Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Article de blog

Pourquoi la migration PQC commence bien avant le remplacement des algorithmes

4 juin 2026
6 min de lecture

Publié le

4 juin 2026

Par Jean-Julien Alvado, CTO d'Evertrust

La cryptographie post-quantique est souvent présentée comme un problème d'algorithmes.

Quels algorithmes seront standardisés ? Lesquels seront adoptés en premier ? Quels systèmes devront évoluer, et quand ?

Ce sont des questions légitimes. Mais ce n'est pas le meilleur point de départ.

Parce qu'en pratique, la migration post-quantique ne commence pas par le remplacement des algorithmes. Elle commence beaucoup plus tôt, avec la visibilité, la gouvernance et la capacité à faire évoluer la cryptographie sans perdre le contrôle de l'environnement qui l'entoure.

C'est la partie que beaucoup d'organisations commencent à découvrir.

La partie la plus difficile de la transition post-quantique ne sera pas de sélectionner de nouvelles primitives cryptographiques. Ce sera de comprendre où la cryptographie est utilisée aujourd'hui, ce qui en dépend, qui en est responsable, et comment la modifier en sécurité à travers un parc vaste et hétérogène.

Autrement dit, la migration PQC n'est pas seulement un défi cryptographique. C'est un défi opérationnel.

On ne migre pas ce qu'on ne voit pas

Toute migration sérieuse commence par une question simple : que possédons-nous réellement ?

Cette question est bien plus difficile à répondre qu'elle ne devrait l'être.

Dans la plupart des organisations, la cryptographie est profondément ancrée dans l'infrastructure, les applications, les certificats, les équipements, les API, les systèmes d'identité, les composants réseau, les chaînes d'approvisionnement logicielles et les intégrations partenaires. Une partie est visible et bien gérée. Une grande partie ne l'est pas.

Au fil du temps, les environnements accumulent :

  •  des certificats hérités dont personne n'assume pleinement la responsabilité 
  •  des relations de confiance documentées une fois et jamais revues 
  •  des dépendances cryptographiques codées en dur 
  •  des applications construites sur des hypothèses qui ne reflètent plus la politique actuelle 
  •  des processus manuels qui « fonctionnent » tant que le changement n'est pas exigé à grande échelle 

C'est pourquoi la première phase de la préparation PQC n'est pas le remplacement. C'est la découverte. Les organisations doivent identifier où la cryptographie est présente, comment elle est utilisée, à quoi ressemble la chaîne de dépendances et quels actifs risquent de devenir des bloquants plus tard. Sans cette base, la planification de la migration reste théorique.

Et plus l'environnement est vaste, plus ce point aveugle devient dangereux.

Le vrai défi n'est pas l'algorithme. C'est la carte des dépendances.

Remplacer un algorithme de manière isolée est rarement le problème. Le problème, c'est tout ce qui y est connecté. Un certificat n'est pas qu'un certificat. Il est lié aux applications, aux load balancers, aux systèmes d'exploitation, aux trust stores, aux modules de sécurité matériels, aux autorités de certification, aux politiques internes, aux partenaires externes et aux workflows de renouvellement. Il en va de même pour les clés, les protocoles et les systèmes d'identité plus largement.

Reprenez le contrôle de votre infrastructure PKI

Découvrez comment Evertrust simplifie la gestion de vos certificats.

Démarrer

Cela signifie que la migration PQC ressemble moins à une mise à niveau technique qu'à un changement d'écosystème. La question n'est pas simplement : « Ce composant peut-il supporter un algorithme post-quantique ? »

Les vraies questions sont :

  •  Qu'est-ce qui dépend de ce composant ? 
  •  Qu'est-ce qui casse s'il change ? 
  •  Qu'est-ce qui ne peut pas évoluer à la même vitesse ? 
  •  Où avons-nous besoin d'approches hybrides ou de périodes de transition ? 
  •  Quels tiers évolueront plus lentement que nous ? 

C'est pourquoi les organisations qui traitent la PQC comme un projet de remplacement futur risquent fort de sous-estimer l'effort requis. Lorsque le remplacement des algorithmes deviendra urgent, le vrai travail devrait déjà être en cours.

La gouvernance devient un contrôle de sécurité

Une autre idée fausse est que la migration PQC est avant tout un sujet d'équipes techniques. Ce n'est pas le cas. À grande échelle, la migration réussit ou échoue en fonction de la gouvernance.

-> Quelqu'un doit définir la propriété.
-> Quelqu'un doit fixer la politique.
-> Quelqu'un doit décider comment le risque est priorisé, comment les exceptions sont gérées, comment les dépendances sont suivies et comment les changements sont validés entre équipes.

Sans cette couche de gouvernance, même des plans de migration techniquement solides peuvent caler.

C'est particulièrement vrai dans les environnements où la responsabilité de la cryptographie est fragmentée entre l'infrastructure, la sécurité, l'IAM, les équipes applications, les équipes réseau et les fournisseurs externes. Dans ces cas, le problème n'est pas le manque de conscience. C'est le manque de coordination.

Envie d’approfondir la gestion des certificats ?

Explorez nos ressources sur les bonnes pratiques PKI.

Centre éducatif

La PQC élève la barre parce qu'elle oblige les organisations à répondre à des questions qu'elles ont souvent reportées pendant des années :

  •  Qui possède la stratégie d'identité machine ? 
  •  Où la politique de certificats est-elle définie et appliquée ? 
  •  Comment les changements cryptographiques sont-ils approuvés et suivis ? 
  •  Comment évitons-nous de créer de nouvelles exceptions chaque fois que l'environnement évolue ? 

C'est pourquoi la migration PQC devrait être vue comme un programme de gouvernance autant que comme une feuille de route technique.

La crypto-agilité est le véritable objectif de long terme

La transition post-quantique compte. Mais la leçon plus large dépasse la PQC elle-même. La cryptographie continuera à évoluer. Les algorithmes évoluent. Les standards évoluent. Les modèles de confiance évoluent. Les modèles de menace évoluent. Les cycles de vie raccourcissent. Les attentes opérationnelles augmentent. Les organisations ne devraient donc pas viser uniquement à « passer le cap de la PQC ». Elles devraient viser à devenir plus crypto-agiles.

La crypto-agilité, c'est la capacité d'adapter les choix cryptographiques, les politiques et les opérations de confiance dans le temps sans avoir à reconstruire l'organisation chaque fois que quelque chose change. 

Cela exige plus qu'un nouveau support cryptographique. Cela exige :

  •  une visibilité continue sur les certificats, les clés et les dépendances 
  •  une gouvernance centralisée et une application des politiques 
  •  des processus de cycle de vie reproductibles 
  •  de l'automatisation là où le travail manuel deviendrait sinon un goulot d'étranglement 
  •  un modèle d'exploitation conçu pour le changement, et pas seulement pour la maintenance 

C'est pourquoi le travail que les organisations font dès maintenant — inventorier les actifs, rationaliser les workflows, améliorer la gestion du cycle de vie des certificats et clarifier la propriété — n'est pas séparé de la migration PQC. C'en est le socle.

Pour conclure

La migration post-quantique n'est pas une course pour remplacer les algorithmes du jour au lendemain. C'est une longue transition qui récompensera les organisations disposant des fondations opérationnelles les plus solides.

Ces fondations se construisent bien avant que le remplacement ne commence.

Elles se construisent quand les équipes améliorent la visibilité. Quand elles gouvernent la confiance de manière plus cohérente. Quand elles réduisent les dépendances manuelles.
Quand elles cessent de traiter la cryptographie comme un domaine technique isolé et commencent à la gérer comme une part vivante des opérations numériques.

C'est pourquoi la migration PQC commence bien avant le remplacement des algorithmes, et c'est pourquoi les organisations qui se préparent maintenant seront les mieux placées pour s'adapter, non seulement au changement post-quantique, mais aussi à tout ce qui viendra après.

Cet article vous a-t-il été utile ?
Retour au blog

Sommaire

Restez informé

Recevez nos dernières analyses PKI directement dans votre boîte mail.

En vous inscrivant, vous acceptez de recevoir nos communications.

Articles similaires

Evertrust PQC

Are European enterprises ready for Post-Quantum Cryptography (PQC) migration? The gaps and the path forward

September 10, 2025
1 min

Explore why PQC adoption lags in Europe, the real blockers, and how to achieve quantum-safe security.

Read more
Evertrust PQC

NIST Releases New Post-Quantum Cryptography Standards

September 10, 2025
1 min

Discover NIST’s new Post-Quantum Cryptography standards (FIPS 203, 204, 205) and how Evertrust is preparing to integrate them for enhanced cybersecurity.

Read more
Evertrust ACME

ACME Clients on Linux

February 12, 2024
1 min

The ACME protocol is a network protocol designed to automate the process of domain validation, deliverance and renewal of X.509 certificates. The process is set up between an ACME server and an ACME client.

Read more

Prêt à reprendre le contrôle de vos certificats ?

Échangez avec nos experts et découvrez comment Evertrust peut vous aider à mettre en place les meilleures pratiques en matière de PKI et de gestion du cycle de vie des certificats.

Parler à un expert