Sécurité TPE

Cloudflare Zero Trust avis : bon choix pour une petite entreprise ?

Fonctionnement, points forts, limites, tarifs et cas d'usage. Découvrez si cette suite peut remplacer ou compléter un VPN.

Quand on parle de sécuriser les accès distants, Cloudflare Zero Trust revient souvent. Mais il ne faut pas le voir comme un simple VPN. Cloudflare le présente comme une plateforme plus large, intégrée dans Cloudflare One, qui regroupe notamment Access, Gateway, Cloudflare Tunnel, le Cloudflare One Client et d'autres briques de sécurité autour d'une logique SASE et Zero Trust.

Pour une TPE ou une petite PME, cela peut être très intéressant, car l'outil ne sert pas seulement à donner un accès distant. Il peut aussi protéger les applications internes, filtrer la navigation, contrôler certains critères de posture des appareils et centraliser une partie de la sécurité des accès. En revanche, cette richesse a une contrepartie claire : Cloudflare Zero Trust est plus complet, mais aussi plus dense et moins immédiat à prendre en main qu'une solution d'accès distant plus simple.

En bref

  • Type : Plateforme SASE (Secure Access Service Edge) et Zero Trust
  • Cas d'usage : Accès applicatif, tunnel, filtrage web, contrôle de posture
  • Tarif : Gratuit (limité) à 7 $/utilisateur/mois (Access)
  • Courbe d'apprentissage : Moyenne à élevée
  • Pour qui : TPE/PME avec besoins d'accès variés et capacité d'administration

Cloudflare Zero Trust, c'est quoi exactement ?

Cloudflare One est la plateforme SASE de Cloudflare. Dans sa documentation officielle, Cloudflare explique que cette plateforme regroupe plusieurs composants, dont Access pour contrôler l'accès aux applications, Cloudflare Tunnel pour connecter des ressources privées sans exposer d'IP publique, Gateway pour filtrer le trafic web et réseau, et le Cloudflare One Client pour envoyer le trafic des appareils vers le réseau Cloudflare et appliquer des politiques partout.

Autrement dit, Cloudflare Zero Trust peut couvrir plusieurs besoins d'une petite structure :

  • protéger une application interne ou un outil d'administration ;
  • permettre un accès distant à des ressources privées ;
  • filtrer la navigation web des postes ;
  • conditionner l'accès à l'identité et à l'état du terminal ;
  • éviter d'exposer directement certains services sur internet.

Pourquoi Cloudflare Zero Trust peut être intéressant pour une TPE

Il peut sécuriser des applications internes sans VPN classique

Cloudflare Access est présenté comme une solution permettant un accès simple et sécurisé aux ressources internes sans VPN. Cloudflare indique aussi qu'il est possible de sécuriser des applications privées dans un navigateur sans client logiciel pour certains cas d'usage web, ce qui peut être très utile pour des accès ponctuels ou pour des prestataires.

Pour une petite entreprise, cela peut être pratique si vous voulez protéger :

  • un back-office ;
  • un outil interne ;
  • un wiki d'équipe ;
  • un panneau d'administration ;
  • une interface métier non destinée à être exposée librement.

Il combine accès distant et filtrage web

Là où Cloudflare se distingue, c'est qu'il ne se limite pas à l'accès aux applis. Avec Gateway, Cloudflare propose aussi une Secure Web Gateway capable de filtrer DNS, HTTP et certains flux réseau. Le Cloudflare One Client permet justement d'acheminer le trafic des postes vers le réseau Cloudflare pour appliquer ces politiques où que se trouvent les utilisateurs.

Pour une TPE, cela veut dire que vous pouvez utiliser la même suite pour :

  • mieux contrôler la navigation ;
  • bloquer des catégories de sites risqués ;
  • limiter certains usages réseau ;
  • renforcer la sécurité des appareils nomades.

Les appareils peuvent entrer dans la décision d'accès

Cloudflare documente des posture checks permettant de n'autoriser l'accès qu'aux appareils considérés comme gérés ou sains. Ces contrôles peuvent s'appuyer sur le Cloudflare One Client ou sur certains outils tiers. C'est un vrai point fort si l'entreprise veut éviter qu'un poste non maîtrisé puisse accéder à des ressources sensibles.

Cloudflare Tunnel évite d'exposer directement certains services

Cloudflare explique que Cloudflare Tunnel établit des connexions sortantes depuis l'infrastructure vers le réseau Cloudflare, sans exposer d'IP publique. Pour une petite structure, c'est intéressant, car cela peut simplifier la publication sécurisée de certaines ressources sans ouvrir inutilement des ports entrants.

La solution peut couvrir des usages très variés

Cloudflare documente la sécurisation d'applications web privées, d'applications SaaS, de réseaux privés et même de certains usages non HTTP. Cela donne une vraie souplesse si la petite entreprise a plusieurs cas d'usage : web interne, accès admin, ressources privées, filtrage sortant, prestataires, télétravail, etc.

Les limites et points d'attention

Ce n'est pas l'outil le plus simple pour débuter

La documentation de première mise en place montre qu'il faut généralement :

  • créer un compte Zero Trust ;
  • définir un team name ;
  • configurer une méthode de connexion ;
  • créer des règles d'enrôlement des appareils ;
  • parfois installer un certificat racine pour certaines fonctions d'inspection HTTP ;
  • déployer le client sur les postes.

Pour une petite entreprise sans aucune culture IT, ce n'est pas forcément insurmontable, mais ce n'est pas non plus un produit "on clique et c'est fini".

La richesse du produit peut dépasser le besoin réel

Cloudflare One regroupe beaucoup de briques : ZTNA, SWG, Tunnel, DLP, CASB, RBI, email security, DEX, etc. C'est très puissant, mais une TPE n'a pas toujours besoin d'un ensemble aussi large. Dans certains cas, une solution plus ciblée peut être plus rapide à déployer et plus facile à administrer au quotidien.

Tout ne repose pas sur le même niveau de plan

Cloudflare indique qu'il existe des plans Free et Paid, avec un accès variable selon les fonctionnalités. Sur la page d'Access, Cloudflare affiche notamment un plan gratuit, puis une formule pay-as-you-go à 7 dollars par utilisateur et par mois payée annuellement pour les fonctions Access dans la plateforme Zero Trust. Cloudflare indique aussi que le plan gratuit Access est surtout pensé pour des équipes de moins de 50 utilisateurs ou des preuves de concept.

Il faut donc bien vérifier, avant de choisir, si le besoin porte seulement sur l'accès applicatif, sur le filtrage, sur les contrôles de posture ou sur un périmètre plus large.

Les cas d'usage web et réseau ne se déploient pas exactement de la même façon

Cloudflare distingue bien plusieurs scénarios :

  • applications privées accessibles dans un navigateur ;
  • réseaux privés avec routes ;
  • applications non HTTP ;
  • filtrage réseau et web ;
  • intégrations SaaS.

Cela veut dire qu'il faut d'abord savoir précisément ce que l'on veut sécuriser. Sinon, on risque de choisir une architecture trop lourde ou mal adaptée.

Tarifs Cloudflare Zero Trust : est-ce intéressant pour une petite structure ?

Cloudflare indique que Cloudflare Zero Trust propose des plans gratuits et payants, avec certaines fonctions dépendantes du niveau choisi. Pour Cloudflare Access, la page officielle affiche :

  • un plan gratuit ;
  • une formule pay-as-you-go à 7 $ par utilisateur et par mois payée annuellement ;
  • un plan contractuel sur mesure.

Cloudflare précise aussi que le gratuit est surtout pensé pour les équipes de moins de 50 utilisateurs ou pour un proof of concept.

Pour une TPE, cela peut être attractif si :

  • elle veut commencer petit ;
  • elle a un besoin clair sur l'accès applicatif ;
  • elle peut tester avant d'élargir.

Mais si l'objectif est d'exploiter plusieurs briques de la suite, il faut regarder la tarification globale avec un peu plus de précision, car tout ne se résume pas au seul tarif Access.

Pour quel type d'entreprise Cloudflare Zero Trust est un bon choix ?

Bon choix pour :

  • Une petite entreprise qui veut protéger des applications internes sans les exposer librement
  • Une structure qui veut combiner accès distant + filtrage web + contrôle de posture
  • Une équipe qui a déjà un peu de méthode côté identité, appareils ou administration
  • Une entreprise qui veut bâtir quelque chose de plus évolutif qu'un simple VPN

Moins naturel pour :

  • Une très petite structure qui veut juste "un VPN simple"
  • Une équipe sans ressource interne à publier ni besoin de filtrage centralisé
  • Une organisation qui veut un minimum de configuration et très peu d'administration continue

Notre avis sur Cloudflare Zero Trust

Cloudflare Zero Trust est une solution sérieuse, puissante et crédible pour une petite entreprise qui veut aller plus loin qu'un VPN classique. Son gros point fort est d'assembler plusieurs briques cohérentes dans une même logique : accès aux applis, tunnel, client poste, filtrage web et contrôles de posture.

Notre avis est donc positif, avec une nuance importante : ce n'est pas forcément le meilleur premier choix si votre besoin est très simple. Pour une TPE qui veut surtout un accès distant moderne et rapide à déployer, des solutions plus ciblées peuvent être plus directes. En revanche, pour une petite structure qui veut progressivement professionnaliser sa sécurité des accès et des postes, Cloudflare Zero Trust est clairement une option à regarder de près.

Aller plus loin

Questions fréquentes

Prêt à explorer Cloudflare Zero Trust ?

Consultez nos autres avis et comparatifs pour trouver la meilleure solution d'accès sécurisé pour votre équipe.