La plupart des cyberattaques ne commencent ni par un ransomware ni par un malware sophistiqué, mais par une identité compromise, mal gérée ou devenue invisible dans le système d’information. Agents publics, applications, serveurs, cartes à puce, tokens, certificats logiciels, dans les organisations, les identités humaines et machines se multiplient à toute vitesse. Avec, en ligne de mire, une pression croissante sur la gestion des certificats, la transition post-quantique et la réduction de la dépendance à des briques étrangères. C’est sur ce terrain que Nexpublica et Evertrust se positionnent avec une chaîne souveraine associant IAM, CLM et PKI
Une PKI, ou infrastructure à clés publiques, sert à émettre, distribuer, vérifier, renouveler et révoquer des certificats numériques. Ces certificats jouent le rôle de cartes d’identité numériques. Ils lient une personne, une machine, un serveur ou une application à une clé cryptographique. C’est ce qui permet d’authentifier un accès, de chiffrer un échange ou de signer un document.
Le problème, c’est que ces certificats sont omniprésents. Ils concernent à la fois les sites web, mais aussi les postes de travail, les VPN, les badges, les cartes, les tokens, les applications et les équipements. “Il y a des identités absolument partout, résume Morgan Follier, qui chapeaute la division Cyber Security de Nexpublica. Et cette prolifération change l’échelle du problème. Il ne s’agit plus seulement d’authentifier un agent ou un utilisateur, mais de maîtriser un parc entier d’identités humaines et machines, matérielles et logicielles“.
La PKI devient donc une fonction industrielle. Car un certificat expiré ou invalide peut provoquer l’échec d’une connexion TLS, bloquer l’authentification d’un client à un serveur, interrompre un accès distant ou casser une relation de confiance entre les différentes briques du SI. “Un certificat en fin de vie peut mettre à l’arrêt un service, un flux ou un usage métier” confirme Morgan Follier.
La souveraineté PKI devient un sujet concret
Et le problème ne va faire qu’empirer avec la réduction programmée de la durée de vie des certificats TLS publics. Le CA/Browser Forum a, en effet, arrêté un calendrier qui ramènera leur validité maximale à 100 jours en mars 2027, puis à 47 jours en mars 2029. Cette décision vise à réduire la fenêtre d’exposition en cas de compromission, à pousser l’automatisation et à limiter la confiance accordée trop longtemps à des certificats ou à des validations devenus obsolètes. Plus les certificats vivent peu de temps, plus le système doit être capable de les renouveler proprement, vite et à grande échelle.
C’est là que la souveraineté fait son apparition et prend un sens concret. Dans de nombreux secteurs (énergie, transport, finance, services publics), une partie des infrastructures repose encore sur des briques Microsoft, notamment Active Directory Certificate Services, le rôle Windows Server dédié à la PKI. Or, dans des environnements sensibles, l’exigence d’une PKI mieux pilotable, mieux intégrable dans des environnements hétérogènes, plus automatisable, plus auditable, et portée par une chaîne de confiance maîtrisée localement, s’accroît. Morgan Follier confirme d’ailleurs un “mouvement de fond autour de la souveraineté” et le souhait, chez certains clients, de remplacer la PKI Microsoft.
Le partenariat entre Nexpublica et Evertrust s’inscrit précisément dans cette logique. Nexpublica apporte la gestion des identités et des supports cryptographiques (cartes, badges, tokens, accès physiques et logiques), tandis qu’Evertrust industrialise le cycle de vie des certificats. L’intérêt est de couvrir la chaîne complète : l’IAM pour savoir qui ou quoi accède, la PKI pour produire la confiance cryptographique, le CLM pour gérer automatiquement la vie et la mort des certificats.
Le post-quantique en arrière-plan
Derrière cet enjeu opérationnel, un autre front se profile déjà, celui du post-quantique. Le NIST a publié en 2024 ses premiers standards de cryptographie post-quantique, et l’ANSSI pousse à anticiper la transition. “Une large partie des clés repose encore sur une crypto ancienne et les organisations ne savent pas toujours localiser leurs actifs cryptographiques, ni mesurer leur compatibilité avec les futurs algorithmes“, précise Morgan Follier. “Elles ont pourtant tout intérêt à prendre le sujet en main dès maintenant et à se demander où se trouvent leurs actifs cryptographiques, quels certificats elles utilisent encore, et avec quels algorithmes ?“.
Car sans visibilité sur les certificats, il n’y aura ni automatisation sérieuse, ni migration post-quantique crédible, ni souveraineté réelle.
