Zero Trust : le plus grand rebranding de la cybersécurité moderne
Je pense que Zero Trust n'a rien inventé. C'est de l'hygiène sécurité rebrandée. La vraie faille reste humaine, culturelle et managériale. Aucun framework ne compensera un leadership défaillant.
Récemment, en débattant sur X de la montée en puissance des exploits humains avec l’arrivée de la génération Z sur le marché du travail, j’ai exprimé mon scepticisme sur le Zero Trust. Non pas par provocation gratuite, mais par lassitude professionnelle. Après plus de quinze ans dans la cybersécurité, ce concept continue de me poser problème pour une raison simple : il n’invente rien. Absolument rien. Et il est temps d’arrêter de se raconter des histoires.
Le Zero Trust n’invente rien : un recyclage bien emballé
Il faut arrêter de se mentir. Le “Zero Trust”, présenté aujourd’hui comme une révolution stratégique, n’est qu’un rebranding sophistiqué de principes que toute équipe sécurité sérieuse applique (ou devrait appliquer) depuis vingt ans. Le moindre privilège. La segmentation. L’authentification forte. Le contrôle des accès. La supervision. La défense en profondeur.
Rien de nouveau sous le soleil
La seule vraie innovation du Zero Trust, c’est d’avoir transformé de l’hygiène informatique basique en produit premium, en feuille de route stratégique, en programme à plusieurs millions d’euros piloté par des comités. On a renommé des évidences, on les a mises dans des slides, et on a fait croire qu’on venait d’inventer le feu.
À l’origine pourtant, l’idée est simple et connue de tous les praticiens : un système finit toujours par être compromis. La question n’est pas de savoir si, mais quand. Et quand cela arrive, une autre couche doit limiter la casse. C’est la défense en profondeur. Pas un slogan. Une réalité opérationnelle. Le Zero Trust ne fait que formaliser ce raisonnement pour le rendre plus digeste aux décideurs. Rien de plus.
Quand un cadre devient une illusion rassurante
Le problème commence lorsque le Zero Trust est vendu comme une solution miracle. Comme si coller cette étiquette sur un système d’information suffisait à le rendre résilient. Comme si une architecture pouvait compenser à elle seule des années de renoncements humains, culturels et managériaux.
La réalité est bien plus brutale. En 2026, le principal vecteur d’attaque n’est pas technique. Ce n’est ni une faille zero-day obscure ni un exploit ultra-sophistiqué. C’est l’humain. Le clic. Le mail bien écrit. Le faux lien. L’urgence fabriquée. Ce qu’on appelle, faute de mieux, l’“exploit humain”.
Selon le Verizon Data Breach Investigations Report 2025, près de 60 % des violations de données impliquent un facteur humain, par erreur ou par manipulation. On peut segmenter à l’infini, multiplier les contrôles, durcir les accès. Si les utilisateurs ne comprennent pas ce qu’ils font, s’ils n’ont aucune culture du risque, s’ils sont pressés, fatigués ou désengagés, ils continueront à ouvrir la porte. Le Zero Trust peut limiter l’impact technique de l’erreur. Il n’en traite pas la cause.
L’exploit humain n’est pas un problème technique
Et c’est là que le discours devient inconfortable. L’exploit humain n’est pas un problème de technologie. C’est un problème de culture. De maturité collective. De leadership.
Quand un collaborateur clique sur un lien de phishing, ce n’est pas seulement “sa faute”. C’est le symptôme d’un système qui n’a pas pris le temps d’expliquer, de responsabiliser, de former intelligemment. C’est le reflet d’un management qui considère encore la cybersécurité comme un sujet annexe, un coût, voire un irritant.
Aucune politique Zero Trust ne compensera un management qui s’en fiche. On peut imposer de la MFA partout, des accès conditionnels, des contrôles permanents. Si, dans le même temps, la direction envoie le message implicite que la sécurité ralentit le business, que “ce n’est pas prioritaire”, alors le système est déjà perdu. Les utilisateurs s’alignent toujours sur le message réel, jamais sur le discours officiel.
Le paradoxe est ironique : le Zero Trust est souvent présenté comme une réponse au manque de confiance. Or la confiance n’est pas un problème technique. C’est une question d’organisation, de clarté des rôles, de responsabilité assumée et de cohérence entre ce qu’on dit et ce qu’on fait. La sécurité ne se construit pas sur la défiance généralisée, mais sur la compréhension et l’alignement.
Le Zero Trust comme paravent confortable
Aujourd’hui, beaucoup d’organisations utilisent le Zero Trust comme un paravent. Un moyen élégant de dire : “Nous avons investi, donc nous sommes protégés.” On coche les cases. On aligne les outils. On communique. Et on continue à ignorer le cœur du sujet : la relation entre les humains et le système qu’ils utilisent.
Sur les réseaux sociaux, y compris parmi les professionnels de la cybersécurité, les critiques se multiplient. Beaucoup soulignent que le Zero Trust est implémenté à l’envers, créant plus de frictions internes que de gains réels. Le cadre peut être utile, parfois très utile, s’il est vu pour ce qu’il est réellement : une approche d’architecture défensive. Pas une solution miracle. Pas une réponse globale. Une couche parmi d’autres.
Bien sûr, le Zero Trust reste un outil précieux quand il est intégré à une stratégie globale mais tant que l’on continuera à croire que des buzzwords peuvent remplacer une vraie culture de sécurité, on continuera à courir après les symptômes. Tant que l’on investira plus dans des slogans que dans la pédagogie, plus dans des frameworks que dans la responsabilisation, l’exploit humain continuera de grimper. Et aucun rebranding n’y changera quoi que ce soit.
Pour une cybersécurité lucide et humaine
La cybersécurité n’a pas besoin de nouveaux concepts. Elle a besoin de lucidité. De discipline. Et surtout, de dirigeants capables d’assumer que la sécurité commence par eux, pas par un produit estampillé “Zero Trust”.
Former les humains. Cultiver une culture du risque. Traiter la technologie comme un outil, pas comme un sauveur.
Le reste, c’est du marketing. Et le marketing, lui, ne protège rien.