[TRIBUNE de Pierre Codis, KEYFACTOR] La transition vers la cryptographie post-quantique (PQC) s’impose progressivement dans les stratégies de cybersécurité. Les entreprises se concentrent souvent sur la question du remplacement des algorithmes actuels. Pourtant, la véritable question est ailleurs : est-ce qu’elles auront la capacité à identifier, gérer et faire évoluer leurs ressources cryptographie sans perturber leurs opérations. Pierre Codis, directeur des ventes France Benelux et Europe du Sud de KeyFactor, identifie ici six questions qui permettent d’évaluer le niveau réel d’agilité cryptographique d’une entreprise.

1 - Les actifs cryptographiques sont-ils clairement identifiés ?

Certificats, clés, bibliothèques cryptographiques, modules matériels de sécurité (HSM, Hardware Security Module) ou algorithmes embarqués sont souvent dispersés entre les infrastructures, les applications, les environnements cloud et les équipements connectés. La première étape consiste à disposer d’une visibilité complète car sans inventaire centralisé et à jour, il devient difficile d’évaluer l’exposition réelle aux risques, d’anticiper les impacts d’une évolution réglementaire ou de préparer une migration cryptographique à grande échelle. Une surveillance continue de l’environnement cryptographique et du cycle de vie des certificats (renouvellements ou remplacements) constitue le socle d’une stratégie de cybersécurité mature.

2 - Les risques cryptographiques peuvent-ils être identifiés et priorisés rapidement ?

La visibilité sur les actifs n'a de valeur que si elle s'accompagne d'une capacité à identifier les certificats non conformes, les algorithmes obsolètes, les clés compromises ou les configurations vulnérables. Une hiérarchisation des risques selon leur impact métier et technique permet de concentrer les efforts sur les actifs les plus critiques. Cette approche est particulièrement importante face aux menaces de type “Harvest Now, Decrypt Later” qui consiste à collecter aujourd’hui des données chiffrées afin de les déchiffrer plus tard.

3 - L'infrastructure peut-elle intégrer rapidement de nouveaux algorithmes ?

Les entreprises les plus avancées considèrent la cryptographie comme un composant modulaire pouvant évoluer au fil du temps. La capacité à exécuter plusieurs algorithmes simultanément, de tester des solutions hybrides ou post-quantiques et de limiter le recours à la cryptographie codée en dur constitue un indicateur majeur de flexibilité.

4 - Les opérations cryptographiques sont-elles suffisamment automatisées ?

Le renouvellement des certificats, la rotation des clés ou la mise à jour des configurations cryptographiques reposent encore largement sur des processus manuels. À mesure que les infrastructures numériques gagnent en complexité, cette approche atteint ses limites. Elle ralentit les migrations, augmente les risques d’erreurs et réduit la capacité de réaction l’entreprise face à l’évolution cryptographique. À l’inverse, l’automatisation du cycle de vie cryptographique permet de réduire les erreurs humaines, d’accélérer les déploiements et de faciliter les futures migrations à grande échelle.

5 - La gouvernance cryptographique est-elle suffisamment structurée ?

L’agilité cryptographique ne repose pas uniquement sur la visibilité ou l’automatisation. Elle nécessite également du contrôle et un cadre de gouvernance robuste. Politiques centralisées, gestion des accès basée sur les rôles, processus de validation et traçabilité des opérations sont indispensables pour garantir que les changements cryptographiques s'effectuent de manière sécurisée et conforme aux exigences réglementaires.

6 - Les équipes disposent-elles des compétences nécessaires pour accompagner ces évolutions ?

La cryptographie concerne aujourd'hui les équipes sécurité, infrastructure, développement, conformité et parfois les métiers. Sans gouvernance claire et collaboration entre les équipes et sans programme de formation dédié aux nouvelles technologies cryptographiques, les projets de transition risquent de se heurter à des freins organisationnels importants. Visibilité, automatisation, gouvernance et compétences constituent les piliers d'une stratégie capable d'accompagner les futures transitions cryptographiques, quelles qu'elles soient.

Le post-quantique constitue un signal fort, mais ne représente qu’une étape dans l’évolution continue de la cybersécurité. Les entreprises qui investissent dès aujourd’hui dans l’agilité cryptographique se préparent non seulement à la prochaine transition, mais également à toutes celles qui suivront.