La découverte cryptographique : la première étape vers la résilience post-quantique

La cryptographie, un angle mort du SI

La cryptographie est omniprésente au sein des organisations, elle est à la base de notre sécurité numérique. Elle protège nos données, serveurs, communications numériques et se dissimule dans tous les recoins du système d’information (SI). Pendant plus de quarante ans, la cryptographie a été considérée comme un composant robuste et fiable par essence. Fondée sur des algorithmes réputés inviolables par les moyens de calculs actuels, l’utilisation de cryptographie dans les architectures IT n’a pas reçu le même niveau d’attention et de suivi que d’autres composantes de la posture de cybersécurité. Cette époque est révolue.

La cryptographie demeure un angle mort du système d’information qu’il est urgent de reprendre en main. La plupart des organisations ignorent encore où et comment elle a été déployée, au sein de quels composants logiciels ou matériels.

La découverte cryptographique vise à combler ce manque de visibilité. Première étape d’une reprise de contrôle, elle consiste à identifier l’ensemble des actifs cryptographiques d’une organisation : algorithmes, clés, certificats, protocoles ou bibliothèques. Cette analyse en profondeur couvre aussi bien les systèmes IT que OT, des applications internes jusqu’aux échanges réseau.

Réaliser une telle cartographie exhaustive est toutefois complexe, pour plusieurs raisons :

• L’hétérogénéité des sources et des usages cryptographiques
• La multiplicité des dépendances logicielles et systèmes (versions d’OS, bibliothèques non maîtrisées, appels de packages, etc.)
• Le manque de visibilité sur les mécanismes cryptographiques intégrés au sein des produits des éditeurs
• Les zones d’ombre sur le réseau
• Le volume considérable de serveurs, sous-réseaux, bases de données et applications à analyser, qui rend toute approche manuelle irréaliste

La menace quantique révèle une vulnérabilité majeure

L’arrivée annoncée de l’ordinateur quantique fragilise la confidentialité, l’authenticité et l’intégrité des données garanties jusqu’ici par la cryptographie asymétrique traditionnelle, en particulier celle reposant sur RSA, les courbes elliptiques ou encore Diffie-Hellman. Cette nouvelle technologie sera en mesure de casser en un temps record des systèmes de chiffrement considérés comme sûrs depuis des décennies. Ce risque n’est pas hypothétique : avec les attaques de type Harvest Now, Decrypt Later, des données sensibles peuvent être interceptées et stockées dès aujourd’hui dans l’objectif de les déchiffrer plus tard lorsque les technologies quantiques le permettront. L’enjeu est donc urgent et vital : il faut remplacer la cryptographie asymétrique partout où elle a été déployée par des implémentations basées sur la cryptographie post-quantique (PQC), seule solution validée par les agences de sécurité nationales. On parle de migration post-quantique. Encore faut-il savoir quoi migrer.

Comme nous l’avons évoqué, rares sont les organisations qui disposent d’un inventaire complet et actualisé de leurs actifs cryptographiques et des mécanismes associés.

La découverte cryptographique est donc le point de départ de toute migration post-quantique. Cette phase se concentre sur la détection des algorithmes, clés symétriques et asymétriques, certificats, suites cryptographiques, protocoles présents dans le système d’information. Elle a pour finalité de construire un inventaire précis et exploitable qui permet de prioriser les efforts de migration et d’engager réellement le processus de renforcement cryptographique.

La pression réglementaire s’intensifie : l’inventaire cryptographique n’est plus une option

La menace quantique ne relève plus seulement de considérations techniques. Elle est désormais reconnue comme indispensable par les agences de cybersécurité et les régulateurs, qui multiplient recommandations, lignes directrices et obligations. Tous s’accordent sur une priorité commune : réaliser un inventaire détaillé des actifs cryptographiques. Parmi les exemples significatifs :

• L’ANSSI (Agence nationale de la sécurité des systèmes d’information, France), recommande aux organisations de « commencer dès maintenant […] par une analyse de la menace quantique consistant en un inventaire des actifs [cryptographiques] ».
• L’ENISA (Agence de l’Union européenne pour la cybersécurité), souligne la nécessité de disposer de « lignes directrices harmonisées à l’échelle de l’UE pour gérer la sécurité […] des produits et services cryptographiques […], comme un inventaire ou un catalogue des produits cryptographiques ».
• La Commission européenne, insiste sur le fait qu’« une première étape essentielle […] est de créer et maintenir à jour des inventaires des actifs réalisant des opérations cryptographiques ».
• DORA (Digital Operational Resilience Act, règlement européen sur la résilience opérationnelle numérique), entré en vigueur en janvier 2025, impose aux institutions financières et à leurs prestataires TIC critiques de « développer et mettre en œuvre une politique en matière de chiffrement et de contrôles cryptographiques » et de « recenser les vulnérabilités et menaces, et conduire une analyse de risques sur les techniques cryptographiques ».
• Le NCSC (National Cyber Security Centre, Royaume-Uni), fixe un calendrier clair en recommandant aux organisations de « réaliser [d’ici 2028] un exercice complet de découverte (évaluer leur patrimoine afin d’identifier quels services et infrastructures dépendant de la cryptographie doivent être migrés vers la PQC) ».
• Le FS-ISAC (Financial Services Information Sharing and Analysis Center), conseille à ses membres de construire et maintenir des inventaires cryptographiques, soulignant que « disposer d’un inventaire clair des actifs et usages de la cryptographie permet à une organisation d’identifier de manière proactive les risques et défis liés aux progrès de la PQC et de rester crypto-agile dans la planification des évolutions futures des exigences cryptographiques ».

Un levier vers la crypto-agilité

Enfin, la découverte cryptographique ouvre la voie à une véritable stratégie crypto-agile. Celle-ci consiste à pouvoir piloter et modifier la cryptographie utilisée sans reconfiguration lourde des systèmes.

Une fois les actifs cartographiés et centralisés, il devient possible de mettre en place une gouvernance dynamique :

• Gestion des politiques cryptographiques,
• Intégration de nouveaux algorithmes,
• Suivi des vulnérabilités,
• Mise à jour rapide en cas de faille.

Dans un monde où les standards encore récents seront certainement amenés à évoluer, et où de nouveaux algorithmes verront le jour, cette agilité devient une nécessité.

Découverte cryptographique : restez dans la course !

Sous l’effet de la menace quantique, régulateurs et organisations reconnaissent la nécessité d’une meilleure maîtrise de la cryptographie. La découverte n’est plus une option mais une étape incontournable : elle offre une base solide pour initier la migration vers la PQC tout en apportant des bénéfices immédiats, de la conformité réglementaire à la gouvernance crypto-agile. Le temps presse : l’engager dès maintenant, c’est éviter un retard critique et combler rapidement les vulnérabilités.