CISA nomme l'architecture : comment son nouveau document SASE-TIC 3.0 donne aux agences une vraie voie de migration hors des VPN traditionnels

Les directives fédérales en matière de sécurité des réseaux ont la réputation bien méritée d'indiquer aux agences ce qu'elles doivent accomplir, tout en restant délibérément vagues sur la manière d'y parvenir. TIC 3.0, introduit pour remplacer le modèle rigide de rapatriement systématique du trafic de TIC 2.0, a lui-même été décrit par la CISA comme « des orientations flexibles et non prescriptives » — une formule que les architectes ont discrètement traduite par « débrouillez-vous. » Le document de juin 2026 intitulé « The Journey to Zero Trust : Using Secure Access Service Edge in a Modern TIC 3.0 Solution » rompt avec cette tradition. Il nomme une architecture, décrit une direction de migration et identifie le VPN traditionnel comme obstacle. Ce n'est pas anodin.

Ce que TIC 3.0 était censé permettre dès le départ

L'initiative Trusted Internet Connections a débuté comme un programme de consolidation : centraliser tout le trafic internet fédéral vers un petit nombre de points d'accès surveillés, puis l'inspecter. Ce modèle fonctionnait lorsque les agences exploitaient des systèmes monolithiques sur site. Il crée des frictions lorsque les agences font tourner des charges de travail dans le cloud, des effectifs à distance et des environnements multi-cloud, car le routage de tout le trafic via des nœuds d'inspection traditionnels introduit de la latence et de la complexité que les architectures modernes ont précisément été conçues pour éviter.

Selon le document d'orientation de la CISA publié en juin 2026, TIC 3.0 a été développé spécifiquement pour aider les agences civiles de la branche exécutive fédérale (FCEB) à abandonner ces architectures centrées sur le périmètre au profit de pratiques de sécurité modernes, conformément au mémorandum OMB M-19-26. La flexibilité intégrée à TIC 3.0 a toujours été pensée pour accommoder des approches comme le SASE ; ce document est la façon dont la CISA rend cela explicite, plutôt que de le laisser sous-entendu.

Le SASE, ou Secure Access Service Edge, combine la mise en réseau étendue avec des fonctions de sécurité fournies dans le cloud, organisées autour du principe de zéro confiance que la CISA résume par « ne jamais faire confiance, toujours vérifier. » Plutôt que de supposer qu'un utilisateur à l'intérieur d'un périmètre réseau est en sécurité, le modèle applique des décisions d'accès tenant compte de l'identité et du contexte à chaque connexion. Selon le document PDF de la CISA, ce guide est le dernier volet d'une série plus large intitulée « The Journey to Zero Trust », qui couvre les capacités de cybersécurité et les sujets d'architecture soutenant l'adoption organisationnelle des principes modernes de zéro confiance.

Le changement d'architecture que

le document décrit réellement L'instruction pratique ici n'est pas subtile. Les implémentations TIC traditionnelles obligeaient les agences à rapatrier le trafic vers des points d'inspection centralisés avant qu'il puisse atteindre internet ou les services cloud. Le SASE inverse ce flux : l'inspection de sécurité s'effectue en périphérie, près de l'utilisateur ou de la charge de travail, via une pile fournie dans le cloud qui inclut des fonctions telles que les passerelles web sécurisées, les courtiers de sécurité d'accès au cloud et les capacités de pare-feu en tant que service.

Selon le reportage d'Industrial Cyber sur ce document d'orientation, la CISA a présenté le SASE comme une voie de modernisation concrète pour TIC 3.0, indiquant explicitement aux agences fédérales qu'elles peuvent réduire leur dépendance au modèle de rapatriement traditionnel en adoptant des architectures SASE qui distribuent l'application des politiques plutôt que de la centraliser.

Le document est marqué TLP:CLEAR, ce qui signifie que les destinataires peuvent le partager sans restriction — ce qui importe pour les contractants et les intégrateurs qui ont besoin d'en discuter le contenu avec leurs clients des agences. Il s'agit de la version 1.0, datée de juin 2026, produite par la Division cybersécurité de la CISA. Selon le communiqué de presse de la CISA, suivre ce guide est censé aider les agences à mieux comprendre, planifier et faire évoluer leurs architectures vers le zéro confiance, tout en améliorant la visibilité et le contrôle. Cette progression — comprendre, planifier, faire évoluer — est ce qui se rapproche le plus d'une feuille de route par phases que le document propose explicitement.

Qui est concerné et ce qui change en pratique Le public principal

est constitué des agences civiles de la branche exécutive fédérale, mais la portée pratique est plus large. Les contractants soutenant les agences FCEB, les fournisseurs de services cloud recherchant une autorisation FedRAMP et les intégrateurs de systèmes construisant des réseaux d'agences opèrent tous sous les contraintes TIC. Lorsque la CISA publie un document qui approuve une direction architecturale spécifique, le langage des appels d'offres a tendance à suivre. Les fournisseurs qui positionnaient des capacités SASE pour les clients fédéraux disposent désormais d'un document de référence officiel à citer ; les fournisseurs qui continuent de vendre des solutions VPN centralisées avec rapatriement du trafic ont un problème qui s'aggravera au fil des cycles d'acquisition.

Selon la couverture de MeriTalk de la publication du 24 juin, la CISA a déclaré que le guide vise à soutenir les agences dans le développement de leurs capacités de zéro confiance et l'adoption d'architectures modernes supportées par TIC 3.0. Le communiqué de presse de l'agence a présenté le document comme faisant partie de son effort continu pour soutenir les agences fédérales et l'écosystème de cybersécurité au sens large dans l'adoption d'architectures réseau à zéro confiance. Cette formule, « écosystème de cybersécurité au sens large », joue un rôle important ici : elle signale que la CISA entend rendre ces orientations utiles au-delà de la stricte limite FCEB, sans élargir formellement l'obligation de conformité.

Ce que les architectes devraient lire attentivement

Le statut TLP:CLEAR du document et sa place au sein de la série « Journey to Zero Trust » méritent tous deux d'être notés par quiconque construit un argumentaire de conformité ou une justification d'acquisition. Le cadre de la série signifie qu'il ne s'agit pas d'un avis ponctuel ; c'est une partie d'un corpus structuré d'orientations que la CISA étendra vraisemblablement. Les architectes planifiant des programmes de modernisation pluriannuels devraient traiter ce document comme un point de référence qui sera cité dans les futures mises à jour de la politique TIC, et non comme une opinion autonome.

L'implication pratique pour les architectes réseau des agences FCEB et leurs contractants est simple : si votre architecture actuelle achemine tout le trafic utilisateur via un point d'inspection central avant d'atteindre les services cloud, vous exploitez un modèle que les propres orientations de la CISA décrivent désormais comme celui dont on s'éloigne. Cela ne crée pas d'échéance de conformité immédiate, mais cela crée un signal d'acquisition et de planification difficile à ignorer. La prochaine fois que le budget de modernisation réseau d'une agence sera soumis à examen, ce document sera dans la pièce.

La FAQ TIC de la CISA et la bibliothèque de ressources sur le zéro confiance disponible sur cisa.gov sont les lectures complémentaires naturelles pour quiconque construit le dossier interne en faveur d'une migration vers le SASE.