KA IT
+32 489 59 42 27
Zero Trust est devenu un mot-valise. Les editeurs de solutions entreprise l'ont colle sur tous leurs produits. Les consultants en parlent comme d'un ideal inatteignable pour les PME. Entre les deux, il existe une lecture pragmatique : une partie du modele Zero Trust est deja a portee d'une PME belge de 10 a 50 postes, sans depenser 50 000 EUR par an en licences.
Cet article s'appuie sur la publication de reference du NIST (SP 800-207 Zero Trust Architecture) pour demeler ce qui est faisable de ce qui ne l'est pas. Objectif : vous permettre de prendre une decision eclairee, sans vous laisser embarquer dans un projet disproportionne.
1. Zero Trust, au juste, c'est quoi ?
Zero Trust est un modele de securite qui abandonne l'idee d'un reseau interne "de confiance" oppose a un internet "hostile". Dans le modele classique, une fois qu'un utilisateur etait sur le LAN de l'entreprise (via VPN ou au bureau), il etait largement considere comme legitime. Dans le modele Zero Trust, chaque acces a une ressource est verifie individuellement, independamment de l'endroit d'ou il provient.
Le NIST resume la philosophie en trois formules :
- Never trust, always verify. Ne jamais supposer la legitimite, toujours valider.
- Assume breach. Concevoir le systeme comme si un attaquant etait deja dans le reseau.
- Verify explicitly. Chaque verification s'appuie sur des donnees multiples : identite, posture de l'appareil, localisation, contexte.
L'ENISA (Agence de l'UE pour la cybersecurite) a publie plusieurs notes d'orientation alignees sur cette approche. En substance : Zero Trust est un deplacement progressif de la logique perimetrique vers une logique d'identite et de contexte.
2. Les 3 piliers du NIST SP 800-207
Pilier 1 : verifier explicitement chaque acces
Chaque tentative d'acces a une ressource (fichier, application, VM, API) est authentifiee avec une identite forte (MFA ou equivalent), avec des signaux contextuels (posture du device, localisation, heure) et avec une evaluation de risque.
Pilier 2 : privilege minimum (least privilege)
Un utilisateur n'a que les acces strictement necessaires a sa mission, pour la duree strictement necessaire. Exit les droits admin permanents. Exit les partages "tout le monde peut lire".
Pilier 3 : presumer la compromission
On conçoit le systeme en supposant qu'un poste, un compte, une application pourrait etre compromis a tout moment. Consequences : segmentation reseau, journalisation centralisee, detection comportementale, chiffrement par defaut des donnees au repos et en transit.
3. Ce qui est accessible pour une PME 10-50 postes
Bonne nouvelle : les briques les plus impactantes du Zero Trust sont deja implementees dans les outils Microsoft 365 et Google Workspace que la plupart des PME utilisent. La plupart du temps, elles ne sont simplement pas activees ou mal configurees.
| Brique Zero Trust | Outil PME | Cout marginal typique |
|---|---|---|
| MFA sur toutes les identites | Microsoft Entra ID (ex-Azure AD) / Google Workspace | Inclus dans les licences existantes |
| Conditional Access (verifier contexte) | Microsoft 365 Business Premium / E3 | Inclus dans Business Premium |
| Device posture (appareil a jour, EDR actif) | Intune + Defender for Business | Inclus Business Premium |
| SSO pour les applications tierces | Entra ID gallery (3 000+ apps integrees) | Inclus dans la plupart des plans |
| Segmentation reseau basique | VLAN sur switch manageable + firewall | Cout materiel ponctuel |
| Journalisation centralisee | Microsoft 365 audit log, Defender portal | Inclus |
| Chiffrement donnees au repos | BitLocker (Windows Pro/Enterprise) + OneDrive KnownFolderMove | Inclus |
| EDR sur chaque poste | Defender for Business / EDR tiers | Inclus Business Premium ou 6-10 EUR/u/mois |
Autrement dit : si votre PME possede deja Microsoft 365 Business Premium (22 EUR HT/u/mois), vous disposez de 80 % des briques Zero Trust. Il ne reste qu'a les configurer correctement, ce qui prend generalement 3 a 8 jours-homme selon la taille du parc.
Microsoft publie un guide Zero Trust sur Microsoft Learn organise par identites, endpoints, donnees, applications, reseau, infrastructure. C'est la checklist la plus exhaustive disponible pour qui travaille en environnement Microsoft 365.
On audite votre tenant Microsoft 365, on active les bonnes polices Conditional Access, on met en place la device compliance. Resultat : vous passez d'une posture 2015 a une posture 2026 en 2 semaines.
4. Ce qui reste reserve aux grands comptes
Certaines composantes de Zero Trust restent aujourd'hui dimensionnees pour les entreprises de 500+ postes ou les secteurs fortement regules :
- Stack SSE complet (Secure Service Edge). Zscaler Internet Access, Netskope, iboss : ces solutions demarrent autour de 80-150 EUR HT/user/an pour les fonctions de base et montent rapidement a 200-400 EUR HT/user/an avec les modules SWG, CASB, ZTNA, DLP reunis. Pour une PME de 15 postes, c'est souvent disproportionne.
- Identity platform premium. Okta Workforce Identity Essentials demarre autour de 2-3 USD/user/mois mais les fonctions avances (adaptive MFA, lifecycle management, identity governance) montent a 10-20 USD/user/mois. Microsoft Entra ID inclut ces fonctions dans les plans P1/P2.
- Microsegmentation reseau avancee. Illumio, Guardicore et equivalents demandent un effort d'integration qui depasse generalement les besoins PME.
- SOC interne 24/7. Un SOC requiert une equipe de 6 a 10 analystes pour couvrir le H24. Pour une PME, passer par un service MDR externe (Managed Detection and Response) est le bon chemin.
- DLP avance (Data Loss Prevention) cross-canal. Les solutions Microsoft Purview, Netskope CASB ou similaires apportent de la valeur aux structures qui manipulent beaucoup de donnees reglementees (sante, finance). Pour une PME classique, la configuration des permissions SharePoint et OneDrive suffit.
Un commercial qui vous propose une "solution Zero Trust cle en main" a 30 000 EUR par an pour 15 postes vend probablement une stack calibrée pour 500 postes. Demandez une configuration comparable uniquement avec Microsoft 365 Business Premium avant de signer. Dans 8 cas sur 10, vous n'avez pas besoin de la stack premium.
5. Plan de route Zero Trust PME en 6 mois
Mois 1-2 : fondations identite
- Activer MFA sur 100 % des comptes (utilisateurs et admin).
- Creer un compte break glass (compte d'urgence en cas de blocage MFA).
- Mettre en place SSO pour les applications tierces principales (CRM, compta, outils metier).
Mois 3-4 : posture des appareils
- Enrolement des postes dans Intune (ou equivalent) avec BitLocker active.
- Polices Conditional Access : bloquer les acces depuis des appareils non conformes ou hors region.
- Deployer Defender for Business ou un EDR tiers sur 100 % des postes.
Mois 5-6 : donnees et reseau
- Inventaire des partages. Suppression des acces "Everyone" et "Tout l'organisation" non justifies.
- Sensitivity labels sur les documents confidentiels (contrats, donnees RH).
- Segmentation VLAN minimale : IoT/imprimantes separees du reseau users.
- Revue trimestrielle des acces admin et suppression des droits dormants.
6. Pieges marketing a eviter
"Zero Trust = VPN remplace"
Raccourci commercial. Le ZTNA (Zero Trust Network Access) remplace certains usages du VPN, mais pas tous. Pour une PME avec serveur interne, le VPN reste pertinent, couple a des polices Conditional Access. Voir notre article VPN pour PME belge 2026.
"Zero Trust = stack unique un fournisseur"
Aucun editeur ne couvre 100 % du modele a lui seul. Microsoft, Google, Okta, Cloudflare, CrowdStrike, Zscaler couvrent chacun une partie. Pour une PME, la stack Microsoft 365 + un EDR bien configure couvre deja l'essentiel.
"Zero Trust = fini les incidents"
Zero Trust reduit la surface d'attaque et limite les degats en cas de compromission, mais il ne rend pas votre PME invulnerable. Le backup 3-2-1 reste la bouee de secours. Voir notre article sur le backup.
La difficulte n'est pas technique. Les outils existent, souvent deja payes. La difficulte est organisationnelle : revoir les permissions, documenter, former, maintenir la discipline dans la duree. C'est ce qui fait la difference entre une PME qui a Zero Trust en label et une PME qui l'a reellement en posture.
On etablit ou vous en etes, on priorise les 10 premiers chantiers utiles, on chiffre la mise en oeuvre. Jalonnee sur 6 mois. Sans engagement.