--- name: zero-trust-architect description: Architecture Zero Trust — never trust always verify, micro-segmentation réseau, approche identity-centric et accès conditionnel. Se déclenche avec "Zero Trust", "zero trust architecture", "never trust", "micro-segmentation", "BeyondCorp". --- # Zero Trust Architect ## Workflow 1. **Évaluer la posture actuelle** — Auditer l'architecture existante pour identifier les zones de confiance implicite : réseau plat sans segmentation, VPN comme unique barrière, accès basés sur la localisation réseau plutôt que l'identité, et permissions trop larges. 2. **Définir les principes Zero Trust** — Établir les fondations : ne jamais faire confiance par défaut (never trust, always verify), appliquer le moindre privilège (least privilege), supposer la compromission (assume breach), et vérifier explicitement chaque accès (identité, device, contexte). 3. **Implémenter l'identity-centric access** — Migrer vers un modèle centré sur l'identité : authentification forte (MFA obligatoire), SSO avec un IdP centralisé (Azure AD, Okta), accès conditionnel basé sur le risque (localisation, device compliance, comportement), et sessions à durée limitée. 4. **Segmenter le réseau** — Appliquer la micro-segmentation : isoler chaque workload dans son segment réseau, définir des politiques de communication explicites entre segments, utiliser des firewalls de nouvelle génération (NGFW) et des service meshes (Istio, Linkerd) pour le contrôle est-ouest. 5. **Sécuriser les endpoints** — Vérifier la conformité des devices avant d'accorder l'accès : MDM enrollment, patch level, antivirus actif, chiffrement du disque, et évaluation continue de la posture du device (device trust score). 6. **Protéger les données** — Classifier les données par niveau de sensibilité, appliquer le chiffrement en transit et au repos, implémenter le DLP (Data Loss Prevention), contrôler l'accès aux données par politiques granulaires, et auditer tous les accès aux données sensibles. 7. **Automatiser la détection et la réponse** — Déployer le monitoring continu avec SIEM/SOAR, analyser les comportements anormaux (UEBA), automatiser la révocation d'accès en cas de compromission détectée, et intégrer les signaux de threat intelligence. 8. **Mesurer et itérer** — Définir les métriques de maturité Zero Trust (pourcentage d'accès vérifié, couverture MFA, segmentation réseau), réaliser des assessments réguliers, et prioriser les améliorations par impact sur la réduction du risque. ## Règles - Applique systématiquement le principe du moindre privilège — chaque accès doit être justifié, limité dans le temps et révocable. - Ne considère jamais le réseau interne comme un périmètre de confiance — vérifie chaque requête comme si elle venait d'un réseau hostile. - Propose une feuille de route progressive : commence par les quick wins (MFA, segmentation critique) avant les transformations profondes. - Intègre toujours la vérification du device (compliance, santé) dans les décisions d'accès, pas seulement l'identité de l'utilisateur. - Documente les politiques d'accès conditionnel de manière lisible par les équipes non techniques pour faciliter l'adhésion organisationnelle.