Rapport 2025 sur l'état de l'agilité cryptographique : comment les organisations se préparent à la cryptographie post-quantique

Pour la première fois dans l'histoire de l'informatique moderne, la cryptographie qui sous-tend la sécurité numérique mondiale doit être supprimée et remplacée. Ce qui n'était autrefois qu'une prédiction lointaine est aujourd'hui une réalité qui approche à grands pas. Le rapport « 2025 State of Crypto Agility Report », réalisé par Sectigo en partenariat avec Omdia, offre un aperçu très clair de la situation actuelle des entreprises face à ce bouleversement majeur.De la réduction de la durée de vie des certificats à la menace imminente de l'informatique quantique, les entreprises sont confrontées à une transformation majeure dans la manière dont elles gèrent et sécurisent leur infrastructure cryptographique. La conclusion est claire : la crypto-agilité doit devenir un impératif commercial pour survivre à cette nouvelle ère.

Qu'est-ce que la crypto-agilité et pourquoi est-elle importante ?

La crypto-agilité est la capacité à trouver, gérer, remplacer et adapter rapidement les actifs cryptographiques, y compris les certificats et les algorithmes de chiffrement, en réponse à l'évolution des menaces de sécurité.

Deux forces urgentes s'affrontent pour faire de la crypto-agilité une nécessité :

1. La durée de vie des certificats SSL/TLS, qui devrait passer de 398 jours aujourd'hui à seulement 47 jours d'ici 2029.
2. La migration vers l'informatique post-quantique d'ici 2030.

La combinaison de ces deux facteurs exige une nouvelle approche : une approche où l'automatisation, la visibilité et l'adaptation cryptographique continue sont intégrées dans la structure de sécurité de votre organisation. L'approche suggérée : la gestion automatisée du cycle de vie des certificats (CLM).

La réduction de la durée de vie des certificats : premier signal d'alarme pour donner la priorité à la crypto-agilité

À compter du 15 mars 2026, la durée maximale autorisée pour les certificats SSL/TLS publics passera à 200 jours, ce qui les soumettra à un cycle de renouvellement de 6 mois. D'ici 2029, cette durée sera réduite à seulement 47 jours, ce qui correspond à un cycle de renouvellement mensuel. Cela signifie :

• 12 fois plus de renouvellements
• 12 fois plus de travail
• 12 fois plus de risques d'interruption

Selon le rapport :

• 96 % des entreprises s'inquiètent de l'impact de la réduction de la durée des certificats sur leurs activités.
• Moins d'une entreprise sur cinq (19 %) se sent prête à gérer des renouvellements mensuels.
• Seulement 28 % disposent d'un inventaire complet des certificats.
• Et seulement 13 % sont convaincues de pouvoir suivre les certificats non autorisés ou fantômes.

Les chiffres sont effrayants : 12 fois plus de renouvellements, 12 fois plus de risques et 12 fois plus de travail d'ici 2029, à moins que l'automatisation ne soit mise en place.

Pourquoi la gestion manuelle des certificats est un risque que vous ne pouvez pas vous permettre

À mesure que la durée de validité des certificats diminue, la charge qui pèse sur les équipes informatiques et de sécurité augmente de manière exponentielle. Le rapport révèle que

• Seules 53 % des entreprises automatisent le renouvellement des certificats.
• Un tiers (33 %) des entreprises automatisent le déploiement des certificats, laissant les deux autres tiers le faire manuellement. Seuls 32 % automatisent la validation du contrôle de domaine (DCV).

Cela signifie que la plupart des entreprises s'appuient encore sur des méthodes manuelles, ce qui est dangereux dans un monde où un seul certificat expiré peut entraîner des interruptions, des problèmes de conformité et des pertes de revenus.

L'agilité cryptographique commence par l'automatisation

L'une des conclusions les plus encourageantes du rapport est que 90 % des entreprises reconnaissent que le travail nécessaire pour se préparer à des durées de vie plus courtes des certificats recoupe directement la préparation à la PQC. Cela signifie qu'investir dès aujourd'hui dans l'automatisation et la gestion du cycle de vie des certificats, qui constituent les fondements de l'agilité des certificats, permet de jeter des bases solides pour l'agilité cryptographique de demain.

Pourtant, malgré leur compréhension de cette corrélation entre l'agilité des certificats et l'agilité cryptographique, les entreprises restent bloquées dans leur progression.

• Seules 5 % des entreprises ont entièrement automatisé la gestion des certificats.
• 57 % d'entre elles affirment que les priorités concurrentes de leur feuille de route constituent un obstacle important, voire critique, à l'adoption de l'automatisation.
• Un pourcentage stupéfiant de 95 % reste au moins partiellement dépendant des processus manuels, car elles prévoient d'accroître l'automatisation ou évaluent encore leur approche.

Cela révèle un décalage dangereux entre la prise de conscience et la mise en œuvre effective.

La menace quantique est à nos portes

Les dates limites pour les certificats approchent à grands pas, et pour cause. L'informatique quantique soulève aujourd'hui de nombreuses préoccupations en matière de sécurité numérique, même si elle semble encore loin d'être une réalité.

Les machines quantiques pourraient décrypter les données cryptées d'aujourd'hui en quelques années, et les pirates le savent. C'est pourquoi les attaques « Harvest Now, Decrypt Later » (HNDL), qui consistent à stocker des données cryptées aujourd'hui pour les décrypter plus tard, sont déjà en cours. Une fois arrivées à maturité, les machines quantiques seront capables de briser les algorithmes RSA et ECC, qui protègent la grande majorité des données numériques actuelles. Le NIST prévoit de déprécier ces deux algorithmes en 2030, puis de les interdire complètement d'ici 2035.

• 60 % des organisations se disent « très ou extrêmement préoccupées » par les attaques HNDL.
• 92 % prévoient d'augmenter leurs investissements dans la cryptographie post-quantique (PQC) d'ici deux à trois ans.
• Pourtant, seuls 14 % ont procédé à une évaluation complète des systèmes vulnérables au quantique.

Le risque est réel et le temps presse.

Y2K vs Q-Day

Souvent comparé au bug de l'an 2000, le quantique n'est pas un sujet à prendre à la légère. La transition vers la cryptographie post-quantique (PQC) reflète le défi du bug de l'an 2000 dans la mesure où les deux nécessitent une coordination proactive à l'échelle de l'entreprise pour faire face à un changement technologique systémique imminent. Tout comme le bug de l'an 2000 a nécessité une révision approfondie du code, des systèmes et des dépendances afin d'éviter des pannes critiques, la PQC exige une transformation opérationnelle complète qui touche toutes les couches de l'organisation, de l'infrastructure et des outils à la gouvernance et à la collaboration entre les équipes.

Il ne suffit pas de changer d'algorithmes ; les entreprises doivent repenser la manière dont la cryptographie est intégrée, gérée et mise à l'échelle, en accordant la priorité à l'intégration avec les plateformes existantes (58 %), à la facilité de mise en œuvre (55 %) et aux options d'automatisation (49 %). Dans les deux cas, le succès dépend de la manière dont le changement est considéré comme une responsabilité partagée entre les responsables informatiques, de la sécurité et de l'entreprise, et abordé par des mesures délibérées et coordonnées plutôt que par des solutions de dernière minute.

La leçon à tirer du bug de l'an 2000 est claire : ceux qui investissent tôt dans la visibilité, l'automatisation et la collaboration navigueront dans la PQC avec résilience, tandis que ceux qui tardent risquent d'être pris au dépourvu lorsque le besoin deviendra urgent.

Combler le fossé avec un centre d'excellence en cryptographie (CCOE)

Le rapport souligne la nécessité d'une réponse centralisée à la modernisation de la cryptographie. À mesure que la complexité augmente, les organisations devront mettre en place des centres d'excellence en cryptographie afin de coordonner les équipes, les outils et les infrastructures.

Selon Gartner, les organisations disposant d'un CryptoCOE d'ici 2028 économiseront 50 % des coûts de transition vers la PQC par rapport à celles qui n'en ont pas. Sans stratégie centralisée, la transformation cryptographique risque d'être fragmentée, chaotique et inefficace.

La voie à suivre

Le message du rapport « State of Crypto Agility » est clair :

• Les délais approchent à grands pas et la gestion manuelle des certificats ne sera plus adaptée lorsque les cadences de renouvellement commenceront à diminuer.
• La PQC est une priorité stratégique dès maintenant, pas dans le futur.
• L'automatisation est le moyen le plus efficace pour réduire les risques, les coûts et la complexité.

La crypto-agilité est un parcours, mais la première étape est incontournable : automatisez dès aujourd'hui. Cela permettra non seulement à votre organisation de se préparer à l'avenir des certificats de 47 jours, mais aussi de renforcer la résilience dont vous aurez besoin pour survivre à l'ère quantique.

Vous souhaitez obtenir toutes les données, informations et recommandations ?

Découvrez comment les organisations se préparent (et où elles ont des lacunes) en matière d'agilité cryptographique, de gestion des certificats et de préparation à la PQC.

Articles connexes

Causes profondes 119 : Qu'est-ce que l'agilité cryptographique ?

Le compte à rebours pour l'automatisation a commencé : la durée de vie des certificats SSL/TLS de 200 jours sera réduite à moins d'un an

Attaques « récolter maintenant, décrypter plus tard » et leur lien avec la menace quantique