TechLeague

    Security

    Zero Trust en pratique : ce que NIST SP 800-207 exige vraiment

    TechLeague Editorial··10 min de lecture

    Zero Trust est devenu un mot marketing. Presque chaque éditeur vend une « solution Zero Trust » — et presque aucune ne correspond à ce que NIST SP 800-207 définit comme du vrai Zero Trust.

    Ce que NIST SP 800-207 dit, en une phrase

    Zero Trust est un ensemble de principes de conception où la confiance n'est jamais implicite. Chaque accès est évalué en continu, dynamiquement et avec le moindre privilège, en tenant compte de l'identité, de la posture, du contexte et du risque — peu importe la localisation.

    Les 7 principes officiels

    1. Toute source de données et service est une ressource.
    2. Toute communication est sécurisée quel que soit l'emplacement.
    3. L'accès est accordé par session.
    4. L'accès dépend d'une politique dynamique.
    5. L'organisation surveille l'intégrité et la posture de tous les actifs.
    6. Authentification et autorisation dynamiques et appliquées avant l'accès.
    7. Collecte maximale de télémétrie pour améliorer la posture.

    Composants (PE, PA, PEP)

    • Policy Engine (PE) — décide.
    • Policy Administrator (PA) — applique la décision.
    • Policy Enforcement Point (PEP) — exécute sur le chemin des données.

    Sur Cisco, PE/PA vit typiquement dans ISE intégré à SIEM/EDR ; les PEPs sont switches, WLC, firewalls, proxies.

    Ce qui n'est PAS Zero Trust

    • VPN classique donnant accès « à tout le réseau ».
    • MFA isolé sans posture.
    • Microsegmentation uniquement par VLAN/IP.
    • Confiance implicite « parce qu'on est au bureau ».

    Feuille de route réaliste

    1. Inventaire et classification.
    2. Identité forte centralisée.
    3. Posture du device.
    4. Microsegmentation par identité (TrustSec/SGT, ZTNA).
    5. Politique dynamique et télémétrie continue.
    6. Réduire progressivement le VPN.

    Comment s'y entraîner

    Zero Trust casse davantage par opération que par architecture. TechLeague ne vend pas de simulateurs ; elle confronte l'ingénieur à des défis réels de segmentation, AAA et NAC, classement public à l'appui.

    Prochaine étape

    Téléchargez NIST SP 800-207, lisez les sections 2 et 3, mappez votre réseau aux 7 principes. Entraînez-vous sur les tournois pratiques TechLeague.