A l'issue de cette formation, vous serez capable de :

• Reconnaître les principes et les enjeux du modèle Zero Trust
• Identifier les différences entre VPN classiques et ZTNA
• Concevoir une architecture Zero Trust adaptée à votre entreprise
• Mettre en oeuvre une solution ZTNA open source sur Linux ou Windows
• Configurer un proxy Zero Trust avec authentification centralisée (SSO, MFA)
• Appliquer la segmentation applicative et la vérification des accès
• Intégrer des outils ZTNA avec des exigences de conformité (ISO 27001, NIS2, RGPD)
• Réaliser un déploiement ZTNA sécurisé et auditables.

Jour 1 - Matin

Introduction au Zero Trust et au ZTNA

• Origine et nécessité du Zero Trust dans un contexte de transformation numérique
• L'IT face à la mobilité et les menaces internes
• Les VPN
• Définition et fonctionnement
• Modèle de confiance implicite
• Accès réseau large
• Principes du ZTNA
• "Never trust, always verify"
• Accès par application
• Segmentation logique
• Présentation d'une architecture ZTNA typique
• Les agents
• Les brokers
• Les connecteurs
• Aperçu des standards et cadres de référence
• NIST SP 800-207
• ANSSI
• Architecture SASE

Exemples de travaux pratiques (à titre indicatif)

• Déploiement de Pritunl Zero (ZTNA open source)
• Installation de Pritunl Zero sur Ubuntu Server (via APT ou script fourni)
• Configuration initiale de l'interface d'administration (certificats, utilisateurs)
• Déclaration et publication d'une application Web interne (ex. site intranet)
• Intégration d'un fournisseur d'identité (Keycloak ou Azure AD) en OIDC / SAML
• Test d'accès par un utilisateur test : authentification, redirection, accès par application
• Vérification du filtrage d'accès et du cloisonnement réseau

Jour 1 - Après-midi

Gestion des identités et politiques d'accès ZTNA

• Les concepts-clés
• IAM
• IdP
• Les groupes
• Les rôles
• Les attributs de contexte
• Protocoles d'authentification utilisés en ZTNA
• SAML
• OAuth2
• OIDC
• Keycloak
• Présentation
• Création de realm
• Les utilisateurs
• Les clients
• La MFA
• Gestion des identités centralisées
• SSO
• Gestion de session
• Panorama de solutions ZTNA commerciales et open source : Tailscale, OpenZiti, Zscaler ZPA, Cloudflare Access...
• Posture de l'appareil
• Vérification du terminal
• Conformité AV
• Le rôle du système d'exploitation
• Le chiffrement

Jour 2 - Matin

Exemples de travaux pratiques (à titre indicatif)

• Mise en oeuvre d'un proxy ZTNA (Pomerium + Keycloak)
• Installation de Pomerium via Docker Compose
• Configuration de l'intégration OIDC avec Keycloak (client, secret, redirect URI)
• Définition de deux routes HTTP sécurisées (applications Web internes)
• Création de groupes d'accès dans Keycloak et mapping dans les politiques Pomerium
• Mise en place d'une authentification MFA (optionnelle)
• Test d'accès depuis navigateur, validation des règles (accès autorisé / refusé)

Jour 2 - Après-midi

Sécurité défensive, conformité et micro-segmentation

• Mapping ZTNA basé sur les normes
• Contrôles d'accès : ISO 27001
• Minimisation : RGPD
• Réduction de surface d'attaque : NIS2
• Application du principe du moindre privilège et cloisonnement des flux
• Micro-segmentation : isoler les ressources selon les groupes métier / application / sensibilité
• Supervision et journalisation des accès (logs d'accès, détection d'anomalies)

Exemples de travaux pratiques (à titre indicatif)

• Découpage d'une architecture type selon les principes de conformité, de minimisation, de réduction de la surface d'exposition et de micro-segmentation
• Ajout d'une deuxième application dans Pomerium ou Pritunl Zero
• Attribution de groupes d'accès distincts
• Test de la présentation conditionnelle des applications