentiellement sur l’accès aux applications internes. Le ZTNA 2.0 va plus loin :
Gestion unifiée des accès aux ressources cloud, multi-applications et SaaS
Contrôle d’accès granulaire basé sur l’identité, le rôle, le contexte et l’état de l’appareil
Micro-segmentation dynamique pour limiter les déplacements latéraux en cas d’attaque
Intégration native avec l’IAM (Identity and Access Management) et le SASE (Secure Access Service Edge) pour une sécurité réseau cloud complète
Il existe parfois une confusion entre ZTNA (Zero Trust Network Access) et ZTAA (Zero Trust Application Access).
ZTNA : sécurise l’accès réseau global aux ressources (applications, serveurs, bases de données)
ZTAA : se focalise uniquement sur l’accès applicatif au niveau de chaque application
Dans la pratique, beaucoup de solutions combinent les deux pour offrir une protection complète.
💡 Exemple concret : une entreprise souhaite protéger son application RH critique. Avec le ZTAA, seuls certains administrateurs peuvent accéder à l’application via des règles spécifiques. Mais si cette même application interagit avec une base de données interne ou des API associées, c’est le ZTNA qui assure que les connexions réseau vers ces ressources ne sont ouvertes qu’aux utilisateurs et appareils autorisés.
Ainsi, le ZTAA répond à un besoin ciblé, tandis que le ZTNA englobe une sécurité plus large et transversale.
Le VPN (Virtual Private Network) crée un tunnel chiffré entre l’utilisateur et le réseau de l’entreprise. Une fois connecté, l’utilisateur obtient souvent un accès étendu, voire complet, au réseau interne.
Le ZTNA, lui, fonctionne à l’inverse :
Validation continue de l’utilisateur et de son appareil
Attribution d’autorisations limitées à une application ou ressource précise
Politique d’accès dynamique (basée sur rôle, heure, localisation, état du terminal)
Meilleures performances cloud (pas d’effet “trombone” du trafic via le data center)
Résultat : une réduction de la surface d’attaque et une expérience utilisateur améliorée. Les entreprises migrent ainsi progressivement du VPN vers le ZTNA pour sécuriser le télétravail et les environnements hybrides.
Le ZTNA repose sur plusieurs piliers techniques et organisationnels.
Chaque tentative de connexion est évaluée en temps réel. L’identité, l’état du terminal et le contexte sont analysés avant de délivrer un accès limité à une ressource. La vérification ne se fait pas qu’à la première connexion, mais se répète à chaque interaction.
Le ZTNA intègre des méthodes d’authentification avancées : MFA (Multi-Factor Authentication), biométrie, certificats de périphériques. Les politiques d’accès sont définies au plus fin (application, dossier, API…). Cette granularité réduit considérablement les risques d’escalade de privilèges.
La micro-segmentation divise le réseau en zones isolées. Chaque utilisateur ne voit et n’atteint que ce qui lui est explicitement autorisé. Si un attaquant compromet un compte, il ne peut pas se déplacer latéralement vers d’autres ressources.
C’est un changement majeur par rapport aux réseaux plats protégés uniquement par un pare-feu périmétrique.
Le ZTNA applique un contrôle d’accès dynamique et continu, ce qui réduit drastiquement les risques d’accès non autorisé. Les attaques internes ou provenant d’appareils compromis sont mieux contenues.
Grâce à la micro-segmentation et à la politique d’accès granulaire, les ressources ne sont pas visibles publiquement. Cela diminue l’exposition aux attaques par balayage, force brute ou exploitation de failles.
Le ZTNA offre un accès distant sécurisé depuis n’importe quel terminal et n’importe où dans le monde. Les collaborateurs en télétravail n’ont plus besoin d’un VPN lourd à configurer. L’expérience utilisateur est plus fluide.
Les entreprises migrent vers des environnements multi-cloud et des applications SaaS. Le ZTNA est conçu pour ces architectures distribuées. Il s’intègre également à l’IoT et aux terminaux mobiles.
Deux modèles principaux existent :
ZTNA basé sur agent : un logiciel est installé sur chaque poste ou appareil. Il offre une visibilité et un contrôle renforcé mais nécessite une gestion du parc.
ZTNA en service cloud (agentless) : aucune installation côté utilisateur, fonctionne via un navigateur ou un portail. Plus simple à déployer mais avec un contrôle parfois moins fin.
Le choix dépend de votre parc informatique, du niveau de sécurité souhaité et de l’expérience utilisateur recherchée. Beaucoup d’éditeurs proposent aujourd’hui des solutions hybrides.
1. Évaluer vos besoins : cartographier les ressources, les utilisateurs et les risques.
2. Choisir une solution adaptée : comparer fonctionnalités, intégrations IAM et SASE, mode agent ou cloud.
3. Piloter un projet pilote : tester avec un échantillon d’utilisateurs avant généralisation.
4. Intégrer les systèmes existants : SSO, MFA, gestion des identités, SIEM.
5. Former et accompagner : sensibiliser les collaborateurs au modèle Zero Trust.
Un déploiement progressif et bien planifié assure une adoption fluide et sécurisée.
Pas toujours. Dans certains cas (accès legacy, protocoles spécifiques), un VPN peut rester nécessaire. Cependant, pour les applications cloud et web, le ZTNA se substitue avantageusement au VPN en offrant une sécurité plus fine et plus moderne.
Le ZTNA sécurise l’accès depuis n’importe quel terminal et n’importe où, sans exposer tout le réseau interne. Il réduit la latence et améliore l’expérience utilisateur par rapport à un VPN traditionnel, tout en appliquant des contrôles d’accès dynamiques.
Le ZTNA s’intègre naturellement avec l’IAM, le MFA et les politiques Zero Trust déjà déployées. Il suffit de cartographier les flux, de définir les règles d’accès et de connecter la solution ZTNA aux systèmes d’authentification existants.
Oui, à condition que la solution choisie supporte une large gamme de terminaux (Windows, macOS, mobiles, IoT) et de protocoles applicatifs. L’évaluation initiale est essentielle pour couvrir tout le périmètre.
Les principales contraintes résident dans la complexité initiale de la cartographie des ressources et dans l’adaptation des processus internes. Certaines applications anciennes peuvent être difficiles à intégrer.
Le ZTNA peut utiliser des certificats, des identifiants d’appareil ou des proxys spécifiques pour sécuriser les flux IoT. L’intégration avec des solutions d’IAM spécialisées est souvent nécessaire.
La plupart des solutions ZTNA supportent le MFA, les jetons OTP, les clés FIDO2, la biométrie et les certificats machine. L’objectif est d’authentifier de façon robuste chaque utilisateur et appareil avant d’accorder l’accès.
Le SASE (Secure Access Service Edge) combine la sécurité réseau (ZTNA, FWaaS, CASB) et l’optimisation WAN dans un service cloud global. Le ZTNA en est un pilier, fournissant l’accès sécurisé tandis que le SASE orchestre la sécurité et la performance sur l’ensemble du réseau.
En résumé, le Zero Trust Network Access est la réponse moderne aux défis de sécurité liés à la mobilité, au cloud et au télétravail. En remplaçant le modèle “périmètre” par un modèle basé sur l’identité et la vérification continue, le ZTNA réduit la surface d’attaque et améliore l’expérience utilisateur.