En 2010, John Kindervag, analyste de Forrester Research, a proposé une solution qu'il a baptisée « Zero Trust ».
Il s'agissait d'un changement de paradigme : la règle « Faire confiance, mais vérifier » devenait désormais « Ne jamais faire confiance, toujours vérifier ». Dans le modèle Zero Trust, aucun utilisateur ou terminal n'est autorisé à accéder à une ressource tant que son identité et son accréditation ne sont pas vérifiées. Ce processus s'applique aux personnes qui utilisent habituellement un réseau privé, comme un employé sur un ordinateur d'entreprise qui travaille à distance depuis son domicile ou sur son terminal mobile lors d'une conférence à l'étranger. Il s'applique également à chaque personne ou terminal en dehors de ce réseau. Peu importe si vous avez déjà eu accès au réseau ou combien de fois vous vous y êtes connecté : votre identité devra être vérifiée à chaque fois. L'idée est de partir du principe que chaque machine, chaque utilisateur et chaque serveur représente une menace tant qu'il/elle n'est pas authentifié(e).
Cette approche de la sécurité basée sur le principe du château fort a semblé viable pendant un certain temps : l'idée d'un périmètre où toute personne extérieure au réseau (c'est-à-dire hors du château) était « nuisible » et où toute personne à l'intérieur était « légitime » s'est imposée. Cependant, tout comme les châteaux forts appartiennent au passé, cette approche de la sécurité doit être remise au goût du jour. Prenez la situation actuelle avec le télétravail. La main-d'œuvre et l'environnement de travail ont changé : le moment, la façon et l'endroit où les gens travaillent dépassent aujourd'hui les quatre murs d'un bureau. Avec l'essor du cloud, le périmètre du réseau s'est transformé. Les utilisateurs et les applications peuvent aussi bien se trouver à l'intérieur qu'à l'extérieur de ce périmètre. Et cela introduit des failles dans le périmètre que les acteurs malveillants peuvent exploiter. Une fois à l'intérieur du château fort, ils sont libres de se déplacer, d'accéder aux ressources et aux actifs de grande valeur, comme les données clients (les joyaux de la couronne !), ou de lancer une attaque de ransomware.