Selon le rapport Kaseya 2026 sur l'état du secteur des MSP, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires lié à la cybersécurité par rapport à l'année précédente, et l'architecture « zero trust » est de plus en plus souvent le cadre que les clients recherchent lorsqu'ils évaluent l'approche de leur MSP en matière de sécurité. Téléchargez le rapport complet.
« Ne jamais se fier, toujours vérifier. » Tel est le principe fondamental du « zero trust », un modèle de sécurité qui, au cours de la dernière décennie, est passé d'un cadre théorique à un pilier de l'architecture de sécurité moderne des entreprises.
Le modèle de sécurité traditionnel partait du principe que tout ce qui se trouvait à l'intérieur du périmètre du réseau était fiable. Les utilisateurs, les appareils et les applications situés derrière le pare-feu étaient considérés comme sûrs par défaut. Cette hypothèse était raisonnable à l'époque où les employés travaillaient depuis leurs bureaux sur des appareils appartenant à l'entreprise et connectés au réseau de celle-ci. Elle n'a plus aucun sens dans un environnement où le travail s'effectue de n'importe où, sur n'importe quel appareil, en accédant à des services cloud qui se trouvent entièrement en dehors du périmètre. La plateforme de sécurité de Kaseya protège plus de 50 000 MSP et équipes informatiques confrontés à cette évolution, ce qui nous donne une vision opérationnelle claire des failles du modèle de périmètre et de ce qui le remplace réellement.
Intégrez le modèle « zero trust » à vos opérations informatiques
Kaseya 365 la détection au niveau des terminaux, la protection des identités, la détection et la réponse dans le cloud, ainsi que le ZTNA, afin de permettre aux MSP et aux équipes informatiques de mettre en œuvre une stratégie « zero trust » pratique et progressive.
Qu'est-ce que le « zero trust » ?
Le « zero trust » est un cadre de sécurité, et non un produit, qui exige une vérification continue de chaque demande d'accès, quelle que soit son origine. Il part du principe que le réseau a déjà été compromis et conçoit les contrôles d'accès en conséquence : il limite les mouvements latéraux en restreignant l'accès des utilisateurs ou des appareils authentifiés, et vérifie en permanence que les sessions authentifiées se déroulent comme prévu.
Dans sa publication spéciale 800-207, le NIST définit l'architecture « Zero Trust » (ZTA) comme le déplacement des contrôles de sécurité du périmètre du réseau vers les ressources individuelles, chaque ressource appliquant sa propre politique d'accès plutôt que de s'appuyer sur une frontière réseau de confiance.
Concrètement, le modèle « zero trust » implique que les utilisateurs soient soumis à une authentification forte avant d'accéder à toute ressource, que les appareils soient vérifiés pour s'assurer qu'ils répondent aux exigences de sécurité avant que l'accès ne soit accordé, que l'accès soit limité aux seules ressources dont l'utilisateur a réellement besoin, que tous les accès soient enregistrés et surveillés, et que l'accès soit réévalué en cas de changement de contexte, tel que l'emplacement, l'état de l'appareil ou un comportement inhabituel.
Pourquoi le modèle de périmètre traditionnel a échoué
Le modèle traditionnel du château fort entouré de douves, qui consistait à repousser les menaces à l'extérieur et à faire confiance à tout ce qui se trouvait à l'intérieur, reposait sur trois hypothèses qui ne sont plus valables aujourd'hui.
Les limites ne sont plus clairement définies. Le travail s'effectue à domicile, dans des cafés, sur des appareils personnels. Les applications fonctionnent dans des environnements cloud, en dehors du réseau de l'entreprise. La notion d'« intérieur » est devenue floue.
Les menaces internes, qu'il s'agisse d'employés malveillants ou de comptes piratés, proviennent de l'intérieur du périmètre. Un modèle qui fait confiance à tout ce qui se trouve à l'intérieur n'offre aucune protection contre la part importante des violations qui n'impliquent jamais d'intrusion depuis l'extérieur du réseau.
Les pirates qui parviennent à franchir le périmètre par le biais du phishing, du vol d'identifiants ou d'une compromission de la chaîne d'approvisionnement peuvent se déplacer latéralement avec un minimum de résistance au sein d'un réseau plat et considéré comme fiable. C'est par ce déplacement latéral qu'un simple terminal compromis peut se transformer en un incident à l'échelle de l'entreprise. L'attaque de la chaîne d'approvisionnement de Kaseya VSA en 2021 en est une illustration parfaite : l'accès par un seul canal de confiance s'est propagé en cascade précisément parce que les environnements en aval faisaient implicitement confiance à ce qui leur parvenait d'en amont.
Le modèle « zero trust » remédie à ces trois types de défaillance en remplaçant la confiance implicite fondée sur l'emplacement réseau par une vérification continue et contextuelle.
Les trois principes fondamentaux du modèle « zero trust »
Vérifiez de manière explicite. Authentifiez et autorisez chaque demande d'accès en tenant compte de tous les indicateurs disponibles : identité de l'utilisateur, état de l'appareil, emplacement, ressource demandée et comportements. L'emplacement réseau ne constitue pas un indicateur de fiabilité.
Appliquez le principe du « privilège minimal ». Limitez les droits d'accès des utilisateurs au strict minimum requis pour leur rôle et restreignez la durée de cet accès. L'octroi d'accès « juste à temps » pour les opérations privilégiées et l'attribution d'accès à durée limitée pour les besoins temporaires réduisent la fenêtre d'exposition en cas de compromission des identifiants. Un compte qui ne peut accéder qu'aux ressources dont il a besoin, et ce uniquement pendant la durée nécessaire, présente un intérêt nettement moindre pour un pirate.
Partez du principe qu'une intrusion a eu lieu. Concevez vos contrôles en partant du principe que le réseau a déjà été compromis. Segmentez les accès afin de limiter les mouvements latéraux. Chiffrez toutes les données en transit et au repos. Surveillez l'ensemble de l'activité à la recherche d'indicateurs de compromission. Préparez un plan d'intervention en cas d'incident pour le scénario dans lequel un attaquant a déjà pris pied au sein de l'environnement.
Le « zero trust » en pratique : comment le mettre en œuvre
Le « zero trust » est un processus continu, et non un simple choix binaire. La plupart des entreprises le mettent en œuvre progressivement selon cinq axes, chacun s'appuyant sur le précédent.
Gestion des identités et des accès. C'est la base. Une authentification forte (authentification multifactorielle, idéalement via des clés matérielles résistantes au phishing ou des facteurs basés sur des applications), une gouvernance des identités définissant qui a accès à quoi et pourquoi, ainsi qu'une gestion des accès privilégiés pour les identifiants administratifs constituent le point de départ. Chaque décision d'accès découle d'une identité vérifiée. Dark Web ID, qui fait partie de Kaseya 365 , assure une surveillance continue des identifiants afin de détecter les identités compromises avant qu'elles ne deviennent des vecteurs actifs de violation.
Conformité des appareils. L'accès ne doit pas dépendre uniquement de l'identité de l'utilisateur, mais également de l'état de l'appareil qu'il utilise. Les politiques d'accès conditionnel qui exigent que les terminaux répondent à des exigences de sécurité avant d'accéder à des ressources sensibles mettent en œuvre le principe de vérification des appareils. Datto EDR, qui fait partie de Kaseya 365 , assure la surveillance continue des terminaux sur laquelle reposent les politiques de conformité des appareils : un terminal présentant une menace comportementale active ou une vulnérabilité critique non corrigée ne devrait pas disposer des mêmes droits d'accès qu'un appareil propre, mis à jour et entièrement géré.
Contrôle d'accès au réseau. Remplacez l'accès général au réseau via VPN par un accès spécifique aux applications. Les utilisateurs s'authentifient auprès d'applications spécifiques plutôt qu'auprès du réseau dans son ensemble. C'est le domaine du ZTNA (Zero Trust Network Access), et Datto Secure Edge la solution ZTNA et SASE spécialement conçue par Kaseya pour les MSP qui gèrent l'accès à distance de leurs clients à grande échelle. Pour une analyse technique détaillée de la manière dont le ZTNA remplace le VPN, consultez notre guide comparatif ZTNA vs VPN.
Contrôles au niveau des applications. Les politiques d'accès au niveau de la couche applicative définissent non seulement qui peut se connecter, mais aussi quelles actions ces utilisateurs peuvent effectuer une fois connectés. L'accès basé sur les rôles au sein des applications, associé à la surveillance du comportement au niveau de la couche applicative, comble les lacunes que les contrôles au niveau du réseau ne peuvent à eux seuls combler.
Surveillance continue. Le modèle « Zero Trust » nécessite une surveillance continue des sessions authentifiées afin de détecter toute anomalie comportementale : accès à des ressources inhabituelles, volumes de transfert de données anormaux, authentifications provenant d'emplacements inattendus ou tentatives d'escalade de privilèges. SaaS Alerts, qui fait partie de Kaseya 365 , assure cette surveillance continue des environnements cloud et des applications SaaS, en détectant les compromissions de comptes et les activités suspectes en temps quasi réel et en déclenchant des actions de réponse automatisées.
Le modèle « zero trust » pour les MSP
Les MSP ont tout intérêt à mettre en œuvre le modèle « zero trust » tant en interne que dans le cadre de leurs offres de services.
En interne, les environnements des MSP constituent des cibles de premier ordre. La compromission d’un identifiant MSP peut avoir des répercussions en cascade sur tous les environnements clients gérés par ce MSP. Un partenaire MSP utilisant Datto Secure Edge ainsi : « Nous utilisons Datto Secure Edge verrouiller l'accès de nos propres techniciens. Ils ne peuvent pas se connecter à KaseyaOne d'être connectés via Datto Secure Edge, ce qui me rassure. » Une architecture « zero trust » qui impose l'authentification multifactorielle (MFA) pour tous les accès, met en œuvre une gestion des accès privilégiés pour les identifiants RMM et segmente les environnements clients les uns des autres limite l'ampleur des dégâts lorsqu'un composant est compromis.
Pour les clients, le modèle « zero trust » devient de plus en plus une exigence en matière de conformité et d'assurance cyber, en particulier pour ceux des secteurs de la santé, de la finance et des administrations publiques. Un MSP capable d'expliquer l'architecture « zero trust », d'analyser les environnements des clients à la lumière de ses principes et de mettre en place les composants techniques de manière progressive se positionne comme un conseiller stratégique en sécurité, et non comme un simple service d'assistance réactif.
L'opportunité commerciale est bien réelle. Le « zero trust » n'est pas un simple projet ponctuel avec un seul livrable, mais un service continu de conseil et de mise en œuvre. Chacune des cinq dimensions énumérées ci-dessus correspond à une mission distincte, et chacune renforce la dépendance du client vis-à-vis de l'expertise et de la gamme d'outils du MSP.
Idées reçues courantes sur le modèle « zero trust »
« Le modèle Zero Trust, c'est ne faire confiance à personne. » Le modèle Zero Trust consiste à remplacer la confiance implicite par une confiance vérifiée. Seuls les utilisateurs, les appareils et les sessions vérifiés obtiennent l'accès. Ce principe porte sur le fondement de cette confiance, et non sur son existence même.
« Le modèle Zero Trust n'est pas un produit que l'on achète. » Aucun produit ne permet à lui seul de mettre en œuvre le modèle Zero Trust. Cela nécessite une mise en œuvre coordonnée couvrant l'identité, les appareils, l'accès au réseau, les applications et la surveillance. Les produits facilitent cette mise en œuvre ; l'architecture, quant à elle, exige des décisions et une gouvernance continue.
« Le modèle Zero Trust nécessite de tout repenser à partir de zéro. » La mise en œuvre se fait par étapes. Commencer par l'authentification multifactorielle (MFA) sur tous les comptes et par des politiques de conformité des appareils permet de combler immédiatement les failles les plus critiques. La segmentation du réseau et les contrôles au niveau des applications peuvent être mis en place à mesure que le programme mûrit. Un MSP qui a déployé une solution EDR, imposé l'authentification multifactorielle (MFA) et mis en place un accès réseau zéro confiance (ZTNA) pour l'accès à distance a déjà considérablement rapproché son niveau de sécurité d'un modèle Zero Trust.
Points clés à retenir
- Le modèle « zero trust » remplace la confiance implicite fondée sur l'emplacement réseau par une vérification continue de chaque demande d'accès, remédiant ainsi directement aux failles du modèle périmétrique traditionnel.
- Les trois principes fondamentaux – vérification explicite, principe du moindre privilège et hypothèse de compromission – s'appliquent simultanément à l'identité, aux appareils, à l'accès au réseau et aux applications.
- La mise en œuvre se fait par étapes : commencez par l'identité et l'authentification multifactorielle (MFA), ajoutez ensuite la conformité des appareils et l'accès conditionnel, puis passez au ZTNA pour l'accès au réseau et la surveillance comportementale continue.
- Les MSP bénéficient à la fois d'avantages en matière de sécurité interne et d'opportunités commerciales liées au modèle « zero trust » : ils peuvent ainsi protéger les accès à privilèges élevés qu'ils détiennent dans les environnements de leurs clients, tout en proposant à ces derniers des services de conseil et de mise en œuvre dans le domaine du « zero trust ».
