LesKeyfactor Days 2027, la conférence sur la sécurité de confiance, débarquent à San Diego !   Découvrez ce qui vous attend

  • Accueil
  • Blog
  • PQC
  • C'est quoi, cette « infrastructure de confiance » ?

C'est quoi, cette « infrastructure de confiance » ?

PQC

Il y a deux semaines, j'ai passé une journée à me promener dans le parc en compagnie de certains de nos meilleurs experts en identité IA, en cryptographie quantique et en confiance numérique. Je leur ai demandé de laisser de côté les discours officiels et de me dire ce qu'ils pensaient vraiment de l'avenir de ces éléments fondamentaux de la sécurité.

Les discussions étaient sincères et revenaient sans cesse sur la même idée : une façon d’envisager les fondements cryptographiques qui sous-tendent tout ce que nous construisons. Un changement de perspective. Nous avons commencé à appeler cette idée « infrastructure de confiance », et plus j’y réfléchissais, plus cela me semblait évident. Laissez-moi donc vous l’expliquer, comme on me l’a expliqué à moi.

Alors, qu'est-ce que c'est ?

Tout d’abord, je comprends. La « confiance » est l’un des mots les plus galvaudés dans le domaine de la cybersécurité. Nous l’utilisons sans cesse : « zéro confiance », « confiance dans les appareils », « limites de confiance ». Mais nous prenons rarement le temps de nous demander sur quoi repose réellement la confiance. Qu’est-ce qui rend quelque chose digne de confiance ? Certes, de nombreux éléments contribuent à software un appareil, une charge de travail ou software , mais il existe un niveau fondamental de sécurité qui… jusqu’à présent… a été largement négligé.

L'infrastructure de confiance est le fondement cryptographique qui permet aux machines, aux applications, aux appareils, aux agents d'IA et même aux êtres humains de prouver leur identité et de communiquer en toute sécurité. Les clés et les certificats permettent de vérifier l'identité. Les algorithmes chiffrent les données. Les signatures confirment l'authenticité du code et des documents. Les protocoles et les autorités établissent la confiance entre des parties qui ne se sont jamais rencontrées. 

Cela se produit sans cesse. Des milliers de fois par seconde. On n'y pense jamais, et c'est justement le but. Quand ça fonctionne, tout roule. Quand ça plante, tout ce qui repose dessus plante aussi. 

Il ne s'agit là d'aucune technologie nouvelle. Ce qui est nouveau, c'est la décision de la considérer comme une infrastructure critique, plutôt que comme un domaine de niche en matière de sécurité réservé aux rares personnes qui la maîtrisent.

Regardez la vidéo d'introduction à la série — « WTF is Trust Infrastructure » — pour découvrir rapidement ce concept et ce qu'il recouvre.

 

C’est ainsi que la plupart des organisations en sont arrivées là où elles en sont aujourd’hui. Les certificats et les clés sont omniprésents. Quant aux algorithmes et aux bibliothèques qui effectuent le véritable travail, ils sont enfouis dans du code et des configurations que personne n’a modifiés depuis des années. Chaque élément est considéré comme un outil ou un actif à part entière, géré de manière isolée par la dernière personne à y avoir touché. Ainsi, la cryptographie se retrouve partout, mais n’est pratiquement jamais prise en compte.

L’« infrastructure de confiance » n’est pas seulement un terme ; c’est un changement de perspective. Elle permet de replacer tous ces éléments dispersés dans leur juste contexte lorsque l’on prend du recul : une infrastructure unique et interconnectée dont dépend l’ensemble de l’entreprise. Et comme toute autre couche de sécurité — cloud, réseau, terminaux, applications —, elle doit faire l’objet d’une surveillance, d’une gestion et d’une gouvernance continues.

Pourquoi est-ce important ? Parce que la manière dont vous définissez un problème détermine la priorité qui lui est accordée. Si les certificats et les clés ne sont qu’une source de tracas, vous continuerez à les gérer à l’aide de tableurs et de scripts. S’il s’agit d’une infrastructure critique, vous leur attribuerez un responsable, une véritable visibilité, une politique rigoureusement appliquée et une automatisation évolutive. Seule l’une de ces approches résistera à ce qui nous attend.

Pourquoi cette affaire refait-elle surface aujourd'hui ?

Si cette discussion ne peut attendre, c’est parce que le terrain sur lequel repose cette infrastructure est en train de bouger, ébranlé par quatre défis majeurs :

  • Dette cryptographique : la cryptographie dont vous disposez mais que vous ne voyez pas, qui vieillit en silence et devient la plus grande surface de risque non gérée au sein de l’entreprise.
  • Identité des agents IA : une population d’identités cryptographiques non humaines dont la croissance dépasse toute capacité de régulation.
  • Certificats d'une durée de 47 jours : La durée de validité TLS passe d’un an à six semaines, ce qui entraîne une multiplication par 12 des coûts d’exploitation.
  • La menace quantique : collecter maintenant, décrypter plus tard : les données récupérées aujourd’hui seront décryptées dès qu’un ordinateur quantique suffisamment puissant sera disponible.

On pourrait facilement considérer ces éléments comme quatre postes distincts, mais ils ne sont pas isolés les uns des autres. Leurs effets se cumulent. La portée du phénomène s’étend. La fréquence des renouvellements (et la charge opérationnelle) s’accélère. Les algorithmes qui sous-tendent tout cela doivent être remplacés. Traités séparément, ce sont quatre projets complexes. Pris dans leur ensemble, ils constituent un bouleversement radical des moyens nécessaires pour maintenir la confiance.

Une promenade dans le parc (en réalité, ce n'en est pas une)

C'est pourquoi nous avons créé cette série de vidéos, que nous avons intitulée Une balade au parc. Le cadre est exactement celui-là : nos experts en plein air, se promenant dans des parcs et des espaces verts, s’exprimant comme ils le font réellement lorsqu’ils ne sont pas devant leurs diapositives. Mais le sujet abordé est tout sauf une promenade de santé. Chaque épisode (à partir de la semaine prochaine) explore l’une de ces quatre forces et ce que les organisations doivent faire pour s’y préparer.

Prochainement : rejoignez-moi pour une discussion avec Ellen Boehm, vice-présidente senior chargée de l'innovation et de la stratégie en matière d'IA, afin d'aborder le problème d'identité dont personne ne se sent responsable : les agents IA. Rendez-vous lors de la prochaine balade.