[TRIBUNE de Ellen Boehm, KEYFACTOR] L’accélération du risque quantique, l’essor de l’IA agentique, la nécessaire automatisation de la cryptographie, et le renforcement des exigences réglementaires obligeront les entreprises à repenser en profondeur leur approche de la sécurité et de la confiance numérique. Tels sont les grands enjeux qui vont marquer les évolutions de l’année 2026 au niveau même de la définition de ce qu'est la confiance numériques des entreprises industrielles comme l'explique ici les experts Keyfactor, un spécialiste en solution de sécurité pour les entreprises : Ellen Boehm, SVP, IoT Strategy and Operations; Tomas Gustavsson, Chief PKI Officer; Ted Shorter CTO; Chris Hickman, CSO; Guillaume Crinon, Director IoT Business Strategy et Pierre Codis, AVP of Sales Nordics & Southern Europe.

Le risque quantique : une échéance plus proche qu’on ne le pense. En 2026, l’écart entre la prise de conscience du risque quantique et le niveau réel de préparation ne pourra plus être ignoré. Les avancées rapides du calcul quantique et de la correction d’erreurs laissent présager des ordinateurs quantiques capables de briser les algorithmes actuels dès 2030.

Pourtant, près de la moitié des entreprises reconnaissent ne pas être prêtes, et seules 42 % ont réellement commencé à agir. Le problème est moins l’inertie que le manque de visibilité : la plupart ne disposent toujours pas d’un inventaire fiable de leurs actifs cryptographiques : un angle mort désormais critique.

Dans ce contexte, la première étape de toute stratégie post-quantique consistera à déployer des outils de découverte et d’inventaire automatisés pour identifier, classer et cartographier l’ensemble des objets cryptographiques : serveurs, applications, codes sources, binaires, équipements IoT, containers, disques durs, flux réseau et dépendances logicielles. Sans cette vision exhaustive, impossible de prioriser les actions, d’évaluer l’exposition au risque ou de planifier une migration efficace.

Cette étape sera également déterminante pour la gestion des risques cyber, des vulnérabilités, de la conformité réglementaire et de la supply chain. Ainsi, en 2026, les entreprises devront impérativement disposer d’une cartographie complète et actualisée de leurs actifs.

Or, le manque de compétences, les priorités concurrentes et l’absence de standards freinent déjà les efforts des entreprisesm et celles qui tarderont à agir s’exposeront à une transition plus coûteuse et plus risquée.

A l’inverse, celles qui adopteront des solutions d’inventaire cryptographique en continu, renforceront leur préparation post-quantique et leur résilience. Les entreprises tournées vers l'avenir ne se concentreront plus uniquement sur les nouveaux algorithmes mais sur l’agilité cryptographique et une confiance numérique durable.

L’automatisation comme condition essentielle de résilience. A mesure que la durée de vie des certificats TLS (Transport Layer Security) se réduit et que les entreprises se préparent au post-quantique, la confiance numérique se fragilise. Ce qui durait plus d’un an expirera bientôt en quelques semaines, révélant une réalité : le renouvellement manuel et les responsabilités fragmentées ne pourront pas perdurer.

Sans automatisation, les équipes seront rapidement submergées et le moindre manque de visibilité augmentera la probabilité d’une panne. Les incidents en témoignent : une entreprise sur dix subit chaque semaine un incident lié à un certificat, et 86 % en ont connu au moins un cette année.

Seules 17 % disposent d’une visibilité complète, preuve que l’écart entre conscience et préparation ne cesse de se creuser. D’ici 2029, lorsque la durée de vie des certificats atteindra 47 jours, la charge opérationnelle sera multipliée par dix.

Dès mars 2026, la réduction à 200 jours (contre 398 actuellement) suffira à saturer les équipes : la gestion manuelle a atteint ses limites et multipliera par cinq a charge liée aux certificats. Les entreprises qui adopteront l’automatisation complète du cycle de vie des certificats feront de cette contrainte un avantage stratégique.

En 2026, l’enjeu ne sera plus la durée de vie d’un certificat, mais la capacité à le détecter, le gérer et le renouveler en continu.

L’IA agentique : une nouvelle identité numérique à sécuriser. À l'approche de 2026, l’intelligence artificielle (IA) ne se contentera plus d'assister, elle agira : les "systèmes agents" prendront des décisions, initieront des transactions et accèderont directement aux données et infrastructures sensibles. Chacun d’entre eux devient désormais une nouvelle identité numérique qui doit être authentifiée, gérée et considérée comme fiable.

Aujourd’hui, de nombreuses entreprises cherchent surtout à prouver la valeur de leurs projets d’IA agentique, reléguant la sécurité au second plan comme lors de l’essor de l’IoT. Accorder un accès étendu à un agent IA revient à confier les clés de son réseau à quelqu’un dont on ignore l’intention et le comportement.

Cette négligence crée un terrain fertile pour les attaques. En 2026, les entreprises prendront conscience que sécuriser l’IA revient autant à protéger les données qu’à garantir une confiance vérifiable dans les décisions des agents.

A mesure que l'IA agentique se généralise, chaque agent IA doit disposer de sa propre identité cryptographique, renforcée par des certificats et un TLS mutuel. Les entreprises qui auront une longueur d’avance en 2026 seront celles qui auront intégré l'identité au cœur même de leurs architectures d’IA, les rendant intrinsèquement performants et fiables.

Ainsi, l’IA face aux exigences de conformité 2026 marquera la confrontation entre IA et obligations réglementaires des entreprises - les audits de sécurité révèleront certainement de nombreuses lacunes. Ce qui était toléré dans les projets pilotes ne le sera plus une fois les systèmes d’IA déployés en production.

Beaucoup d’entreprises découvriront alors que leurs contrôles, leur supervision et leur gouvernance n’ont pas suivi le rythme de l’innovation technologique. Les audits s’attacheront à clarifier la responsabilité des résultats générés, comment les modèles sont validés ou encore comment sont détectées et corrigées les décisions erronées prises par les algorithmes ?

Les entreprises devront alors démontrer que leurs systèmes d’IA sont supervisés et contrôlés avec le même niveau d’exigence que tout autre système critique.

Le Cyber Resilience Act : une course contre la montre. Le Cyber Resilience Act (CRA), qui entrera en vigueur en septembre 2026, imposera aux fabricants de produits numériques un suivi rigoureux des vulnérabilités logicielles et une obligation de notification des incidents à l’ENISA (Agence de l'Union européenne pour la cybersécurité).

14 mois plus tard, la réglementation s’appliquera pleinement. Avec des cycles de développement souvent compris entre 14 et 20 mois, tout produit conçu aujourd’hui doit donc déjà intégrer les exigences du CRA. La conformité reposera sur des choix technologiques solides pour sécuriser efficacement les produits : processeurs et composants sécurisés, démarrage et mises à jour du micrologiciel protégés, déploiement d’une infrastructure de signature fiable, mise en place d’une PKI (Public Key Infrastructure) pour les identités et les certificats.

Elle exigera également une sécurisation renforcée des étapes de fabrication et de personnalisation, même externalisées.

Enfin, l’adoption d’un outil complet de gestion de la SBOM (Software Bill of Materials) deviendra également indispensable pour assurer un suivi précis des vulnérabilités. Le CRA ne se limitera pas à la conception : les phases de développement, de fabrication et de tests devront également être évaluées et documentées.

Pour de nombreuses entreprises, cela impliquera une évolution significative de leurs pratiques. Mieux vaut donc s’y préparer dès à présent, étape par étape, plutôt que d’y être contraint par un calendrier.