Post-quantique, ces 6 angles morts qui fragilisent les entreprises

Keyfactor liste six signaux d’alerte sur l’agilité cryptographique. Derrière le post-quantique, c’est toute la capacité d’adaptation des SI qui est testée.

La prochaine transition cryptographique ne se jouera pas seulement dans le choix d’un nouvel algorithme. Elle se jouera dans la capacité d’une entreprise à bouger vite, proprement, sans casser ses flux ni ralentir ses équipes. C’est le constat posé par Keyfactor, ce 9 juin à Paris, avec six questions assez simples, mais redoutables, pour mesurer la vraie agilité cryptographique d’une organisation.

Le vrai sujet, ce n’est pas l’algorithme, c’est la mécanique

Sur le terrain, on voit bien où ça coince. Le renouvellement des certificats, la rotation des clés ou la mise à jour des configurations reposent encore souvent sur du manuel. Résultat, les migrations ralentissent, les erreurs humaines remontent et la capacité de réaction baisse à mesure que l’infrastructure numérique se complexifie.

À l’inverse, l’automatisation du cycle de vie cryptographique change l’équation. Elle accélère les déploiements, réduit les faux pas et prépare des bascules à grande échelle. Mais il faut aussi une vraie gouvernance, avec politiques centralisées, accès gérés par rôles, validation et traçabilité. Sans ça, on a de la technique, pas du pilotage.

Sans cartographie fiable, impossible de savoir où frapper

Autre signal faible, qui n’en est plus un, l’absence d’inventaire centralisé. Certificats, bibliothèques cryptographiques, clés, HSM, algorithmes embarqués, le tout éparpillé entre applications, cloud, infrastructures et équipements connectés. Si vous ne savez pas précisément ce qui tourne et où, vous ne pouvez ni mesurer l’exposition réelle ni préparer une migration sérieuse.

Cette visibilité ne vaut d’ailleurs que si elle permet de prioriser les risques. Keyfactor insiste sur la capacité à repérer vite les certificats non conformes, les configurations vulnérables, les clés compromises ou les algorithmes obsolètes. Avec, en toile de fond, la menace Harvest Now, Decrypt Later, ces données chiffrées collectées aujourd’hui pour être déchiffrées plus tard.

Une infrastructure rigide paiera cash la transition

Le troisième point est très concret. Les entreprises les plus avancées traitent la cryptographie comme un composant modulaire, pas comme une couche figée dans le code. Pouvoir faire cohabiter plusieurs algorithmes, tester des approches hybrides ou post-quantiques, et limiter la crypto codée en dur, c’est ce qui donne de la marge quand la norme bouge.

Et c’est là que le sujet devient important pour l’écosystème mobile et cloud. Une pile trop rigide transforme chaque évolution réglementaire ou technique en chantier lourd. Pas mal de SI le découvriront un peu tard.

La technique seule ne suffira pas

La cryptographie ne concerne plus seulement l’équipe sécurité. Infrastructure, développement, conformité, parfois même les métiers, tout le monde finit par être impliqué. Sans collaboration claire, sans montée en compétences, la transition se heurte vite à des freins organisationnels.

Pierre Codis, chez Keyfactor, résume bien l’enjeu en parlant du post-quantique comme d’un signal fort, mais d’une étape seulement dans l’évolution continue de la cybersécurité. En gros, les entreprises qui investissent maintenant dans l’agilité cryptographique ne se préparent pas juste à la prochaine bascule, elles se donnent une chance de suivre toutes celles qui arriveront derrière.