En décembre 2025, le NIST a publié son livre blanc final, intitulé Considérations pour atteindre l'agilité cryptographique (CSWP 39). Ayant participé aux ateliers du NIST sur la crypto-agilité qui ont contribué à l'élaboration de cette publication, il est clair pour moi que ce document représente plus qu'un simple guide. Il marque un tournant dans la manière dont les organisations doivent aborder et gérer la cryptographie à l'avenir.
La crypto-agilité est la seule voie viable à suivre compte tenu des nouvelles réalités que sont l'approche des échéances NIST PQC, le raccourcissement TLS , l'augmentation des agents IA et l'évolution constante des normes de conformité.
Avec la transition vers la cryptographie post-quantique désormais en cours, le message du NIST est clair : les organisations doivent être en mesure d'adapter la cryptographie sans perturber leurs opérations.
Qu'est-ce que cela signifie concrètement pour les équipes de sécurité, et que doivent faire les entreprises à présent ? C'est précisément ce que nous aborderons dans notre webinaire intitulé « What NIST CSWP 39 Changes for Security Teams » (Ce que la norme CSWP 39 du NIST change pour les équipes de sécurité). Nous traduirons la norme CSWP 39 en implications pratiques. Quels sont les changements de priorités, à quoi ressemble réellement la « crypto-agilité opérationnelle » et comment les équipes peuvent-elles se préparer à changer de cryptographie sans perturbation ? Inscrivez-vous ici.
Dans ce contexte, analysons les changements apportés par la norme CSWP 39 et leur importance.
La crypto-agilité est devenue un enjeu en matière de risque d'entreprise
Le NIST définit la crypto-agilité comme la capacité à remplacer et à adapter des algorithmes cryptographiques dans les protocoles, les applications, software, hardware et l'infrastructure sans perturber les opérations ni compromettre la sécurité.
Cette définition est importante, car elle replace la cryptographie dans son contexte, passant d'une préoccupation technique de niche à un enjeu central en matière de résilience commerciale et de gestion des risques. En tant que cryptographe, il est encourageant de voir cette perspective clairement reflétée par le NIST.
Au cours des discussions qui ont précédé la réunion CSWP 39, un thème récurrent est apparu : la plupart des transitions cryptographiques ne sont pas difficiles simplement parce que les algorithmes sont complexes, mais parce que les organisations manquent de visibilité, de coordination et de contrôle opérationnel.
Historiquement, les transitions cryptographiques ont été lentes, douloureuses et réactives. Les algorithmes étaient codés en dur, les clés étaient dispersées et les dépendances étaient mal comprises. Les mises à jour cryptographiques étaient souvent considérées comme des mesures correctives ponctuelles plutôt que comme des changements devant être réexaminés, ce qui explique pourquoi des transitions telles que le passage du DES à l'AES ou la longue dépréciation du SHA-1 ont pris des décennies et, dans de nombreux environnements, ne sont toujours pas entièrement achevées.
La cryptographie post-quantique change complètement l'ampleur du problème. Contrairement aux transitions précédentes, la PQC nécessite le remplacement toute la cryptographie à clé publique, et non pas seulement un seul algorithme. Et comme le souligne le NIST, ce ne sera pas la dernière transition à laquelle les organisations devront faire face.
Le PQC est le catalyseur, pas l'état final
Il est tentant de considérer la crypto-agilité uniquement sous l'angle post-quantique. Le document du NIST s'oppose délibérément à cette approche.
Les algorithmes résistants à la cryptographie quantique introduisent des clés, des textes chiffrés, des signatures et des certificats plus volumineux, ainsi que de nouvelles considérations en matière de performances et d'interopérabilité. Si la cryptographie post-quantique est traitée comme une migration ponctuelle, ces contraintes peuvent s'ancrer dans les systèmes de manière à limiter leur adaptabilité future.
L'un des messages les plus clairs qui ressortent des ateliers du NIST et de cette publication finale est que les entreprises doivent être en mesure de mettre à jour en permanence leur infrastructure cryptographique.
La cryptographie à l'épreuve du temps consiste à concevoir des systèmes, des processus et des modèles de gouvernance qui anticipent l'évolution des algorithmes cryptographiques et garantissent des transitions transparentes sans perturber les systèmes de production ou les flux de travail des entreprises.
Le véritable fossé : opérationnaliser la crypto-agilité
Plutôt que de se concentrer uniquement sur les définitions, la norme NIST CSWP 39 examine comment la crypto-agilité se traduit dans les systèmes et les organisations réels.
La section 5 du document présente un plan stratégique de crypto-agilité qui couvre la gouvernance, la visibilité des actifs, l'application des politiques, la gestion des risques et les outils automatisés. Dans la pratique, c'est là que de nombreuses organisations rencontrent des difficultés.
Les défis communs abordés tout au long des ateliers et reflétés dans le document comprennent :
- Visibilité limitée sur les domaines dans lesquels la cryptographie est réellement utilisée
- Algorithmes codés en dur ou intégrés difficiles à modifier
- Processus de migration manuels et à haut risque
- Propriété fragmentée entre les équipes chargées de la sécurité, de l'infrastructure et du développement
Le NIST présente également un modèle de maturité en matière de crypto-agilité, allant des pratiques ad hoc et réactives aux programmes adaptatifs entièrement intégrés à la gestion des risques d'entreprise.
Pour atteindre des niveaux de maturité plus élevés, il ne suffit pas de disposer de documents stratégiques ou de schémas architecturaux. Il faut également assurer une visibilité continue, un contrôle basé sur des politiques et une automatisation tout au long du cycle de vie cryptographique.
De l'orientation à l'action
Le NIST a désormais clairement énoncé ce qu'est la est la crypto-agilité et pourquoi elle est importante. Le défi pour les organisations consiste à transformer ces recommandations en quelque chose d'opérationnel, de mesurable et de durable.
Cela commence par poser des questions difficiles mais nécessaires :
- Savons-nous où la cryptographie est présente dans notre environnement actuel ?
- Pouvons-nous appliquer une politique cryptographique cohérente à tous les systèmes et équipes ?
- À quelle vitesse pourrions-nous nous adapter si un algorithme était déprécié demain ?
- Sommes-nous en train de développer la crypto-agilité en tant que capacité ou traitons-nous chaque transition comme une crise ?
La crypto-agilité ne se limite pas à survivre à la prochaine migration. Il s'agit de renforcer la confiance dans le fait que lorsque la cryptographie changera (et elle changera), votre organisation sera prête.
Note de la rédaction : dans les prochains articles, nous examinerons plus en détail le modèle de maturité en matière de crypto-agilité du NIST et explorerons ce qu'il faut pour passer des recommandations à la mise en œuvre concrète.Pour établir des bases solides, commencez par consulter le guide Crypto-Agility 101 ci-dessous, qui présente quelques bonnes pratiques pour élaborer une stratégie de crypto-agilité évolutive et prête pour l'avenir.
Crypto-agilité 101
Que signifie « crypto-agilité » pour le NIST ?
La capacité à modifier les algorithmes cryptographiques sans perturber les systèmes ni interrompre l'activité.
Quel est le point de départ ?
La visibilité. Le NIST affirme clairement que la crypto-agilité dépend de la la découverte intégrée et automatisée de la cryptographie dans le code, software, hardware, les micrologiciels, les protocoles et les services.
Pourquoi n'est-ce pas aussi simple aujourd'hui ?
La plupart des organisations s'appuient sur des inventaires manuels incomplets, voire n'ont aucun inventaire. La cryptographie est dispersée, intégrée et détenue par différentes équipes.
Quelle est la place de l'automatisation ?
Selon le modèle de maturité du NIST, les organisations n'atteignent pas niveau 3 (répétable) de en matière de crypto-agilité tant qu'elles n'utilisent pas des outils automatisés de détection et de correction cryptographiques pour gérer les risques en continu.
Qu'est-ce que le modèle de maturité crypto-agilité du NIST ?
Il s'agit d'un moyen d'évaluer le niveau de préparation au fil du temps. Les premières étapes reposent sur des efforts manuels et incohérents. Les organisations plus matures standardisent les politiques et les processus cryptographiques. Les plus matures considèrent la crypto-agilité comme une capacité fondamentale de gestion des risques, avec une visibilité continue et une amélioration constante. La ligne de démarcation est l'automatisation : sans elle, la crypto-agilité reste réactive et difficile à mettre à l'échelle.
Comment savoir à quel stade je me trouve ?
Posez-vous une question simple : Si un algorithme cryptographique était abandonné demain, saurions-nous où il est utilisé et pourrions-nous agir sans précipitation ? Si la réponse dépend de feuilles de calcul, de recherches manuelles ou de quelques personnes qui « savent tout simplement », vous en êtes probablement à un stade précoce. Si la découverte et la réponse sont automatisées et régies par des politiques, vous êtes plus avancé.
S'agit-il uniquement de cryptographie post-quantique ?
Non. La cryptographie post-quantique est le catalyseur, mais les recommandations du NIST indiquent clairement que la cryptographie continuera d'évoluer. La crypto-agilité consiste à être prêt à chaque fois que cela se produit.
