Du modèle VPN traditionnel au Zero Trust et au ZTNA
En quoi le modèle Zero Trust et le ZTNA constituent-ils une évolution plus adaptée que les VPN traditionnels pour sécuriser les accès aux infrastructures sensibles ?
Depuis leur apparition dans les années 1990, les VPN ont été la solution de référence pour sécuriser les accès distants. Mais dans un contexte où le cloud, le télétravail massif et les menaces sophistiquées redéfinissent les périmètres de sécurité, ce modèle montre ses limites.
Le ZTNA (Zero Trust Network Access) — formalisé par le NIST SP 800-207 (2020) et recommandé par l'ANSSI (guide ANSSI-PA-111, juin 2025) — propose une approche radicalement différente : accès granulaire par application, vérification continue de l'identité, applications masquées sur Internet.
Mon intérêt s'est cristallisé lors de mon stage chez Outscale, fournisseur cloud souverain certifié SecNumCloud. J'ai été confronté à une situation concrète : l'arrivée à échéance de certificats VPN sur une plateforme sensible, nécessitant une intervention manuelle sur les postes utilisateurs.
Cette expérience illustre les contraintes opérationnelles du VPN — et m'a conduit à m'interroger sur les alternatives ZTNA pour des environnements cloud exigeants.
En BTS SIO option SISR, je suis directement concerné par la sécurisation des accès distants et la gestion des identités. La maîtrise du Zero Trust constitue désormais un prérequis pour tout profil SISR. Je rejoins l'EFREI Paris — Majeure Réseaux & Sécurité à la rentrée 2026, où ces compétences (IAM, SASE, Zero Trust) seront au cœur de la formation.
Virtual Private Network — tunnel chiffré entre un terminal distant et le réseau d'entreprise. Modèle historique d'accès distant, mais basé sur la confiance implicite.
Paradigme : "ne jamais faire confiance, toujours vérifier". Impose une vérification systématique, continue et granulaire de toute demande d'accès (NIST SP 800-207).
Zero Trust Network Access — déclinaison technique du Zero Trust pour l'accès aux applications. Accès granulaire par application, sans exposer le réseau.
Chaque entité (utilisateur, service, terminal) ne reçoit que les droits strictement nécessaires à sa tâche, limitant la surface d'attaque.
Cloisonnement fin des flux réseau pour isoler les applications et bloquer la propagation latérale d'une attaque au sein du SI.
Authentification Multi-Facteurs — mécanisme essentiel du Zero Trust pour vérifier l'identité de manière robuste, combinant plusieurs facteurs indépendants.
Du VPN traditionnel au Zero Trust et au ZTNA — analyse comparative.
Les VPN ont été développés dans les années 1990 pour répondre à un besoin de sécurisation des échanges sur Internet. Leur principe : création d'un tunnel chiffré entre un terminal distant et le réseau d'entreprise.
Évolution des protocoles :
Deux modes opératoires : Transport (chiffre uniquement la charge utile) et Tunneling (encapsule et chiffre l'intégralité du paquet IP).
Efficace dans un contexte majoritairement on-premise, avec un télétravail occasionnel et sans cloud généralisé.
Le concept Zero Trust a été formalisé en 2010 par John Kindervag (Forrester Research). Il remet en cause le modèle "château fort" : dur à l'extérieur, mou à l'intérieur.
Reconnu par :
Les 5 principes fondamentaux :
« Le Zero Trust est avant tout un concept d'architecture dédié au renforcement de la sécurité d'accès aux ressources et aux services, et non pas une technologie en soi. » — ANSSI, 2021
Le ZTNA est la déclinaison opérationnelle du Zero Trust pour l'accès aux applications. Selon Gartner : il crée une limite d'accès logique basée sur l'identité et le contexte, autour d'une application.
Le ZTNA n'est pas un simple remplacement du VPN, mais une évolution architecturale profonde qui redéfinit la manière dont les accès sont contrôlés, vérifiés et accordés.
Source : Sections 3.7 de la synthèse — Gartner / Zscaler / Fortinet
Croissance ×3,1 avec CAGR de 25,5%
L'application n'est jamais exposée directement sur Internet — le connecteur initie une connexion sortante vers le broker
Source : NIST SP 800-207 · Architecture ZTNA Gartner 2024
Agrégation en temps réel via Inoreader — démonstration live.
Flux RSS via Inoreader (CERT-FR, SecurityWeek, Zscaler Blog) + alertes Google Alerts sur "Zero Trust ZTNA", "VPN vulnérabilité" et "ANSSI Zero Trust".
Croisement systématique des sources avant validation : annonce commerciale vérifiée par publication institutionnelle indépendante (ANSSI, NIST).
Synthèse publiée sur ce portfolio. Contextualisation par les situations réelles vécues en stage (Outscale, Fnac Darty).
Deux sources clés issues de ma veille, commentées.
Zscaler, leader mondial du marché ZTNA, a publié en 2025 un rapport détaillé sur les risques liés aux VPN, basé sur une enquête menée auprès de 632 professionnels IT et cybersécurité à travers le monde. Il met en lumière quatre tendances majeures :
Le rapport alerte également sur les faux Zero Trust : certains fournisseurs VPN rebaptisent simplement leurs solutions "Zero Trust" sans changer fondamentalement l'architecture. Un VPN hébergé dans le cloud reste exposé avec des adresses IP publiques.
Consulter la sourceL'ANSSI a publié en juin 2025 un guide complet intitulé « Modèle Zero Trust — Les fondamentaux » (référence ANSSI-PA-111), destiné à accompagner les organisations françaises dans l'adoption progressive du Zero Trust. Ce document s'appuie sur l'avis scientifique d'avril 2021 et propose une dizaine de recommandations concrètes.
Points clés du guide :
Cette publication de l'ANSSI est essentielle pour ma veille car elle fournit un cadre de référence institutionnel français. Elle légitime l'approche Zero Trust tout en la tempérant par des recommandations pragmatiques — évitant l'écueil de l'effet de mode marketing des éditeurs. Pour un étudiant en BTS SIO SISR, ce guide constitue une ressource pédagogique précieuse : il donne des repères concrets pour aborder le Zero Trust dans un contexte français, avec les spécificités réglementaires (NIS2, RGPD) et culturelles. Il confirme surtout que le Zero Trust n'est pas une révolution brutale, mais une évolution maîtrisée et progressive — ce qui correspond aux réalités des équipes IT que je rejoindrai.
Le VPN a constitué pendant deux décennies la solution de référence pour l'accès distant — mais ses limites structurelles sont désormais documentées : confiance implicite, accès réseau global, inadaptation au cloud, surface d'attaque élargie. Face à l'évolution des usages et des menaces, un changement d'approche s'impose.
Le Zero Trust — "ne jamais faire confiance, toujours vérifier" — place l'identité au cœur de la sécurité et impose une vérification continue et contextuelle. Le ZTNA en est la déclinaison concrète : accès granulaire par application, applications masquées, cloud-native. Le marché confirme cette adoption : 96% des entreprises ont adopté ou prévoient Zero Trust, et 70% des nouveaux accès distants seront ZTNA d'ici fin 2025 (Gartner / Zscaler). L'ANSSI recommande une adoption incrémentale en 2025.
Le Zero Trust s'étend progressivement à la protection des données (DLP), la sécurité des workloads cloud, des API et des environnements OT/IoT. Pour mon parcours — BTS SIO SISR puis EFREI Paris, Majeure Réseaux & Sécurité — les compétences en IAM, déploiement ZTNA et intégration SASE constitueront des atouts directement attendus sur le marché de l'ingénierie réseau et cybersécurité.
Cette actualité est particulièrement significative pour ma veille car elle confirme de manière factuelle et chiffrée les limites du modèle VPN identifiées dans ma synthèse. Elle montre que la transition vers le ZTNA n'est pas une tendance émergente, mais une transformation en cours. Pour un profil SISR, cela signifie que la maîtrise du ZTNA deviendra rapidement une compétence attendue sur le marché, au même titre que la gestion des VPN l'a été pendant deux décennies. Le rapport met aussi en garde contre l'adoption marketing du Zero Trust sans compréhension architecturale réelle — ce qui renforce l'importance d'une formation solide sur les fondamentaux.