Calipia : le blog

Cela fait maintenant presque une décennie que le concept de Zero Trust hante les conférences tech, Microsoft en tête, les PowerPoint de consultants et les roadmaps de RSSI. Et pourtant, selon le rapport State of Zero Trust 2025 publié par Tailscale, les entreprises n’ont jamais été aussi loin de l’avoir réellement mis en œuvre. L’étude, qui s’appuie sur les réponses de 1 000 professionnels de l’IT, de la sécurité et de l’ingénierie, révèle un chiffre édifiant : seulement 1 % des sondés se déclarent satisfaits de leur système de gestion des accès.

Dans un monde où l’on prétend que la sécurité et la productivité sont compatibles, ce chiffre sonne comme un aveu d’échec collectif. Pour Avery Pennarun, CEO de Tailscale, la conclusion est limpide :

« Quand développeurs, ingénieurs et équipes IT contournent le système, c’est le système qui doit changer, pas les utilisateurs. »

Zero Trust : un idéal mal interprété

Popularisé par Google avec son projet BeyondCorp, le Zero Trust repose sur une idée simple mais révolutionnaire : ne faire confiance à rien ni personne par défaut, qu’il s’agisse d’un utilisateur, d’un appareil ou d’une application. Chaque tentative d’accès doit être explicitement autorisée, à chaque fois.

Dans l’absolu, ce paradigme colle parfaitement avec les réalités modernes : explosion du télétravail, multiplication des endpoints, externalisation croissante. L’idée n’est pas de rendre tout inaccessible, mais d’autoriser uniquement ce qui est nécessaire, au moment où c’est nécessaire – le fameux principe du moindre privilege.

Mais entre le concept et la mise en œuvre, il y a… un gouffre.

Des implémentations archaïques déguisées en modernité

Le rapport de Tailscale est sans détour : moins de 33 % des entreprises ont mis en place les fondamentaux du Zero Trust. Ce n’est pas tant le principe qui pose problème, mais la paresse technologique et le conservatisme des infrastructures.

Beaucoup d’organisations se contentent encore de mécaniques dépassées :

• Permissions statiques
• Contrôle par IP et pare-feu
• VPN d’un autre âge
• Aucune rotation ni révocation automatique des accès

83 % des professionnels interrogés avouent avoir contourné les politiques de sécurité internes pour pouvoir travailler normalement. Pire encore : 68 % rapportent que d’anciens employés ont encore accès aux systèmes. Une situation ubuesque, surtout dans un contexte de menaces internes et de cyberattaques opportunistes.

Pourquoi ça coince ?

Mettre en œuvre Zero Trust, ce n’est pas déployer une solution unique. C’est changer de posture et réarchitecturer les flux d’accès :

• Authentification continue et contextuelle
• Analyse comportementale
• Micro-segmentation des réseaux
• Intégration fluide entre IAM, MDM, et surveillance en temps réel
• Abandon des “castles-and-moats” pour une logique décentralisée et dynamique

Mais pour cela, il faut casser du legacy, remettre à plat les politiques d’accès et investir intelligemment dans des outils interopérables.

En somme, Zero Trust exige rigueur, courage politique et vision stratégique. L’inverse exact du buzzword agité dans les salons 🙂

Conclusion : le faux confort des demi-mesures

La majorité des entreprises se trouvent aujourd’hui dans une zone grise : elles se disent “en cours de déploiement Zero Trust” tout en conservant des outils et méthodes qui n’en respectent ni l’esprit ni la lettre. Résultat : un sentiment diffus d’insécurité, des équipes qui bricolent, et une surface d’attaque plus large que jamais.

Zero Trust n’est pas une case à cocher ni un produit à acheter. C’est une refonte méthodologique. Tant que les DSI continueront à confondre transformation stratégique et ajout de couche logicielle, les rapports comme celui de Tailscale continueront à faire grincer des dents.