Qu’est-ce que l’accès réseau Zero Trust (ZTNA) ?

No results match your search. Clear Search

Produits
Back
Produits
Rubrik Security Cloud
Une seule plateforme pour la cyber-résilience des données et des identités.
Explorez notre plateforme Rubrik Agent Cloud
Observer, gouverner et corriger les actions des agents IA
Accélérer l'adoption de l'IA
Data Protection

Assurez l’intégrité de vos données grâce à des sauvegardes immuables et isolées par air-gap.
Explore Our Data Protection

Cloud native

On-premise

Applications SaaS

Données non structurées

Rubrik Cloud Vault

Data Security Posture Management (DSPM)
Threat Analytics

Détectez, investiguez et neutralisez les cybermenaces.
Explore Our Threat Analytics

Anomaly Detection

Threat Monitoring

Threat Hunting
Identity Security

Sécurisez et restaurez vos environnements multi-IdP.
Explore Our Identity Security

Identity Resilience

Identity Recovery
Cyber Recovery

Récupérez vos données à un point d’intégrité garanti et restaurez rapidement vos opérations.
Explore Our Cyber Recovery

Threat Containment

Agent IA Ruby

Cyber Recovery Simulation
Contacter
Solutions
Back
Solutions
Solutions de cyber-résilience
Sécurisez vos données critiques dans vos data centers on-prem, vos plateformes cloud et vos applications SaaS.

SOLUTIONS PHARES

Hybrid Identity Recovery

Minimum Viable Hospital

Rubrik Cloud Vault
Plateformes et environnements

Explore Our Plateformes et environnements

Cloud

AWS

Azure

Google Cloud

Oracle Cloud

SaaS

Microsoft 365

Dynamic 365 CRM

Salesforce

Atlassian Jira
View more

On-Premises

Microsoft SQL Server

Oracle

MongoDB

MySQL

PostgreSQL/EDB

SAP HANA

IBM Db2

Kubernetes

OpenShift

Nutanix

VMware
Secteurs

Explore Our Secteurs

Santé

Services financiers

Administrations d’État

Collectivités locales et territoriales

Enseignement

Critical Infrastructure

Juridique
Partenaires

Explore Our Partenaires

Partenaires prestataires de services

Partenaires technologiques

Partenaires de sécurité

Amazon Web Services

CrowdStrike

Microsoft

Okta

Pure Storage

Zscaler
SOLUTIONS PHARES

Hybrid Identity Recovery

Minimum Viable Hospital

Rubrik Cloud Vault
Contacter
Knowledge Hub
Back
Knowledge Hub
Témoignages clients

Rapports et livres blancs

Événements

Webinaires

Blog

Rubrik Insights

Démos produits

Podcast

Developer Center
Rapport Rubrik Zero Labs
Découvrez les problèmes qu’engendre le foisonnement des données dans les environnements multicloud et les moyens de reprendre le contrôle.

Moteur de restauration préventive
Posez les fondements architecturaux d’une récupération accélérée et d’une restauration de vos opérations en quelques heures seulement.

Visite autoguidée
Explorez les dernières applications et fonctionnalités, et découvrez la cyber-résilience en action dans nos labs virtuels.
Témoignages clients

Rapports et livres blancs

Événements

Webinaires

Blog

Rubrik Insights

Démos produits

Podcast

Developer Center
Contacter
À propos de Rubrik
Back
À propos de Rubrik
Notre histoire et notre mission

Nos dirigeants

Espace actu

Emploi

Rubrik University

Relations investisseurs

Portail partenaires
5 juin 2025 | Communiqué de presse
Rubrik annonce les résultats financiers du premier trimestre de son exercice fiscal 2026, clos au 30 avril 2025.

3 juin 2025 | Communiqué de presse
Rubrik annonce l’intégration des processeurs AMD EPYC™ sur sa plateforme de sécurité des données.

Consultez nos offres d’emploi
Un métier porteur de sens. Des perspectives d’évolution illimitées. Un impact réel sur le monde qui nous entoure. Chez Rubrik, nous pensons que tout commence par vous.

Contacter

Même si vous travaillez dans le domaine de la cybersécurité, la fréquence des cyberattaques a toujours de quoi surprendre. Selon une étude de Rubrik Zero Labs, 94 % des responsables IT et sécurité déclarent que leur entreprise a subi une cyberattaque majeure l’année dernière. La même étude révèle qu’en 2023, 30 attaques malveillantes en moyenne ont été portées à l’attention des dirigeants. Dans cette atmosphère tendue, où une incursion semble inévitable, il n’est pas surprenant de voir les équipes de sécurité adopter une approche Zero Trust de la sécurité.

Qu’est-ce que l’accès réseau Zero Trust (ZTNA) ?

Le Zero Trust Network Access (ZTNA) est basé sur le Zero Trust (ZT), un concept de sécurité qui repose sur le principe du refus par défaut de toute demande d’accès et sur l’adoption du principe de « faire confiance, mais vérifier » à l’égard de toutes les activités. Il s’agit d’un paradigme, pas d’un produit.

Le ZT consiste à refuser tout accès jusqu’à ce que l’identité de l’utilisateur soit confirmée. À partir de là, le ZT n’accorde que le strict minimum de privilèges d’accès dont l’utilisateur a besoin pour accomplir une tâche donnée. Par exemple, si vous demandez l’accès à un compartiment de stockage (bucket) dans le cloud, vous n’obtiendrez que cet accès. Il est possible d’appliquer le modèle d’accès Zero Trust aux applications, aux bases de données, au stockage, etc.

Le ZTNA est également un modèle de sécurité (et non un produit) qui applique les principes du Zero Trust au réseau. Il s’agit notamment de vérifier les identités des utilisateurs (et des appareils) et de les revérifier tout au long de leur connexion au réseau. Les processus de vérification varient, mais ils peuvent inclure la restriction de l’accès en fonction du rôle de l’utilisateur, l’analyse du trafic réseau pour éliminer les schémas d’utilisation suspects ou la vérification du lieu de connexion de l’appareil.

Le ZTNA cache également une grande partie du réseau. Ce concept est parfois appelé « périmètre basé sur logiciel » (software-based perimeter) ou « sécurité sans périmètre » (perimeterless security). Avec le ZTNA, un appareil n’a connaissance d’aucune autre infrastructure ni d’aucun autre aspect du réseau, à l’exception de ce à quoi il est connecté.

ZTNA vs modèles traditionnels de sécurité réseau

Le ZTNA a pour principale mission de remplacer les réseaux privés virtuels (VPN), véritables piliers de la sécurité traditionnelle des réseaux. Un VPN agit comme une passerelle vers le réseau. Une fois l’utilisateur authentifié, il établit une connexion chiffrée via un « tunnel » reliant l’utilisateur et le réseau, éventuellement à l’aide du protocole PPTP (Point-to-Point Tunneling Protocol) ou d’OpenVPN, entre autres.

Les VPN posent plusieurs problèmes de sécurité, notamment parce qu’ils sont généralement conçus pour faire confiance à un utilisateur dès lors que celui-ci présente les bons identifiants de connexion. Le réseau est ainsi exposé au risque d’accès non autorisé par des attaquants qui ont volé des identifiants, voire des appareils. Ensuite, un VPN tend à connecter l’utilisateur à l’ensemble d’un réseau local (LAN), avec un accès à tous les assets digitaux qui y sont connectés. En fonction de la configuration du dispositif de surveillance du réseau, les administrateurs système peuvent ne pas être en mesure de voir à quels assets du réseau l’utilisateur a pu accéder.

Le ZTNA adopte une approche totalement différente. Une solution ZTNA ne fait jamais confiance à un utilisateur tant qu’elle n’a pas vérifié son identité à l’aide de facteurs plus probants que la seule possession d’identifiants légitimes, par exemple la localisation de l’appareil, l’identité de l’appareil, etc. À partir de là, les protocoles ZTNA n’autorisent l’accès de l’utilisateur qu’à des zones sélectionnées du réseau, et rien d’autre. Le ZTNA offre également une alternative aux serveurs proxy et aux tunnels SSH, entre autres technologies de connexion au réseau.

Les principes fondamentaux du ZTNA

Un réseau avec ZTNA fonctionne selon certains principes fondamentaux, dont les plus importants sont les suivants :

Accès aux applications, et non au réseau : le ZTNA permet généralement d’accéder à une application à la fois, au lieu d’autoriser l’accès à l’ensemble du réseau.
Masquage des adresses IP : le ZTNA ne permet pas aux adresses IP d’être exposées au réseau. L’utilisateur/appareil ne peut rien voir sur le réseau en dehors du service ou de l’application auquel il est connecté.
Pas de MPLS : le ZTNA n’utilise pas le Multiprotocol Label Switching (MPLS), mais crypte les connexions Internet via le protocole Transport Layer Security (TLS), créant ainsi des « tunnels chiffrés » entre l’utilisateur et l’application cible.
Contrôle du réseau : le ZTNA utilise des politiques dynamiques en temps réel pour autoriser les flux de trafic réseau, bloquant par défaut tout le trafic et ne l’autorisant que s’il est autorisé par une politique explicite.
Vérification des identités : le ZTNA ne fait jamais implicitement confiance à un utilisateur, un appareil ou une entité sur le réseau, et vérifie systématiquement les identités avant d’autoriser l’accès au réseau.
Prise en compte du contexte : le ZTNA tient compte de facteurs contextuels lors de la vérification de l’identité (lieu de connexion d’un appareil ou d’un utilisateur, heure de la journée, etc.).
Sécurité basée dans le cloud : les principes du ZTNA sont appliqués pour l’accès au cloud, indépendamment du lieu de connexion de l’utilisateur et de la plateforme cloud à laquelle il tente d’accéder.

Importance du ZTNA pour l’accès aux applications

Avec la sécurité réseau traditionnelle, vous pouvez déployer de multiples VPN, pare-feu internes et infrastructures de postes de travail virtuels (VDI) qui protègent les applications des attaquants. La complexité de cette approche est intrinsèquement fragile, ce qui accroît l’exposition au risque.

Le ZTNA est en ce sens mieux adapté aux applications que les modèles traditionnels de sécurité des réseaux. Le ZTNA combine les contrôles d’accès aux réseaux et aux applications au sein d’une seule solution. Il amoindrit le risque qu’un attaquant ou un acteur interne ne se déplace latéralement sur les réseaux. Les contrôles d’accès peuvent également être plus granulaires et mieux adaptés au contexte que ne le permettent généralement les modes traditionnels de sécurité des réseaux.

Du fait de leur connexion par Internet, les VPN risquent d’exposer les adresses IP d’une application, ce qui la rend vulnérable à des attaques. Le ZTNA élimine ce risque car il ne partage jamais les adresses IP.

Deux facteurs majeurs rendent le ZTNA plus important que jamais pour l’accès aux applications : le cloud et le télétravail.

ZTNA pour les architectures cloud : la plupart des entreprises ont aujourd’hui déployé des applications dans des architectures hybrides qui englobent des data centers sur site, des clouds privés et des plateformes cloud publiques. Mais leurs réseaux ne se connectent généralement qu’à l’infrastructure sur site et aux clouds privés. L’accès au cloud public peut passer par le réseau, mais ce type de trafic en « demi-tour » est inefficace et ajoute de la charge sur le réseau. L’accès au cloud peut se faire directement ou par l’intermédiaire d’un Cloud Access Security Broker (CASB). Ces approches présentent généralement certaines failles en termes de sécurité, car elles font implicitement confiance aux utilisateurs et à leurs appareils. Le ZTNA élimine ce risque en exigeant une vérification de l’utilisateur et de l’appareil avant d’accorder l’accès aux applications sur le cloud public.
ZTNA pour le télétravail : l’adoption du télétravail et du travail hybride met également à l’épreuve le modèle VPN. Avec des collaborateurs qui se connectent sur leurs appareils personnels depuis leurs connexions Internet à domicile, les VPN sont surchargés. En outre, le risque que des acteurs malveillants se fassent passer pour des employés augmente, si bien que la politique de confiance implicite peut avoir de graves conséquences. Le ZTNA restreint les accès de manière à réduire les risques liés au télétravail.

Principales fonctionnalités du ZTNA

Les fonctionnalités du ZTNA varient selon la solution. Toutefois, la mise en œuvre effective des principes Zero Trust sur les accès réseau exige toujours les mêmes capacités :

Prévention des pertes de données (DLP) : une solution ZTNA doit offrir des fonctions DLP robustes qui détectent les éventuelles compromissions ou exfiltrations de données. Il peut s’agir de contrôler les transmissions de données à l’aide d’expressions régulières (regex) et d’une mise en correspondance des données, sans oublier les fonctionnalités de blocage et de chiffrement des données.
Évolutivité et performance : le ZTNA doit faciliter (et non entraver) des connexions réseau productives pour les utilisateurs. Pour atteindre cet objectif, la solution ZTNA doit être scalable, dynamique et réactive, tout en offrant une connectivité hautement performante.
Prise en charge du BYOD : il est désormais courant pour les organisations d’avoir "des politiques « Bring-your-own-device » (BYOD), en particulier dans le cadre du télétravail. Le ZTNA doit donc prendre en charge le BYOD, ce qui exige généralement une approche « sans agent ».
Protection contre les menaces avancées (ATP) : face à des acteurs malveillants recourant de plus en plus à des menaces avancées, le ZTNA doit déployer des contre-mesures telles que les analyses comportementales et autres modes de protection qui dépassent les seules techniques existantes basées sur les signatures et autres.
Visibilité et rapports granulaires : les responsables de systèmes ZTNA et autres parties prenantes doivent être en mesure de voir comment la solution ZTNA fonctionne, et ce de manière rapide et granulaire. Ils doivent par exemple avoir la possibilité d’observer comment des utilisateurs spécifiques interagissent avec une application en temps réel. Les rapports doivent être tout aussi détaillés et personnalisables, selon les besoins.
Gestion du SASE : le ZTNA est une composante reconnue du SASE (Secure Access Service Edge), un modèle de plus en plus répandu dans les entreprises. Cependant, attention à ne pas partir du principe que toutes les solutions ZTNA offrent le même degré de prise en charge du SASE. Le SASE se compose également de Cloud Access Security Brokers (CASB) et de passerelles web sécurisées (SWG), entre autres éléments qui doivent tous interagir facilement avec le ZTNA pour que le SASE fonctionne efficacement. La bonne solution ZTNA présentera le type de fonctionnalités opérationnelles et administratives adaptées aux besoins de votre environnement SASE.
Microsegmentation : la division des réseaux en segments plus petits permet d’atténuer le risque de déplacement latéral des attaquants, en particulier ceux qui sont parvenus à élever leurs privilèges d’accès. C’est ce qu’on appelle la microsegmentation. Le ZTNA peut prendre en charge la microsegmentation, soit directement par des fonctionnalités intégrées à la solution, soit indirectement, en tandem avec des plateformes de gestion réseau.

Le ZTNA en environnement multicloud

Le ZTNA devrait être le modèle de sécurité privilégié par toute organisation à la tête d’un environnement multicloud comprenant de multiples plateformes cloud et applications SaaS (Software-as-a-Service). Les utilisateurs peuvent se connecter de n’importe où et sur n’importe quel appareil. Ceci est bon pour la productivité, mais extrêmement mauvais pour la sécurité, surtout si l’authentification unique (SSO) conduit à un accès « plat » et à une confiance implicite sur tous les clouds.

Le problème potentiel est le côté très pratique du SSO, qui permet aux utilisateurs de naviguer facilement dans l’environnement multicloud. Or, si le ZTNA entrave la productivité, il y aura forcément un problème. La bonne solution ZTNA vous permettra de trouver le juste équilibre entre contrôle d’accès et expérience utilisateur.

Le ZTNA renforce les modèles de sécurité basés sur le cloud en réduisant le risque qu’un acteur malveillant obtienne un accès non autorisé aux données ou aux applications cloud, et ce en raison d’une confiance excessive. Pour ce faire, il restreint l’accès aux seuls utilisateurs et appareils vérifiés, et le limite à des assets digitaux spécifiques. Même si un acteur malveillant obtient un accès, il disposera d’une marge de manœuvre limitée au sein des plateformes cloud et entre ces dernières.

Le ZTNA peut simplifier le contrôle d’accès sur les plateformes cloud, mais son succès passe par une bonne implémentation. L’idéal est d’opter pour une solution ZTNA unifiée qui couvre de multiples environnements cloud. Chacune des principales plateformes (Amazon Web Services(AWS), Google Cloud Platform(GCP) et Microsoft Azure) dispose de son propre ensemble d’outils ZTNA. Toutefois, il peut être plus efficace et plus sûr de ne pas recourir à trois solutions distinctes lorsqu’une seule peut faire l’affaire. Certaines tâches passeront inévitablement à la trappe si vous essayez de jongler avec trois solutions. D’où la nécessité d’un investissement plus complet dans une solution d’accès Secure Access Service Edge (SASE) qui incorpore le ZTNA dans un modèle multicloud « by design ».

Bonnes pratiques d’implémentation du ZTNA

Le ZTNA est en train de supplanter les VPN comme mode privilégié de sécurisation du réseau. Il réduit les risques pour les données et les applications en cas d’accès non autorisé au réseau par des acteurs malveillants. Pour ce faire, il ne fait confiance à aucun utilisateur ou appareil par défaut, mais vérifie toujours les identités et n’accorde ensuite qu’un minimum de privilèges d’accès.

Cependant, l’implémentation du ZTNA n’a rien d’une formalité. La meilleure pratique consiste à aborder le déploiement du ZTNA de manière progressive, en l’intégrant dans vos modèles de sécurité réseau existants. Par exemple, vous pouvez commencer par n’exposer qu’un segment du réseau ou qu’une application au ZTNA, puis étendre le déploiement petit à petit. Il est important de veiller à l’équilibre entre sécurité, accessibilité et expérience utilisateur.

Le ZTNA peut potentiellement créer une certaine charge administrative au moment de déterminer qui est autorisé à accéder à quel segment du réseau, etc. Il faut éviter d’ajouter toute charge inutile aux utilisateurs. D’où l’intérêt d’un outil qui détecte automatiquement les flux réseau. De là, vous pouvez commencer à élaborer des politiques d’accès en phase avec ces modèles d’utilisation actuels.

Le succès du ZTNA dépend d’une combinaison de facteurs. Le premier consiste à choisir la bonne solution ou les bons composants de la solution. La planification est importante, tout comme une feuille route pour intégrer progressivement le ZTNA à vos opérations de sécurité réseau. Une refonte totale n’est pas conseillée. Une réflexion approfondie portera ses fruits, par exemple pour déterminer si et comment le ZTNA s’inscrira dans le cadre d’un projet SASE. Si vous accordez l’attention nécessaire à ces aspects du ZTNA, vous mettrez probablement toutes les chances de votre côté pour une implémentation efficace.

Foire aux questions

Qu’est-ce que l’accès réseau Zero Trust ?

L’accès réseau Zero Trust, ou Zero Trust Network Access (ZTNA), applique le modèle de sécurité Zero Trust aux réseaux. Une solution ZTNA ne fait jamais confiance à un utilisateur ou à un appareil sans vérifier au préalable son identité. Ensuite, il n’accorde que les privilèges d’accès minimaux et continue à revérifier l’identité.

Quelle est la différence entre Zero Trust et ZTNA ?

Zero Trust est le modèle de sécurité global sur lequel repose le ZTNA. Il existe des approches Zero Trust pour l’accès aux applications, les privilèges des bases de données, etc.

En quoi le ZTNA est-il différent d’un VPN ?

Le VPN diffère du ZTNA à plusieurs égards, notamment en faisant implicitement confiance aux utilisateurs et aux appareils, et en permettant un accès « plat » à l’ensemble du réseau une fois que le tunnel VPN a été établi. Par contraste, le ZTNA empêche généralement l’utilisateur de voir les segments du réseau au-delà desquels il est autorisé à accéder.

Quelle est l’utilité du ZTNA ?

Les cas d’usage du ZTNA comprennent l’accès réseau standard, mais aussi l’accès aux instances cloud et aux environnements hybrides ou multicloud.