Inventaire cryptographique : la base de la préparation post-quantique

La migration post-quantique nécessite de savoir où la cryptographie est utilisée, comment, et qui la contrôle. Pourtant, la plupart des organisations manquent d'un inventaire cryptographique—une cartographie structurée des systèmes, protocoles et dépendances qui utilisent le chiffrement, l'échange de clés ou les signatures numériques.

Pourquoi l'inventaire compte

Sans visibilité, les organisations ne peuvent pas :

• Évaluer l'exposition : Quels systèmes reposent sur des algorithmes vulnérables (RSA, ECDH, ECDSA) ?
• Prioriser la migration : Qu'est-ce qui est migré en premier, et pourquoi ?
• Gérer le risque tiers : Quels fournisseurs contrôlent les décisions crypto critiques ?
• Suivre les progrès : Comment mesurer la préparation dans le temps ?

Un inventaire n'est pas juste une liste technique. Il connecte les actifs métier (données, systèmes, processus) aux mécanismes cryptographiques (TLS, certificats, VPN, signature) et à la responsabilité (interne vs fournisseur, contrôle direct vs indirect).

Que faire

Commencer par les systèmes critiques et les données à long terme. Documenter : nom du système, objectif métier, fonction crypto (chiffrement, authentification, signature), symétrique vs asymétrique, dépendance directe vs indirecte, sensibilité des données, période de rétention. Le garder gérable et actionnable—se concentrer sur le support décisionnel, pas l'exhaustivité.

Intégrer l'inventaire dans la gestion des risques et les processus d'achat. Le réviser périodiquement au fur et à mesure que les systèmes changent. Une évaluation de maturité structurée (comme le Modèle de Maturité Post-Quantique Qubixor) aide les organisations à évaluer l'exhaustivité de l'inventaire et identifier les lacunes.