Post-NIS2 : vers une architecture Zero Trust intégrale (ZTNA 2.0)
- Cedric KTORZA
- 8 déc. 2025
- 9 min de lecture
Dernière mise à jour : 15 déc. 2025
NIS2, catalyseur d’une cybersécurité « Zero Trust »
La directive NIS2 change durablement la façon de sécuriser les systèmes d’information en Europe.
Entrée en vigueur en octobre 2024, la directive (UE) 2022/2555 étend les obligations de cybersécurité à 18 secteurs critiques et à un grand nombre d’entités dites « essentielles » ou « importantes ». Elle impose des mesures de gestion des risques, une gouvernance de la sécurité au niveau de la direction, ainsi qu’un reporting d’incident strict, sous peine de sanctions pouvant atteindre plusieurs millions d’euros ou un pourcentage du chiffre d’affaires mondial.digital-strategy.ec.europa.eu
Dans ce contexte, les approches historiques centrées sur le périmètre réseau (VPN, filtrage IP/ports, cloisonnement grossier) ne suffisent plus. Pour démontrer une conformité crédible à NIS2, les organisations doivent s’orienter vers une architecture Zero Trust, dont le Zero Trust Network Access (ZTNA) 2.0 constitue le socle d’accès sécurisé.
Chez Score Group, nous accompagnons cette transition à travers notre division Noor ITS, spécialisée dans les infrastructures numériques, les réseaux, la cybersécurité et la résilience IT, pour construire des architectures d’accès modernes, conformes et opérationnellement efficaces.
Un paysage de menaces qui explose
La montée en puissance de NIS2 n’est pas théorique : elle répond à une intensification rapide des attaques. L’Agence de l’Union européenne pour la cybersécurité (ENISA) constate une hausse marquée des incidents, tandis que son premier rapport global sur l’état de la cybersécurité dans l’Union (2024) souligne un besoin urgent de renforcement des capacités des États et des opérateurs.enisa.europa.eu
Dans le même temps, la part des investissements IT consacrée à la sécurité a progressé pour atteindre environ 9 % des budgets en Europe en 2023, avec un doublement médian des dépenses de sécurité par rapport à 2022, principalement pour répondre aux exigences de NIS2.enisa.europa.eu Cela confirme que la conformité réglementaire et la réduction du risque vont de pair.
NIS2 : pourquoi les modèles périmétriques sont dépassés
NIS2 impose notamment :
Une gestion continue des risques (analyse, mesures techniques et organisationnelles, tests réguliers).
Une sécurité renforcée de la chaîne d’approvisionnement et des prestataires.
Une supervision et un logging permettant de détecter et de déclarer rapidement les incidents majeurs.
Une responsabilité explicite de la direction en cas de non-respect des obligations de cybersécurité.digital-strategy.ec.europa.eu
Or, les architectures classiques fondées sur un « réseau interne de confiance » deviennent incompatibles avec ces exigences. Avec le télétravail massif, le cloud, le multi-datacenter et les partenaires, il n’existe plus de périmètre unique à protéger. Il faut donc déplacer le centre de gravité de la sécurité vers l’identité, le contexte, et chaque ressource applicative : c’est précisément l’objectif du Zero Trust et du ZTNA 2.0.
Zero Trust et ZTNA 2.0 : les nouveaux standards d’accès
Les principes du Zero Trust
Le Zero Trust, tel que défini par le NIST dans la publication SP 800‑207, repose sur un principe simple : « ne jamais faire confiance par défaut, toujours vérifier ».csrc.nist.gov Concrètement, cela se traduit par :
Une authentification et une autorisation fortes pour chaque requête, utilisateur, appareil, service ou API.
Une micro-segmentation : accès limité à la ressource précise nécessaire, pas au réseau entier.
Une prise de décision basée sur le contexte (identité, posture du terminal, localisation, sensibilité de la donnée, heure, etc.).
Une surveillance continue des sessions pour détecter les comportements anormaux.
Le Zero Trust n’est pas un produit mais une architecture. Elle s’appuie sur plusieurs briques : gestion des identités (IAM), gestion des accès privilégiés, ZTNA, sécurité du cloud, protection des données, supervision de la sécurité…
De ZTNA 1.0 à ZTNA 2.0
Le ZTNA (Zero Trust Network Access) est la mise en œuvre concrète du Zero Trust pour l’accès aux applications, en remplacement progressif des VPN traditionnels. La première génération (ZTNA 1.0) a introduit l’accès « direct à l’application » plutôt qu’au réseau, mais avec plusieurs limites :
Contrôles centrés sur les IP et ports, pas sur l’application réelle.
Modèle « allow and ignore » : une fois la session établie, la confiance n’est plus réévaluée.
Couverture incomplète des applications modernes (SaaS, cloud natif, ports dynamiques…).paloaltonetworks.com
Le ZTNA 2.0 corrige ces faiblesses en apportant :
Un véritable principe du moindre privilège : identification des applications au niveau 7 (couche applicative) et contrôle fin jusqu’au sous-ensemble de fonctionnalités (ex. autoriser la consultation mais pas le téléchargement).
Une vérification de confiance continue pendant toute la session (changement de posture du terminal, comportement anormal, localisation suspecte…).
Une inspection de sécurité permanente de tout le trafic, y compris les connexions déjà autorisées, pour détecter malwares, exfiltrations et mouvements latéraux.
Une protection unifiée de toutes les applications (SaaS, cloud, datacenter, applications héritées) et de toutes les données.paloaltonetworks.com
Cette approche répond directement aux attentes de NIS2 en matière de maîtrise des accès, de détection d’incident et de réduction du risque de compromission par rebond.
Tableau comparatif : VPN, ZTNA 1.0 et ZTNA 2.0
Critère | VPN classique | ZTNA 1.0 | ZTNA 2.0 |
|---|---|---|---|
Périmètre d’accès | Réseau entier ou grande zone | Application, mais souvent via règles IP/port | Application et sous-fonctions, au niveau 7 |
Principe du moindre privilège | Faible (accès large) | Moyen (restriction par application) | Élevé (politiques très granulaires par utilisateur, appareil, action) |
Vérification de la confiance | À la connexion uniquement | Principalement à la connexion | Continue pendant la session (contexte, posture, comportement) |
Inspection de sécurité | Variable, souvent limitée | Partielle, centrée sur l’accès | Inspection profonde de tout le trafic, y compris chiffré |
Couverture applicative | Applications internes surtout | Privé + quelques SaaS | SaaS, cloud, datacenters, applications legacy |
Adéquation aux exigences NIS2 | Complexe, nécessite beaucoup de compensations | Améliore la posture, mais lacunes sur la supervision fine | Très aligné : contrôle fin, traçabilité, réduction du risque |
Construire une architecture Zero Trust intégrale post‑NIS2
1. Cartographier les services essentiels et importants
La première étape consiste à identifier précisément :
Les services couverts par NIS2 (secteurs de haute criticité et autres secteurs critiques).
Les systèmes, applications et données qui les supportent.
Les utilisateurs et tiers qui y accèdent (internes, prestataires, partenaires…).digital-strategy.ec.europa.eu
Chez Score Group, cette phase de cadrage peut s’intégrer à une démarche d’étude et d’ingénierie couvrant à la fois le socle numérique et, le cas échéant, les environnements industriels et énergétiques. Une cartographie claire sert de base à la définition des segments Zero Trust et des futures politiques ZTNA 2.0.
2. Repenser identité, authentification et posture des terminaux
Zero Trust et ZTNA 2.0 s’appuient sur une gestion robuste de l’identité et des équipements :
Authentification multi‑facteur systématique pour les accès sensibles.
Gestion centralisée des identités (fédération, SSO, rôles, privilèges minimaux).
Contrôle de la posture des terminaux (chiffrement, antivirus/EDR, mises à jour, conformité).
Notre division Noor ITS conçoit ce socle au plus près de vos besoins d’infrastructure et de poste de travail, en s’appuyant notamment sur des architectures réseau, systèmes et annuaires adaptées aux scénarios de travail hybride.
3. Segmenter vos environnements avec ZTNA 2.0
Une fois les actifs critiques identifiés et l’identité sécurisée, le cœur du projet consiste à :
Remplacer progressivement les VPN généralisés par un ZTNA 2.0 centré sur les applications.
Définir des politiques d’accès granulaires : par utilisateur, rôle, type d’appareil, sensibilité des données, contexte.
Mettre en place une micro‑segmentation logique qui limite les déplacements latéraux en cas de compromission.
Étendre ces principes aux ressources hébergées en datacenter, sur site, dans le cloud public ou privé.
Les équipes de Noor ITS disposent d’une expertise complète sur les infrastructures réseaux et systèmes pour concevoir des architectures Zero Trust cohérentes, du LAN au WAN, en passant par les environnements cloud et les sites distants.
4. Centraliser la visibilité, les logs et la réponse aux incidents
NIS2 impose une détection rapide des incidents significatifs et des capacités de réponse et de continuité de service.digital-strategy.ec.europa.eu Dans une architecture Zero Trust intégrale, cela se traduit par :
La centralisation des journaux (authentification, accès, trafic, événements sécurité) pour corrélation et audit.
La mise en place de capacités de détection avancée (SIEM, détection comportementale, réponses automatisées).
Des plans de reprise d’activité alignés sur les priorités métiers et les exigences de disponibilité des services essentiels.
En s’appuyant sur une architecture ZTNA 2.0, ces mécanismes gagnent en précision : chaque accès est tracé au niveau applicatif, ce qui facilite l’analyse d’impact, la qualification des incidents NIS2 et la production de preuves en cas de contrôle.
Comment Score Group et Noor ITS vous accompagnent vers ZTNA 2.0
Score Group agit comme intégrateur global, à la croisée de l’énergie, du digital et des nouvelles technologies, avec une ambition claire : « Là où l’efficacité embrasse l’innovation… ». Pour adresser les enjeux post‑NIS2, notre division Noor ITS mobilise l’ensemble de ses expertises :
Réseaux et socle numérique : conception et modernisation d’infrastructures adaptées au Zero Trust et au ZTNA 2.0, du campus au multi‑site Noor ITS.
Cybersécurité : audits, gouvernance, mise en œuvre de solutions d’accès Zero Trust, protection des endpoints et supervision de sécurité offre cybersécurité.
Datacenters et hébergement : architectures hybrides, segmentation, interconnexion sécurisée avec les plateformes d’accès Zero Trust (datacenters, cloud & hosting).
Continuité d’activité : élaboration de PRA/PCA cohérents avec les exigences NIS2 et les scénarios Zero Trust PRA / PCA.
Cette approche est complétée, lorsque nécessaire, par les autres divisions du groupe (Noor Energy, Noor Technology, Noor Industry) pour intégrer les enjeux OT, IoT, intelligence artificielle, efficacité énergétique ou smart building dans une vision de sécurité cohérente à l’échelle de l’organisation.
Pour en savoir plus sur l’ADN et le positionnement de Score Group, consultez la page d’accueil du groupe : score-grp.com.
FAQ : NIS2, Zero Trust et ZTNA 2.0
La directive NIS2 impose‑t‑elle explicitement le Zero Trust ou le ZTNA 2.0 ?
Non, NIS2 ne mentionne pas formellement le terme « Zero Trust » ni « ZTNA 2.0 ». En revanche, le texte impose des exigences de gestion des risques, de contrôle des accès, de sécurité de la chaîne d’approvisionnement, de détection et de réponse aux incidents qui sont difficiles à atteindre avec des architectures périmétriques classiques. Les principes Zero Trust (authentification forte, moindre privilège, segmentation fine, surveillance continue) constituent aujourd’hui une manière efficace et reconnue de satisfaire ces obligations, en particulier dans des environnements hybrides et multi‑cloud.
Quelle est la différence entre Zero Trust et ZTNA 2.0 ?
Le Zero Trust est un cadre d’architecture global qui couvre l’ensemble de la sécurité du système d’information : identités, données, réseaux, applications, terminaux, supervision, etc. ZTNA 2.0 est une brique spécifique de cette architecture, dédiée à l’accès aux applications. Il applique les principes Zero Trust au moment où un utilisateur, un appareil ou un service tente d’accéder à une ressource : authentification forte, contrôle très granulaire, vérification continue de la confiance et inspection de sécurité profonde. En pratique, un projet Zero Trust inclura presque toujours un volet ZTNA 2.0, mais va bien au‑delà.
Peut‑on se mettre en conformité NIS2 sans remplacer ses VPN par du ZTNA 2.0 ?
En théorie, oui : la directive n’interdit pas les VPN et ne prescrit pas de technologie particulière. En pratique, atteindre un niveau de contrôle d’accès, de traçabilité et de réduction des mouvements latéraux conforme à l’esprit de NIS2 devient très complexe avec des VPN généralisés. ZTNA 2.0 apporte une granularité et une visibilité natives au niveau applicatif, qui simplifient la mise en place de politiques de moindre privilège, la détection d’incidents, la production de journaux exploitables en audit et la limitation de l’impact d’une compromission.
Combien de temps faut‑il pour déployer une approche Zero Trust et ZTNA 2.0 ?
Il n’existe pas de délai standard : tout dépend de la taille de l’organisation, de la complexité de son SI, de son historique technique et de son niveau de maturité. Une démarche réaliste se fait généralement par étapes : cadrage et cartographie, premiers cas d’usage (ex. accès administrateurs, télétravail), extension progressive aux applications critiques, puis généralisation. L’important est de disposer d’une feuille de route claire, validée par la direction, et d’avancer de manière incrémentale plutôt que de viser une « big bang » peu réaliste.
Comment articuler Zero Trust, ZTNA 2.0 et les autres exigences de sécurité (SOC, EDR, IAM, etc.) ?
Zero Trust sert de fil directeur pour orchestrer l’ensemble des briques de sécurité. L’IAM fournit les identités et les rôles ; le ZTNA 2.0 applique les politiques d’accès ; l’EDR protège les postes ; le SOC ou le SIEM corrèle les événements et pilote la réponse ; les solutions de protection des données (DLP, chiffrement) sécurisent les informations sensibles. L’enjeu n’est pas de multiplier les outils, mais de les intégrer dans une architecture cohérente, capable de prendre des décisions basées sur le contexte et d’automatiser autant que possible la détection et la remédiation.
Et maintenant : comment passer à l’action ?
Si votre organisation est concernée par NIS2 ou par une augmentation des exigences de cybersécurité de vos clients, c’est le moment d’engager la transition vers une architecture Zero Trust soutenue par un ZTNA 2.0 moderne. Chez Score Group, nous pouvons vous aider à :
Évaluer votre exposition NIS2 et votre niveau de maturité Zero Trust.
Définir une trajectoire pragmatique de transformation (priorisation des cas d’usage, feuille de route, ROI opérationnel).
Concevoir et intégrer les solutions techniques adaptées, en s’appuyant sur l’expertise de notre division Noor ITS.
Vous souhaitez échanger sur votre contexte ou lancer un diagnostic ? Prenez contact avec nos équipes via la page Contact du site Score Group. Des solutions adaptées à chacun de vos besoins, pour une cybersécurité à la hauteur des enjeux NIS2.
