Contactez-nous
Contactez-nous

Zero Trust On-Premise : Reprendre le contrôle du réseau à l’ère de la confiance zéro

Le périmètre est mort, vive le plan de contrôle local

Le modèle de sécurité périmétrique traditionnel, le « château fort » avec ses douves et son pont-levis, a vécu. L’explosion du travail hybride, la prolifération des objets connectés industriels et la migration vers des architectures multi-cloud ont dissous la notion même de frontière réseau. Pourtant, l’obsolescence du périmètre physique ne signifie pas la disparition des contrôles réseau : elle impose leur mutation vers un modèle distribué, adaptatif et vérifiable en continu.

Pour les environnements OT (Operational Technology), les systèmes de contrôle industriel (ICS/SCADA), les infrastructures critiques et les réseaux à contraintes temps réel, la dépendance à un plan de contrôle externalisé dans le cloud est un risque existentiel. Les flux industriels ne peuvent tolérer ni la variabilité des chemins Internet publics, ni l’indisponibilité d’un broker distant qui dégraderait la production ou compromettrait la sécurité physique des opérateurs.

C’est dans ce contexte qu’émerge le Unified SASE On-Premise : une architecture qui fusionne fonctions réseau (SD-WAN) et sécurité (NGFW, IPS, filtrage applicatif L7) au sein d’équipements physiques déployés sur site, créant un plan de contrôle local capable d’appliquer les principes Zero Trust, moindre privilège, segmentation, inspection systématique, sans dépendre d’un backbone cloud.

L’inspection Single-Pass : la brique fondatrice de toute l’architecture

Avant de parler segmentation, overlay ou conformité réglementaire, il faut poser la brique qui conditionne tout le reste : la capacité à voir à l’intérieur de chaque flux, y compris chiffré, sans dégrader la performance.

Le déchiffrement TLS : un prérequis, pas une option

Sans capacité de déchiffrement, un pare-feu, aussi avancé soit-il, est aveugle face aux malwares, au command-and-control et à l’exfiltration de données. L’inspection profonde du trafic chiffré est donc devenue la condition sine qua non d’une posture Zero Trust effective.

Le SASE on-premise simplifie considérablement cette étape grâce à la . Via l’agent SASE déployé sur chaque terminal, l’organisation installe un certificat racine d’entreprise reconnu par la solution SASE. Ce certificat permet de « briser » le chiffrement TLS de manière transparente pour l’utilisateur : le flux est déchiffré à l’entrée de l’appliance, inspecté en profondeur, puis re-chiffré avant d’être transmis à destination. Sans cette maîtrise du poste, sans cet agent et ce certificat, toute promesse d’inspection fine reste un vœu pieux.

Single-Pass Parallel Processing : une seule passe, zéro compromis

L’architecture Single-Pass Parallel Processing (SP3) est le pilier de l’efficacité opérationnelle. Contrairement au chaînage de services traditionnel (service chaining) qui décapsule et ré-encapsule le paquet pour chaque moteur de sécurité (firewall, puis IPS, puis antivirus, puis DLP), le Single-Pass déchiffre le flux une seule fois et le soumet simultanément à l’ensemble des politiques de sécurité.

Le résultat est décisif : une latence d’inspection inférieure à 1 ms, essentielle pour les flux industriels OT, la voix sur IP et les applications temps réel. L’utilisateur ne perçoit aucune dégradation ; la sécurité opère en transparence totale.

Pourquoi le silicium fait la différence

Pour atteindre ces niveaux de performance, le logiciel seul ne suffit pas. Les appliances de nouvelle génération embarquent des processeurs dédiés (ASIC, NPU) qui déchargent le CPU des tâches lourdes :

Offload TLS/IPsec hardware : terminaison et ré-émission des sessions chiffrées à haut débit (10-100 Gbps), y compris sur des flux à faible MTU typiques de l’OT (Modbus/TCP, Profinet).

DPI en single-pass : inspection IPS, filtrage applicatif, contrôle d’URL et DLP réalisés en une seule passe sur le même flux, évitant les multiples scans successifs.

Fast-path ASIC : après les premiers paquets d’une session (initial CPU processing), les paquets suivants sont offloadés sur l’ASIC/NPU qui applique la politique de sécurité en hardware, minimisant le transit par le CPU.

Priorisation QoS matérielle : files d’attente hardware garantissant la priorité aux flux industriels critiques (priorité stricte ou WFQ), même en cas de pic d’analyses de sécurité.

On conserve ainsi une posture Zero Trust forte sur les flux chiffrés sans sacrifier la performance perçue par les applications métiers : latence d’inspection < 1 ms, débit wire-speed et jitter maîtrisé.

Appliance vs VM : le dilemme de l’infrastructure
La prévisibilité comme avantage décisionnel

Une erreur fréquente de conception consiste à négliger l’impact du matériel sur le plan de données. Les appliances physiques, grâce à leurs circuits intégrés spécialisés (ASIC, NPU), offrent un avantage stratégique majeur pour les DSI : la prévisibilité du dimensionnement. La capacité d’absorption des flux est connue, documentée et garantie par le constructeur, elle ne dépend ni d’un hyperviseur partagé, ni de ressources variables, ni d’un pic de charge concurrent sur une plateforme mutualisée. Cette prévisibilité est essentielle lors du sizing d’un projet d’infrastructure : elle permet d’engager un investissement sur la base de performances contractuelles, et non d’estimations optimistes.

À l’inverse, une machine virtuelle en datacenter, limitée par les interruptions logicielles de l’hyperviseur et les ressources CPU/RAM allouées dynamiquement, ne peut égaler ces performances de manière fiable sur des flux dépassant les 10 Gbps. La capacité d’absorption dépend directement des performances de la VM, elles-mêmes tributaires de l’infrastructure sous-jacente.

Capitaliser sur le pare-feu périmétrique existant

Un point souvent sous-estimé : les solutions SASE on-premise ne remplacent pas l’infrastructure de sécurité en place, elles s’appuient dessus. La plupart des architectures SASE on-premise utilisent l’équipement de sécurité périmétrique (pare-feu NGFW) déjà déployé à l’entrée du datacenter comme point d’ancrage de l’inspection. Ce firewall existant, dimensionné pour le site, devient le socle sur lequel convergent les fonctions SD-WAN, IPS, filtrage applicatif et segmentation.

Cette approche optimise les flux sur le réseau du datacenter : le trafic est inspecté et routé dès son point d’entrée, sans transit supplémentaire. Pour les organisations ayant déjà investi dans des équipements de sécurité périmétrique de dernière génération, le passage au SASE on-premise représente une évolution incrémentale, pas une refonte complète.

Éviter le « trombone » : traiter les flux localement

L’utilisation d’une appliance à l’entrée du datacenter permet de traiter le trafic localement. À l’inverse, une solution purement cloud avec un agent « tunnel » installé sur une VM interne force tout le trafic tunnelisé à transiter par le réseau du datacenter jusqu’à cette VM avant d’être inspecté. Ce phénomène, appelé hairpinning ou tromboning, crée une saturation inutile du backbone interne et introduit une latence incompatible avec les SLA de production.

Pour les environnements à contraintes temps réel (OT, ICS, voix), ce schéma d’architecture est tout simplement rédhibitoire.

Les fondations doctrinales : ce que prescrit l’état de l’art
Le paradigme « Never Trust, Always Verify »

Le cadre de référence international pour le Zero Trust repose sur sept principes fondamentaux qui redéfinissent la posture de sécurité réseau :

  • Toutes les ressources sont protégées, données, applications, services et réseaux sont des cibles équivalentes.
  • Aucune localisation réseau n’est intrinsèquement de confiance, qu’elle soit interne ou externe.
  • L’accès est accordé par requête, sur la base de l’identité, de la posture du terminal et du contexte.
  • Le moindre privilège est appliqué dynamiquement, accès juste-à-temps et juste suffisant.
  • Le diagnostic est continu, détection des menaces et évaluation de la posture en temps réel.
  • Tous les accès sont journalisés et supervisés à chaque couche.
  • Les politiques sont adaptatives, pilotées par la donnée et renforcées par la télémétrie.

Cette approche s’inscrit dans la logique historique de défense en profondeur, mais constitue une rupture avec la stricte logique périmétrique qui prévalait jusque-là. Sa mise en œuvre ne peut être que progressive : elle suppose le recours à des solutions qui s’intègrent dans un système global de défense sans s’y substituer.

Micro-segmentation : le cœur battant du Zero Trust

La micro-segmentation réseau est l’un des piliers opérationnels les plus critiques du Zero Trust. Son objectif : isoler les environnements critiques et limiter les mouvements latéraux d’un attaquant en cas d’intrusion. Concrètement, cela passe par la création de segments réseau distincts via des VLAN, des pare-feux inter-segments, du contrôle d’accès réseau (NAC) ou des réseaux définis par logiciel (SDN), chaque segment étant soumis à des règles de communication strictes.

En moyenne, chaque mégaoctet de trafic nord-sud entrant dans un datacenter génère 20 Mo de trafic est-ouest (de charge de travail à charge de travail). Si la sécurité Zero Trust n’est pas appliquée au trafic interne autant qu’au trafic externe, des zones d’ombre subsistent que les attaquants exploiteront systématiquement.

Architecture convergée : un OS, un plan de contrôle, zéro zone d’ombre
La fragmentation comme ennemi de la posture de sécurité

Le principal frein rencontré par les architectes réseaux reste la juxtaposition de boîtiers spécialisés, routeur SD-WAN, pare-feu NGFW, IPS, proxy web, chacun avec son système d’exploitation, sa console et ses politiques propres. Cette fragmentation crée autant de zones d’ombre que de points de défaillance opérationnels et complique l’application cohérente des politiques Zero Trust.

Les plateformes de nouvelle génération répondent à ce défi par une convergence sur OS unifié intégrant SD-WAN, NGFW, IPS, filtrage DNS/URL, DLP et segmentation L3/L7 au sein d’un même système d’exploitation. Pour les équipes réseau, cette convergence se traduit par une architecture plus lisible, un durcissement homogène et une réduction des incohérences de politique entre sites ou segments.

Overlay multi-VRF : la segmentation sans compromis

L’architecture de segmentation avancée repose sur des overlays SD-WAN construits sur tunnels IPsec point-à-multipoint encapsulant plusieurs domaines de routage (VRF) dans un même tunnel physique. Chaque VRF représente un segment logique, IT, OT, IoT, invités, partenaires, avec sa propre table de routage et ses politiques de sécurité :

  • Frontdoor VRF (fVRF) : un VRF dédié exclusivement au transport des tunnels IPsec, isolé du routage métier. En séparant physiquement le trafic « sale » d’Internet des tables de routage internes, on élimine les risques de récursion de route et les vecteurs d’attaque sur le plan de contrôle.
  • Segmentation overlay par VPN-ID : chaque paquet traversant l’overlay porte un label VPN (similaire au label MPLS L3VPN) identifiant le segment d’origine et de destination, permettant une segmentation stricte sans dépendre de VLAN ou d’ACL complexes.
  • SD-WAN health-checks par VRF : des sondes SLA (latence, jitter, perte de paquets) envoyées dans chaque VRF avec le bon contexte garantissent un routage applicatif tenant compte des contraintes spécifiques de chaque segment.

Cette architecture permet par exemple de router le trafic ERP (IT) via un lien MPLS à haute SLA, le trafic SCADA (OT) via un lien dédié fibre, et le trafic invité via Internet, le tout en appliquant des politiques de sécurité et de routage distinctes par segment, sur la même infrastructure physique.

Plan de contrôle unifié et policy enforcement

Le plan de contrôle unique pilote simultanément le routage dynamique par VRF (BGP, OSPF, EIGRP), la sélection dynamique de chemin SD-WAN basée sur les métriques SLA par application et par contexte, et l’inspection inline L7 : chaque flux traversant un overlay est soumis à l’inspection NGFW (IPS, antivirus, filtrage URL/DNS, contrôle applicatif) avant d’être routé. Cette inspection systématique garantit une posture Zero Trust homogène, indépendante de la localisation de l’utilisateur ou de l’actif.

Monitoring SLA actif et passif

Les plateformes SD-WAN intégrées utilisent deux modes complémentaires de mesure de la qualité de lien :

  • Active probing : sondes BFD, ICMP ou UDP envoyées périodiquement (toutes les 500 ms à 1 s) pour mesurer latence, jitter et perte.
  • Passive monitoring : mesure de la qualité réelle des sessions applicatives (analyse des ACK TCP, retransmissions, RTT), sans générer de trafic supplémentaire.

Ces métriques alimentent le moteur de décision SD-WAN qui, en temps réel, sélectionne l’overlay optimal par application, par groupe d’utilisateurs ou par type de flux, garantissant la meilleure expérience tout en respectant les contraintes de sécurité.

ZTNA : le successeur du VPN au service du moindre privilège
De l’accès réseau large au micro-tunnel applicatif

Le passage au Zero Trust Network Access (ZTNA) représente un changement de paradigme fondamental par rapport au VPN traditionnel. Là où le VPN ouvre un tunnel complet vers le réseau de l’entreprise après une authentification unique, le ZTNA établit une connexion sécurisée et granulaire entre un utilisateur (ou un appareil) et une ressource spécifique, après authentification et validation contextuelle.

Les applications internes deviennent « sombres », invisibles sur le réseau public. L’accès est accordé par un point de contrôle centralisé (voir glossaire : Session Broker) uniquement après vérification de l’identité et de la conformité du terminal (authentification multifacteur, posture du poste, géolocalisation).

Critère

VPN traditionnel

ZTNA

Modèle de confiance

Confiance implicite après authentification initiale

Vérification continue, jamais de confiance implicite

Périmètre d’accès

Accès large au sous-réseau complet

Accès granulaire, application par application

Mouvement latéral

Possible une fois dans le tunnel

Limité par micro-segmentation dynamique

Scalabilité

Goulet d’étranglement sur la passerelle VPN

Distribué, sans point unique de congestion

Visibilité

Limitée à l’établissement du tunnel

Journalisation et inspection continue de chaque session

L’évaluation continue (Continuous Access Evaluation)

En 2026, la session ne se termine plus à l’expiration d’un jeton (TTL), mais sur détection d’un changement de contexte : changement d’adresse IP, dégradation de la posture du poste, anomalie comportementale. Le signal de révocation est propagé en quelques secondes vers l’appliance SASE, permettant une réaction quasi-instantanée à toute déviation du profil de confiance.

Cloisonnement IT/OT et défense en profondeur industrielle
Zones et conduits : l’architecture IEC 62443 comme socle

Le cloisonnement entre réseaux IT et OT est une exigence fondamentale des référentiels industriels. Le standard IEC 62443 structure la segmentation autour de zones (groupements logiques d’actifs partageant des exigences de sécurité communes) et de conduits (chemins contrôlés de communication entre zones). Chaque zone se voit attribuer un niveau de sécurité cible et les conduits doivent atteindre ou dépasser le niveau de sécurité le plus élevé des zones qu’ils connectent.

L’architecture Unified SASE on-premise applique cette défense en profondeur de manière native :

  • Segmentation du réseau industriel en zones fonctionnelles : niveau automate, supervision, historisation, administration — avec des conduits (tunnels sécurisés) entre zones, soumis à filtrage L7 et inspection.
  • Filtrage strict par contexte : politique « sujet / ressource / contexte / décision », où chaque flux est autorisé explicitement sur la base de l’identité, du rôle, du type d’actif et du niveau de criticité.
  • Micro-segmentation L3/L7 : isolation des automates par zone fonctionnelle (production, maintenance, test), avec contrôle d’accès par protocole industriel (Modbus, Profinet, OPC-UA) et par commande, empêchant toute communication latérale non autorisée.

Cette approche garantit que même en cas de compromission d’un poste IT, l’attaquant ne peut atteindre directement les automates OT, limitant drastiquement le risque de sabotage ou de ransomware industriel.

Les principes cardinaux du cloisonnement

Les guides de référence en matière de cloisonnement système s’appuient sur deux principes fondamentaux :

  • Le principe de moindre privilège : chaque sous-partie de l’environnement ne dispose que des droits strictement nécessaires à son fonctionnement. La compromission d’une sous-partie devient plus difficile car sa surface d’attaque est réduite.
  • La défense en profondeur : la sécurité est examinée en prenant pour hypothèse que l’attaquant a déjà compromis une couche, et que chaque couche suivante doit résister de manière autonome.
Le cadre réglementaire européen : une obligation, pas une option
NIS2 : segmentation réseau et gestion des risques au cœur des obligations

La directive NIS2 redéfinit en profondeur les exigences de cybersécurité pour les organisations européennes. Bien plus ambitieuse que NIS1, elle élargit son périmètre à 18 secteurs critiques et introduit deux catégories d’acteurs : les Entités Essentielles (EE) et les Entités Importantes (EI), soumises à des obligations renforcées. Les obligations portent notamment sur :

  • Gestion des risques : identification, évaluation et traitement des menaces avec une méthodologie documentée.
  • Sécurité des systèmes : patching, segmentation réseau, contrôle d’accès renforcé.
  • Gestion de crise : plan de continuité, procédures de réponse aux incidents, tests réguliers.
  • Sécurité de la chaîne d’approvisionnement : exigences contractuelles et vérification des fournisseurs.
  • Notification d’incident : alerte initiale en moins de 24h, rapport sous 72h, rapport final sous 1 mois.
DORA et CRA : la résilience opérationnelle comme obligation transversale

Le paysage réglementaire européen en 2026 ne se limite pas à NIS2. Deux autres textes majeurs s’articulent avec cette directive :

  • DORA (Digital Operational Resilience Act), en application depuis janvier 2025, impose aux entités financières et à leurs prestataires TIC des mesures robustes de résilience opérationnelle numérique : politique tiers TIC, clauses d’audit, sous-traitance encadrée, tests de résilience.
  • Le CRA (Cyber Resilience Act) cible les fabricants de produits numériques avec des exigences de sécurité dès la conception (security by design), de gestion des vulnérabilités et de maintenance des mises à jour de sécurité dans la durée.

Ces trois réglementations partagent une philosophie commune : la responsabilité de la direction est engagée, la conformité des sous-traitants devient un critère contractuel, et la preuve de la posture de sécurité (journalisation, segmentation, tests) est une obligation permanente et auditable.

Ce que cela implique pour l’architecture réseau

Pour les organisations soumises à NIS2, DORA ou au CRA, l’architecture Unified SASE on-premise offre un cadre de conformité natif :

  • Journalisation et traçabilité : les logs, métadonnées de session et événements de sécurité restent sur des équipements situés dans des datacenters contrôlés par l’organisation ou un hébergeur de confiance, évitant les transferts hors UE non maîtrisés.
  • Intégration SOC souverain : les flux de logs remontent vers un SIEM opéré dans la même juridiction, facilitant la corrélation d’incidents et la démonstration de conformité vis-à-vis des autorités.
  • Certifications et qualifications : certains équipements bénéficient de certifications (Critères Communs, qualifications sectorielles) garantissant un niveau d’assurance élevé sur les mécanismes cryptographiques et l’absence de porte dérobée.
Crypto-agilité et transition post-quantique
La menace « Store Now, Decrypt Later »

Avec l’arrivée prévisible des ordinateurs quantiques, les infrastructures numériques reposant sur la cryptographie asymétrique actuelle (RSA, ECC) feront face à un effondrement de leur sécurité. La menace est déjà constituée : des acteurs malveillants capturent aujourd’hui des flux chiffrés pour les déchiffrer demain avec des moyens quantiques.

Ce thème sera abordé plus en profondeur dans un prochain article totalement dédié.

L’hybridation comme stratégie de transition

L’état de l’art préconise une approche par phases reposant sur des mécanismes cryptographiques hybrides combinant algorithmes classiques (ECDH, RSA) et algorithmes post-quantiques (CRYSTALS-Kyber/ML-KEM, CRYSTALS-Dilithium) :

  • Phase immédiate (2025-2027) : hybridation obligatoire pour les produits certifiés, garantissant une défense en profondeur face à la menace quantique. La cryptographie symétrique doit être dimensionnée au minimum à AES-256.
  • Crypto-agilité : capacité à changer de jeu de paramètres ou d’algorithme sans refonte complète des systèmes, en mettant à jour les politiques cryptographiques par configuration.

La transition vers la cryptographie post-quantique n’est pas optionnelle : c’est un enjeu stratégique que toutes les organisations doivent intégrer dès à présent. Les appliances Unified SASE on-premise doivent offrir cette agilité pour accompagner la transition dans les tunnels IPsec et les sessions TLS sans interruption de service.

Scénarios d’application et critères de décision

Où le Unified SASE On-Premise s’impose

L’architecture convergée on-premise est particulièrement pertinente dans les contextes suivants :

  • Sites de production connectés (OT/IIoT) : la dépendance au WAN/Internet doit rester minimale, la latence inférieure à 10 ms est garantie, et le fonctionnement en mode dégradé (offline) doit être possible sans interruption des processus industriels.
  • Environnements à haute sensibilité (défense, santé, recherche, opérateurs d’importance vitale) soumis à des contraintes fortes de souveraineté, de confidentialité et de qualification.
  • Organisations nécessitant un contrôle fin sur le cycle de vie des équipements : durcissement, patching maîtrisé, contrôle des versions logicielles, audit de configuration.

Matrice de décision stratégique

Dimension

Ce qu’exige le Zero Trust On-Premise

Bénéfice attendu

Inspection

Single-Pass avec déchiffrement TLS via certificat racine / agent

Visibilité totale sur les flux chiffrés, latence < 1 ms

Performance

Accélération ASIC/NPU, dimensionnement prévisible

Débit wire-speed garanti, sizing fiable pour l’investissement

Segmentation

Multi-VRF overlay, zones et conduits IEC 62443

Isolation IT/OT stricte, limitation des mouvements latéraux

Infrastructure

Capitalisation sur le FW périmétrique existant

Optimisation des flux DC, évolution incrémentale

Accès

ZTNA avec évaluation continue (CAE)

Fin de la confiance implicite, applications « sombres »

Conformité

Journalisation locale, intégration SOC souverain

Conformité NIS2/DORA démontrable, données sous juridiction

Résilience

Plan de contrôle local, mode dégradé autonome

Continuité opérationnelle même en cas de coupure WAN

Cryptographie

Suites hybrides PQC, crypto-agilité

Protection contre « Store Now, Decrypt Later »

Recommandations pour l’action

Pour les DSI et RSSI engagés dans la transformation de leur architecture réseau vers le Zero Trust on-premise, cinq axes d’action prioritaires se dessinent :

  1. Auditer la surface de confiance implicite : cartographier les flux est-ouest non inspectés, les segments plats et les accès VPN larges encore en production. Chaque zone d’ombre est un vecteur d’attaque.
  2. Activer l’inspection Single-Pass en priorité : déployer l’agent SASE et le certificat racine d’entreprise sur les postes maîtrisés pour rendre effective l’inspection TLS. C’est le prérequis de toute visibilité et de toute politique Zero Trust.
  3. Converger vers un plan de contrôle unifié en capitalisant sur l’infrastructure pare-feu périmétrique existante : éliminer la fragmentation des boîtiers spécialisés au profit d’une plateforme intégrée SD-WAN/NGFW sur OS unique, réduisant les incohérences de politique et les coûts opérationnels.
  4. Déployer la segmentation multi-VRF et le ZTNA de manière progressive : commencer par un environnement pilote à faible risque, affiner les politiques par la télémétrie, puis étendre segment par segment.
  5. Préparer la crypto-agilité et documenter la conformité : exiger des fournisseurs la prise en charge des suites hybrides PQC, et structurer la journalisation, les politiques de segmentation et les procédures d’incident pour répondre nativement aux obligations NIS2, DORA et CRA.
Recommandations pour l’action

Terme

Définition

Single-Pass Inspection

Méthode d’analyse « en une seule fois » : le flux est déchiffré, inspecté par tous les moteurs de sécurité simultanément, puis re-chiffré évitant les sauts successifs entre outils et garantissant une fluidité maximale pour l’utilisateur.

ASIC / NPU

Puces électroniques « sur mesure » pour la sécurité, indispensables pour traiter des volumes massifs de données sans ralentissement, là où un serveur classique s’effondrerait.

Session Broker

Le point de contrôle centralisé qui arbitre l’accès entre l’utilisateur et l’application. C’est le « douanier numérique » du Zero Trust : il vérifie l’identité, la posture du poste et le contexte avant d’autoriser chaque connexion.

VRF (Virtual Routing and Forwarding)

Table de routage virtuelle isolée au sein d’un même équipement réseau. Permet de faire coexister plusieurs réseaux logiques (IT, OT, invités) sur la même infrastructure physique sans qu’ils ne se voient mutuellement.

fVRF (Frontdoor VRF)

VRF dédié exclusivement au transport des tunnels chiffrés, séparant le trafic Internet « sale » des tables de routage internes de l’entreprise.

ZTNA (Zero Trust Network Access)

Le successeur du VPN. Au lieu d’ouvrir une porte vers l’ensemble du réseau, il crée un micro-tunnel vers une seule application spécifique, après vérification de l’identité et de la conformité du terminal.

Overlay

Réseau logique superposé au réseau physique existant, permettant de créer des segments et des tunnels sécurisés sans modifier le câblage ou les équipements sous-jacents.

Hairpinning / Tromboning

Phénomène où le trafic fait un détour inutile dans le datacenter (comme un trombone) pour atteindre un point d’inspection, puis revient à son point de départ. Source de latence et de saturation du réseau interne.

CAE (Continuous Access Evaluation)

Mécanisme de réévaluation permanente de la session utilisateur : si le contexte change (adresse IP, posture du poste, comportement anormal), l’accès est révoqué en quelques secondes sans attendre l’expiration du jeton.

Crypto-agilité

Capacité d’un système à changer d’algorithme de chiffrement par simple mise à jour de configuration, sans refonte d’infrastructure essentielle pour la transition vers la cryptographie post-quantique.

IEC 62443

Standard international de cybersécurité pour les systèmes industriels, structurant le réseau en zones de sécurité et en conduits de communication contrôlés entre ces zones.

L’ère du Zero Trust on-premise n’est pas un retour en arrière vers le « tout physique » : c’est l’avènement d’un réseau intelligent, auto-défensif et réglementairement conforme, où chaque flux est vérifié, chaque segment est isolé et chaque décision de routage est une décision de sécurité.

Étiqueté
Découvrez nos offres
Vos enjeux
Une solution pour chaque secteur et chaque fonction
Quel que soit votre secteur d’activité ou votre rôle au sein de votre organisation, il existe forcément une solution Tersedia qui vous correspond.
Par secteurs

Finance et Assurance

Santé

Secteur public

Services et Distribution

Industrie

Éditeurs logiciels
Par fonctions

Dirigeant

DSI

Responsable Infrastructures

RSSI
Nos offres
Notre offre
de services
Notre offre de services

Notre palette d’offres adaptées à vos besoins d’infrastructures.

it-as-a-service
IT-as-a-service
Solution informatique clé en main
Infrastructure Secured by Design
Infrastructure Secured by Design
Sécurisé dès la conception
Cyber SOC
Cyber SOC
Supervision & sécurité opérationnelle de votre IT
Services managés
Services managés
Accompagnement personnalisé
Professional services
Professional services
Gestion des actifs informatiques