Si l'année 2025 nous a appris quelque chose, c'est que le paysage de la cybersécurité et de la PKI n'attend personne pour reprendre son souffle. Ce qui n'était au départ que des rumeurs sur la réduction de la durée de vie des certificats TLS s'est rapidement transformé en échéances concrètes. L'IA est passée du statut de gadget pratique et intéressant à celui de force capable de remodeler à la fois les défenseurs et les attaquants. La cryptographie post-quantique (PQC) est en train de passer du stade conceptuel à celui de la planification concrète de la sécurité, et les cadres d'identité numérique ont commencé à s'étendre bien au-delà du domaine des données personnelles. Et bien sûr, les ransomwares ont continué à sévir sans relâche dans les organisations du monde entier, prouvant une fois de plus qu'ils ne sont pas près de disparaître.
À l'approche de 2026, le rythme ne fait que s'accélérer. L'agilité, l'automatisation et l'assurance de l'identité étaient autrefois des mots à la mode dans le secteur pour parler de l'avenir ; aujourd'hui, ce sont des stratégies de survie. Les organisations qui prospéreront seront celles qui sauront s'adapter rapidement, automatiser sans relâche et prouver leur fiabilité à chaque interaction numérique.
1. L'adoption de l'IA en plein essor : pour le meilleur et pour le pire
Il est difficile de trouver une technologie qui ait évolué plus rapidement ou provoqué plus de bouleversements que l'IA au cours des deux dernières années. L'IA est passée du stade expérimental à celui de nécessité, s'intégrant dans les opérations commerciales quotidiennes. Ce qui a commencé par des cas d'utilisation isolés, comme l'automatisation de tâches répétitives ou l'assistance au support, a rapidement transformé l'ensemble des flux de travail. D'ici 2026, il sera rare de trouver une organisation qui ne s'appuie pas sur l'IA pour au moins certaines de ses décisions opérationnelles.
Cette évolution rapide est à la fois prometteuse et dangereuse. Du côté défensif, l'IA renforce déjà la cybersécurité grâce à la surveillance des certificats, la détection des anomalies et la prévision des pannes avant qu'elles ne se produisent. Cependant, les pirates informatiques sont tout aussi prompts à l'utiliser comme arme, en s'en servant pour créer des campagnes de phishing convaincantes, générer des logiciels malveillants adaptatifs et usurper l'identité d'organisations avec une précision déconcertante. Les obstacles à la cybercriminalité sophistiquée s'amenuisent rapidement.
« D'ici 2026, la plupart des organisations auront adopté l'IA dans le cadre des tâches quotidiennes de leurs employés. Si vous ne tirez pas parti et n'utilisez pas tous les outils d'IA à votre disposition au cours des douze prochains mois, vos concurrents commenceront à vous devancer. Il s'agit d'efficacité et de productivité, pas de robots Terminator. » – Steven Hall
À ce stade, une chose est claire : éviter l'IA n'est pas une option. Les organisations qui prospéreront seront celles qui l'adopteront de manière responsable, stratégique et avec des garde-fous solides.
La prédiction : l'IA va remodeler la cybersécurité plus rapidement que ne le prévoient la plupart des organisations. Son impact se fera sentir dans les opérations, la défense et les stratégies d'attaque. En 2026, le succès dépendra de la manière dont les entreprises intégreront l'IA dans leurs pratiques de sécurité.
2. L'identité numérique évolue au-delà des données personnelles
Si la dernière décennie a consisté à prouver qui vous êtes en ligne à l'aide de mots de passe, de jetons et de certificats, 2026 s'annonce comme l'année où il faudra prouver qui vous êtes dans un contexte numérique plus large. L'identité numérique prend une importance croissante, dépassant les mots de passe et les identifiants de connexion ; elle s'étend aux passeports, aux portefeuilles et aux cadres soutenus par les gouvernements qui rendent l'identité portable au-delà des frontières et des secteurs. Nous avons déjà vu des réglementations telles que la PSD3 en Europe et la proposition d'identité numérique nationale au Royaume-Uni à cette fin.
Si la commodité est évidente, le véritable débat porte sur la confiance et le contrôle, l'emplacement des données d'identité et leur gestion. Les autorités de certification, auxquelles on fait depuis longtemps confiance pour valider les domaines et délivrer des certificats, sont désormais considérées comme des modèles pour l'identité numérique à grande échelle. Leurs processus de vérification et leurs cadres de confiance bien établis pourraient servir de base à des systèmes qui valident les individus de manière aussi fiable que les organisations, redéfinissant ainsi la manière dont l'identité numérique est gérée à l'échelle mondiale.
Prévision : 2026 sera une année décisive pour les cadres d'identité numérique. Nous devons nous attendre à l'émergence de nouvelles normes, harmonisées entre différents secteurs tels que la santé, la finance et le voyage. Les organisations qui adopteront ces changements dès le début bénéficieront d'une expérience client plus fluide et d'une conformité renforcée, tandis que celles qui y résisteront risquent de se retrouver en décalage avec les attentes des régulateurs et des utilisateurs.
3. Accélération du passage aux certificats à courte durée de vie
Il ne semble pas si lointain le temps où nous avons commencé à parler des certificats SSL/TLS de 47 jours. À l'époque, beaucoup considéraient cela comme un débat théorique, quelque chose qui pourrait arriver « un jour ». Aujourd'hui, ce « un jour » a une date marquée en rouge : le 15 mars 2026. C'est à cette date que la première étape importante de la mise en application aura lieu, et que les organisations ressentiront l'impact pratique de la réduction de la durée de vie des certificats.
La réalité est que de nombreuses équipes ne sont toujours pas préparées. Après des années de changements relativement lents dans les règles relatives à l'infrastructure à clé publique (PKI), il est facile de devenir insensible. Mais nous ne pouvons pas traiter les certificats à courte durée de vie comme une simple mesure de conformité supplémentaire, car ce n'est pas le cas : ils modifient fondamentalement la manière dont les organisations gèrent la confiance.
« Il y a cette incertitude, car lorsque nous avons commencé à voir beaucoup de communications envoyées aux clients, ceux-ci voyaient des dates allant jusqu'en 2029. Et après avoir discuté directement avec les clients, le consensus général est que quatre ans, dans notre secteur, c'est très loin. Cependant, là où nous en sommes aujourd'hui, les gens réalisent simplement que nous sommes le 15 mars, et que la première baisse n'est plus très loin. » - Steven Hall
Pourquoi les navigateurs veulent-ils raccourcir les périodes de validité ?
- Ils limitent l'exposition en cas de compromission d'une clé privée.
- Ils réduisent la fenêtre d'attaque pour les certificats mal émis.
- Ils imposent une discipline opérationnelle plus stricte dans les écosystèmes de certificats.
Où les entreprises ressentiront la pression :
- Suivi des stocks — Savez-vous vraiment où se trouvent tous vos certificats ?
- Processus de renouvellement — Votre équipe est-elle en mesure de gérer les renouvellements tous les 90 jours ?
- Maturité de l'automatisation — Le cycle de vie de vos certificats est-il automatisé ou repose-t-il encore sur des feuilles de calcul et des rappels ?
Et cela ne concerne pas seulement le SSL/TLS. Les certificats de signature de code seront également soumis à des changements le 1er mars 2026, qui auront des répercussions sur les équipes de développement et l'ensemble de la chaîne d'approvisionnement logicielle.
Prévision : 2026 verra une vague de pannes causées non pas par des pirates informatiques, mais par des organisations qui trébucheront sur leurs propres lacunes en matière de gestion des certificats. L'ironie est que bon nombre de ces mêmes organisations investiront massivement dans l'adoption de l'IA, tout en laissant l'automatisation des certificats au second plan, jusqu'à ce qu'elle provoque une panne critique.
Maîtrisez les certificats de 47 jours et commencez à automatiser dès aujourd'hui
4. Les ransomwares restent une menace dominante
S'il y a une chose que tous les acteurs de la cybersécurité souhaiteraient voir disparaître en 2025, ce sont les ransomwares. Mais malheureusement, ils restent des invités indésirables qui refusent de partir.
Au cours de l'année écoulée, nous avons assisté à des attaques qui ont largement dépassé le cadre du réseau d'une seule entreprise. Lorsque de grands fournisseurs de services ou fabricants ont été touchés, les répercussions se sont propagées à l'ensemble des chaînes d'approvisionnement, des itinéraires d'expédition et même des prix à la consommation. Cela nous a rappelé de manière saisissante que les ransomwares ont dépassé le cadre informatique pour devenir un problème de continuité des activités, un problème économique et parfois même un problème de sécurité nationale.
La raison pour laquelle les ransomwares continuent de gagner est simple : les attaquants savent que les gens aiment cliquer sur des liens. Et aujourd'hui, grâce à l'intelligence artificielle qui permet de créer des messages personnalisés, des identités falsifiées et une grammaire presque parfaite, les e-mails de phishing ne ressemblent plus à des escroqueries évidentes. Certains sont si convaincants que même les utilisateurs avertis en viennent à douter d'eux-mêmes.
Cette pression modifie les comportements au sein des organisations, certains employés choisissant de se désengager complètement en refusant de cliquer sur des liens ou d'utiliser de nouveaux outils. Bien que compréhensible, le fait de se détourner de la technologie n'est pas une défense viable. La véritable solution réside dans une atténuation plus intelligente : une assurance d'identité plus forte, une sécurité renforcée des e-mails, des écosystèmes de certificats fiables et des conseils clairs pour les utilisateurs finaux qui naviguent dans un paysage de menaces de plus en plus chaotique. L'IA arme peut-être les attaquants, mais elle donne également aux défenseurs de nouveaux outils pour une détection plus rapide et une réponse adaptative.
Prévision : les ransomwares continueront d'évoluer plus rapidement en 2026 grâce aux sondes alimentées par l'IA et aux attaques ciblées. Les organisations qui les géreront le mieux seront celles qui miseront sur la visibilité, l'automatisation et la sécurité basée sur l'identité, et non celles qui se détourneront complètement de la technologie.
5. Le post-quantique rend la crypto-agilité obligatoire
La cryptographie post-quantique n'est plus une préoccupation lointaine comme elle l'était autrefois. À l'aube de 2026, elle devient une réalité opérationnelle. Le risque de « récolter maintenant, décrypter plus tard » signifie que les attaquants stockent déjà des données cryptées, en attendant que les machines quantiques les déverrouillent. Cela fait de la crypto-agilité (la capacité à échanger rapidement des algorithmes et des certificats) une compétence essentielle à la survie. Les certificats à courte durée de vie jouent directement sur ce point, car leur rotation fréquente permet de développer la discipline nécessaire aux migrations PQC
« L'informatique post-quantique est vraiment intéressante, car les gens ne se rendent pas compte du véritable problème. Si j'interceptais des données cryptées dès maintenant, je pourrais les capturer, les conserver pendant un certain temps, puis, lorsque j'aurais la puissance de calcul nécessaire, je pourrais attaquer ces données et les décrypter. C'est la menace « récolter maintenant, décrypter plus tard ». – Steven Hall
Alors, où en sommes-nous à l'aube de 2026 ?
- Les autorités de certification (CA) mènent des expériences et, ce faisant, ouvrent la voie à des certificats hybrides et à des stratégies de migration.
- Les navigateurs et les systèmes d'exploitation s'alignent sur l'atténuation des risques afin de ne pas perturber Internet du jour au lendemain (espérons-le).
- Les gouvernements et les régulateurs encouragent sérieusement l'adoption du PQC tout en mettant en garde contre une prudence excessive qui freine l'innovation.
Le grand changement en 2026 est que la cryptographie post-quantique pourrait cesser d'être un « projet futur » théorique pour devenir une réalité opérationnelle. Nous avons déjà eu les premières normes de cryptographie post-quantique du NIST en 2024. Aujourd'hui, les entreprises et les écosystèmes du secteur public sont susceptibles de commencer à déployer des projets pilotes, en testant des modèles hybrides qui combinent des algorithmes classiques et des algorithmes résistants à la cryptographie quantique.
Prévision : d'ici la fin 2026, nous verrons des projets pilotes PQC mis en œuvre dans tous les secteurs, de la finance à la santé, les certificats hybrides devenant le terrain d'essai de la crypto-agilité. Les organisations qui ont déjà investi dans l'automatisation et les stratégies de certificats à courte durée de vie auront une longueur d'avance, tandis que celles qui s'accrochent encore aux processus manuels auront du mal à suivre le rythme
Protégez vos données avant l'arrivée du quantique
6. PKI native du cloud et automatisation
L'adoption du cloud continue de s'accélérer, les organisations multipliant les charges de travail, les conteneurs et les microservices, chacun nécessitant sa propre identité et son propre certificat dans une marche épuisante. Ce qui semblait autrefois être un projet spécial, la PKI dans le cloud est désormais la norme. Les ingénieurs s'attendent à ce que les certificats soient renouvelés et renouvelés automatiquement, les équipes de sécurité s'attendent à une visibilité sans avoir à jongler avec les tableaux de bord, et les dirigeants s'attendent à une rapidité sans risque supplémentaire.
C'est là que la PKI native du cloud prend tout son sens. Au lieu d'adapter les anciens systèmes aux nouveaux environnements, les entreprises choisissent désormais des plateformes conçues pour l'automatisation dès le départ. L'objectif est simple : les certificats doivent fonctionner de manière transparente dans des systèmes dynamiques sans devenir un cauchemar en termes de maintenance.
La prédiction : Avec la réduction de la durée de validité des certificats et la multiplication des microservices, les organisations qui ne se sont pas encore automatisées commenceront à ressentir la pression. D'ici la fin 2026, l'automatisation des certificats ne sera plus un élément « agréable à avoir ». Ce sera une condition de survie pour fonctionner dans des environnements cloud natifs sans exercices d'évacuation constants.
Déployer l'automatisation des certificats à grande échelle dans le cloud
Se préparer à une année 2026 en pleine mutation
S'il y a un thème qui revient dans toutes nos prévisions pour 2026, c'est la vitesse. Tout va plus vite : l'évolution de l'IA, la sophistication des attaques, les changements de validité des certificats et les attentes réglementaires. Il n'y a plus le temps d'attendre « le prochain grand changement », car nous y sommes déjà.
« Car alors que la technologie progresse à grands pas, une constante demeure : les personnes. Les organisations qui investissent dans la gestion des risques humains, dans un leadership responsable et dans la planification d'une reprise rapide détecteront ce que les autres ne voient pas et résisteront à ce que les autres ne peuvent pas supporter. Ainsi, 2026 ne sera pas marquée par la crainte des cyberattaques, mais par le progrès, par l'évolution d'une prise de conscience sans action vers une prise de conscience qui mène à l'action. » - Jane Frankland
La bonne nouvelle, c'est que les organisations n'ont pas à relever ces défis à l'aveuglette. La PKI reste l'un des fondements les plus fiables pour la confiance, l'identité et la sécurité des communications. Avec une automatisation, une visibilité et des partenaires adaptés, il est possible de garder une longueur d'avance sur les menaces au lieu de réagir constamment à celles-ci.
As we enter a year defined by agility and adaptation, now is the moment for businesses to review their certificate systems, upgrade their processes, and prepare for the March 2026 changes before they arrive. 2026 is going to be a defining year for digital trust. Those who prepare early will come out stronger. Those who wait may find themselves learning the hard way. If there’s ever been a time to invest in smarter certificate management and stronger identity assurance, it’s now.
Contactez-nous pour transformer les défis de 2026 en opportunités.
