Source : NCSC.GOV.UK (UK National Cyber Security Centre), guidance publiée le 29 octobre 2025 et destinée aux professionnels cyber, grandes organisations et secteur public.

🔐 Le NCSC explique que Zero Trust (ZT) est une approche moderne qui supprime la confiance implicite accordée au réseau, en imposant une validation continue de l’identité, du contexte et des signaux de risque avant tout accès. Une architecture ZT est la concrétisation de cette philosophie via un ensemble de contrôles et de conceptions garantissant qu’utilisateurs, appareils et services sont en permanence authentifiés, autorisés et validés, où qu’ils se trouvent. Le NCSC distingue le “pourquoi” (philosophie ZT) du “comment” (architecture ZT et ses contrôles).

🛠️ Le document corrige plusieurs idées reçues : ZT n’est pas un correctif rapide, mais un engagement stratégique potentiellement coûteux et disruptif, qui doit partir des menaces et objectifs spécifiques de l’organisation. ZT n’est pas un produit ; il nécessite de concevoir et prioriser des contrôles, souvent issus de plusieurs fournisseurs, et peut exiger une ré-architecture pluriannuelle. L’approche renforce la défense en profondeur et implique souvent davantage de contrôles (ou leur remplacement par des équivalents) ; il faut maintenir les contrôles existants jusqu’à ce que la maturité ZT offre un niveau de protection au moins équivalent.

🧭 Le NCSC rappelle que “zero trust” ne signifie pas “zéro confiance” : la confiance est progressivement construite à partir de multiples signaux selon la sensibilité de l’accès (ex. consulter un document vs. changer un mot de passe). De plus, ZT et VPN ne sont pas mutuellement exclusifs : un VPN peut coexister avec ZT si ses contrôles spécifiques restent nécessaires, mais le trafic VPN ne doit pas être implicitement approuvé.

♻️ La démarche ZT est continue : on ne « termine » pas le Zero Trust. L’architecture doit évoluer avec les technologies, vulnérabilités et menaces, en atteignant des jalons au fil du temps et en actualisant la feuille de route lorsque de nouveaux contrôles deviennent disponibles.

✅ Principaux enseignements:

  • Ce que c’est : authentification continue, approche intentionnelle, architecture, couches de sécurité, confiance fondée sur des signaux, accès conditionnel, activité long terme et évolutive.
  • Ce que ce n’est pas : décision d’accès unique, mouvement dicté par la mode, produit, réseau plat, absence totale de confiance, simple méthode de connexion, checklist ou déploiement ponctuel.

Type d’article : recommandation de sécurité. But principal : démystifier le Zero Trust et expliciter les principes et conditions d’une mise en œuvre architecturale.

🔗 Source originale : https://www.ncsc.gov.uk/collection/zero-trust-architecture/implementing-zta/demystifying-zero-trust