C'est l'événement que je préfère et que j'attends avec impatience toute l'année : la conférence du Consortium PKI.PKI Consortium's Conférence sur la cryptographie post-quantique (PQC) du Consortium PKI.
C'est un lieu où les leaders techniques, des partenaires aux concurrents, se réunissent pour collaborer et innover au nom de la confiance numérique, et 2025 n'a certainement pas déçu.
Pour ajouter à l'excitation générale, l'événement de cette année, qui s'est tenu à Kuala Lumpur, a coïncidé avec un bond en avant dans la préparation de la Malaisie en matière de cybersécurité :
- Le ministère du numérique et l'Agence nationale de cybersécurité (NACSA) ont lancé la Feuille de route nationale sur l'état de préparation à la cryptographie post-quantique.
- Ce cadre renforcera la résilience des pays et de l'ANASE face aux menaces quantiques, conformément aux prévisions du rapport 2026 Asia Pacific Predictions Report de Forrester, qui indique que la sécurité quantique deviendra une priorité stratégique pour plus de 90 % des entreprises de la région.
- Tuan Fabian Bigar, secrétaire général du ministère du numérique, a présenté aux participants ce développement important lors de sa présentation principaleIl a insisté sur le fait que la CQP est une opportunité partagée de façonner un monde sécurisé sur le plan quantique.
Et il ne pourrait pas avoir plus raison : Nous devons travailler ensemble pour accélérer la confiance numérique et préparer les organisations à un avenir post-quantique. dès maintenant avant qu'il ne soit trop tard.
C'est pourquoi j'ai rassemblé les principaux enseignements et réflexions personnelles de l'événement afin que, que vous ayez ou non pu y assister, vous disposiez des informations essentielles dont vous avez besoin pour aller de l'avant.
PQC : La conversation s'est déplacée
Il y a un an, les discussions sur les CQP étaient très techniques :
- Quels algorithmes le NIST va-t-il finaliser ? Quelles seront les conséquences pour mon entreprise ?
- Quand les certifications FIPS rattraperont-elles leur retard ?
- Comment les approches hybrides et composites fonctionneront-elles réellement ?
Cette année a été complètement différente.
L'accentn'est plus mis sur la théorie à la la mise en œuvre.
Aujourd'hui, les questions ressemblent davantage à ce qui suit :
- Comment commencer sans tout bouleverser d'un coup ?
- Quelle est la première étape à franchir pour être prêt pour la quantique?
- Comment mesurer et pérenniser les progrès ?
Une citation mémorable de la conférence résume bien le changement d'attitude :
"L'adoption d'un CQP n'est pas un projet, c'est un programme. Il n'y a pas de date de début et de fin. Il se poursuivra sur une longue période."
Je n'aurais pas pu mieux dire.
Niveaux de maturité : Comment définir la notion de "prêt pour le quantum" ?
Suite à ce passage des algorithmes aux actions, le groupe de travail PQC du PKI Consortium a introduit un élément qui fera une réelle différence : le modèle de maturité de la cryptographie postquantique (Post-Quantum Cryptography Maturity Model).Modèle de maturité de la cryptographie post-quantique.
Ce modèle s'appuie sur lamatrice des capacités PQC mais se concentre moins sur les produits et davantage sur la maturité organisationnelle. Il permet de répondre à des questions telles que :
- Qu'entend-on par "prêt pour le quantique" ?
- Comment pouvons-nous évaluer les progrès réalisés par les équipes ou les unités opérationnelles ?
- Que doivent attendre les vendeurs et les clients les uns des autres ?
Ce cadre nous donne un langage commun pour progresser.
Il est ouvert aux commentaires de la communauté, et je vous recommande vivement de faire part de vos idées (si vous en avez) car, comme nous l'avons dit, il faut un village pour construire un avenir sûr sur le plan quantique. quantique.
👉Faites-nous part de vos réflexions sur le modèle de maturité de la CQP ici.
Les points clés à connaître
Voici les principaux éléments qui se sont dégagés des sessions formelles et des conversations informelles qui ont eu lieu entre les deux.
> La crypto-agilité est la seule véritable stratégie
Si vous développez correctement la crypto-agilité, vous pouvez vous adapter quel que soit l'algorithme ou le fournisseur qui l'emporte.
La crypto-agilité ne consiste pas à deviner la bonne norme. Il s'agit dese préparer à des changements constantsQu'il s'agisse de PQC, de menaces basées sur l'IA, de durées de vie plus courtes des certificats TLS ou de nouvelles règles de conformité telles que DORA, PCI DSS ou les directives de l'OCC, l'agilité cryptographique ne consiste pas à deviner quelle est la bonne norme.
> L'PKI hybride continue de semer la confusion
Les approches hybrides (combinant les algorithmes classiques et PQC) sont encore très incertaines.
Et cela ralentit les gens. Voici la solution rapide et facile :
- Utiliser l'PKI hybride lorsque cela s'avère judicieux, en particulier lorsque la certification ou le support hardware n'est pas disponible.
- Mais il ne faut pas que cela devienne une excuse pour retarder les progrès.
- Les déploiements "purement PQC" sont aujourd'hui viables pour de nombreux systèmes internes et backend.
> La découverte est la ligne de départ
Presque tous les participants auxquels j'ai parlé, quel que soit leur secteur d'activité, ont posé la même question :
"Par où commencer ? Par la découverte et l'inventaire.
Je l'ai déjà dit et je le répète : On ne peut pas protéger ce que l'on ne voit pas.
Savoir où se trouvent les actifs cryptographiques - certificats, clés, algorithmes - est le premier pas vers un changement significatif.
> Conformité et résilience sont désormais indissociables
La conformité n'est plus une case à cocher. Il s'agit de renforcer la résilience afin de pouvoir s'adapter rapidement et efficacement lorsque les réglementations ou les normes changent.
La conformité consiste à se conformer à la barre. La résilience consiste à être prêt lorsque la barre se déplace.
> L'automatisation est un héros discret
Les pratiques d'automatisation qui ont permis de raccourcir le cycle de vie des certificatsTLS sont aujourd'hui à la base des migrations PQC.
En réutilisant les pipelines d'automatisation, les entreprises peuvent gagner du temps et économiser des fonds, tout en alignant deux initiatives majeures dans le cadre d'un effort de modernisation. Tout le monde y gagne.
Les 5 mesures à prendre dès maintenant
Si la conversation est passée de la théorie à l'action, que doiventfaire les organisations ? Voici comment je formulerais la question :
1.Commencer par la découverte
La visibilité est essentielle. Inventoriez chaque clé, certificat et dépendance cryptographique dans votre infrastructure.
2.Évaluer et hiérarchiser
Identifiez les systèmes les plus importants pour votre entreprise. Commencez là où l'impact ou le risque est le plus élevé.
3.Automatiser dans la mesure du possible
L'automatisation permet de réduire les erreurs humaines et d'accélérer le changement. Si vous avez déjà mis en place l'automatisation de la gestion du cycle de vie des certificats, vous avez une longueur d'avance.
4.Intégrer la crypto-agilité dans chaque décision
La crypto-agilité crée de la flexibilité dans l'ensemble de votre écosystème de sécurité. Lorsque vous évaluez un nouvel outil ou un nouveau service, posez-vous les questions suivantes :Peut-il s'adapter aux changements de politiques, de réglementations ou de technologies ?
Si la réponse est négative, vous vous exposez aujourd'hui à la dette technique de demain.
5.S'engager et collaborer
Il ne s'agit pas d'un voyage en solitaire. Engagez-vous avec des communautés telles que le consortiumPKI , partagez les leçons apprises et aidez à façonner les normes qui définiront la prochaine décennie de confiance numérique.
Regarder vers l'avenir : De Kuala Lumpur à l'Allemagne
En quittant Kuala Lumpur (avec quelques heures de décalage horaire en plus et beaucoup de notes), une pensée m'est restée en tête :
Nous ne demandons plussi l'informatiquel'informatique quantique va bouleverser la confiance numérique, mais à quel point nous serons prêts lorsque cela se produira.
Voici donc le défi que je lance à tous les responsables de la sécurité qui lisent ces lignes :
D'ici à la prochaine conférence PQC en Allemagne, combien de temps vous sera-t-il possible de vous rapprocher de la crypto-agilité ?
Commencez petit. Commencez tout de suite. Commencez par découvrir.
Découvrez comment Keyfactor peut vous aider à découvrir et gérer les actifs cryptographiques - la base de votre crypto-agilité améliorée.
