L'économie de la confiance zéro : Pourquoi la voie "facile" coûte plus cher

Par Nate Brady - Architecte de la sécurité dans l'informatique dématérialisée

17 juillet 2025 5 Lecture minute

L'industrie de la cybersécurité a développé un consensus fascinant autour de l'Zero Trust Network Access (ZTNA) : le positionner comme un remplacement direct de l'infrastructure VPN vieillissante, promettre une perturbation minimale, et migrer les politiques progressivement au fil du temps. Le message est convaincant : évitez la complexité des changements organisationnels tout en bénéficiant des avantages de la sécurité moderne. Les aspects économiques, cependant, peuvent être différents.

Je prédis que les organisations qui empruntent cette voie "facile" découvriront que cette approche, destinée à minimiser les perturbations à court terme, maximise en fait les coûts à long terme. En revanche, celles qui considèrent la migration ZTNA comme une opportunité de transformation fondamentale de l'informatique verront leurs efforts récompensés par des gains d'efficacité opérationnelle. Je crois fermement à la triade bon-rapide-facile (vous ne pouvez en choisir que deux) et, dans ce blog, j'expliquerai comment cela s'applique à l'adoption de ZTNA.

La crise de l'inventaire des applications

La racine de ce paradoxe réside dans un point aveugle que la plupart des entreprises partagent mais reconnaissent rarement : elles ne savent pas réellement quelles applications elles possèdent, qui les utilise (avec quelles données), ou quelle valeur commerciale elles apportent. Des années de croissance organique de l'informatique, d'acquisitions et d'initiatives départementales ont créé des portefeuilles d'applications tentaculaires qui résistent à une catégorisation facile.

L'infrastructure VPN traditionnelle a permis cette opacité. Les politiques générales d'accès au réseau masquent les schémas d'utilisation réels des applications. Lorsque les employés peuvent accéder à "tout ce qui se trouve sur le réseau", personne n'a besoin de justifier l'existence d'applications spécifiques ou de savoir qui doit y avoir accès. Le VPN devient une couche d'abstraction pratique qui masque les lacunes fondamentales en matière de gouvernance.

L'approche ZTNA en tant que remplacement de VPN perpétue cette dynamique. Les fournisseurs promettent de reproduire les schémas d'accès existants avec une perturbation minimale de l'organisation. Le message implicite est le suivant : vous pouvez obtenir une sécurité sans confiance sans avoir à comprendre ce que vous protégez. Cela crée une structure d'incitation du marché où la complexité est récompensée et la rationalisation évitée.

Considérez les implications économiques. Les organisations maintiennent régulièrement des applications dont la justification initiale a expiré. Elles paient des droits de licence pour des logiciels dont le nombre d'utilisateurs diminue. Elles allouent des ressources d'infrastructure à des systèmes qui pourraient être consolidés ou retirés. Le modèle de remplacement VPN préserve ces inefficacités tout en ajoutant de nouveaux coûts technologiques.

La fausse économie de l'atténuation des risques

L'ironie s'accentue lorsque l'on examine la manière dont les organisations encadrent leur prise de décision. Le processus d'inventaire et de rationalisation des applications est qualifié de "risqué" - et si nous restreignions accidentellement l'accès à quelque chose d'important ? Que se passera-t-il si les propriétaires d'applications refusent de justifier leurs exigences ? Et si nous découvrions que notre portefeuille informatique est plus chaotique que nous le pensions ?

Ces préoccupations reflètent une véritable dynamique organisationnelle, mais le calcul des risques est inversé. Le risque réel réside dans l'ignorance perpétuelle de votre environnement informatique. Les équipes de sécurité ne peuvent pas mettre en œuvre des contrôles efficaces pour des applications qu'elles ne comprennent pas. Les efforts de mise en conformité deviennent des exercices de théâtre documentaire plutôt qu'une gestion substantielle des risques. La planification de la continuité des activités repose sur des hypothèses plutôt que sur des preuves.

Le marché a réagi de manière prévisible à ce déséquilibre des incitations. Un écosystème de conseil a émergé autour de la gestion de la complexité plutôt que de sa réduction. Les entreprises font appel à des services professionnels coûteux pour migrer des centaines d'applications vers des plates-formes ZTNA sans se demander si ces applications devraient exister en premier lieu. Les frais liés à cette "atténuation des risques" dépassent souvent les économies qu'une rationalisation adéquate permettrait de réaliser.

Le dividende du Zero Trust

Les organisations qui choisissent la voie de la transformation découvrent quelque chose d'inattendu : une mise en œuvre correcte de la confiance zéro crée une fonction de forçage pour l'optimisation du portefeuille informatique qui aurait dû être réalisée depuis longtemps. Lorsque chaque application doit avoir un propriétaire identifié, un objectif commercial justifié et des flux de données classifiés, le nettoyage se fait organiquement.

Les avantages économiques deviennent rapidement convaincants. Le retrait des applications élimine les coûts de licence, réduit les exigences en matière d'infrastructure et diminue la surface de sécurité. Des opportunités de consolidation apparaissent lorsque les équipes découvrent qu'elles maintiennent plusieurs outils pour des fonctions identiques. La réduction de la dette technique suit naturellement lorsque les systèmes obsolètes perdent leur anonymat protecteur.

Les avantages quantifiables surprennent souvent les équipes dirigeantes. L'optimisation des licences à elle seule permet généralement de réduire de 20 à 40 % les dépenses en logiciels. La rationalisation de l'infrastructure permet de réaliser des économies similaires sur les coûts de calcul et de stockage. Les gains d'efficacité opérationnelle - moins de systèmes à patcher, à surveiller et à sauvegarder - créent des flux de dividendes continus qui s'accumulent au fil du temps.

Plus important encore, les organisations développent une connaissance réelle de leurs environnements informatiques. Cette capacité permet de réagir plus rapidement en cas d'incident, d'évaluer plus précisément l'impact sur l'entreprise et de prendre des décisions d'investissement technologique fondées sur des données. Les avantages concurrentiels s'accumulent régulièrement pour les entreprises qui comprennent ce qu'elles possèdent et comment cela crée de la valeur.

Recadrer l'analyse de rentabilité

L'analyse de rentabilité traditionnelle de la cybersécurité considère les améliorations de la sécurité comme des dépenses nécessaires - des investissements dans la réduction des risques qui ne génèrent pas directement de revenus. Cette conception désavantage systématiquement les équipes de sécurité lorsqu'elles sont en concurrence, pour l'obtention d'un budget, avec des initiatives qui promettent des retombées financières évidentes.

Le dividende de l'inventaire des applications change complètement cette dynamique. La mise en œuvre de la confiance zéro devient une initiative d'optimisation du portefeuille informatique qui inclut des améliorations en matière de sécurité. L'analyse de rentabilité passe de "combien ce projet de sécurité va-t-il coûter ?" à "combien cet effort d'optimisation va-t-il nous faire économiser ?".

Les considérations temporelles renforcent ce recadrage. Les avantages de la rationalisation des applications sont immédiats - les applications retirées cessent de générer des coûts pendant le mois en cours. L'optimisation des licences se manifeste lors du prochain cycle de renouvellement. Les réductions d'infrastructure se répercutent sur les factures trimestrielles de l'informatique dématérialisée. Ces économies permettent généralement de financer la mise en œuvre de ZTNA dans les 12 à 18 mois, après quoi les améliorations de la sécurité deviennent pratiquement gratuites.

Les organisations qui adoptent ce cadre constatent que leurs initiatives en matière de confiance zéro sont accueillies différemment par les parties prenantes. Les directeurs financiers deviennent des alliés plutôt que des sceptiques. Les dirigeants des unités opérationnelles s'engagent de manière proactive lorsqu'ils comprennent les avantages en termes d'efficacité. Les équipes technologiques apprécient la possibilité d'éliminer la dette technique qui s'est accumulée au fil des ans.

Le choix stratégique

La crise de fin de vie des VPN représente un point d'inflexion stratégique qui va bien au-delà du remplacement de la technologie. Les organisations peuvent choisir de perpétuer les inefficacités existantes avec de nouveaux outils, ou elles peuvent utiliser l'exigence de transition comme catalyseur pour une amélioration fondamentale.

La voie "facile" préserve les zones de confort de l'organisation tout en ajoutant de la complexité technologique et des coûts. La voie de la transformation nécessite des perturbations à court terme mais crée des avantages concurrentiels durables grâce à une meilleure gestion du portefeuille informatique, à l'efficacité opérationnelle et à une véritable capacité de sécurité.

L'économie favorise la transformation, mais seulement pour les organisations qui sont prêtes à affronter la réalité de l'inventaire des applications qu'elles ont évitée. Celles qui choisissent cette voie découvrent que les problèmes les plus difficiles ont souvent les solutions les plus rentables. La dynamique du marché récompense ce courage - les entreprises dont les portefeuilles informatiques sont propres et bien compris sont plus performantes que leurs homologues dans de multiples domaines.

La question n'est pas de savoir si votre entreprise finira par rationaliser son portefeuille d'applications. Les pressions du marché, les exigences de conformité et les coûts d'exploitation finiront par imposer cette rationalisation. La question est de savoir si vous profiterez de la transition VPN actuelle pour le faire de manière stratégique ou si vous attendrez une crise pour le faire de manière réactive.

Les organisations qui font ce choix aujourd'hui seront celles qui, demain, bénéficieront d'avantages concurrentiels durables.

Retour à Blogs