Oubliez le Zero Trust comme vous le connaissez. On s’est fait lobotomiser par des providers qui veulent nous vendre des solutions toutes faites, et les définitions très floues qu’on trouve partout n’aident pas.
On pense bien faire, on vérifie le device, on vérifie l’identité… C’est très bien, bravo. Mais en fait, si on s’arrête là, on a commis une erreur philosophique majeure.
Des fois, on oublie que le mot Zero Trust est composé de deux mots, Zero et Trust. Et on a mal compris les deux.
Le problème du “Zero”
Le “Zero” dans Zero Trust signifie qu’on ne doit faire confiance à rien ni personne par défaut. Pas de confiance implicite. Chaque demande d’accès doit être vérifiée, authentifiée et autorisée avant d’être accordée. Cela signifie que même les utilisateurs internes et les systèmes doivent être traités comme des entités non fiables jusqu’à preuve du contraire.
Il existe une phrase célèbre qui dit “Always assume breach” (Supposez toujours qu’on a été compromis). C’est exactement ça l’esprit du Zero, on part du principe qu’on a déjà été compromis, donc on ne fait confiance à rien.
Mais on oublie souvent que le “Zero”, mal appliqué, c’est en fait se mettre des bâtons dans les roues à soi-même. Si on ne fait confiance à rien ni personne, nos collaborateurs, à chaque fois qu’ils veulent accéder à une ressource, vont devoir passer par des étapes de vérification, d’authentification et d’autorisation lourdes.
C’est là qu’on tombe dans le piège : trop de sécu tue la sécu.
Cela ralentit vachement le processus et peut générer de la frustration. Et ça engendre inévitablement des comportements à risque, comme le Shadow IT. Les utilisateurs, pour pouvoir simplement bosser, cherchent des moyens de contourner les restrictions. On voulait sécuriser, on a fini par créer des angles morts parce qu’on a rendu l’expérience insupportable.
Le malentendu du “Trust”
C’est sur la deuxième partie, le “Trust”, qu’on se plante le plus.
Le Trust dans Zero Trust signifie qu’on doit établir un niveau de confiance basé sur des critères stricts. Souvent, on se dit : “Ok, j’ai mis du MFA (Multi-Factor Authentication), c’est bon, j’ai fait du Trust”.
Faux.
Le problème, c’est qu’on voit la confiance comme un tampon qu’on met sur le front du gars à l’entrée de la boîte de nuit. Une fois qu’il est rentré, il fait ce qu’il veut. Or, le vrai Trust ne devrait pas être binaire (je te fais confiance / je ne te fais pas confiance). Il devrait être éphémère et contextuel.
Dans une vraie approche, la confiance ne se possède pas, elle se loue. Elle se loue à la milliseconde. C’est une fonction mathématique continue. Si ton contexte change (tu changes d’IP, ton PC commence à scanner le réseau, tu tapes sur ton clavier différemment), le loyer n’est plus payé. L’accès se coupe. Immédiatement. Sans émotion.
Mais même si on arrive à faire ça, il reste un problème énorme. Un problème dont personne ne parle dans les brochures marketing.
L’Hypocrisie du système : Quis custodiet ipsos custodes?
On applique une paranoïa totale envers nos utilisateurs (le Zero Trust), mais pour faire ça, on a centralisé tout le pouvoir de décision dans un seul endroit : le Policy Engine (le moteur de politique) de notre fournisseur de sécu (votre IdP, votre solution SASE/SSE).
On a retiré la confiance au réseau pour la donner aveuglément à un outil. On est passé du “Trust” envers nos employés au “Full Trust” envers un vendor.
C’est là que la vieille locution latine prend tout son sens : Quis custodiet ipsos custodes ? (Qui gardera les gardiens eux-mêmes ?).
Si votre architecture Zero Trust repose sur un moteur auquel vous faites une confiance absolue et aveugle, vous n’avez pas sécurisé votre entreprise. Vous avez juste créé un SPOF (Single Point of Failure) monstrueux. Si ce gardien tombe (panne mondiale) ou s’il devient fou (compromission du fournisseur), vous perdez votre entreprise.
C’est l’asymétrie dangereuse du Zero Trust actuel, une dictature numérique où le citoyen (l’utilisateur) est surveillé en permanence, mais où le dictateur (l’Admin/l’Outil) n’a de comptes à rendre à personne.
Conclusion
Alors on fait quoi ? On jette tout ? Non. Mais on arrête d’être naïf.
Le vrai Zero Trust, ce n’est pas acheter un péage pour son réseau. C’est construire un système. Un système où la friction est invisible pour l’utilisateur sain, mais impitoyable pour le comportement déviant. Et surtout, un système où même l’infrastructure de sécurité doit prouver son intégrité.
Tant qu’on n’aura pas compris que la confiance est une variable dynamique et pas une configuration statique dans une console d’admin, on continuera à passer à côté du sujet.