Pourquoi les déploiements Zero Trust échouent-ils même après des déploiements coûteux ?

Parce que les contrôles Zero Trust supposent que les gens les respectent. En pratique, les collaborateurs partagent des identifiants admin dans le chat, approuvent des invites MFA non sollicitées et créent des contournements quand la sécurité les ralentit. L'architecture est solide ; c'est la couche comportementale qui manque, et c'est précisément là que les attaquants se déplacent latéralement.

Qu'est-ce que la faille comportementale du Zero Trust ?

C'est l'écart entre ce que votre politique Zero Trust impose (vérifier chaque requête, moindre privilège, pas de confiance implicite) et ce que les collaborateurs font réellement sous pression (partager des tokens, approuver des invites, demander des dérogations permanentes). Les études montrent que 78 % des collaborateurs peuvent identifier des risques dans un quiz mais adoptent malgré tout ces comportements au travail.

Comment prévenir les attaques par fatigue MFA ?

Combinez la MFA avec correspondance numérique et l'observation comportementale : signalez les approbations qui ne correspondent pas à la géographie de connexion, nudgez les utilisateurs en temps réel quand une approbation MFA ne correspond pas à une action qu'ils viennent d'effectuer, et organisez des quiz espacés pour entraîner le réflexe de refuser les invites inattendues. Le contrôle seul ne suffit pas — il faut entraîner l'habitude.

Le Zero Trust et le moindre privilège, est-ce la même chose ?

Non. Le moindre privilège est un composant du Zero Trust ; le Zero Trust exige aussi une vérification continue, une micro-segmentation et des contrôles de posture des équipements à chaque requête. Le moindre privilège échoue de la même manière que le reste du Zero Trust — quand les collaborateurs demandent des dérogations permanentes ou partagent leurs accès élevés pour débloquer un collègue.

Comment Engarde (engarde.cc) traite-t-il ce sujet ?

Engarde audite en continu les comportements SaaS (partage de fichiers, autorisations OAuth, exposition d'identifiants dans le chat), envoie des nudges en temps réel dans Slack ou Teams ancrés dans votre PSSI, et renforce les bons réflexes par des quiz à répétition espacée. C'est la couche comportementale qui manque aux déploiements Zero Trust — à distinguer des autres acteurs partageant le nom Engarde.

Le Zero Trust échoue au niveau du comportement : 4 correctifs qui tiennent

L’architecture Zero Trust arrête les attaquants au périmètre. La faille comportementale interne — identifiants partagés, fatigue MFA, shadow IT — c’est par là qu’ils entrent malgré tout. La combler exige une observation continue, un guidage ancré dans la politique, et un renforcement calé sur la courbe de l’oubli.

Le Zero Trust est devenu l’architecture de référence par défaut pour la sécurité d’entreprise. Vérifier chaque requête. Ne rien faire confiance implicitement. Segmenter le rayon d’impact.

Sain. Nécessaire. Dangereusement incomplet à lui seul.

L’architecture fonctionne exactement comme prévu. Les gens qui travaillent à l’intérieur, eux, ne suivent pas toujours — et la couche comportementale est celle qu’aucun pare-feu, IdP ou politique de segmentation ne peut imposer.

L’histoire du collaborateur serviable qui a tout contourné

Voici Tom, le responsable IT d’une agence marketing florissante. Son entreprise venait d’achever un déploiement Zero Trust de 12 mois : réseaux segmentés, MFA partout, accès au moindre privilège, la totale.

Un lundi matin, le collègue de Tom n’arrivait pas à accéder à un dossier partagé. Au lieu d’ouvrir un ticket, Tom a partagé ses propres identifiants admin « juste pour quelques minutes ». Ces identifiants ont été interceptés par un malware déjà présent sur la machine du collègue.

Le désastre en 30 minutes :

9 h 15 : Tom partage ses identifiants admin via le chat
9 h 20 : Le malware exfiltre les identifiants vers un serveur externe
9 h 30 : Les attaquants utilisent l’accès admin pour se déplacer latéralement
9 h 40 : Les attaquants contournent la segmentation réseau grâce au compte privilégié de Tom
9 h 45 : Un ransomware est déployé sur tout l’environnement

Dommages totaux : 280 000 € de chiffre d’affaires perdu, 50 000 € de coûts de récupération, 3 semaines pour revenir à la normale — le type d’escalade que nous décortiquons dans le guide de protection contre les ransomwares.

La question que tout le monde s’est posée :

« Nous avons dépensé une fortune dans le Zero Trust. Comment cela a-t-il pu arriver ? »

La réponse : les contrôles Zero Trust ne fonctionnent que si les gens les respectent. Tom savait qu’il ne fallait pas partager d’identifiants. Il avait même réussi son quiz de sécurité annuel. Mais connaître les règles et les appliquer sous pression sont deux choses complètement différentes.

L’architecture n’est pas le problème. Le comportement, si.

La vraie faille du Zero Trust

Le Zero Trust repose sur trois piliers : identité, équipements et segmentation réseau. La plupart des organisations investissent lourdement dans les trois.

Mais il existe un quatrième pilier invisible qui reçoit rarement la même attention : le comportement humain.

L’architecture dit : « Prouve que tu es sûr chaque fois que tu veux accéder à quelque chose. » La réalité : les gens partagent leurs identifiants, approuvent des invites MFA qu’ils n’ont pas initiées et créent des contournements quand la sécurité les ralentit.

Pensez-y de cette manière :

La sécurité hôtelière vs la réalité

Promesse Zero Trust (sécurité hôtelière)	Ce qui se passe vraiment
Votre carte ne fonctionne que pour votre chambre	Quelqu’un cale la sortie de secours parce que c’est plus rapide
Vous devez prouver votre identité à chaque porte	Un client tient la porte à la personne derrière lui
Même les employés ont besoin d’un accès spécial à chaque zone	Un employé prête sa carte « juste pour cette fois »

L’architecture est solide. Les comportements la sapent.

Les chiffres qui doivent vous inquiéter

Les études le montrent systématiquement :

78 % des collaborateurs savent identifier les risques de sécurité dans un quiz mais adoptent quand même des comportements à risque au travail
65 % des incidents de contournement MFA impliquent un utilisateur légitime qui approuve une invite qu’il n’aurait pas dû approuver
Le partage d’identifiants reste la méthode n°1 utilisée par les attaquants pour se déplacer latéralement dans des environnements « Zero Trust »
Les contournements de sécurité sont si courants que les collaborateurs n’y voient même plus des infractions

Pourquoi la formation ne comble pas cette faille

Le problème connaissance-comportement

Si vous avez déjà mené une sensibilisation à la sécurité annuelle, vous avez probablement vu ce schéma : les taux de complétion grimpent, les scores aux quiz sont bons, et puis… rien ne change. Les gens cliquent toujours. Ils partagent toujours. Ils prennent toujours des raccourcis — un schéma que nous disséquons longuement dans pourquoi la formation ne fonctionne pas.

Ce n’est pas un échec d’intelligence. C’est un échec d’approche.

La science comportementale appelle cela la faille connaissance-comportement. Savoir qu’une chose est dangereuse et l’éviter réellement sur le moment relèvent de systèmes cognitifs différents.

La courbe de l’oubli, décrite pour la première fois par Hermann Ebbinghaus, montre que les gens oublient 70 % d’une nouvelle information en 24 heures et 90 % en une semaine si elle n’est pas renforcée. Votre session de formation annuelle ? Dès le lundi suivant, la plupart de ce que les gens ont appris a déjà disparu.

Le problème n’est pas ce que votre équipe sait. C’est ce qu’elle fait sous pression.

Ce que montre la recherche :

Formation traditionnelle	Centré sur le comportement
Les sessions ponctuelles changent le comportement pendant 2 à 4 semaines	Le renforcement continu installe des habitudes durables
Une formation trimestrielle produit quand même un déclin des connaissances	La répétition espacée combat la courbe de l’oubli
Mesure les taux de complétion	Mesure le changement réel de comportement

Le piège du LMS

La plupart des formations à la sécurité vivent dans un Learning Management System auquel les gens accèdent une ou deux fois par an. Problème :

C’est déconnecté de l’endroit où les gens travaillent réellement
On y enseigne des scénarios génériques, pas les risques spécifiques de votre entreprise
Il n’y a aucun lien avec votre véritable politique de sécurité (PSSI)
On mesure la complétion, pas le changement de comportement
Les gens le traitent comme une case à cocher, pas comme une compétence à développer

Ce qui fonctionne vraiment : le renforcement comportemental

Principe 1 : observer le comportement réel, pas les scores aux quiz

Au lieu de mesurer si les gens savent identifier un email de phishing dans un module de formation, mesurez ce qu’ils font réellement :

Les collaborateurs partagent-ils des identifiants dans Slack ou Teams ?
Des invites MFA sont-elles approuvées sans tentative de connexion correspondante ?
Des fichiers sensibles sont-ils partagés en dehors des canaux approuvés ?
Des gens utilisent-ils des équipements personnels pour des tâches professionnelles qu’ils ne devraient pas y exécuter ?

Les outils d’audit SaaS peuvent faire remonter ces comportements sans être intrusifs. Quand vous voyez ce qui se passe vraiment, vous pouvez cibler vos interventions là où elles comptent le plus — et arrêter de vous reposer sur des simulations de phishing qui ne testent qu’un seul vecteur.

Principe 2 : ancrer le guidage dans votre véritable politique de sécurité

Un conseil générique du type « utilisez des mots de passe forts » ne sert à rien quand votre PSSI a des exigences précises sur la rotation des mots de passe, la gestion des équipements et la classification des données.

Quand votre guidage de sécurité est généré à partir de votre document de politique réel :

Précis : « Notre politique impose que les données clients restent dans le stockage cloud approuvé, pas sur des disques locaux »
Pertinent : « Lors de l’onboarding d’un nouveau prestataire, voici ce que notre politique d’accès impose »
Opposable : le nudge cite la section exacte de votre PSSI

Principe 3 : utiliser la courbe de l’oubli, pas la combattre

Au lieu de déverser de l’information une seule fois en espérant qu’elle reste, distribuez de petits renforcements espacés dans le temps :

Des micro-quiz dans Slack ou Teams qui prennent 30 secondes à compléter
Des nudges contextuels déclenchés par des comportements réels (par exemple, un rappel de la politique de partage de fichiers quand quelqu’un partage un document sensible à l’extérieur)
Une répétition espacée qui revient sur les sujets à des intervalles scientifiquement calibrés pour ancrer la mémoire long terme

Cette approche, ancrée dans les travaux d’Ebbinghaus, produit des taux de rétention de 80-90 % contre 10-20 % pour la formation traditionnelle.

Principe 4 : aller chercher les gens là où ils travaillent

Vos collaborateurs vivent dans Slack et Teams. C’est là que les décisions se prennent, que les fichiers se partagent et que les raccourcis se prennent. Un guidage de sécurité qui vit dans un LMS pourrait tout aussi bien ne pas exister.

Délivrer les nudges et le micro-learning directement dans les outils de collaboration que les gens utilisent déjà, c’est :

Aucun changement de contexte vers une plateforme de formation séparée
Une pertinence en temps réel liée à ce que les gens font vraiment
Moins de friction, donc plus d’engagement
Un changement de culture visible, la sécurité devenant partie intégrante des conversations quotidiennes

Les 4 briques d’un Zero Trust qui tient vraiment

Pour que le Zero Trust fonctionne en pratique — pas seulement sur le papier — il vous faut l’architecture standard plus le renforcement comportemental.

Brique 1 : gestion des identités + observation du comportement

Déployez MFA et SSO, mais aussi :

Surveillez les schémas de partage d’identifiants dans les outils de chat
Signalez les approbations MFA qui ne correspondent pas à la géographie de connexion
Envoyez des nudges quand des collaborateurs partagent des mots de passe ou des tokens
Suivez si les gens utilisent réellement leur gestionnaire de mots de passe

Brique 2 : sécurité des équipements + prise de conscience des usages

Imposez des contrôles de santé des équipements, mais aussi :

Observez si des collaborateurs connectent leurs équipements personnels au réseau de l’entreprise
Nudgez les personnes qui n’ont pas mis à jour leur OS depuis plus de 30 jours
Rappelez votre politique BYOD aux équipes quand des violations sont détectées
Suivez l’adoption du shadow IT et orientez les gens vers les alternatives approuvées

Brique 3 : segmentation réseau + comportement d’accès

Segmentez votre réseau, mais aussi :

Surveillez les schémas de déplacement latéral qui suggèrent un partage d’identifiants
Signalez quand des utilisateurs accèdent à des ressources en dehors de leurs schémas habituels
Envoyez des rappels contextuels sur le moindre privilège quand les demandes d’accès s’envolent
Suivez la fréquence des demandes de dérogation et leurs motifs

Brique 4 : protection des données + habitudes de manipulation

Classifiez et chiffrez les données, mais aussi :

Observez comment les gens manipulent réellement les fichiers sensibles au quotidien
Nudgez quand quelqu’un télécharge des données clients sur un équipement personnel
Interrogez les équipes sur les règles de classification avec des exemples concrets tirés de votre PSSI
Suivez si les politiques de marquage et de manipulation sont effectivement appliquées

Votre feuille de route pratique Zero Trust + comportement

Mois 1 à 3 : les fondations

Auditez votre réalité actuelle :

Déployez des outils d’audit SaaS pour observer les schémas comportementaux réels
Ingérez votre PSSI pour générer nudges et quiz sur mesure
Identifiez les 5 principales failles comportementales entre politique et pratique
Établissez des métriques de référence sur l’hygiène des identifiants, la conformité MFA et la manipulation des données

Victoires rapides :

Activez la MFA sur tous les comptes admin (architecture)
Commencez à surveiller le partage d’identifiants dans les outils de chat (comportement)
Déployez des micro-quiz hebdomadaires sur votre PSSI dans Slack/Teams (renforcement)
Partagez le premier rapport « insight comportemental » avec la direction

Mois 4 à 8 : déploiement principal

Architecture :

Déployez SSO et MFA dans toute l’entreprise
Mettez en place la segmentation réseau
Déployez la vérification de santé des équipements

Comportement :

Lancez un programme de nudges continus ancré dans votre PSSI
Introduisez des quiz à répétition espacée calés sur la courbe de l’oubli
Démarrez les interventions contextuelles déclenchées par les observations d’audit SaaS réelles
Suivez les métriques de changement comportemental en parallèle du déploiement de l’architecture

Mois 9 à 12 : optimisation

Architecture :

Ajoutez la classification des données et le DLP
Déployez la détection automatisée de menaces

Comportement :

Analysez quels nudges produisent le plus de changement de comportement
Affinez le contenu des quiz en fonction des failles persistantes
Mettez en avant les équipes aux meilleures métriques de comportement sécurité
Publiez un rapport interne « état du comportement sécurité »

Comment savoir si ça marche

Oubliez les scores aux quiz. Suivez le comportement.

Le comportement sécurité s’améliore :

Les incidents de partage d’identifiants diminuent d’un mois sur l’autre
Les tentatives de contournement MFA baissent
Moins de fichiers sensibles partagés hors des canaux approuvés
Les demandes de dérogation reculent à mesure que les gens intériorisent les politiques

Les gens s’engagent, ne se contentent pas de se conformer :

Les collaborateurs répondent aux nudges et aux quiz dans Slack/Teams
Les taux de signalement d’activités suspectes augmentent
Les gens posent des questions sécurité de manière proactive
La sécurité s’invite dans les conversations d’équipe

Les résultats business s’améliorent :

Coûts de cyber-assurance plus bas
Audits de conformité plus rapides (parce que le comportement correspond à la politique)
Moins d’incidents malgré un volume d’attaques croissant
Moins de temps passé en réponse à incident

L’essentiel

L’architecture Zero Trust est nécessaire. Mais elle ne suffit pas.

L’écart entre « nous avons déployé le Zero Trust » et « notre organisation fonctionne réellement selon les principes Zero Trust » est une faille comportementale. Et les failles comportementales ne se ferment pas par des formations annuelles, aussi soignées que soient les slides.

Elles se ferment en :

Observant le comportement réel via des audits SaaS
Ancrant le guidage dans votre véritable politique de sécurité
Calant les interventions sur la science comportementale et la courbe de l’oubli
Délivrant les nudges là où les gens travaillent vraiment, dans Slack et Teams

Les entreprises qui réussissent n’ont pas seulement une meilleure architecture. Elles ont des gens qui la respectent vraiment.

La question n’est pas de savoir si vous déploierez une architecture Zero Trust. C’est de savoir si vous comblerez la faille comportementale qui détermine si elle fonctionne vraiment. Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — combine supervision SaaS continue, nudges ancrés dans la politique dans Slack et Teams, et quiz à répétition espacée qui transforment la politique Zero Trust en pratique quotidienne.

Sources : Verizon DBIR 2024 · Gartner Design Report · UChicago - Gaps in cybersecurity training