La partie que personne n’a vraiment conçue.

Le Zero Trust est séduisant sur le papier.

Les identités sont vérifiées. Les appareils sont contrôlés. Les accès sont strictement encadrés. Chaque requête est évaluée avant d’être autorisée. Sur un schéma, tout semble cohérent, presque complet.

Mais dès que l’on sort de ce modèle théorique pour observer le fonctionnement réel d’une organisation, une autre réalité apparaît rapidement.

Les utilisateurs ne se contentent pas d’accéder aux données. Ils les déplacent.

Ils les envoient à des partenaires. Ils les transfèrent à des collègues. Ils les joignent à des e-mails, les intègrent dans des fils de discussion, et les partagent via des outils qui n’ont jamais été conçus pour appliquer des politiques de sécurité de manière cohérente.

C’est précisément dans ce mouvement quotidien que le Zero Trust perd progressivement son efficacité.

Non pas parce que le modèle est mauvais, mais parce qu’il n’a jamais été entièrement étendu à l’endroit où le travail se déroule réellement.

L’accès est contrôlé. Le mouvement ne l’est pas.

La plupart des stratégies Zero Trust fonctionnent très bien à l’entrée.

Les utilisateurs s’authentifient. Les sessions sont évaluées. Les appareils sont vérifiés. L’accès est accordé ou refusé en fonction du niveau de risque.

Cette partie fonctionne.

Le problème commence immédiatement après.

Une fois à l’intérieur, un utilisateur peut télécharger un document, l’attacher à un e-mail et l’envoyer à l’extérieur en quelques secondes. Cette action ne subit presque jamais le même niveau de contrôle que la demande d’accès initiale.

En théorie, des mécanismes existent. En pratique, ils sont irréguliers.

Certains messages sont chiffrés. D’autres non. Certaines politiques sont appliquées. D’autres sont contournées. Beaucoup repose sur l’idée que les utilisateurs prendront systématiquement les bonnes décisions.

Ce n’est pas le cas.

Et ce n’est pas une question de formation. C’est une question de conception.

La communication ne se comporte pas comme les autres systèmes

Les équipes de sécurité tentent souvent d’appliquer à la communication les mêmes logiques que celles utilisées pour les systèmes ou les applications. Cela fonctionne rarement.

La communication est rapide, informelle et en constante évolution. Elle dépend du contexte, de l’urgence et des relations humaines.

Un utilisateur peut respecter des règles strictes pour accéder à un système, puis, quelques secondes plus tard, transférer un document sensible à un partenaire sans réfléchir. Non pas par négligence, mais parce que le processus le permet.

Les fils de discussion s’allongent. Les destinataires changent. Les pièces jointes circulent. Les conversations dépassent rapidement les frontières internes.

Tout cela échappe aux modèles rigides.

L’illusion de la couverture

De nombreuses organisations pensent pourtant avoir maîtrisé ce risque.

Elles disposent d’outils de prévention des pertes de données. Elles utilisent des passerelles sécurisées. Elles forment leurs employés. Elles ont des solutions de chiffrement à disposition.

Pris séparément, ces éléments sont utiles.

Ensemble, ils donnent une impression de contrôle.

Mais il y a une différence entre couverture et enforcement.

La plupart de ces systèmes réagissent après coup. Ils détectent, alertent ou bloquent certains comportements, mais ils ne garantissent pas que chaque communication sensible soit correctement protégée dès le départ.

C’est là que se situe la faille.

Là où les approches commencent à diverger

C’est à ce stade que les différences entre solutions deviennent visibles.

Certaines approches privilégient la détection. Elles identifient les comportements à risque après qu’ils se produisent. D’autres donnent aux utilisateurs des outils pour sécuriser leurs messages lorsqu’ils le jugent nécessaire.

Mais ces modèles partagent une limite commune. Ils reposent encore sur l’intervention humaine.

Une autre approche consiste à inverser cette logique.

Au lieu de demander à l’utilisateur de décider, le système applique automatiquement la protection en fonction de règles définies. Si certaines conditions sont réunies, le message est sécurisé sans action supplémentaire.

Des solutions comme Proofpoint, Mimecast, Cisco Secure Email, Zix ou Virtru couvrent différents aspects de cette problématique.

Cependant, les approches qui intègrent réellement l’automatisation et l’intégration dans les flux de travail produisent des résultats plus cohérents. Des plateformes comme Echoworx s’inscrivent dans cette logique, en transformant le chiffrement en un mécanisme appliqué systématiquement plutôt qu’en une option laissée à l’utilisateur.

Cette différence, en apparence subtile, change profondément la capacité à appliquer le Zero Trust à la communication.

La communication externe est le point de rupture

Si la communication interne est difficile à contrôler, la communication externe l’est encore davantage.

Partenaires, fournisseurs, clients, autorités. Aucun de ces acteurs ne fait partie de votre environnement d’identité.

Pourtant, ils participent aux mêmes échanges.

Les modèles Zero Trust traditionnels reposent sur des identités maîtrisées. La communication externe brise immédiatement cette hypothèse.

Si sécuriser un message impose trop d’étapes, les utilisateurs chercheront des alternatives. Et ces alternatives seront rarement conformes aux exigences de sécurité.

Le défi consiste donc à maintenir un haut niveau de protection sans introduire de friction excessive.

Le lien manquant entre Zero Trust et conformité

Un autre élément rend cette problématique encore plus critique.

La réglementation.

Des cadres comme NIS2 ou DORA ne se contentent pas de demander si vous pouvez sécuriser vos communications. Ils exigent que vous puissiez prouver que vous l’avez fait.

Cela implique de la cohérence.

Chaque message sensible doit être protégé. Chaque décision doit être traçable. Chaque politique doit être appliquée automatiquement.

Un système qui fonctionne la plupart du temps ne suffit plus.

Un système qui dépend du comportement humain non plus.

Une réalité qui dépasse la cybersécurité

Ce phénomène ne concerne pas uniquement les équipes de sécurité. Il est observable dans d’autres domaines technologiques, notamment dans l’automatisation et l’intelligence artificielle.

Comme l’explique Mike Vertal, fondateur de CrafterQ,  la plupart des systèmes sont conçus autour d’un comportement idéal, pas du comportement réel. Dès que vous comptez sur les utilisateurs pour prendre systématiquement la bonne décision sous pression, le système commence à échouer. C’est pourquoi l’automatisation devient essentielle, pas seulement en IA mais aussi en cybersécurité. Si la communication n’est pas contrôlée par défaut, elle ne sera pas contrôlée du tout. »

Ce constat résume parfaitement le problème.

Une réalité opérationnelle souvent ignorée

Dans la pratique, la sécurité de la communication est souvent traitée comme une couche secondaire, alors qu’elle constitue l’un des principaux vecteurs de circulation de l’information sensible. Les organisations investissent massivement dans la protection des accès, dans la segmentation des réseaux, dans la détection des menaces, mais continuent de dépendre de mécanismes partiellement manuels dès qu’il s’agit d’échanges quotidiens. Cette asymétrie crée une incohérence structurelle. D’un côté, des systèmes sophistiqués capables d’analyser des comportements en temps réel. De l’autre, des flux de communication qui reposent encore sur des décisions humaines, sur des habitudes et sur des compromis liés à la rapidité. Tant que cette contradiction persiste, il sera difficile d’atteindre un niveau de contrôle réellement aligné avec les exigences modernes de sécurité et de conformité.

La simplicité comme condition de réussite

Il existe une règle simple en matière de sécurité.

Plus un système est complexe à utiliser, moins il sera utilisé correctement.

Si sécuriser un message demande du temps, des étapes supplémentaires ou une réflexion particulière, il sera contourné.

Ce n’est pas un problème de culture. C’est un problème d’ergonomie.

Les solutions les plus efficaces sont celles qui s’intègrent naturellement dans les habitudes existantes. Elles n’ajoutent pas de friction. Elles rendent la bonne action automatique.

C’est cette simplicité qui permet d’atteindre la cohérence.

Compléter le modèle

Le Zero Trust a transformé la manière dont les organisations gèrent les accès et les identités.

Mais il reste incomplet.

La couche de communication, celle où les données circulent réellement, n’est pas encore pleinement intégrée dans ce modèle.

Combler cette lacune ne nécessite pas de repartir de zéro.

Il s’agit d’étendre les principes existants.

Appliquer des politiques automatiquement. Garantir la protection sans intervention humaine. Générer des preuves sans effort supplémentaire.

Les organisations qui y parviennent alignent enfin leur sécurité avec leur réalité opérationnelle.

Les autres continueront à fonctionner avec une zone de risque invisible, jusqu’au moment où elle ne le sera plus.