Dans un environnement numérique en constante évolution, la sécurité des objets connectés en entreprise est devenue une préoccupation majeure. Face à cette problématique, deux technologies sont souvent mises en concurrence : le ZTNA (Zero Trust Network Access) et le VPN (Virtual Private Network). Bien que le VPN soit historiquement la solution privilégiée pour l’accès distant sécurisé, le modèle ZTNA gagne du terrain avec une approche plus fine du contrôle d’accès. Pour mieux comprendre les enjeux, l’ANSSI propose des recommandations sur la sécurisation des accès (ouvre un nouvel onglet), utiles pour les entreprises souhaitant adopter une stratégie adaptée.
Comprendre les fondamentaux : VPN et ZTNA
Le VPN repose sur un principe simple : créer un tunnel sécurisé entre un utilisateur et le réseau de l’entreprise. Ce système chiffre les données transmises, masquant l’adresse IP et autorisant un accès complet aux ressources internes. Il est particulièrement utilisé pour les collaborateurs en télétravail.
À l’inverse, le ZTNA repose sur le concept de « zéro confiance ». Cela signifie que l’accès aux ressources est accordé au cas par cas, en fonction de critères précis comme l’identité de l’utilisateur, la posture de sécurité du terminal, ou encore le niveau de sensibilité de la ressource demandée. Plutôt que d’ouvrir l’ensemble du réseau à un appareil distant, comme le fait le VPN, ZTNA n’autorise que des connexions segmentées et conditionnelles.
| Critères de comparaison | VPN | ZTNA |
| Philosophie | Confiance implicite une fois connecté | Zéro confiance permanente |
| Portée de l’accès | Accès global au réseau interne | Accès restreint aux seules ressources autorisées |
| Sécurité des objets connectés | Limité et dépend du pare-feu central | Adaptée grâce au contrôle granulaire |
| Expérience utilisateur | Peut nécessiter une configuration manuelle | Transparente et basée sur des politiques automatiques |
| Scalabilité | Complexe à grande échelle | Nativement pensé pour les environnements cloud et IoT |
Des limites importantes du VPN face aux besoins actuels
Le VPN, bien qu’encore largement utilisé, montre des signes d’essoufflement face aux défis modernes. Sa logique de périmètre sécurisé, efficace à l’époque où les collaborateurs travaillaient exclusivement au bureau, s’adapte mal à un monde où les objets connectés prolifèrent, notamment dans l’industrie ou la logistique.
Une fois connecté via VPN, un appareil peut potentiellement accéder à l’ensemble du réseau interne, ce qui représente un risque non négligeable si cet appareil est compromis. De plus, les objets connectés (caméras IP, capteurs, machines industrielles…) ne sont pas conçus pour exécuter des clients VPN, ce qui limite leur sécurisation directe par ce biais.
L’administration des VPN devient aussi un casse-tête lorsque les entreprises grandissent ou adoptent le télétravail massif. Chaque utilisateur nécessite une configuration individuelle, des certificats, voire un matériel spécifique, rendant l’ensemble lourd à maintenir et peu agile.
Une réponse moderne avec ZTNA
Le ZTNA introduit une nouvelle manière de penser la cybersécurité, notamment grâce à une approche contextuelle et adaptative. Chaque demande d’accès est évaluée en temps réel selon plusieurs paramètres : identité, localisation, appareil utilisé, heure de la journée, etc. Cela permet de réduire drastiquement la surface d’exposition, même si un appareil connecté est compromis.
Les objets connectés, souvent vulnérables, peuvent être intégrés à des environnements ZTNA via des passerelles ou des proxys spécifiques. Cela permet de contrôler précisément ce à quoi chaque objet a accès, limitant ainsi les risques de propagation latérale en cas d’attaque.
Autre avantage notable, les solutions ZTNA sont pensées pour s’intégrer aux environnements cloud, hybrides ou multicloud, ce qui les rend parfaitement compatibles avec l’évolution des infrastructures informatiques actuelles.
Pourquoi ZTNA est particulièrement adapté aux objets connectés
Contrairement au VPN, qui se contente de sécuriser le canal de communication, le ZTNA s’attache à protéger l’accès aux ressources en lui-même. C’est une différence fondamentale, notamment pour les entreprises qui déploient un grand nombre de capteurs, d’automates ou de terminaux embarqués dans leurs processus métier.
Parmi les bénéfices directs que peut apporter une stratégie ZTNA dans le cadre de la protection des objets connectés :
- Isolation des flux : chaque appareil communique uniquement avec les services dont il a besoin
- Authentification systématique : toute tentative de connexion est vérifiée en temps réel
- Réduction du risque latéral : en cas d’attaque, la propagation est contenue
- Surveillance renforcée : les accès sont tracés, analysés et corrélés
- Mise en conformité facilitée : les règles d’accès peuvent suivre des politiques internes ou réglementaires
Ces caractéristiques font du ZTNA un outil précieux pour sécuriser un parc hétérogène et potentiellement vulnérable, comme c’est souvent le cas avec les objets connectés industriels.
Mise en œuvre : défis et bonnes pratiques
Adopter une solution ZTNA n’est pas qu’un simple changement d’outil. Cela suppose une refonte de la stratégie de sécurité globale, avec un accent mis sur l’identification des ressources, des rôles et des règles d’accès.
La cartographie des flux, la définition des politiques d’accès et la gestion centralisée des identités sont des étapes clés. Il est également conseillé de déployer progressivement la solution, en commençant par les segments les plus critiques ou les plus exposés.
La compatibilité avec les outils existants (annuaire LDAP, outils SIEM, plateformes cloud) est généralement assurée par les solutions ZTNA modernes, qui offrent des connecteurs et API pour faciliter l’intégration.
Quel avenir pour le VPN dans un monde post-ZTNA ?
Même si ZTNA s’impose peu à peu comme la norme pour les organisations soucieuses de sécurité, le VPN n’est pas encore mort. Dans certains contextes, il peut rester utile, notamment pour des accès ponctuels, ou pour des environnements anciens non compatibles avec une architecture zéro trust.
Cependant, sa part dans les stratégies de cybersécurité tend à diminuer. Les directions informatiques orientent de plus en plus leurs efforts vers des approches basées sur l’identité, la segmentation et le contrôle dynamique des accès.
Les fabricants eux-mêmes commencent à intégrer des fonctionnalités ZTNA dans leurs offres VPN, preuve que la transition est en cours, même si elle n’est pas encore universelle.
Faire le bon choix selon son contexte
Le choix entre ZTNA et VPN dépend de nombreux facteurs, à commencer par la maturité numérique de l’entreprise, le type d’objets connectés déployés, le niveau de sécurité exigé ou encore les moyens techniques disponibles.
Une TPE avec peu d’objets connectés et des besoins simples pourra encore s’appuyer sur un VPN, à condition de bien en maîtriser les limites. Une PME ou un grand groupe industriel, en revanche, trouvera dans le ZTNA une solution beaucoup plus robuste, évolutive et mieux adaptée aux réalités actuelles du numérique.
ZTNA vs VPN : la question n’est donc pas tant de choisir l’un ou l’autre, mais plutôt d’évaluer à quel point l’entreprise est prête à adopter une sécurité fondée sur la confiance zéro, mieux armée pour affronter les menaces du monde connecté.
