Ne faire confiance à personne. Tel est le créneau de la démarche zero trust - d'aucuns parleront de philosophie - consistant à assurer une sécurisation optimum des systèmes d'information de l'entreprise. Apparu pour la première fois en 2009, ce terme a été mis en avant par un analyste du cabinet Forrester, John Kindervag, dans son rapport « No More Chewy Centers: The Zero Trust Model Of Information Security ». Les principes du zero trust sont assez simples, du moins en théorie, à savoir mettre en place des outils, des règles et des mesures visant à vérifier de façon systématique qu'un utilisateur identifié accède bien via un appareil/terminal aux données et applications sur lesquels il dispose de droits bien définis (lecture, écriture, partage...).  

« Les concepts fondamentaux d'une architecture zero trust sont des micro-segments pouvant englober un petit groupe de périphériques alignés sur un usage, la connaissance approfondie des utilisateurs et des applications grâce à la gestion des identités et des accès permettant de filtrer les flux au niveau fonctionnel et des outils de mesure pour connaitre l'état du réseau en temps réel », nous a expliqué Michel Juvin, membre du Cesin. « Le zero trust exige que toute tentative d'accès aux systèmes de l'entreprise soit soumise à un certain niveau de vérification. Cette notion repose sur l'authentification multifactorielle, l'analyse, le chiffrement et les permissions au niveau du système de fichiers. Il inclut un renforcement dynamique des règles d'accès, non seulement pour vérifier l'identité de l'utilisateur, mais aussi celle de son périphérique et du contexte dans lequel il tente d'accéder au système. Si bien que les utilisateurs disposent d’un accès minimum pour accomplir une tâche spécifique ».  

Un marché évalué à près de 39 milliards de dollars en 2024 

Le décollage du marché du zero trust est bel et bien en ligne de mire. Après avoir atteint 15,6 milliards de dollars en 2019 selon Reportlinker, ce dernier est attendu en progression annuelle moyenne de 19,9% jusqu’en 2024 pour atteindre près de 38,6 milliards de dollars. La dynamique de ce marché s’est accélérée ces derniers mois avec plusieurs rachats significatifs dont celui de la start-up californienne Aporeto par Palo Alto Networks pour 150 millions de dollars et sa technologie de microsegmentation basée sur l’identité de la machine. Cette jeune pousse a dans son portefeuille des solutions pour sécuriser de multiples environnements allant des conteneurs aux microservices en passant par le cloud et les applications sur site. Parmi les autres rapprochements : celui d’Okta avec ScaleFT et sa plateforme IAM permettant un accès distant sécurisé sans VPN ou encore Proofpoint avec Meta Networks pour 119 millions de dollars. 

Parmi les acteurs positionnés sur le marché du zero trust, on trouve notamment Akamai (Zero Trust Security), Check Point (Infinity Security Access), Cisco (Duo Beyond, Tetration et SD-Access), Centrify Corporation, CloudflareCyxtera Technologies (Appgate SDP), Forescout (TFP), Forcepoint (NGFW), Fortinet (NAC et ISFW), Google (Context-Aware Access for Enterprise) Illumio (Adaptive Security Platform), Mobileiron (Zero Trust Platform), Okta (Identity Cloud, rachat de ScaleFT), Palo Alto Networks (GlobalProtect, App/Content-ID et WildFire)Proofpoint (ZTNA et CASB), Sophos (XG Firewall et Synchronized Security), Symantec (Integrated Cyber Defense), Trend Micro (Network Dfense)