Zero Trust Network Access (ZTNA)
Qu’est-ce que le ZTNA (Zero Trust Network Access) ?

Le concept de ZTNA (Zero Trust Network Access) recouvre un ensemble de technologies innovantes visant à sécuriser l’accès aux applications privées. Les technologies ZTNA – aussi appelées SDP (Software-Defined Perimeter) – utilisent des politiques d’accès granulaire pour connecter les utilisateurs autorisés à des applications spécifiques sans leur donner accès à l’ensemble du réseau de l’entreprise. Elles instaurent ainsi une segmentation applicative fondée sur le principe du moindre privilège en lieu et place de la segmentation réseau et, contrairement à un concentrateur VPN, évitent de divulguer l’emplacement des applications sur l’internet public.

Découvrir le SASE unifié HPE Aruba Networking
Table des matières

    Temps de lecture : 10 minutes 33 secondes | Publication : 24 mars 2026

    Schéma : Comprendre les services ZTNA et leur fonctionnement.

    Comprendre le ZTNA

    L’adoption croissante du ZTNA tient au besoin de travailler de n’importe où, ce qui suppose que chaque utilisateur, application et appareil puisse désormais se connecter en toute sécurité via internet. Il s’agit d’une conséquence logique du fait qu’un nombre croissant d’applications d’entreprise évoluent vers le SaaS, tandis que les applications privées continuent à fonctionner dans des environnements hybrides ou multiclouds.

    Le problème est qu’Internet est conçu pour connecter les choses, et non pour les bloquer. Avec une adresse IP appropriée et des capacités d’appel sortant, tous les appareils peuvent communiquer par l’intermédiaire d’Internet. Les auteurs de menaces ciblent les organisations qui n’ont pas mis en place les stratégies zero trust appropriées.

    Contrairement aux VPN ou aux pare-feu, les services ZTNA sont conçus pour connecter en toute sécurité des entités spécifiques entre elles sans pour autant leur donner accès à la totalité du réseau. Dans la plupart des cas, il s’agit d’employés et d’utilisateurs tiers qui se connectent depuis leur domicile, en déplacement ou au bureau. Mais ceci ne se limite pas aux utilisateurs, car le ZTNA peut également s’appliquer au trafic d’application à application sous la forme d’une microsegmentation.

    Quels sont les concepts clés du ZTNA ?

    • Socle zero trust : Le ZTNA repose sur le principe du zero trust, ce qui signifie qu’aucun utilisateur ou système n’est considéré comme fiable par défaut, quels que soient son lieu ou ses modalités de connexion. Chaque demande d’accès doit être entièrement authentifiée, autorisée et chiffrée avant d’être acceptée.
    • Accès centré sur l’application : Là où l’accès réseau traditionnel ouvre l’accès au réseau, le ZTNA n’accorde cet accès qu’aux applications explicitement autorisées. Cela est possible grâce à des connexions exclusivement sortantes, qui réduisent la surface d’attaque en n’exposant pas le réseau de l’entreprise à Internet.
    • Accès avec le privilège le plus bas : Le ZTNA applique le principe du moindre privilège en ne fournissant aux utilisateurs que le niveau d’accès nécessaire pour effectuer efficacement leur travail. Pour ce faire, des politiques d’accès granulaires sont appliquées de manière cohérente et globale dans l’ensemble de l’organisation, quelle que soit la localisation de l’utilisateur.
    • Solution cloud-native offrant vitesse et évolutivité : Afin de garantir un accès à la fois rapide et fiable, le ZTNA s’appuie sur une infrastructure cloud. Celle-ci offre l’évolutivité requise pour répondre à des besoins de bande passante variables, et garantit que les utilisateurs peuvent se connecter instantanément aux applications dont ils ont besoin sans compromettre la sécurité.

    Quelles sont les principales caractéristiques du ZTNA ?

    • Accès basé sur l’identité : Le ZTNA consomme et vérifie l’identité des utilisateurs et des appareils avant d’accorder l’accès. Il utilise l’authentification et l’autorisation de votre fournisseur IDP existant pour garantir que seuls les utilisateurs légitimes peuvent accéder aux ressources.
    • Contrôle d’accès granulaire : Au lieu d’accorder un accès global à un réseau, le ZTNA impose un accès précis à des applications ou services spécifiques en fonction des rôles des utilisateurs, de la posture de sécurité de l’appareil et des facteurs contextuels.
    • Principe du moindre privilège : L’accès est limité à ce qui est nécessaire à l’utilisateur pour effectuer ses tâches, minimisant ainsi la surface d’attaque.
    • Segmentation des applications : Le ZTNA garantit que les utilisateurs et les appareils ne peuvent accéder qu’aux ressources spécifiques pour lesquelles ils sont autorisés, empêchant ainsi les déplacements latéraux au sein d’un réseau grâce à des politiques zero trust plutôt qu’à une segmentation réseau complexe.
    • Vérification continue : Le ZTNA surveille et vérifie en permanence l’activité des utilisateurs et la santé de l’appareil. L’accès peut être révoqué si la session d’un utilisateur devient suspecte ou si la posture de sécurité d’un appareil change.
    • Soutien au travail à distance et hybride : Le ZTNA est idéal pour les organisations disposant d’effectifs distants ou hybrides, offrant ainsi un accès sécurisé aux applications, quel que soit l’emplacement physique de l’utilisateur.
    • Cloud-native : Le ZTNA est souvent basé sur le cloud et s’intègre aux environnements d’entreprise modernes, notamment les applications SaaS, les clouds publics, les clouds privés et les datacenters privés.

    Comment fonctionne le ZTNA ?

    Le ZTNA crée une connexion sécurisée et chiffrée entre l’appareil de l’utilisateur et l’application ou le service privés auxquels il doit accéder. Cela comprend généralement plusieurs aspects :

    • Authentification : L’utilisateur fournit des informations d’identification et son identité est vérifiée via une authentification multifacteur (MFA) ou des fournisseurs d’identité (IdP).
    • Validation de l’appareil : L’appareil est évalué pour vérification de sa conformité aux politiques de sécurité (par exemple, version du système d’exploitation, état de l’antivirus, etc.).
    • Application des politiques : Une fois l’authentification effectuée, l’accès est accordé en fonction de politiques zero trust prédéfinies qui prennent en compte le rôle de l’utilisateur, la sécurité de l’appareil, l’emplacement et d’autres facteurs contextuels.
    • Accès ciblé par application : Le ZTNA garantit que seules les applications autorisées sont visibles et accessibles aux utilisateurs, à l’exclusion du reste du réseau.

    Comment le ZTNA est-il implémenté ?

    L’implémentation du ZTNA varie selon les fournisseurs, mais beaucoup affirment que la meilleure pratique de déploiement consiste en un programme progressif qui commence par une phase de préparation et se termine par la mise en œuvre opérationnelle. 

    • Phase 1 – Planification et préparation : Recenser les applications privées et les populations d’utilisateurs, déterminer les premiers cas d’utilisation à forte valeur ajoutée, comme la migration d’applications connues vers le ZTNA et le remplacement du VPN. Ensuite, définir les paramètres des politiques d’accès, tels que l’identité, l’appareil et la sensibilité de l’application.
    • Phase 2 – Configuration et activation : Mettre en place le plan de contrôle/la couche de politiques du ZTNA, intégrer les services d’identité (IdP) et configurer le ZTNA sous forme de composants SSE gérables, selon une approche structurée incluant la définition des politiques ainsi que la journalisation et la visibilité. 
    • Phase 3 – Déploiement et transition : Intégrer le premier ensemble d’applications et d’utilisateurs, migrer les workflows depuis un accès réseau de type VPN vers un accès applicatif, et valider l’expérience utilisateur et les résultats en matière d’accès.
    • Phase 4 – Découverte, configuration, répétition : Élargir la couverture de manière itérative et identifier de nouvelles applications et de nouveaux flux, tirer parti des retours d’expérience et resserrer en continu l’accès fondé sur le moindre privilège au fur et à mesure de la mise à l’échelle. 
    • Phase 5 – Opérationnalisation : Normaliser les processus (cycle de vie des politiques, procédures d’intégration, supervision et intégration aux mécanismes de réponse aux incidents) – pour faire du ZTNA le «∘mode de fonctionnement standard des accès∘» et non plus un projet ponctuel.

    Comment le ZTNA améliore-t-il la sécurité du réseau d’entreprise ?

    Du point de vue de la posture de sécurité, le ZTNA améliore le socle de sécurité de l’organisation redéfinissant l’accès distant : il ne s’agit plus d’une extension du réseau, mais d’un accès applicatif, contrôlé par des politiques. Vos ressources internes mettent régulièrement l’accent sur trois domaines d’amélioration de la posture de sécurité : une surface d’attaque réduite, une réduction des déplacements latéraux et une application plus cohérente des politiques sur l’ensemble des sites. 

    • Le ZTNA réduit l’exposition de l’infrastructure et les opportunités de scan : Au lieu d’exposer des passerelles VPN offrant un accès réseau étendu ou de laisser des chemins entrants ouverts, le ZTNA intervient en tant que courtier de connexions afin que seules les couches de politiques/courtage soient accessibles, et que les applications privées ne soient pas découvrables à grande échelle. En effet, les acteurs malveillants ne peuvent pas attaquer ce qu’ils ne voient pas.
    • Le ZTNA réduit le rayon d’impact en limitant les déplacements latéraux : Le modèle ZTNA évite d’intégrer l’utilisateur au réseau de l’entreprise : l’accès est strictement limité à des applications spécifiques. En évitant de placer les utilisateurs sur le réseau de l’entreprise, le ZTNA permet de réduire fortement les déplacements latéraux et, par conséquent, les risques.
    • Le ZTNA améliore la cohérence et la résilience dans les environnements hybrides : Le ZTNA universel (UZTNA) étend les mêmes mécanismes de contrôle zero trust à tous les chemins d’accès (aussi bien distants que sur site), en appliquant les mêmes politiques, que l’utilisateur travaille depuis un café ou depuis son bureau. De plus, les fonctionnalités de ZTNA Private Edge maintiennent le trafic local sur site et peuvent assurer la continuité en cas d’indisponibilité d’internet, ce qui permet d’améliorer la résilience opérationnelle tout en maintenant des contrôles de sécurité cohérents. 
    • Le ZTNA permet d’accélérer très tôt la réduction des risques dans un programme zero trust : Pratique à mettre en œuvre, le ZTNA constitue un point de départ naturel pour de nombreuses organisations, car il apporte des résultats rapides aux équipes. Il améliore ainsi l’expérience utilisateur tout en réduisant les risques, notamment pour l’accès des tiers, le remplacement des VPN et même l’accélération de l’intégration lors de fusions-acquisitions. 

    Quels sont les avantages du ZTNA ?

    • Sécurité renforcée : Le ZTNA opère selon le principe « ne jamais faire confiance, toujours vérifier », ce qui réduit considérablement le risque d’accès non autorisé. En appliquant une vérification d’identité stricte et des contrôles d’accès contextuels, le ZTNA garantit que les utilisateurs et les appareils sont continuellement authentifiés et autorisés avant d’accéder à toute ressource. Cela minimise les risques de mouvement latéral au sein du réseau, même si un attaquant obtient un accès initial.
    • Surface d’attaque réduite : L’un des principaux atouts du ZTNA est sa capacité à rendre les applications et les services invisibles aux utilisateurs non autorisés. En cachant les ressources internes derrière plusieurs couches d’authentification et en les exposant uniquement aux identités vérifiées, le ZTNA limite considérablement les points d’entrée potentiels pour les attaquants. Cette approche « dark cloud » garantit que même si un système est ciblé, il reste inaccessible sans les informations d’identification et le contexte appropriés.
    • Expérience utilisateur améliorée : Contrairement aux VPN traditionnels, qui nécessitent souvent des connexions manuelles et peuvent ralentir les performances, le ZTNA offre une expérience plus fluide et transparente. Les utilisateurs peuvent accéder en toute sécurité aux applications depuis n’importe quel emplacement ou appareil sans avoir besoin de clients VPN encombrants. Cela conduit à des temps d’accès plus rapides, à une réduction des perturbations et à un workflow plus intuitif, particulièrement bénéfique pour les environnements de travail distants et hybrides.
    • Évolutivité : Le ZTNA est conçu pour prendre en charge les environnements informatiques dynamiques et distribués. Que votre organisation étende son empreinte cloud, qu’elle gère un effectif à distance croissant ou qu’elle intègre des fournisseurs tiers, le ZTNA peut évoluer sans effort. Son architecture cloud-native permet un déploiement et une gestion faciles dans plusieurs environnements, réduisant ainsi la complexité des modèles de sécurité réseau traditionnels.

    Quels sont les cas d’utilisation du ZTNA ?

    • Alternative au VPN pour travailler de n’importe où : Mettez le ZTNA à profit pour remplacer les VPN d’accès à distance – généralement utilisés pour connecter des utilisateurs distants à un réseau – tout en offrant une expérience plus rapide et plus sûre.
    • Accès des employés se trouvant au bureau : Évitez de faire intrinsèquement confiance aux utilisateurs sur site et utilisez des courtiers zero trust hébergés publiquement ou des courtiers privés déployés dans votre propre environnement pour leur accorder un accès avec le privilège le plus bas. Résultat : une segmentation plus simple, une expérience utilisateur plus rapide et un maintien de la conformité plus facile.
    • Sécurisation de l’accès des tiers : Utilisez l’accès sans agent pour permettre aux partenaires de l’écosystème métier, aux fournisseurs et aux clients d’accéder aux données métier critiques sans leur accorder l’accès à l’ensemble du réseau de l’entreprise.
    • Accélération de l’intégration informatique en cas de fusion-acquisition ou de cession : Le ZTNA permet d’écourter le processus d’intégration de 9–14 mois à quelques jours ou semaines en éliminant la nécessité de consolider (ou de scinder) les réseaux, de gérer la traduction d’adresses réseau (NAT) pour les IP qui se chevauchent ou de mettre en place une infrastructure VDI.
    • Alternative au VDI : Évitez les coûts élevés ainsi que les problèmes d’évolutivité et de latence du VDI traditionnel en remplaçant les environnements virtuels complexes par le ZTNA. Le ZTNA offre un accès à distance sécurisé et transparent via des connexions aux applications directes basées sur des politiques, en fonction de l’identité de l’utilisateur, de la posture de sécurité de l’appareil et du contexte.

    HPE Aruba Networking ZTNA

    Partie intégrante de la plateforme HPE Aruba Networking SSE, la solution HPE Aruba Networking ZTNA offre une alternative moderne aux solutions traditionnelles d’accès à distance par VPN. Pour ce faire, elle fournit une connectivité globale sécurisée à l’ensemble des utilisateurs, des appareils et des applications privées en appliquant les principes zero trust.

    Comme indiqué, ZTNA est une composante intégrale de la plateforme HPE Aruba Networking Service Edge (SSE). intègre la puissance de la SWG, du CASB et de la surveillance de l’expérience numérique dans une seule et même solution cloud, avec une interface unique conviviale permettant de tout gérer.

    Solutions, produits et services connexes

    HPE Aruba Networking SSE

    Accordez un accès uniforme et sécurisé à tous les utilisateurs, appareils et applications, où qu’ils soient, avec Security Service Edge (SSE).

    En savoir plus

    Questions fréquentes sur le ZTNA

    Quelles sont les différences entre le ZTNA et le ZTA ?

    L’architecture zero trust (ZTA) constitue la stratégie ou l’architecture de sécurité globale visant à opérer comme si le réseau était intrinsèquement hostile. Le ZTA vise à concevoir des systèmes de manière à ce que l’accès soit contrôlé en permanence, strictement circonscrit et résilient, y compris en cas de compromission. En d’autres termes, la ZTA constitue le cadre de conception et d’exploitation de la sécurité couvrant l’identité, les terminaux, les applications, les données et les réseaux. Le ZTNA est une capacité ou technologie spécifique qui met en œuvre une partie de ce cadre : il fournit un accès sécurisé aux applications privées (dans les datacenters et/ou dans le cloud) sans placer l’utilisateur sur le réseau de l’entreprise. Les documents internes décrivent le ZTNA comme un mécanisme qui permet de fournir un accès tout en maintenant les utilisateurs hors du réseau de l’entreprise, minimisant ainsi l’exposition – et remplaçant dans de nombreux cas les VPN pour l’accès aux applications privées.  

    Une manière simple de retenir la relation entre ZTA et ZTNA passe par l’analogie de la maison : 

    • ZTA = le «∘plan d’ensemble de la maison∘» (architecture et principes de sécurité transverses).  
    • ZTNA = une «∘porte critique et son mécanisme de verrouillage∘» à l’intérieur de ce plan (contrôle d’accès aux applications privées qui applique le principe du moindre privilège et réduit la surface d’attaque). 
    Quelles sont les fonctions clés du ZTNA ?

    L’objectif fondamental du ZTNA est de fournir un accès aux applications privées en réduisant le privilège et l’exposition au minimum. Le positionnement SSE interne résume l’objectif fonctionnel du ZTNA comme suit : sécuriser l’accès aux applications privées, minimiser l’exposition, supprimer l’accès au réseau, remplacer le VPN et inspecter le trafic.  

    • Autorisation au niveau de l’application plutôt qu’accès au réseau : L’accès n’est accordé que pour des applications autorisées spécifiques, sans faire entrer l’utilisateur sur le réseau de l’entreprise. 
    • Réduction de la surface d’attaque : Il s’agit essentiellement de «∘rendre le réseau invisible∘». ** Les applications et les services ne sont pas largement accessibles, et les utilisateurs non autorisés n’ont effectivement pas la possibilité de les voir pour les sonder ou y accéder.  
    • Application du principe du moindre privilège : L’accès est limité à ce que l’utilisateur est autorisé à atteindre, et à rien d’autre – ce qui réduit le risque de déplacement latéral par rapport à un accès au niveau du réseau.  
    • Inspection du trafic et application des politiques sur les chemins d’accès aux applications privées : Le ZTNA est positionné comme un mécanisme permettant de fournir un accès sécurisé tout en inspectant le trafic, et comme le premier pilier fondamental d’une stack SSE comprenant également le SWG, le CASB, le FWaaS et le DEM. 
    • Couverture étendue pour tous les utilisateurs, appareils et protocoles : Les règles sont appliquées de manière cohérente pour les appareils distants ou sur site, les sous-traitants, les partenaires, les appareils gérés et non gérés, ainsi que de nombreux protocoles multiples (SSH, RDP, base de données, etc.).
    Quelle est la différence entre le ZTNA et le VPN ?

    Un VPN assure principalement une connectivité au niveau du réseau : une fois connecté, l’utilisateur se trouve effectivement sur le réseau de l’entreprise, et le modèle de sécurité repose fortement sur les contrôles périmétriques et, le cas échéant, sur la segmentation interne. Le ZTNA est conçu pour offrir une expérience inverse, avec un accès au niveau applicatif sans accès réseau. 

    • VPN : Suivant le modèle «∘connecter d’abord, sécuriser ensuite∘», les utilisateurs sont admis sur le réseau de l’entreprise. Les VPN tendent à accroître l’importance et la complexité de la segmentation interne comme moyen d’empêcher les déplacements latéraux après la connexion d’un appareil. 
    • ZTNA : Conformément au modèle «∘vérifier d’abord, connecter de manière ciblée∘», les utilisateurs n’accèdent qu’aux applications autorisées, sans jamais être connectés au réseau lui-même. C’est pourquoi le ZTNA est fréquemment présenté comme une «∘alternative VPN∘». Le ZTNA réduit la dépendance à la segmentation interne en évitant d’accorder d’emblée un large accès au réseau. L’accès est limité à certaines applications.
    Quelle est la différence entre le ZTNA et les pare-feux ?

    Le ZTNA et le pare-feu visent tous deux à protéger l’accès aux systèmes, mais ils le font selon des approches fondamentalement différentes. Un pare-feu est principalement un contrôle de périmètre ou de segmentation réseau, qui filtre et inspecte le trafic selon des attributs réseau (par exemple, les adresses IP, les ports, les protocoles et, dans le cas des pare-feux de nouvelle génération, l’inspection des applications/contenus) afin de déterminer quels flux sont autorisés entre différentes zones réseau. 

    À l’inverse, le ZTNA est un modèle d’accès centré sur l’identité et le contexte, qui déplace la sécurité d’une logique consistant à «∘faire confiance à ce qui se trouve à l’intérieur du réseau∘» vers une vérification explicite de chaque demande d’accès. Il accorde un accès applicatif à privilèges minimaux, strictement limité à des ressources spécifiques, plutôt qu’un accès réseau étendu, et réévalue souvent la confiance de manière continue en fonction de signaux tels que l’identité de l’utilisateur, la posture de sécurité du terminal et le niveau de risque de la session, conformément à l’hypothèse de compromission (principe « assume breach »). 

    Concrètement, cela signifie que les pare-feux excellent dans le contrôle et la surveillance des flux interréseaux, tandis que le ZTNA excelle dans la connexion sécurisée des utilisateurs et des appareils à des applications spécifiques, quel qu’en soit l’emplacement, ce qui réduit la confiance implicite et limite les déplacements latéraux en cas de compromission d’un compte ou d’un point de terminaison.

    Sujets connexes

    Zero trust
         Security Service Edge (SSE)
         Secure Access Service Edge (SASE)
         SWG (Secure Web Gateway)
         Cloud Access Security Broker (CASB)
         Gestion unifiée des menaces (UTM)