Zero Trust en bref — et ce que ce n’est pas
Zero Trust n’est pas un produit qu’on achète et qu’on active. C’est un modèle d’architecture qui suppose toute connexion — interne ou externe — hostile jusqu’à preuve du contraire. Le modèle repose sur trois principes formalisés dans NIST SP 800-207 :
- Vérifier explicitement. Chaque décision d’accès s’appuie sur le signal le plus fort disponible — identité utilisateur, posture appareil, localisation, comportement.
- Accès au moindre privilège. Juste assez d’accès pour juste assez de temps, jamais d’admission réseau VPN globale.
- Supposer la brèche. Logs et pistes d’audit sont immuables ; les mouvements latéraux sont segmentés.
Pour les outils de bureau à distance — qui donnaient historiquement à un technicien les clés d’un parc client — c’est un changement de paradigme, pas un interrupteur de fonctionnalité.
Les cinq contrôles Zero Trust appliqués au bureau à distance
1. Jetons d’appareil liés au matériel, pas mots de passe utilisateur
Un identifiant et mot de passe constituent un secret unique. S’il fuit, l’attaquant a l’ensemble de votre boîte à outils. Zero Trust remplace le mot de passe par un jeton d’appareil lié au matériel émis à un endpoint spécifique — une clé TPM 2.0 sous Windows, Secure Enclave sur Apple Silicon, ou une clé matérielle FIDO2. Le jeton ne peut être exporté ni rejoué depuis une autre machine.
Concrètement, un outil de bureau à distance zero-trust 2026 émet un certificat d’appareil longue durée lors de l’enrôlement initial, puis signe chaque démarrage de session avec la clé privée hardware-backed. WinDesk lie le certificat hôte à la clé d’attestation du TPM — la moitié privée ne quitte jamais le silicium. Si le portable est volé, l’attaquant a un presse-papier.
2. Posture d’appareil continue, pas connexion unique
Une connexion à 09:00 ne garantit pas que l’appareil soit sain à 14:00. Les outils zero-trust effectuent des contrôles de posture continus : le chiffrement du disque est-il actif ? Le système est-il patché ? L’EDR tourne-t-il ? L’empreinte matérielle correspond-elle ? En cas d’échec de posture, la session est coupée — pas seulement au login, mais en cours de session.
Éditeurs qui le font bien en 2026 : WinDesk (attestation TPM + vérification patch), TeamViewer Tensor (Conditional Access via Entra ID), et BeyondTrust Remote Support (moteur de posture BeyondInsight).
3. Élévation just-in-time, pas droits admin permanents
Le technicien voit une machine client ; il ne devrait pas être Administrateur automatiquement. Zero Trust impose l’élévation just-in-time : le technicien demande admin pour une tâche précise, le client (ou un superviseur) l’approuve, l’élévation est loguée et expire automatiquement après l’action.
Le pattern le plus simple en production : le démon hôte tourne comme compte de service non-admin ; le consentement UAC (Windows) ou sudo (Mac/Linux) est demandé en direct, avec l’écran client comme preuve de l’approbation. La piste d’audit capture demande et approbation.
4. Politiques de session granulaires, pas admission réseau
Ancienne école : ouvrir un VPN, devenir interne. Bureau à distance zero-trust : chaque action dans la session est évaluée par politique. Ce technicien peut-il voir l’écran de ce client ? Oui. Peut-il transférer des fichiers ? Seulement le dossier que le client a glissé dans la fenêtre de session. Peut-il rediriger une imprimante ? Oui. Peut-il s’élever en admin ? Seulement avec approbation client.
L’implémenter nécessite un moteur de politique en session. WinDesk utilise un jeton de capacité que l’hôte évalue à chaque appel RPC — presse-papier, transfert de fichiers, audio, injection d’entrée sont accordables indépendamment.
5. Piste d’audit immuable avec alertes d’anomalie
Le cinquième pilier est l’ennuyeux — mais celui qui intéresse le plus les auditeurs. Chaque démarrage de session, chaque élévation, chaque transfert de fichier, chaque injection d’entrée doit atterrir dans un log write-once. Le log doit être interrogeable en secondes, exportable dans des formats industriels (CEF, JSON, syslog), et intégré au SIEM. Bonus pour l’alerting d’anomalies : un technicien qui d’habitude accède à 10 hôtes en UE ouvrant soudain 50 sessions APAC à 03:00 devrait alerter quelqu’un.
WinDesk émet des événements structurés vers un endpoint compatible SIEM ; le client garde les clés de sa propre copie des logs.
Une matrice acheteur 2026
La shortlist des outils qui prennent zero trust au sérieux aujourd’hui :
| Outil | Jetons liés au matériel | Posture continue | Élévation JIT | Politique granulaire | Audit + SIEM |
|---|---|---|---|---|---|
| WinDesk | TPM / Secure Enclave | ✓ | ✓ | ✓ | ✓ |
| TeamViewer Tensor | avec Entra/Okta | ✓ (Conditional Access) | ✓ | ✓ | ✓ |
| BeyondTrust Remote Support | propriétaire | ✓ | ✓ | ✓ | ✓ |
| AnyDesk Custom Client | partiel | partiel | partiel | partiel | partiel |
| RustDesk Pro | non | non | non | partiel | construction maison |
| Splashtop SOS | partiel | non | partiel | partiel | partiel |
| Microsoft RDP (défaut) | non | non | non | non | forwarder SIEM nécessaire |
La barre est haute. Pour la plupart des PME suisses, le gap entre « on utilise TeamViewer Classic » et « on est zero trust » est un projet de migration délibéré, pas une case à cocher.
Roadmap d’implémentation pour une PME
Un parcours pragmatique en six étapes pour une entreprise suisse de 50–500 collaborateurs :
- Inventaire de l’usage actuel du bureau à distance. Qui se connecte sur quoi, depuis où, avec quel outil ? Un Excel suffit ; un outil IAM est surdimensionné à ce stade.
- Remplacer les comptes techniciens partagés par des comptes nominatifs. Le gain zero-trust le moins cher — finis les credentials partagés
support@monentreprise. - Déployer la MFA matérielle. YubiKey 5C NFC pour la flotte technicien, authentification de classe passkey. Remplacer TOTP où possible.
- Choisir un outil zero-trust-capable et faire un pilote de 4 semaines. Voir la matrice ci-dessus ; commencer par les clients à plus haut enjeu (études d’avocats suisses, médical, finance).
- Brancher les logs d’audit dans votre SIEM. Même une petite instance Splunk/Wazuh vaut mieux que pas d’agrégation. WinDesk émet des événements structurés ; TeamViewer Tensor nécessite le connecteur SIEM en add-on.
- Rédiger le runbook de compromission. Tout outil zero-trust déclenche un jour une alerte. Documenter à l’avance : qui répond, comment la session est tuée, comment l’appareil est réinitialisé.
Budget : une PME suisse avec 10 techniciens implémente les étapes 1–6 avec CHF 5–15k d’outillage et 4–8 semaines de projet. Pas échelle entreprise ; pas gratuit non plus.
Et RDP, alors ?
RDP Windows natif est l’éléphant dans la pièce. Il est partout, gratuit, et presque totalement inadapté à un usage zero-trust sur internet public :
- Pas de liaison de jeton matériel côté client
- Pas de politique de session granulaire au-delà de « l’utilisateur a accès » / « l’utilisateur n’a pas accès »
- Les contrôles de posture nécessitent une intégration séparée Conditional Access / Intune
- Le logging d’audit demande de la plomberie Windows Event Forwarding
Pour un usage LAN interne derrière une politique Conditional Access proprement segmentée, RDP est OK. Pour du support exposé internet de machines clients, c’est un passif. L’article alternatives RDP 2026 va plus loin sur ce qui le remplace.
Références conformité
Si votre auditeur demande « est-ce zero trust », pointez-le sur :
- NIST SP 800-207 — la référence canonique de l’architecture zero-trust
- NIST SP 800-46 — guide télétravail entreprise et sécurité d’accès distant
- CIS Controls v8 #6 + #14 — gestion compte/accès + sensibilisation sécurité
- ISO/IEC 27001:2022 A.5.15 + A.6.7 — contrôle d’accès + travail distant
- BSI IT-Grundschutz OPS.1.2.5 — Fernwartung (baseline fédérale allemande)
- LPD révisée art. 8 + attentes de résidence des données suisses
En Suisse, l’auditeur se soucie particulièrement de la résidence des données (serveur en CH ou UE) et de l’exposition CLOUD Act (pas de saut serveur US). La plupart des outils basés US échouent au second test, peu importe combien de contrôles zero-trust ils annoncent.
Prochaines étapes recommandées
- Comparer côte à côte les outils zero-trust-capables sur le tableau comparatif WinDesk
- Lire le post bonnes pratiques sécurité bureau à distance 2026 pour les contrôles techniques en détail
- Pour la conformité suisse, voir le guide RGPD support à distance
- Tester WinDesk gratuitement — jetons liés au TPM, contrôles de posture, export SIEM marchent en Free ; élévation just-in-time nécessite Pro.
Zero trust n’est pas un mot-clé 2026. C’est la prochaine baseline. Les outils qui ne livrent pas ces contrôles ne sont pas « en retard » — ils vendent le modèle de risque d’hier. Choisissez en conséquence.