5/27/2026 • 5 min de lecture
Le Zero Trust ne se limite plus au réseau et place désormais la donnée au centre de la stratégie de sécurité. Face à la disparition du périmètre traditionnel, les organisations doivent maîtriser en continu la visibilité, les accès et les usages de leurs données sensibles.
82 % des violations de données impliquent des données stockées dans le cloud (IBM, 2023). À l'heure où le travail hybride, les applications SaaS et les accès tiers ont définitivement fait exploser les frontières du système d'information, continuer à sécuriser un périmètre réseau qui n'existe plus relève d'une illusion dangereuse.
Face à cette réalité, le modèle Zero Trust s'impose non pas comme une tendance, mais comme la réponse architecturale la plus cohérente aux menaces d'aujourd'hui. Ne faire confiance à personne, vérifier en permanence : un principe simple, mais dont la mise en œuvre change radicalement la posture de sécurité d'une organisation à condition de l'appliquer là où ça compte vraiment : sur la donnée elle-même.
Le Zero Trust est un modèle de sécurité fondé sur un principe fondateur : aucune entité (utilisateur, appareil ou application) ne doit bénéficier d'une confiance implicite, qu'elle se trouve à l'intérieur ou à l'extérieur du réseau de l'entreprise.
Là où l'approche traditionnelle présuppose que tout ce qui est dans le réseau est sûr, le Zero Trust part du postulat inverse : toute connexion est potentiellement hostile jusqu'à preuve du contraire.
Ce modèle repose sur quatre piliers fondamentaux :
Les organisations doivent être capables d’identifier, cartographier et classifier leurs données sensibles, quel que soit leur emplacement ou leur mode de circulation.
Chaque accès est authentifié et autorisé en continu, indépendamment de l'origine de la connexion. L'identité de l'utilisateur, l'état de l'appareil, la sensibilité de la ressource demandée et le contexte de la requête sont analysés à chaque interaction.
Les utilisateurs et les systèmes n'accèdent qu'aux ressources strictement nécessaires à leurs missions. Cette micro-segmentation limite drastiquement la surface d'attaque et contient les mouvements latéraux en cas de compromission.
Le Zero Trust n'est pas un état statique. Il implique une analyse comportementale permanente pour détecter les anomalies, les dérives d'accès ou les signaux faibles d'une intrusion en cours.
À retenir : Le Zero Trust ne consiste pas à supprimer la confiance, mais à ne plus l'accorder par défaut. Chaque accès doit être mérité, prouvé et réévalué en permanence.
La plupart des implémentations Zero Trust se concentrent sur la couche réseau et les identités : qui peut se connecter à quoi, depuis quel appareil, avec quelle authentification. C'est nécessaire mais insuffisant.
Le Zero Trust réseau sécurise le chemin. Le Zero Trust centré sur la donnée sécurise la destination.
Un utilisateur peut disposer d'un accès légitime, depuis un terminal sain, avec une authentification forte... et exfiltrer un fichier stratégique vers un service cloud non approuvé. Le réseau n'a rien vu d'anormal. Pourtant, la donnée est partie.
C'est pourquoi la maturité Zero Trust d'une organisation se mesure aussi à sa capacité à répondre à ces questions :
Cette approche data-centric du Zero Trust ne remplace pas la sécurité réseau : elle la complète en ajoutant une couche de contrôle directement sur l'information, là où réside réellement la valeur à protéger.
À retenir : Sécuriser les accès sans surveiller ce qu'on fait des données, c'est verrouiller la porte d'entrée en laissant les fenêtres ouvertes. Le Zero Trust mature intègre la donnée comme objet de sécurité à part entière.
Le réseau d'entreprise tel qu'on le concevait il y a dix ans avec un ensemble d'actifs regroupés derrière un pare-feu a disparu. Plusieurs évolutions structurelles ont rendu le modèle périmétrique obsolète :
Les collaborateurs se connectent depuis chez eux, depuis des espaces de coworking, en mobilité. Les données résident sur des dizaines de plateformes cloud. Les partenaires et prestataires accèdent directement à des ressources internes. Le périmètre est partout, donc nulle part.
24 % des violations de données débutent par l'utilisation d'identifiants volés ou compromis. (Verizon, 2024). Les attaquants ne forcent plus la porte : ils entrent avec les clés d'un utilisateur légitime. Une fois à l'intérieur, sur un réseau qui leur fait confiance par défaut, ils se déplacent librement et accèdent aux données sans déclencher la moindre alerte.
Un collaborateur malveillant, un accès mal révoqué lors d'un départ, un appareil personnel compromis ou une erreur humaine : les risques internes sont aussi réels que les attaques externes. Le modèle Zero Trust traite ces deux vecteurs avec la même rigueur, en appliquant les mêmes contrôles quel que soit le statut de l'utilisateur.
Mettre en œuvre le Zero Trust ne se résume pas à l'achat d'un outil. C'est une transformation architecturale qui mobilise plusieurs briques technologiques et organisationnelles :
impossible de protéger ce qu'on ne connaît pas. La cartographie en temps réel des données sensibles (financières, personnelles, stratégiques) conditionne l'efficacité de toute politique Zero Trust.
les comportements des utilisateurs et des entités sont modélisés pour détecter les anomalies qui échappent aux règles statiques.
le Zero Trust centré sur la donnée s'articule naturellement avec la prévention des fuites. Même un accès légitime peut être bloqué si le comportement sur la donnée est anormal ou non conforme.
À retenir : La force d'une approche Zero Trust orientée données vient de la cohérence entre ses composantes. La cartographie des données et le contrôle des accès doivent fonctionner ensemble, pas en silos.
Le RGPD, NIS2 et DORA imposent aux organisations de démontrer qu’elles maîtrisent qui accède à quelles données, dans quel contexte et avec quelles garanties. Le Zero Trust répond structurellement à ces exigences en apportant une traçabilité complète des accès et des opérations réalisées sur les données sensibles, un meilleur contrôle des tiers et des prestataires ainsi qu’une réduction significative de la surface d’exposition. Cette approche s’inscrit directement dans les principes de minimisation des accès et de limitation des risques imposés par le RGPD.
Pour un DSI ou un RSSI confronté à un audit ou à une mise en conformité, une architecture Zero Trust constitue une preuve tangible d'une gouvernance des accès maîtrisée et une réponse crédible face aux régulateurs.
L’approche Zero Trust centrée sur la donnée commence à s’imposer comme le standard de référence dans l’industrie, portée par un besoin croissant de résilience face à la multiplication des cyberattaques, des usages cloud et des échanges de données sensibles. Les organisations ne cherchent plus uniquement à empêcher l’intrusion, mais à garantir leur capacité à maintenir le contrôle sur leurs données, même en situation de compromission. Lors du Cybershow Paris 2025, Daspren a d’ailleurs reçu le Trophée Zero Trust, une reconnaissance qui témoigne de la pertinence de cette vision data-centric dans un marché en pleine maturité.
Crédit : Cyber Show Paris, de gauche à droite : Sandy Dussottier, (Group Security Team au Crédit Agricole), Artus Raulo (Chargé de Marketing chez Daspren) et Belkacem TEIBI, (Cofondateur et PDG de Daspren).
Le Zero Trust n'est pas une contrainte supplémentaire imposée par la menace. C'est un levier de transformation qui renforce simultanément la sécurité, la conformité et la résilience opérationnelle de l'entreprise à condition de l'appliquer jusqu'à la donnée, et pas seulement jusqu'au réseau.
Dans un contexte où un seul compte compromis peut suffire à déclencher une crise majeure, attendre n'est pas une option. Les organisations qui adoptent le Zero Trust aujourd'hui ne font pas que se protéger : elles construisent une infrastructure numérique sur laquelle elles pourront s'appuyer sereinement demain.
Si vous voulez en savoir plus sur la mise en œuvre d'une architecture Zero Trust centrée sur la donnée, contactez-nous pour une démonstration.
