ZTNA

Fonctionnement technique

Le ZTNA (Zero Trust Network Access) est une technologie qui fournit un accès sécurisé aux applications et ressources en vérifiant l'identité et le contexte de chaque connexion, remplaçant le modèle VPN traditionnel. Contrairement au VPN qui accorde un accès réseau large après authentification, le ZTNA n'expose que les applications spécifiques auxquelles l'utilisateur est autorisé, masquant le reste de l'infrastructure.

L'architecture ZTNA fonctionne selon deux modèles principaux. Le modèle initié par l'agent (agent-initiated) déploie un agent logiciel sur le terminal qui établit une connexion sortante vers un broker cloud. Le modèle initié par le service (service-initiated) utilise un connecteur léger déployé près de l'application qui crée un tunnel inverse vers le cloud, éliminant le besoin d'ouvrir des ports entrants.

Chaque session est évaluée en continu : si la posture de sécurité du terminal change (antivirus désactivé, OS non patché, localisation inhabituelle), l'accès peut être révoqué dynamiquement. Les politiques sont définies par application, utilisateur et contexte, offrant une granularité impossible avec un VPN classique.

Cas d'usage

Le ZTNA répond aux limites du VPN dans les environnements modernes. Quand une entreprise utilise des applications SaaS, des serveurs on-premise et des ressources multi-cloud, le VPN crée un goulot d'étranglement en forçant tout le trafic à transiter par le datacenter central. Le ZTNA permet un accès direct et sécurisé à chaque application, améliorant les performances et l'expérience utilisateur.

Les scénarios de fusion-acquisition bénéficient également du ZTNA : plutôt que d'interconnecter deux réseaux (avec les risques associés), le ZTNA permet d'accorder un accès granulaire aux applications spécifiques nécessaires. Les prestataires externes obtiennent un accès limité et temporaire sans jamais accéder au réseau interne.

Outils et implémentation

Zscaler Private Access (ZPA) est leader du marché avec son architecture cloud-native et son service edge distribué mondialement. Cloudflare Access offre une solution ZTNA intégrée à sa plateforme de sécurité, avec un tier gratuit pour les petites équipes. Palo Alto Prisma Access combine ZTNA avec CASB et SD-WAN dans une plateforme SASE.

Côté open source et self-hosted, Tailscale (basé sur WireGuard) et Headscale (serveur de coordination compatible) offrent un mesh VPN Zero Trust. OpenZiti de NetFoundry fournit un SDK pour intégrer le Zero Trust directement dans les applications. Teleport sécurise les accès SSH, Kubernetes et bases de données avec une approche Zero Trust.

Défense / Bonnes pratiques

Lors de la migration du VPN vers le ZTNA, procédez par phases. Identifiez d'abord les applications critiques et migrez-les progressivement. Maintenez le VPN en parallèle comme solution de repli pendant la transition. Documentez chaque flux applicatif et les politiques d'accès associées.

Définissez des politiques d'accès granulaires basées sur le principe du moindre privilège. Combinez l'identité de l'utilisateur, le groupe d'appartenance, la posture du terminal et le contexte géographique dans vos règles. Implémentez le MFA adaptatif : renforcez l'authentification pour les accès sensibles ou depuis des localisations inhabituelles.

Surveillez les métriques de performance et d'adoption pour identifier les frictions utilisateur. Un ZTNA mal implémenté qui dégrade l'expérience poussera les utilisateurs vers des contournements non sécurisés. Assurez-vous que la solution choisie supporte tous vos protocoles applicatifs, pas uniquement HTTP/HTTPS.

Articles associés

Voir nos articles détaillés sur ce sujet.