L'accès réseau « Zero Trust » (ZTNA) : qu'est-ce que c'est et pourquoi il remplace le VPN

10 mai 2026
George Rouse
Accès réseau « Zero Trust » (ZTNA) 

Selon le rapport Kaseya « State of the MSP » de 2026, 55 % des MSP proposent la gestion des identités et des accès en tant que service, ce qui confère au ZTNA et à cette alternative à l'accès à distance par VPN une place de plus en plus centrale dans leur portefeuille de services. Téléchargez le rapport complet.

Le VPN est la technologie d'accès à distance de référence depuis plus de vingt ans. Il établit un tunnel crypté entre un appareil distant et le réseau d'entreprise, plaçant ainsi l'utilisateur distant, d'un point de vue logique, « à l'intérieur » du périmètre. Dans le modèle de réseau des années 1990 et 2000, il s'agissait d'un moyen raisonnable d'étendre l'accès sécurisé aux utilisateurs distants.

Le problème, c'est que ce modèle a mal vieilli. Un VPN permet un accès au niveau du réseau, et non au niveau des applications. Un utilisateur connecté via un VPN dispose, en principe, de la même portée réseau qu'une personne physiquement présente au bureau, ce qui signifie qu'un appareil compromis sur lequel une session VPN est active offre à un pirate un point d'entrée au niveau du réseau dans l'environnement de l'entreprise. À partir de là, il est très facile de se déplacer latéralement. Le champ d'action d'un seul identifiant volé s'étend alors à l'ensemble du réseau.

L'accès réseau zéro confiance (ZTNA) répond directement à ce problème en remplaçant l'accès au niveau du réseau par un accès au niveau des applications, appliqué en continu sur la base d'une identité vérifiée et de l'état de santé des appareils. Si vous souhaitez en savoir plus sur le cadre général dans lequel s'inscrit cette approche, consultez notre guide sur [la sécurité Zero Trust en tant qu'architecture.](/blog/zero-trust-security) Cet article se concentre sur la couche d'accès au réseau : comment fonctionne le ZTNA, en quoi diffère-t-il du VPN, quel est son lien avec le SASE, et comment les MSP peuvent-ils le déployer.

Remplacer le VPN par un accès réseau « zero trust »

Datto Secure Edge un contrôle d'accès au niveau des applications, associé à une vérification continue de l'identité et à l'application des règles de sécurité SafeCheck, éliminant ainsi le risque de propagation latérale que le VPN engendre dans les environnements clients.

Découvrez Datto Secure Edge

Qu'est-ce que le ZTNA ?

Le ZTNA est un cadre de sécurité qui permet aux utilisateurs d'accéder à des applications et services spécifiques, et non au réseau, grâce à une vérification continue de leur identité, de l'état de leur appareil et du contexte. L'utilisateur ne « se connecte jamais au réseau » au sens traditionnel du VPN. Il s'authentifie auprès du système ZTNA, qui vérifie son identité et la conformité de son appareil, puis achemine sa connexion vers l'application spécifique dont il a besoin, et rien de plus.

Ce modèle au niveau des applications met en œuvre le principe «zero trust» du droit d'accès minimal au niveau de la couche d'accès au réseau : les utilisateurs ne peuvent accéder qu'aux applications pour lesquelles ils sont autorisés, et cette autorisation est réévaluée en permanence en fonction du contexte.

Le concept de ZTNA existe depuis environ 2010, mais les premières implémentations étaient complexes et coûteuses. Les plateformes ZTNA modernes basées sur le cloud ont rendu ce modèle accessible aux PME et aux entreprises de taille intermédiaire, et non plus uniquement aux grandes entreprises disposant d'importantes équipes de sécurité.

Comment fonctionne le ZTNA

Une architecture ZTNA classique repose sur trois composants qui fonctionnent en séquence.

Vérification d'identité. L'utilisateur s'authentifie, généralement via l'authentification multifactorielle (MFA), auprès du service ZTNA, qui vérifie son identité auprès du fournisseur d'identité de l'entreprise. Cette étape permet d'identifier la personne qui demande l'accès.

Évaluation de l'état de sécurité des terminaux. L'agent ZTNA installé sur le terminal vérifie que celui-ci respecte la politique de sécurité : système d'exploitation mis à jour dans un délai défini, agent EDR en cours d'exécution, disque chiffré, verrouillage d'écran activé. Les terminaux qui échouent à cette vérification se voient refuser l'accès ou se voient accorder un accès restreint, selon la configuration de la politique. Datto Secure Edge cela Secure Edge via SafeCheck, un contrôle continu de l'état des appareils intégré à Datto RMM. Lorsque Datto RMM et Secure Edge tous deux déployés, SafeCheck vérifie que les terminaux respectent les exigences en matière de correctifs et d'antivirus avant de leur permettre de se connecter. Les appareils qui échouent au contrôle se voient refuser l'accès jusqu'à ce qu'ils respectent la politique, avec un délai de grâce configurable pour l'état des correctifs afin de couvrir des scénarios tels qu'un appareil qui a été hors ligne pendant un week-end.

Proxy d'application. Une fois l'identité et l'état de sécurité de l'appareil vérifiés, le service ZTNA achemine la connexion de l'utilisateur vers l'application spécifique à laquelle il est autorisé à accéder. L'utilisateur ne dispose jamais d'un accès direct aux applications pour lesquelles il n'est pas autorisé, ni d'un accès au niveau du réseau à l'environnement global.

Cette architecture limite concrètement les mouvements latéraux. Un pirate qui parvient à compromettre un appareil disposant d'une session ZTNA active ne peut accéder qu'aux applications spécifiques auxquelles l'utilisateur était autorisé à accéder, et non à l'ensemble du réseau situé derrière le tunnel VPN.

ZTNA vs VPN : les principales différences

Le tableau ci-dessous présente les différences opérationnelles qui importent pour les MSP qui envisagent cette transition.

VPNZTNA
Modèle d'accèsAu niveau du réseauAu niveau de l'application
Hypothèse de confianceFiable dès la connexionVérifié en permanence
Risque de mouvement latéralÉlevé ; l'accès au réseau est étenduMinimales ; l'accès se fait sur demande
Application des règles de sécurité des appareilsGénéralement limité ou manuelEn continu et basé sur des règles
Expérience utilisateurSouvent lent, nécessite une connexion manuelleRapide, peut fonctionner en permanence et de manière transparente
Assistance pour le cloud et le SaaSMauvais ; achemine le trafic via le réseau de l'entrepriseNatif ; permet une gestion optimale du trafic cloud
ÉvolutivitéComplexe et dépendant du matérielLes modèles natifs du cloud s'adaptent facilement

L'amélioration de l'expérience utilisateur mérite davantage d'attention qu'on ne lui en accorde généralement. Le VPN est une source constante de plaintes de la part des utilisateurs finaux : connexions lentes, déconnexions intempestives, obligation de se connecter manuellement avant d'accéder aux applications. Les architectures ZTNA configurées en mode « toujours actif » offrent de meilleures performances et éliminent les difficultés de connexion qui poussent les utilisateurs à recourir à des solutions de contournement informatiques non officielles.

Un MSP qui a reçu à maintes reprises des demandes d'assistance concernant les performances du VPN comprend immédiatement qu'il s'agit là d'un enjeu de qualité de service, et pas seulement d'un enjeu de sécurité. Le remplacement du VPN par Datto Secure Edge une catégorie de demandes récurrentes tout en renforçant simultanément la sécurité du client.

SASE et ZTNA : quels sont leurs liens ?

Le SASE (Secure Access Service Edge) est une architecture plus globale qui regroupe les fonctions de sécurité réseau au sein d'un service unique fourni via le cloud. Une pile SASE complète comprend le ZTNA, la passerelle Web sécurisée (SWG), le courtier de sécurité d'accès au cloud (CASB), le pare-feu en tant que service (FWaaS) et le SD-WAN.

Le ZTNA est un composant du SASE, et non un synonyme de celui-ci. Une entreprise peut mettre en œuvre le ZTNA en remplacement d'un VPN tout en conservant ses contrôles de sécurité réseau existants. Une mise en œuvre complète du SASE regroupe toutes ces fonctions au sein d'un seul service cloud, éliminant ainsi la complexité liée à la coexistence de plusieurs fournisseurs qui résulte de l'assemblage de solutions ponctuelles distinctes.

Datto Secure Edge une solution SASE complète spécialement conçue pour le déploiement par les MSP. Sa pile de sécurité comprend le ZTNA, le SWG pour le filtrage Web et l'inspection des menaces, le FWaaS pour l'application des politiques de pare-feu via le cloud, ainsi que le SD-WAN pour l'optimisation du trafic. Les intégrations avec Datto RMM et Autotask permettent Secure Edge de générer automatiquement des tickets de service, et les mises à jour logicielles pour Secure Edge distribuées via les catalogues VSA 10 et Datto RMM afin que les terminaux restent à jour sans intervention manuelle.

Pour la plupart des PME et des entreprises de taille intermédiaire, le ZTNA, en tant que solution de remplacement du VPN, constitue un point de départ pratique. Le SASE complet représente l'évolution naturelle pour les organisations ayant des besoins de connectivité multisite et multicloud plus complexes, ainsi que pour les MSP qui souhaitent développer une offre complète de services de sécurité réseau gérés.

Mise en œuvre du ZTNA : une approche par étapes

La mise en œuvre du ZTNA se fait par étapes. Il est rarement réaliste de transférer tous les utilisateurs et tous les accès dès le premier jour. Une approche progressive permet de gérer la complexité et de démontrer la valeur ajoutée à chaque étape.

Phase 1 : Remplacement du VPN pour l'accès à distance. Déployer le ZTNA pour les utilisateurs à distance, en remplacement ou en complément du VPN existant. Se concentrer en priorité sur les schémas d'accès présentant le plus de risques : l'accès des utilisateurs privilégiés aux systèmes d'administration, l'accès aux référentiels de données sensibles et l'accès à partir d'appareils non gérés ou BYOD. C'est dans ces scénarios que le risque de propagation latérale lié au VPN est le plus grave.

Phase 2 : Étendre la couverture à tous les accès aux applications. Étendre la couverture ZTNA au-delà des utilisateurs distants pour couvrir tous les accès aux applications, y compris les utilisateurs sur site qui se connectent aux applications internes via le même modèle d'accès vérifié. À ce stade, le modèle d'accès est uniforme, quel que soit l'emplacement physique de l'utilisateur.

Phase 3 : Renforcer les politiques de conformité des appareils. Intégrer plus étroitement la conformité des appareils en utilisant l'état EDR comme indicateur de conformité en temps réel. Mettre en œuvre des politiques adaptatives qui restreignent l'étendue de l'accès ou mettent fin aux sessions lorsque la conformité d'un appareil se détériore au cours d'une session active, et non plus uniquement au moment de la connexion. La fonctionnalité SafeCheck de Datto Secure Edge cette application continue grâce à l'intégration Datto RMM.

Phase 4 : Surveillance comportementale et accès adaptatif. Mettre en place un système de surveillance capable de restreindre ou de bloquer l'accès en temps réel dès la détection d'un comportement anormal au cours d'une session authentifiée : téléchargements massifs de fichiers, accès à des applications inhabituelles, anomalies d'authentification ou tentatives de déplacement latéral.

Un point de référence utile : un MSP participant au programme de partenariat Datto a souligné que Datto Secure Edge ses clients à satisfaire plus de 10 exigences de contrôle distinctes prévues par la norme NIST 800-171, bien que le modèle « zero trust » ne soit pas explicitement mentionné dans ce cadre. Les contrôles d'accès, la journalisation des audits et la vérification de l'état des appareils correspondent naturellement à plusieurs familles de contrôles.

ZTNA pour les MSP

Les MSP ont deux raisons distinctes d'investir dans le ZTNA : protéger leur propre accès aux environnements de leurs clients et proposer le ZTNA sous forme de service géré.

En interne, les identifiants des MSP comptent parmi les cibles les plus prisées de la chaîne d'approvisionnement des PME. Un pirate qui parvient à compromettre un identifiant RMM ou un compte administrateur PSA obtient ainsi l'accès à tous les environnements clients gérés par le MSP. Le contrôle d'accès basé sur le ZTNA, qui inclut une vérification d'identité à chaque session et une mise en conformité continue de l'état des appareils, limite la portée d'un identifiant compromis. Un MSP utilisant Datto Secure Edge clairement Secure Edge : ses techniciens ne peuvent pas s'authentifier sur KaseyaOne être Secure Edge connectés via Secure Edge . La vérification de session n'est pas une étape supplémentaire facultative ; c'est la condition préalable à l'accès.

Pour les clients, les négociations commerciales se sont simplifiées à mesure que les exigences en matière d'assurance cyber se sont renforcées. De nombreux assureurs exigent désormais l'authentification multifactorielle (MFA) et des contrôles d'accès au niveau des applications comme condition préalable à la couverture. Un MSP capable de fournir un accès ZTNA sous forme de service de sécurité réseau géré, avec une gestion centralisée des politiques pour tous les environnements clients et des alertes automatisées via la plateforme PSA, répond ainsi à une exigence des clients qui nécessitait auparavant des ressources de niveau entreprise pour être satisfaite.

Les arguments opérationnels sont également convaincants. Le remplacement du VPN par Datto Secure Edge le nombre de demandes récurrentes adressées au service d'assistance liées aux problèmes de performance du VPN, d'améliorer l'expérience utilisateur des télétravailleurs et d'éliminer les cycles de renouvellement du matériel requis par les appliances VPN sur site. Pour les clients, cela se traduit par une meilleure expérience informatique. Pour les MSP, cela se traduit par un modèle de prestation de services plus simple.

Datto Secure Edge disponible pour Windows, macOS, iOS et Android ; le client mobile, lancé en juin 2025, offre aux MSP une solution ZTNA unique couvrant l'ensemble des appareils utilisés par leurs clients.

Points clés à retenir

  • Le ZTNA remplace l'accès au niveau du réseau proposé par le VPN par un accès au niveau des applications, vérifié en permanence par rapport à l'identité de l'utilisateur et à l'état de l'appareil. Un identifiant compromis disposant d'un accès ZTNA ne peut accéder qu'aux applications autorisées, et non à l'ensemble du réseau.
  • C'est au niveau de la gestion de l'état des appareils que l'intégration entre ZTNA et RMM revêt le plus d'importance. La fonctionnalité SafeCheck de Datto Secure Edge Datto RMM pour vérifier en permanence la conformité des terminaux avant et pendant les sessions d'accès.
  • Le ZTNA fait partie intégrante du SASE. Pour la plupart des PME, le ZTNA, en tant que solution de remplacement du VPN, constitue le point de départ. Le SASE complet regroupe le ZTNA, la passerelle Web, le pare-feu cloud et le SD-WAN au sein d'un seul service fourni dans le cloud.
  • La mise en œuvre se fait par étapes : commencez par les accès privilégiés et à distance, étendez-la à tous les accès aux applications, puis renforcez les politiques de sécurité et ajoutez la surveillance comportementale.
  • Les MSP bénéficient d'avantages tant internes que commerciaux : ils protègent les accès privilégiés entre le MSP et ses clients, et proposent le ZTNA sous forme de service géré qui répond aux exigences de conformité et réduit le volume d'appels au service d'assistance liés aux VPN.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

La sécurité « zero trust » : qu'est-ce que c'est, pourquoi est-ce important et comment la mettre en œuvre ?

Selon le rapport Kaseya 2026 sur la situation des MSP, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires lié à la cybersécurité par rapport à l'année précédente, et aucun

Lire l'article de blog

Qu'est-ce que la liste blanche ?

Assurer la sécurité de notre univers numérique est plus crucial que jamais, car les cybermenaces se multiplient à un rythme que nous ne parvenons pas à suivre. Chaque entreprise

Lire l'article de blog