Evertrust-Cryptosphere-2025
La première édition de Cryptosphère a réuni plus de 60 acteurs de l'écosystème cryptographique européen pour échanger sur l'un des défis technologiques les plus critiques de la décennie : la transition vers la cryptographie post-quantique. Entre retours d'expérience terrain, insights techniques et perspectives réglementaires, voici les enseignements clés de cette soirée.
Olivier Lievens, DSI de Business France, a partagé son parcours de migration d'ADCS Microsoft vers les solutions Evertrust. Son témoignage illustre parfaitement les enjeux d'une organisation publique face aux défis de souveraineté numérique.
"Evertrust a été le premier éditeur à m’écouter avant de me dire ce que je devais faire."
Cette approche contraste avec l'expérience habituelle du marché PKI, où les éditeurs proposent souvent des solutions informatiques complexes et coûteuses sans prendre le temps de comprendre le besoin réel. Pour Business France, l'enjeu était clair : disposer d'une capacité de certificat pour chiffrement et signature avec les ministères des Affaires étrangères et de l'Économie, tout en respectant les contraintes d'une équipe IT réduite (1500 collaborateurs dans 55 pays).
La problématique de la souveraineté était centrale : "On voulait du souverain, mais être heureux de prendre du souverain. Avoir du souverain qui marche et qui fit avec nos besoins." Une phrase qui résume l'approche pragmatique nécessaire dans un contexte où les solutions européennes doivent rivaliser avec les géants américains sur l'efficacité et l'utilisabilité.
L'une des analogies les plus marquantes de la soirée est venue d'Olivier Lievens pour expliquer l'approche de la sécurité cryptographique : "Le lion ne chasse pas forcément la plus belle gazelle. Il va bouffer celle qui court le moins vite."
Appliquée à la cryptographie, cette métaphore souligne une réalité souvent négligée : votre niveau de sécurité est déterminé par votre maillon le plus faible, pas par vos innovations les plus avancées. Inutile d'implémenter des algorithmes post-quantiques dernier cri si des protocoles obsolètes comme MD5 ou SHA-1 persistent dans votre infrastructure.
Olivier partage d'ailleurs sa propre expérience : "En 2017, j'ai découvert que j'avais encore du SSL 2.0, du MD5, du SHA-1. J'ai vraiment galéré pour tuer ça, même s'ils étaient officiellement percés." Cette anecdote illustre un phénomène bien documenté : la coexistence prolongée d'anciens protocoles compromis avec des technologies récentes. Son conseil pour la migration post-quantique est sans équivoque : "Il faut absolument prendre le sujet en amont pour ne pas se retrouver coincé comme avant."
Charles Papin de CryptoNext Security a révélé un chiffre surprenant qui remet en perspective les débats sur la maturité de la cryptographie post-quantique.
Aujourd'hui, 30% du trafic internet utilise déjà l'algorithme MLKM. Cloudflare, Google et d'autres acteurs majeurs déploient de la cryptographie hybride (ML-KEM 768 avec courbes elliptiques) dans les connexions TLS standard. "C'est quelque chose qui marche, qui fonctionne. On n'a plus d'excuses pour ne pas sauter le pas."
Cette réalité contraste avec la perception du marché, où la cryptographie post-quantique est encore perçue comme expérimentale. Le décalage entre adoption technique (déjà en cours) et perception marché diminue rapidement, alimenté par des échéances réglementaires de plus en plus précises.
Les drivers réglementaires se précisent et les délais se raccourcissent : -> 2027-2030 : L'Europe (calendrier en cours de définition) -> 2030 : L'Australie arrête l'utilisation de RSA -> 2035 : NIST retire la certification FIPS pour les équipements sans capacités post-quantiques
Charles Papin identifie trois raisons majeures pour entamer dès maintenant la transition :
-> Vulnérabilité immédiate : les attaques "harvest now, decrypt later" stockent déjà vos données chiffrées dans l'attente d'ordinateurs quantiques opérationnels -> Durée des migrations : l'expérience montre que les transitions cryptographiques prennent des années (SHA-1 était cassé en 2005, largement utilisé jusqu'en 2015-2017) -> Convergence technologique et réglementaire : la technologie quantique progresse tandis que la réglementation se durcit, créant une fenêtre d'action de plus en plus étroite
Un chiffre intéressant a émergé en fin de soirée : selon une étude d'un grand cabinet international, la migration post-quantique représenterait 2,5% du budget IT annuel d'une entreprise, étalé sur 5 ans. Pour une banque disposant d'un milliard d'euros de budget IT annuel, cela représente 25 millions d'euros par an pendant 5 ans. Un investissement conséquent mais maîtrisable, surtout comparé aux coûts d'une migration subie dans l'urgence.
Jean-Julien Alvado, CTO d'Evertrust, a détaillé l'approche produit pour accompagner cette transition. L'objectif : "muscler la gazelle pour qu'elle échappe au lion."
Les solutions intègrent déjà les capacités post-quantiques :
-> PKI supportant l'émission de certificats avec ML-DSA, ML-KEM et SLH-DSA -> CLM capable de découvrir des certificats post-quantiques ou hybrides -> Intégration avec les boîtiers cryptographiques quantum-safe du marché (notamment Thales Luna)
Cette première édition a posé les bases d'un écosystème français et européen structuré autour de la transition post-quantique. Les échanges ont confirmé que le défi n'est plus uniquement technique mais opérationnel : comment orchestrer cette migration à l'échelle d'organisations complexes, avec des contraintes de budgets, de compétences et de délais.
La prochaine édition devra sans doute aborder les premiers retours d'expérience de déploiements en production, les évolutions réglementaires européennes et l'émergence de nouveaux standards. Car si 30% du trafic internet utilise déjà des algorithmes post-quantiques, le chemin vers une transition complète ne fait que commencer.
Retrouvez toutes les présentations de Cryptosphère 2025 et rejoignez notre communauté d'experts sur evertrust.io/events
