L’approche cybersécurité Zero Trust, qui, où, comment, pourquoi ?

18 août 2021

Si 2020 nous a bien enseigné une leçon c’est qu’il ne faut rien prendre pour acquis et plus particulièrement dans le domaine de la cybersécurité. 

Vikas Pandurkar, ancien de l’Insead et de l’école des Ponts et Chaussées, a travaillé pour des entreprises comme Tekelec, Cisco, Level3, Avni (racheté par Veritas), PulseSecure (racheté par Ivanti)… 

Il a créé Oxortis il y a 4 ans et a principalement travaillé avec des entreprises en B2B SaaS américains basés sur la côte ouest.

Ancien membre de l’équipe de l’ingénierie de Pulse Secure (leader mondial dans les VPN’s) pour concevoir, développer et mettre en œuvre la nouvelle plateforme basée sur l’approche zero trust, l’entreprise est désormais partenaire privilégié de cette nouvelle plateforme.

En quoi consiste cette approche, comment peut-elle aider les entreprises à sécuriser leur système d’information ? Vikas Pandurkar nous dit tout dans cet entretien !

La cybersécurité dans le contexte de la Covid-19 

Il y a eu un avant, un pendant et sûrement un après crise sanitaire. Pour le fondateur d’Oxortis, avant 2020 les entreprises étaient en capacité de maîtriser leur infrastructure grâce à leur périmètre bien défini. Cela se traduisait par des centres de données construits avec des stacks technologiques hétérogènes que les entreprises avaient rachetées et intégrées cela malgré un environnement qui devenait complexe. Ces différentes étapes avaient été gérées à un coût assez élevé, “la part de mobilité pour laquelle les entreprises avaient taillé leur infrastructure avoisinait 10-15%”. 

Or, la suite de l’histoire on la connaît : avec le confinement et une grande partie des effectifs à domicile, les entreprises ont dû investir dans de nouveaux équipements pour que les salariés puissent se connecter aux centres de données d’entreprise et travailler. 

2020 a aussi changé certaines méthodes de travail : “les entreprises ont souvent des applicatifs qu’ils consommaient en mode SaaS, ou hébergeaient dans des clouds types AWS, Azure, GCP etc.” 

Dans le contexte de la crise sanitaire, il était alors de plus en plus compliqué pour des DSI d’être certain qu’ils soient conformes aux normes RGPD ou aux politiques qu’ils avaient définis pour leur société. Répondre à « quia accédé aux ressources d’entreprise, quoi (ce qu’on a vu, pris, volé…), quand, où (cela s’est produit) et comment (on a été compromis) » devenait également un défi.

Les analystes Forrester, Gartner et autres ont d’ailleurs constaté qu’il y a plus de données sensibles à l’extérieur de l’entreprise (et non dans leurs centres de données) et il y a plus d’appareils personnels qui se connectent aux ressources de l’entreprise. Le télétravail est un facteur important de cette fragilisation, depuis le premier confinement, le nombre d’appareils, serveurs, ressources à provisionner et gérer a augmenté exponentiellement.

L’approche Zero Trust

Comme nous le savons déjà, la crise sanitaire que nous traversons a mis en lumière les nombreuses lacunes des systèmes de sécurité traditionnels. D’après une étude McAfee de 2020, il y a eu 50% de croissance en services dits cloud, 2 fois plus de trafic en cloud émanant des appareils non gérés par l’entreprise et 630% de croissance en événements d’attaques dans des environnements cloud. 

Le  zero trust  est un service de mise en place d’un socle, permettant une visibilité et un contrôle des 4 dimensions suivantes :


  • des utilisateurs, 
  • de leurs appareils (ceux donnés par l’entreprise ainsi que les appareils personnels des collaborateurs), 
  • de l’infrastructure qui héberge les ressources de l’entreprise 
  • des applications et des données qui se trouvent dans les diverses infrastructures qu’utilise l’entreprise.

“Nous proposons 3 services : 


  1. Nous aidons les entreprises à mettre en place une stratégie zero trust (indépendant de quelconque produit). Nous avons d’ailleurs une accréditation Forrester pour réaliser cette mission.
  2. Nous proposons des services d’onboarding pour la plateforme de zero trust d’Ivanti (anciennement PulseSecure).
  3. Mais aussi des services managés, également pour la plateforme d’Ivanti.

Tous types d’entreprise, indépendamment du secteur d’activité, doit protéger ses ressources.”


A ce titre, Oxortis travaille depuis presque 2 ans avec Pulse Secure sur l’élaboration, le développement et la mise en marché de cette nouvelle plateforme. Ils proposent des services managés, leur équipe est basée en Inde dans un centre certifié ISO et CMMi (Capability Maturity Model Integration). 

Les avantages de la méthode Zero Trust

Par rapport à l’actualité et au contexte de télétravail qui accroît les cybers risques, la méthode Zero Trust a plusieurs avantages.

Tout d’abord c’est un concept de sécurité qui exige que tous les utilisateurs, même ceux à l’intérieur du réseau de l’entreprise, soient authentifiés et autorisés avant d’obtenir l’accès aux applications et aux données. Une fois que ceci est fait, pour conserver l’accès obtenu, Zero Trust préconise la validation en permanence de la configuration et la posture de sécurité. “Pour un monde de travail de plus en plus à distance, le zero trust est nécessaire et urgent à mettre en œuvre”.


Pour Vikas Pandurkar “Zero Trust est un changement significatif par rapport à la sécurité réseau traditionnelle, il faut prouver à chaque fois que l’on a le droit d’accès à telle ou telle ressources. 

L’approche traditionnelle faisait automatiquement confiance aux utilisateurs au point d’exposer l’organisation à des risques pouvant venir d’acteurs internes malveillants et permettant ainsi aux utilisateurs non autorisés un accès étendu une fois à l’intérieur du système.”

Il précise néanmoins que l’approche Zero Trust n’est pas un produit ou un service. “C’est un chemin/framework/paradigme d’avenir qui devrait permettre aux entreprises de toutes tailles de sécuriser les 4 dimensions à protéger en permanence – utilisateurs, appareils, infrastructure, applications/données”.


Pour un peu de contexte, la confiance zéro est née du travail effectué par la Defense Information Systems Agency (DISA) et leur travail sur le concept de périmètre défini par logiciel (SDP – Software Defined Perimeter). Puis, ce travail a été officialisé et popularisé par la Cloud Security Alliance au cours de la dernière décennie. Un SDP incarne les principes de la confiance zéro au niveau du réseau. Il introduit des mécanismes pour contrôler l’accès au niveau du réseau à un système et pour demander l’accès et l’accorder. Un SDP est un réseau virtuel, profondément segmenté et centré sur les terminaux, superposé à tous les autres réseaux physiques et virtuels déjà présents. 

L’approche Zero Trust sur le marché français

L’idée du Zero Trust est naissante en France, comme le montre la récente étude d’Opinionway commissionné par le CESIN, seulement 6% des 228 entreprises interrogées sont très engagées dans l’approche et 23% sont en train d’en mettre en place les premières briques. 


Comme tout nouveau concept, il est donc normal d’avoir à réaliser une phase d’évangélisation avant que les DSI s’approprient l’idée et l’adoptent. 


“On peut se demander : y a-t-il une alternative valable à Zero Trust ? D’autres approches existent certainement, mais elles n’apportent pas les résultats escomptés.” 



Vous l’avez peut-être lu, le gouvernement américain a décidé de mettre en place une sécurisation des ressources consistant aux utilisateurs, leurs appareils, les applications et des données qu’ils consomment et sur tout infrastructures. Cela est bien évidemment basé sur les principes de Zero Trust.

Quels sont les constats et les impacts de la crise sanitaire sur votre système d’informations ?

Suite à la crise sanitaire et aux changements que celle-ci a entraînés dans le monde du travail, plusieurs risques sont à essayer d’anticiper pour les entreprises :


  • Beaucoup d’entreprises étrangères ont franchi le pas et ont annoncé que les effectifs ne seraient pas obligés de revenir au bureau. « Anywhere workplace » veut dire que les DSI seront obligés de mieux sécuriser, veiller et contrôler en permanence, et donc d’être plus réactif pour limiter les incidents, qui ne cesseront d’augmenter. 

  • La récente étude d’AMRAE montre que l’indemnisation a triplé entre 2019 et 2020 et avoisine 217 millions d’euros. 87% des grandes sociétés sont couvertes et seulement 8% d’ETI d’après cette étude. “Il est fort probable que les assureurs demandent des primes contre des attaques cybers plus importantes à défaut de faire valider l’environnement sécurisé (par des experts) de l’entreprise et leur capacité à contrer des attaques.” On voit déjà la naissance de sociétés comme Cyberacuview, qui est un consortium de 7 assureurs, pour mieux organiser et structurer leur offre de cyber sécurité. 
 
  • Aussi, les segments et les sous-segments du marché de sécurité sont en constante évolution. Les experts sont peu nombreux sur ce dernier et ils s’arrachent à prix d’or et ne peuvent pas tout gérer. “On va devoir se reposer sur l’automatisation pour un certain nombre de choses, et on le constate déjà dans les nouvelles plateformes/ produits de sécurité”. 

  • Aussi, en cas de non-paiement de rançon, les personnes malveillantes peuvent menacer de divulguer des données sensibles (comme par exemple en Finlande avec l’entreprise Vastaamo) et le faire payer.

“Il vaut mieux se préparer en amont”

Pour Vikas Pandurkar il est urgent de faire quelque chose dès maintenant pour prévenir un maximum ces risques. 

Selon l’étude de Veracode titré « state of application security, 2020 », 83% des 85000 applications testées avaient au moins une faille de sécurité. La plupart en avaient beaucoup plus. L’étude démontre un ensemble de 10 millions de failles, et 20% de toutes les applications ont révélé au moins une faille de sévérité élevée. Un certain nombre de ces vulnérabilités ont été publiées par la communauté OWASP (Open Web Application Security Project) dès 2017. 


Selon des experts, des technologies permettent de faire un scan de tout internet (toutes les adresses IP4 public, +4 Milliards d’adresses IP) en moins d’une heure. Il suffit aux acteurs malveillants de trouver une vulnérabilité (CVE) qu’ils peuvent exploiter avant qu’une entreprise découvre qu’il y en a une chez eux. 



“Des entreprises qui revoient leurs processus de sécurité mensuellement, qui font des tests de pénétration tous les trimestres auront du mal à résister à un attaquant beaucoup plus réactif. Si les douze derniers mois nous ont prouvé quelque chose c’est bien cela. Si l’on creuse, les sociétés qui ont subi ces attaques se sont très probablement fié à leurs investissements en VPN’s, Firewall et d’autres produits adaptés pour un périmètre qui n’existe plus. Contre des intrusions préméditées et qui n’épargnent ni des sociétés privées, ni des institutions publiques, il vaut mieux se préparer – dès hier.”

Comment le zéro trust s’inscrit dans les prestations en cybersécurité d’AGAETIS et NOVENCIA ? 

En tant que cabinet de conseil nous sommes toujours en veille d’approches complémentaires à nos savoir-faire et nous cherchons en permanence des méthodes et solutions pour augmenter le niveau de maturité aux risques cyber de nos clients.

Nos consultants interviennent en amont sur des phases d’audit/conseil pour évaluer la pertinence et le plan de charge à établir pour être en capacité de déployer une approche Zero Trust à grande échelle.

En septembre nous organisons chez  Novencia  un événement autour de la cyber sécurité où l’approche Zero trust sera détaillée et nous présenterons des cas d’usages.



 Plus d’informations sur notre offre en cybersécurité .

Ressources Agaetis

IoT Santé : Industrialisation d’un stylo connecté conforme HDS

4 septembre 2025
Le contexte du projet : Un prototype de stylo connecté destiné au secteur de la santé avait rencontré un vif succès auprès du marché. Face à une demande croissante, le client devait passer à une phase d’ industrialisation afin de répondre aux attentes tout en respectant les réglementations strictes en matière de données de santé ( Hébergement de Données de Santé – HDS ). L’objectifs : L’objectif principal était de transformer un prototype en solution industrialisée en : définissant les critères de sélection et les options technologiques, garantissant la conformité aux réglementations de santé, et assurant la montée en charge (scale-up) pour répondre à la demande croissante. Durée de mission : Mission en plusieurs phases : cadrage, tests techniques, mise en conformité et accompagnement au scale-up industriel. Mise en œuvre : Agaetis a déployé une approche complète combinant expertise IoT et réglementaire : Définition des critères de sélection : cadrage des besoins fonctionnels et techniques. Évaluation technologique : étude des solutions potentielles et tests de leur adéquation. Mise en conformité HDS : accompagnement dans la sélection de l’hébergement et structuration du modèle de données. Développement et industrialisation : assistance dans l’implémentation des composants techniques et préparation à la montée en charge. Résultats obtenus : Accélération de la production : industrialisation réussie permettant de répondre rapidement à la demande. Conformité assurée : solution alignée sur les exigences HDS et réglementations de santé. Innovation valorisée : passage du prototype au produit commercialisable sur le marché santé. Flexibilité opérationnelle : architecture et modèle de données prêts à évoluer avec les usages. Facteurs clés de succès : Expertise pointue en IoT santé et données réglementées . Approche sur mesure intégrant la dimension technique et humaine. Collaboration rapprochée avec les équipes du client. Vision orientée impact concret et mise sur le marché rapide. Et vous ? Vous vous interrogez sur : l’industrialisation de vos prototypes IoT santé, la conformité réglementaire (HDS, ISO, etc.) de vos solutions, ou la préparation de vos innovations pour passer du prototype au scale-up industriel ? 👉 Contactez nos experts pour transformer vos prototypes IoT en solutions santé industrialisées et conformes.
Aérospacial Ariane Space

Industrie & IoT : Application de contrôle dimensionnel et qualité dans l'aérospatial

par David Walter 4 septembre 2025
Le contexte du projet : Groupe Aérospatial souhaitait optimiser le temps de contrôle dimensionnel des réservoirs de son lanceur spatial. Les méthodes traditionnelles, longues et peu satisfaisantes, ralentissaient la production et augmentaient les risques d’erreurs. Le besoin était de développer une application de contrôle qualité et dimensionnel intégrant de nouveaux moyens de mesure plus rapides et précis. L’objectifs : L’objectif principal était de concevoir et déployer une application installée sur un PC concentrateur capable de : lancer différents programmes de contrôle dimensionnel, intégrer des technologies de mesure avancées (profilomètres lasers, trackers laser), et améliorer la précision et la répétabilité des contrôles. Durée de mission : Mission de plusieurs mois, de la conception logicielle à la formation des équipes, en passant par l’intégration et les tests. Mise en œuvre : Agaetis a déployé une approche technique et collaborative : Développement de l’application : architecture logicielle adaptée aux besoins d’intégration industrielle. Collecte et traitement des données : intégration des mesures issues des machines à commande numérique, trackers laser et profilomètres. Optimisation des processus : automatisation des contrôles pour gagner en rapidité et réduire les erreurs. Accompagnement & formation : transfert de compétences aux équipes internes pour assurer la continuité. Résultats obtenus : Temps de contrôle réduit : amélioration notable de la productivité. Précision accrue : fiabilisation des mesures grâce à l’intégration de nouvelles technologies. Réduction des erreurs : contrôles plus rapides et répétables. Compétences préservées : maintien de la connaissance technique dans l’organisation. Facteurs clés de succès : Expertise technique d’Agaetis en développement industriel et IoT . Grande flexibilité dans la collaboration avec le client. Intégration fluide des données issues de différents équipements. Approche orientée impact et résultats mesurables. Et vous ? Vous vous interrogez sur : l’optimisation de vos processus de contrôle industriel, l’intégration de nouvelles technologies de mesure, ou la digitalisation de vos applications qualité ? 👉 Contactez nos experts pour moderniser vos contrôles industriels et accroître votre performance opérationnelle.
Show More