L'entreprise repose sur le principe « une fois sur le VPN, vous êtes de confiance ». Quel changement d'architecture proposez-vous ?
Réponse courte
La confiance fondée sur l'emplacement réseau signifie qu'un seul point d'appui à l'intérieur ouvre un large déplacement latéral — un identifiant VPN hameçonné et l'attaquant est « à l'intérieur ». Le zero trust supprime la confiance implicite : chaque accès est authentifié, autorisé et réévalué en continu selon l'identité et la posture de l'appareil, avec moindre privilège et segmentation (NIST SP 800-207). Un second VPN ou un VPN élargi ne fait qu'étendre le même problème de confiance plate, et faire confiance au LAN plutôt qu'au VPN répète l'erreur initiale.
« Une fois sur le VPN, vous êtes de confiance » est le modèle périmétrique classique : une coquille externe dure et un intérieur mou et plat. Cela avait du sens quand employés, serveurs et données tenaient dans un seul bâtiment. Il échoue lourdement dès que les attaquants, le télétravail, le cloud et le SaaS brouillent le périmètre.
Pourquoi le modèle périmétrique se brise
La propriété fatale est la confiance implicite fondée sur l'emplacement réseau. L'authentification a lieu une seule fois, à la bordure du VPN. Ensuite, l'utilisateur — ou quiconque a volé son identifiant VPN — est considéré de confiance sur un réseau interne plat. Un seul identifiant hameçonné, un portable compromis ou un initié malveillant dispose alors d'un large déplacement latéral : scanner, pivoter et atteindre des systèmes qui auraient dû être inaccessibles. Le VPN a authentifié une connexion, pas chaque requête.
Le changement : le zero trust
Le zero trust (NIST SP 800-207) abandonne la confiance implicite. Son principe central : ne jamais faire confiance, toujours vérifier — chaque requête d'accès à chaque ressource est authentifiée et autorisée à son propre mérite, selon l'identité, la posture de l'appareil et le contexte, et réévaluée en continu. Combinez-le au moindre privilège (chacun n'atteint que ce dont il a besoin) et à la microsegmentation (la compromission d'une charge n'ouvre pas le reste). L'accès devient une décision par ressource, et non une admission réseau unique.
Pourquoi les mauvaises réponses sont fausses
« Ajouter un second VPN pour la redondance » améliore la disponibilité mais laisse le modèle de confiance intact — deux fois la même surface de confiance plate. « Étendre le VPN à tous les employés de façon permanente » étend le problème exact à tout le monde, augmentant le rayon d'explosion de tout identifiant volé. « Faire confiance au LAN mais pas au VPN » ne fait que déplacer la même hypothèse erronée : la confiance reste accordée par emplacement, juste un autre, et un attaquant sur le LAN en hérite.
Ce que sonde l'examinateur
Il veut entendre que vous visez le modèle de confiance, pas la tuyauterie. Un bon architecte nomme l'autorisation par requête fondée sur l'identité et la posture, le moindre privilège et la segmentation, et sait esquisser une migration réaliste — commencer par les applications critiques derrière un proxy conscient de l'identité, puis retirer l'accès VPN plat — plutôt que d'acheter davantage de ce qui a déjà échoué.
Questions de suivi probables
- Quels signaux utiliseriez-vous pour décider d'un accès par requête dans un modèle zero trust ?
- Comment migrer d'un VPN plat vers le zero trust sans paralyser l'activité du jour au lendemain ?
- Où se situe la microsegmentation aux côtés de l'accès fondé sur l'identité ?