Après le déploiement Zero Trust : maintenir une sécurité vivante dans la durée

Nous avions précédemment abordé le sujet de la place de la confiance implicite dans la cybersécurité moderne, posant les bases du modèle Zero Trust. Dans cet article, nous approfondissons pourquoi cette politique ne peut rester figée et doit évoluer constamment pour rester efficace.

Zero Trust : le déploiement n'est pas la ligne d'arrivée

Transformation numérique, mobilité généralisée, cloud hybride : le contexte de sécurité s’accélère et gagne en complexité. Les équipes sont confrontées à des pressions multiples : auditabilité, disponibilité, conformité, réputation…
Les chiffres récents confirment cette pression :

• L’ANSSI souligne, dans son Panorama de la cybermenace 2025 que les intrusions proviennent majoritairement de vulnérabilités exploitées sur des systèmes exposés et d’identifiants compromis, confirmant la criticité des accès distants et de la gestion des identités.
• Le Verizon Data Breach Investigations Report indique que plus de 80 % des violations de données étudiées impliquent l’usage d’identifiants volés ou mal protégés.
• Selon le dernier Baromètre du CESIN, 62 % des organisations françaises ont engagé une démarche Zero Trust, mais seules 6 % se considèrent réellement matures, confirmant un fort écart entre ambition stratégique et mise en œuvre.

Mettre en œuvre une politique Zero Trust apparaît comme un passage obligatoire pour maîtriser la surface d’attaque. Mais cette étape ne suffit pas. 

Trop souvent, la démarche s’arrête au déploiement initial. On pense avoir verrouillé le risque, coché toutes les cases : politiques d’accès revues, authentification renforcée, segmentation affinée, règles de contrôle définies… Pourtant, la réalité opérationnelle remet rapidement ces certitudes à l’épreuve. Les menaces évoluent. Les usages métiers changent. De nouveaux partenaires se connectent. Des applications apparaissent, d’autres disparaissent. Des exceptions deviennent permanentes. Des droits temporaires ne sont pas toujours révoqués.

Aucune posture Zero Trust ne tient durablement sans adaptation, surveillance et pilotage continu.

Ce qui compte pour "l'après" : visibilité, contrôle, sécurité vivante

L’enjeu de l’après-déploiement n’est pas de “faire plus de sécurité” par principe. Il est de maintenir une sécurité utile, lisible et actionnable, au plus près des usages réels. La sécurité ne doit pas rester figée dans une architecture cible ou un document de gouvernance. Elle doit vivre, évoluer, s’ajuster.

Ce qui fait la différence sera votre capacité à garantir à tout moment :

• Une visibilité claire sur qui accède à quoi, depuis où, avec quel niveau de risque
• Un contrôle cohérent des droits, des privilèges et des exceptions
• Une capacité d’action rapide face à une anomalie, une compromission ou un comportement inhabituel 
• Une conformité documentée, capable de répondre aux exigences d’audit sans reconstruire l’historique après coup.

C’est là que le Zero Trust passe d’un modèle de sécurité à une pratique opérationnelle.

Parce que la confiance ne se décrète pas, une politique Zero Trust doit être vérifiée, ajustée et réévaluée dans le temps. C’est cette vigilance continue qui permet de garder les contrôles de sécurité alignés avec la réalité d'une organisation.

Elodie Grisé, Lead Security Development Security & Compliance

Le risque principal : laisser la politique Zero Trust vieillir

Le paradoxe du Zero Trust, c’est qu’une politique bien conçue peut perdre en efficacité si elle n’est pas entretenue. Un accès légitime aujourd’hui peut devenir excessif demain. Un partenaire nécessaire à un projet peut conserver des droits après la fin de sa mission. Une règle de contournement créée pour répondre à une urgence peut devenir un angle mort. Une application exposée peut rester hors du périmètre de surveillance parce qu’elle a été ajoutée après le déploiement initial. Ce sont rarement les grands principes qui échouent. Ce sont les écarts progressifs entre la politique définie et la réalité du SI.

C’est pourquoi l’après-projet est critique. Il ne s’agit pas seulement de surveiller des alertes. Il s’agit de maintenir une cohérence entre les accès, les identités, les usages, les risques et les exigences métier. Un Zero Trust efficace dans la durée repose sur une vigilance continue : détecter les dérives, prioriser les corrections, documenter les exceptions, réviser les règles, supprimer les droits inutiles, adapter les contrôles aux nouvelles réalités de l’organisation.

Oublier la posture unique : un Zero Trust vraiment pragmatique

Tous les environnements ne se ressemblent pas, et tous les secteurs ne vivent pas la même équation risque/agilité. Sur le terrain, ce n’est jamais le schéma idéal qui prime, mais la capacité à décliner les principes Zero Trust dans la complexité réelle de l’organisation. Cela suppose d’accepter plusieurs réalités.

D’abord, il y aura toujours des exceptions. L’enjeu n’est pas de les nier, mais de les connaître, les encadrer, les documenter et les réévaluer.

Ensuite, le pilotage doit rester humain. L’automatisation est indispensable pour gagner en réactivité, en scalabilité et en cohérence, mais elle ne remplace pas l’arbitrage. Certains signaux nécessitent du contexte. Certaines décisions exigent une compréhension fine des enjeux métier.

Enfin, la politique Zero Trust doit accompagner la modernisation du SI. Cloud, SaaS, DevSecOps, automatisation, nouveaux environnements applicatifs : chaque évolution peut modifier l’exposition au risque. La sécurité doit donc être capable de suivre ce rythme, sans freiner les projets ni créer une complexité inutile.

La force du Zero Trust dans la durée, c’est ce juste équilibre entre rigueur, adaptation et contrôle : des fondamentaux robustes, mais une politique de sécurité qui ne s’endort jamais et ne s’éloigne jamais du terrain.

En synthèse

Zero Trust n’est pas une destination. C’est un processus vivant, exigeant, fondé sur l’ajustement, le questionnement et la vigilance continue. La mise en place d’une politique Zero Trust est un jalon majeur. Mais l’essentiel se joue après : dans la capacité à surveiller, contrôler, réagir et adapter la sécurité au rythme du monde réel.

Vous voulez passer d’un projet Zero Trust théorique à une sécurité vivante ? Vous souhaitez évaluer votre maturité à maintenir votre dispositif Zero Trust ? 

Discutons-en !