Pourquoi « Ne faites confiance à personne » est la nouvelle norme
Zoom sur les solutions proposées par Extreme Networks et Cisco
La fin du périmètre sécurisé
Il n'y a pas si longtemps, la sécurité des réseaux était, d'une certaine manière, simple. On érigeait un rempart autour du réseau de l'entreprise – pare-feu, VPN, zones DMZ – et tout ce qui se trouvait à l'intérieur était considéré comme fiable. C'était bien ordonné, même si, avec le recul, cela semble un peu naïf.
Mais cette époque est révolue.
Le passage au télétravail, l’adoption des applications cloud, l’explosion des appareils connectés et la créativité croissante des cyberattaques ont discrètement rendu le périmètre traditionnel obsolète. Les employés travaillent depuis leur domicile, depuis des cafés, voire depuis des fuseaux horaires totalement différents. Les applications ne résident plus dans le centre de données de l’entreprise, mais sont dispersées sur plusieurs clouds. Quant aux pirates, ils sont désormais passés maîtres dans l’art de tirer le maximum de dégâts d’un seul identifiant compromis.
Autrefois, les équipes de sécurité se demandaient : « Cet utilisateur se trouve-t-il à l'intérieur ou à l'extérieur de notre réseau ? » Aujourd'hui, elles devraient plutôt se demander : « Cet utilisateur précis, sur cet appareil précis, à ce moment précis, a-t-il réellement le droit d'accéder à cette ressource particulière ? » Ce changement de perspective, c'est en gros ce qu'est le modèle Zero Trust.
Que signifie réellement le « Zero Trust » ?
Le « Zero Trust » n'est pas un produit. On ne peut pas simplement l'acheter tout fait et en avoir fini avec ça. Il s'agit plutôt d'une philosophie, ou d'une architecture, d'une façon d'envisager la sécurité qui repose sur trois principes fondamentaux.
Le premier principe est le suivant : ne jamais se fier aveuglément, toujours vérifier. Aucun utilisateur ni appareil n'est automatiquement considéré comme fiable, même s'il se trouve déjà au sein du réseau. Le deuxième principe est celui de l'accès avec le moins de privilèges possible : les personnes et les systèmes ne doivent avoir accès qu'à ce dont ils ont réellement besoin, rien de plus. Le troisième principe est peut-être le plus dérangeant : partir du principe qu'une intrusion a eu lieu. Agissez comme si un pirate se trouvait déjà quelque part dans votre réseau, et concevez vos défenses de manière à limiter les dégâts qu'il pourrait causer.
Ce concept a été introduit en 2010 par l'analyste John Kintervag, de Forrester Research, puis mis en œuvre à grande échelle par Google dans le cadre de son projet interne BeyondCorp. Il est aujourd'hui considéré comme une référence par des organismes tels que la CISA et le NIST, ainsi que par la plupart des grands fournisseurs informatiques.
Pourquoi les VPN ne suffisent pas à eux seuls
Il existe une version de cette conversation qui peut s'avérer délicate à aborder avec certaines équipes informatiques, en particulier celles qui ont massivement investi dans une infrastructure VPN. La vérité, cependant, c'est que le fait de s'appuyer exclusivement sur les VPN pour l'accès à distance comporte un risque non négligeable.
Le problème réside dans ce qui se passe après la connexion. Une fois qu'un utilisateur s'est authentifié via le VPN, il bénéficie généralement d'un accès étendu au réseau, sans aucune vérification continue. C'est ce qu'on appelle le modèle « une fois connecté, toujours considéré comme fiable ». Et si ces identifiants venaient à être volés, un pirate pourrait se déplacer latéralement au sein de l'infrastructure sans grande difficulté.
Le modèle Zero Trust contourne ce problème en réévaluant chaque demande d'accès au moment où elle est formulée, même lorsqu'elle émane d'utilisateurs déjà connectés. L'identité, l'état de l'appareil et le contexte jouent tous un rôle. Ce modèle est plus complexe à mettre en œuvre, mais il est aussi nettement plus difficile à contourner.
Extreme Networks : le ZTNA universel au cœur de sa stratégie
Extreme Networks a placé le modèle « Zero Trust » au cœur de son offre, ce qui mérite d'être souligné, car de nombreux fournisseurs le considèrent comme une fonctionnalité plutôt que comme un fondement.
Ce qui rend leur approche quelque peu particulière, c'est leur volonté de regrouper la gestion du réseau et la sécurité au sein d'une seule et même plateforme, alors qu'auparavant, il fallait utiliser des outils distincts pour chacune de ces fonctions.
ExtremeCloud Universal ZTNA
Le produit phare de cette gamme est ExtremeCloud Universal ZTNA, qui combine le contrôle d'accès au réseau (NAC) et l'accès réseau Zero Trust au sein d'une seule et même plateforme cloud. Au cœur de cette solution se trouve un moteur de règles unique qui gère à la fois l'accès au réseau et l'accès aux applications, que l'utilisateur travaille au bureau, à domicile ou dans un lieu intermédiaire.
Le modèle d'accès basé sur l'identité signifie que les décisions d'accès dépendent de l'identité de l'utilisateur, du type d'appareil qu'il utilise et de l'endroit d'où il se connecte, et non pas simplement de son emplacement réseau. Les politiques de sécurité peuvent être appliquées automatiquement sur l'ensemble des commutateurs, des points d'accès et de l'infrastructure cloud, y compris le matériel tiers, ce qui constitue un avantage pratique pour les organisations qui ne disposent pas d'un environnement homogène.
La plateforme offre également une fonctionnalité de gestion de l'informatique parallèle. Elle permet de détecter les applications privées que les employés utilisent réellement, y compris les outils d'IA non approuvés, et donne aux administrateurs la possibilité de les autoriser ou de les bloquer. Je pense que cette fonctionnalité, à elle seule, s'avère très utile pour de nombreux services informatiques.
L'intégration prend en charge les fournisseurs d'identité courants, à savoir Microsoft Entra ID, Google Workspace et Okta, ce qui rend le processus d'intégration relativement simple.
Extreme Platform ONE Security
En décembre 2025, Extreme a lancé Extreme Platform ONE Security, une solution qui va encore plus loin en matière d'intégration en regroupant la gestion du réseau et la gestion de la sécurité en un seul et même endroit. L'intelligence artificielle y est intégrée pour automatiser l'application des politiques et offrir une visibilité en temps réel sur l'ensemble du réseau. Concrètement, cela signifie que les politiques de sécurité peuvent être déployées sur tous les appareils connectés en une seule opération, sans qu'il soit nécessaire de les configurer un par un.
Tissu extrême
Extreme Fabric gère la segmentation, tant au niveau global qu'au niveau des charges de travail individuelles. Lorsqu'un changement survient sur le réseau, la politique de sécurité s'adapte automatiquement. Dans les environnements dynamiques tels que les hôpitaux, les campus ou les sites de production, où les appareils se connectent et se déconnectent en permanence, ce type d'ajustement automatique s'avère sans doute plus utile qu'il n'y paraît à première vue.
Le Wi-Fi 7 et les commutateurs de la série 4000
Côté matériel, les commutateurs de la série 4000 d'Extreme, gérés dans le cloud, intègrent directement ExtremeCloud Universal ZTNA grâce à ce qu'ils appellent un « port sécurisé instantané ». Les nouveaux appareils qui se connectent au réseau sont immédiatement intégrés au cadre Zero Trust sans nécessiter de configuration manuelle. C'est un détail, mais pour les déploiements à grande échelle, cela permet de gagner un temps considérable.
Cisco : le modèle « Zero Trust » intégré au réseau lui-même
La position de Cisco dans ce domaine est quelque peu différente, car c'est l'un des rares fournisseurs à disposer d'une expertise approfondie tant en matière de réseaux que de sécurité, ce qui lui permet de mettre en œuvre le modèle Zero Trust à plusieurs niveaux de l'infrastructure simultanément.
Il en résulte un écosystème plus vaste, qui présente à la fois des avantages et des inconvénients. Il est certes plus complet, mais son déploiement peut s'avérer plus complexe, selon votre environnement.
Cisco Secure Access et Universal ZTNA
La plateforme Secure Access de Cisco est au cœur de son approche Zero Trust. Elle regroupe le ZTNA, l'accès Internet sécurisé et un client VPN au sein d'une seule et même application unifiée. L'objectif est d'assurer la protection des utilisateurs où qu'ils se trouvent, sans qu'ils aient à passer d'un outil à l'autre en fonction de ce qu'ils font ou de l'endroit où ils se trouvent.
Cisco décrit quatre fonctions clés du modèle Zero Trust : établir la confiance, appliquer un accès basé sur la confiance, vérifier en permanence la confiance et réagir lorsque la confiance évolue. Ce dernier point, à savoir réagir lorsque la confiance évolue, est peut-être ce qui distingue une véritable mise en œuvre du modèle Zero Trust d'une approche essentiellement théorique.
Pare-feu maillé hybride Cisco
Annoncé lors du Cisco Live 2025, le Hybrid Mesh Firewall est une architecture de sécurité distribuée qui étend la segmentation Zero Trust aux centres de données, aux réseaux de campus et aux environnements IoT. Il fonctionne en tandem avec Universal ZTNA pour garantir une sécurité homogène sur l'ensemble de l'infrastructure. Pour les grandes entreprises qui gèrent simultanément plusieurs environnements, ce type de cohérence à tous les niveaux de la pile est véritablement difficile à reproduire avec des solutions ponctuelles.
Cisco Duo : l'identité comme fondement
Cisco Duo gère l'authentification multifactorielle et la vérification d'identité ; c'est sans doute le produit de la gamme Cisco que la plupart des gens connaissent déjà. Il regroupe en un seul et même endroit l'authentification multifactorielle, la connexion sans mot de passe, l'authentification unique et la vérification des appareils.
SASE : réseau et sécurité en une seule solution
La vision globale de Cisco repose ici sur son approche SASE à fournisseur unique, qui réunit Cisco Secure Access et Catalyst SD-WAN au sein d’une même plateforme. L’objectif est de mettre en place des politiques « Zero Trust » cohérentes couvrant les utilisateurs, les applications, les appareils et les réseaux, où qu’ils se trouvent. Pour les entreprises qui ont passé des années à gérer le réseau et la sécurité comme deux domaines totalement distincts, ce type de modèle unifié représente un changement assez significatif dans la manière dont l’ensemble est géré.
Sécurisation des agents d'IA
Lors du Cisco Live 2026, Cisco a également mis en avant un aspect qui va prendre de plus en plus d'importance avec le temps : la sécurisation des agents IA. À mesure que les entreprises déploient des systèmes d'IA autonomes pour gérer davantage de tâches, ces systèmes doivent être vérifiés, surveillés et soumis à des contraintes, au même titre que n'importe quel autre utilisateur ou appareil. Cisco met en place des mécanismes permettant d'enregistrer les agents IA, de gérer leur accès via des jetons à durée de vie limitée et de signaler les comportements inhabituels en temps réel. Il est encore tôt, mais c'est la bonne question à se poser.
Extreme vs Cisco : une comparaison rapide
Aucun des deux fournisseurs n'est objectivement meilleur que l'autre. Ils s'attaquent à des problèmes légèrement différents, et le choix qui s'impose dépend en grande partie de la taille, de la complexité et de l'infrastructure existante de votre organisation.
| Catégorie | Extreme Networks | Cisco |
| Solution de base | ExtremeCloud Universal ZTNA | Cisco Secure Access + Duo |
| Approche | Réseau et sécurité sur une seule plateforme | Un vaste écosystème d'outils spécialisés |
| Principaux atouts | Simplicité, déploiement rapide, intégration matérielle | Évolutivité, solution de niveau entreprise, SASE complet |
| Intégration de l'IA | IA agentique pour l'automatisation des politiques | Sécurité des agents IA, gestion de l'IA fantôme |
| Public cible | Entreprises de taille moyenne à grande, campus | Entreprises, administration publique, multi-cloud |
| Fournisseurs d'identité | Microsoft Entra, Google Workspace, Okta | Cisco Duo + fournisseurs d'identité externes |
| Assistance sur site | Oui, avec une solution NAC dans le cloud et sur site | Oui, avec un accès privé hybride |
Le modèle « Zero Trust » n'est plus une option
Il ne s'agit ni d'une mode ni d'un cycle marketing. Le « Zero Trust » est une réponse concrète à l'évolution du paysage des menaces et des modes de travail au cours de la dernière décennie. Le périmètre réseau traditionnel n'existe pratiquement plus, et le modèle de sécurité qui s'articulait autour de celui-ci peine à suivre le rythme.
Extreme Networks présente des arguments convaincants pour les entreprises qui recherchent rapidité et simplicité : une seule plateforme, un seul moteur de politiques et un matériel qui s'intègre parfaitement à la stratégie de sécurité. Si vous souhaitez agir rapidement sans vous enliser dans un projet de mise en œuvre complexe, c'est sans doute la solution la plus intéressante.
Cisco se distingue par une offre unique : une couverture à la fois approfondie et étendue de l'ensemble de l'infrastructure, depuis la gestion des identités jusqu'au réseau, en passant par les applications et désormais les charges de travail liées à l'IA. Pour les environnements vastes et complexes soumis à des exigences de sécurité strictes, un tel niveau de couverture est difficile à égaler.
Quoi qu'il en soit, la voie à suivre est claire. Chaque jour où une organisation continue de fonctionner en partant du principe que tout ce qui se trouve au sein du réseau est fiable est, pour être franc, un jour dont les pirates peuvent tirer parti. Le passage au modèle « Zero Trust » n'est plus une question de « si », mais de « quand » et « comment » y parvenir.
Avant de pouvoir contrôler l'accès, vous devez savoir ce qui s'y trouve
Il y a une étape qui est souvent négligée dans les discussions sur le Zero Trust, et qui finit généralement par se retourner contre les entreprises par la suite. Avant qu’un moteur de règles puisse déterminer qui a accès à quoi, il doit disposer d’une vue d’ensemble précise de tout ce qui est connecté au réseau. Pas seulement les ordinateurs portables et les serveurs que vous connaissez, mais aussi les capteurs IoT, l’imprimante vieillissante dans un coin, ou encore l’appareil que quelqu’un a branché il y a six mois et qu’il a oublié. Dans la pratique, cet inventaire n’est presque jamais complet.
C’est là qu’un outil comme RunZero prend tout son sens. Il s’agit d’une plateforme de découverte des actifs et de gestion des risques qui analyse l’intégralité de votre réseau sans nécessiter l’installation d’agents sur chaque appareil ni l’utilisation d’identifiants pour chaque système, et qui dresse un tableau complet de ce qui s’y trouve réellement : TI, TO, IoT, cloud, mobile. Le raisonnement est assez simple. L’efficacité des moteurs de politiques Zero Trust dépend entièrement de la qualité des données sur les actifs sur lesquelles ils s’appuient. Si un appareil ne figure pas dans votre inventaire, aucune politique ne lui est appliquée, et il devient exactement le type de point d’entrée discret que recherchent les attaquants. RunZero alimente cette couche de base, de sorte que lorsque des outils tels qu’ExtremeCloud ZTNA ou Cisco Secure Access commencent à appliquer des règles d’accès, ils s’appuient sur une vue d’ensemble complète et à jour du réseau plutôt que sur une vision optimiste.
Prêt à vous lancer ?
Si cela vous amène à vous interroger sur la situation réelle de votre organisation, c'est sans doute la bonne réaction. La plupart des réseaux comptent davantage d'appareils inconnus, de lacunes dans la couverture des politiques et d'hypothèses obsolètes que ce que l'on imagine, jusqu'à ce que l'on commence à y regarder de plus près. La bonne nouvelle, c'est que vous n'avez pas à vous débrouiller tout seul.
Damovo est un partenaire clé d’Extreme Networks, de Cisco et de runZero, ce qui signifie qu’il peut vous aider à aborder le Zero Trust comme un processus complet plutôt que comme un ensemble d’outils distincts. Que vous commenciez par une évaluation de la visibilité pour comprendre ce qui se trouve réellement sur votre réseau, ou que vous soyez déjà plus avancé et cherchiez à renforcer les contrôles d’accès et la segmentation, Damovo possède l’expérience nécessaire pour vous accompagner dans cette démarche. Si vous souhaitez discuter de la manière de vous lancer ou de ce à quoi pourrait ressembler une feuille de route réaliste pour votre environnement, contactez l'équipe.
Sources
Extreme Networks — extremenetworks.com/resources/blogs/extreme-platform-one-security
Extreme Networks — extremenetworks.com/solutions/security/ztna
Salle de presse Cisco — cisco.com (Annonces Cisco Live 2025, juin 2025)
Blogs Cisco — blogs.cisco.com/cisco-on-cisco/cisco-its-zero-trust-evolution (novembre 2025)
Business Wire — Améliorations apportées à la solution Universal ZTNA d'Extreme Networks (octobre 2024)
ScienceDirect — Réseaux « Zero Trust » : évolution et applications (février 2025)