Comment réaliser un inventaire cryptographique complet en entreprise

La cryptographie est le socle invisible sur lequel repose la sécurité de toute organisation moderne. Des communications chiffrées aux signatures numériques, en passant par l’authentification des utilisateurs et la protection des données au repos, les mécanismes cryptographiques sont omniprésents dans les infrastructures d’entreprise. Pourtant, la majorité des organisations ignorent l’étendue réelle de leur surface cryptographique. Réaliser un inventaire cryptographique complet est la première étape indispensable pour maîtriser cette complexité, détecter les vulnérabilités et préparer une migration sereine vers la cryptographie post-quantique.

Pourquoi un inventaire cryptographique est-il indispensable ?

Sans visibilité sur les algorithmes, protocoles, clés et certificats déployés dans votre organisation, il est impossible de gérer les risques cryptographiques de manière proactive. Les menaces évoluent : la puissance de calcul croissante, l’essor de l’informatique quantique et la découverte régulière de nouvelles vulnérabilités dans les algorithmes existants obligent les équipes de sécurité à maintenir une cartographie précise et à jour de leur patrimoine cryptographique.

Un inventaire cryptographique permet d’identifier les algorithmes obsolètes ou vulnérables (MD5, SHA-1, DES, RSA 1024 bits), de localiser les certificats proches de l’expiration, de repérer les pratiques non conformes aux recommandations de l’ANSSI ou du NIST, et d’évaluer l’impact d’une migration post-quantique sur l’ensemble des systèmes.

L’absence d’un tel inventaire expose l’entreprise à des risques majeurs : compromission silencieuse de données, non-conformité réglementaire (RGPD, NIS2, eIDAS), incapacité à répondre rapidement à une vulnérabilité critique, et coûts de migration démultipliés faute de préparation.

Définir le périmètre de l’inventaire cryptographique

La première étape consiste à délimiter précisément le périmètre de l’inventaire. Celui-ci doit couvrir l’intégralité des systèmes d’information de l’organisation : infrastructures on-premise, environnements cloud (IaaS, PaaS, SaaS), systèmes embarqués, équipements industriels (OT/ICS), applications métier, middleware, APIs et bibliothèques logicielles tierces.

Il convient de distinguer plusieurs catégories d’actifs cryptographiques à recenser :

Les certificats numériques

Les certificats X.509 (TLS/SSL, code signing, authentification client) constituent souvent la partie la plus visible du patrimoine cryptographique. Leur inventaire doit inclure : l’autorité de certification émettrice (CA interne ou publique), la date d’expiration, l’algorithme de signature utilisé (RSA, ECDSA, Ed25519), la longueur de clé, le nom commun (CN) et les Subject Alternative Names (SAN). Les certificats auto-signés ou émis par des CA non approuvées doivent faire l’objet d’une attention particulière.

Les clés cryptographiques

Les clés symétriques (AES, 3DES, ChaCha20) et asymétriques (RSA, ECC, DH) utilisées pour le chiffrement, l’authentification ou la signature doivent être recensées avec leur longueur, leur algorithme, leur emplacement de stockage (HSM, coffre-fort logiciel, environnement d’exécution de confiance) et les politiques de rotation associées.

Les protocoles cryptographiques

Les protocoles sécurisés déployés dans l’organisation — TLS (versions 1.0 à 1.3), SSH, IPsec, HTTPS, SFTP, S/MIME, PGP — doivent être identifiés avec leurs configurations exactes : suites de chiffrement autorisées, versions supportées, paramètres de négociation. Les protocoles dépréciés (SSL 3.0, TLS 1.0, TLS 1.1) représentent des risques immédiats à corriger.

Les bibliothèques et frameworks cryptographiques

OpenSSL, BouncyCastle, NSS, libsodium, CryptoAPI… les bibliothèques cryptographiques embarquées dans les applications et systèmes d’exploitation doivent être versionnées et suivies, notamment pour la gestion des CVE et des mises à jour de sécurité.

Méthodologie de collecte des données

La collecte des informations relatives aux actifs cryptographiques peut s’appuyer sur plusieurs approches complémentaires.

Analyse automatisée du réseau

Des outils de scan réseau comme Nmap (avec les scripts ssl-cert et ssl-enum-ciphers), Masscan ou des solutions spécialisées comme Venafi, Keyfactor ou AppViewX permettent de découvrir automatiquement les services exposant des certificats TLS sur le réseau interne et externe. Ces outils peuvent identifier en quelques heures des milliers de certificats, de services HTTPS et de configurations TLS dans un parc réseau complexe.

Intégration avec les gestionnaires de certificats

Si l’organisation dispose d’une PKI interne (Microsoft ADCS, EJBCA, HashiCorp Vault PKI), d’un gestionnaire de certificats ou d’un service cloud de gestion des clés (AWS KMS, Azure Key Vault, Google Cloud KMS), ces sources doivent être interrogées programmatiquement pour extraire un inventaire structuré.

Analyse statique des applications

L’analyse statique du code source (SAST) permet de détecter les usages cryptographiques au sein des applications développées en interne : appels aux bibliothèques cryptographiques, valeurs hardcodées (clés, IV, sel), algorithmes utilisés, gestion des secrets. Des outils comme SonarQube, Semgrep ou des plugins spécialisés peuvent automatiser cette détection.

Inventaire des dépendances logicielles

L’analyse du graphe de dépendances (Software Bill of Materials — SBOM) des applications permet d’identifier les bibliothèques cryptographiques tierces utilisées, leurs versions et les CVE associées. Des outils comme Syft, Trivy ou CycloneDX facilitent la génération et la gestion des SBOM.

Entretiens et questionnaires métier

Les équipes de développement, d’infrastructure et de sécurité opérationnelle disposent souvent d’informations non documentées sur les usages cryptographiques. Des entretiens structurés et des questionnaires ciblés permettent de compléter les données collectées automatiquement, notamment pour les systèmes legacy ou les applications métier spécifiques.

Structuration et centralisation de l’inventaire

Les données collectées doivent être consolidées dans un référentiel centralisé, idéalement intégré au CMDB (Configuration Management Database) de l’organisation ou à une plateforme dédiée à la gestion du cycle de vie cryptographique (CLM — Certificate Lifecycle Management).

Pour chaque actif cryptographique recensé, les informations minimales à documenter incluent : l’identifiant unique, le type d’actif (certificat, clé, protocole, bibliothèque), l’algorithme et la longueur de clé, la date de création et d’expiration, le propriétaire métier et technique, le système ou application qui l’utilise, le niveau de criticité et la conformité aux politiques internes.

La mise en place de tableaux de bord permettant de visualiser l’état de la flotte de certificats (expirations imminentes, algorithmes obsolètes, non-conformités) est fortement recommandée pour permettre un pilotage opérationnel efficace.

Analyser et prioriser les risques cryptographiques

Une fois l’inventaire constitué, l’analyse des risques permet d’identifier les priorités d’action. Plusieurs critères doivent guider cette analyse :

La criticité de l’actif protégé : un certificat sécurisant une application de paiement ou un système de contrôle industriel représente un risque bien plus élevé qu’un certificat utilisé pour un service interne non critique.

La résistance de l’algorithme : les algorithmes considérés comme faibles ou obsolètes (RSA inférieur à 2048 bits, SHA-1, MD5, DES, RC4, export-grade) doivent être traités en priorité. Les algorithmes vulnérables aux attaques connues (POODLE pour SSL 3.0, BEAST pour TLS 1.0, FREAK pour les suites export) doivent être désactivés immédiatement.

L’imminence de l’expiration : les certificats expirant dans les 30, 60 ou 90 prochains jours nécessitent un renouvellement immédiat pour éviter les interruptions de service.

La vulnérabilité quantique : dans une perspective de préparation à l’ère post-quantique, les algorithmes asymétriques classiques (RSA, ECC, DH) sont tous théoriquement vulnérables à l’algorithme de Shor exécuté sur un ordinateur quantique suffisamment puissant. L’inventaire doit permettre d’évaluer l’exposition de l’organisation à cette menace future.

Automatiser la maintenance de l’inventaire

Un inventaire cryptographique n’a de valeur que s’il est maintenu à jour. Les actifs cryptographiques évoluent en permanence : nouveaux certificats émis, clés renouvelées, nouvelles applications déployées, mises à jour des bibliothèques. La mise en place de processus automatisés de découverte continue est indispensable.

L’intégration de la gestion cryptographique dans les pipelines CI/CD permet de détecter les usages non conformes dès la phase de développement et d’automatiser l’émission et le renouvellement des certificats (via ACME/Let’s Encrypt pour les certificats publics, ou via des API PKI pour les certificats internes).

Des alertes automatiques doivent être configurées pour signaler les expirations imminentes (à J-90, J-60, J-30), les détections de nouveaux actifs non référencés, les configurations non conformes aux politiques et les nouvelles vulnérabilités affectant les algorithmes ou bibliothèques utilisés.

Préparer la migration vers la cryptographie post-quantique

L’inventaire cryptographique est le point de départ indispensable pour planifier la migration vers les algorithmes post-quantiques standardisés par le NIST (ML-KEM/CRYSTALS-Kyber pour le chiffrement, ML-DSA/CRYSTALS-Dilithium et SLH-DSA/SPHINCS+ pour les signatures). Sans une cartographie précise des systèmes utilisant des algorithmes asymétriques classiques, il est impossible d’estimer l’effort de migration, de définir un plan de transition réaliste et de prioriser les systèmes les plus critiques.

L’inventaire doit permettre d’identifier les systèmes nécessitant une agilité cryptographique (capacité à changer d’algorithme sans refonte complète), les dépendances cryptographiques entre systèmes, et les contraintes techniques susceptibles de compliquer la migration (systèmes embarqués à ressources limitées, protocoles propriétaires, équipements sans possibilité de mise à jour).

Gouvernance et responsabilités

La réussite d’un projet d’inventaire cryptographique repose sur une gouvernance claire. Un propriétaire de l’inventaire doit être désigné, responsable de la cohérence, de l’exhaustivité et de la mise à jour des données. Des responsables techniques doivent être identifiés pour chaque domaine (PKI, développement, infrastructure, cloud) et des processus de mise à jour de l’inventaire doivent être intégrés dans les procédures de gestion des changements (ITIL Change Management).

La politique cryptographique de l’organisation — définissant les algorithmes autorisés, les longueurs de clé minimales, les protocoles acceptables et les exigences de gestion des clés — doit servir de référence pour l’évaluation de conformité des actifs recensés.

Conclusion

Réaliser un inventaire cryptographique complet est un projet structurant qui demande méthode, outillage adapté et engagement organisationnel. C’est pourtant un investissement indispensable pour toute organisation souhaitant maîtriser sa posture de sécurité, se conformer aux exigences réglementaires croissantes et préparer sereinement la transition vers la cryptographie post-quantique. La visibilité acquise grâce à cet inventaire est le fondement de toute stratégie de crypto-agilité efficace.

Dans une stratégie de cybersécurité moderne, la transition vers la cryptographie post-quantique devient un enjeu critique pour les entreprises. Les organisations doivent anticiper ces évolutions afin de garantir la sécurité de leurs systèmes face aux futures menaces.

Pour approfondir ces sujets, consultez nos ressources sur : la cybersécurité post-quantique, les stratégies d’audit de sécurité, ainsi que les mécanismes de migration cryptographique.

• 🔵 Cybersécurité post-quantique (pilier)
• 🟡 Audit de cybersécurité post-quantique
• 🟣 Cryptographie post-quantique

À lire aussi

• NIST PQC : standards et recommandations
• Migration cryptographique RSA / ECC
• Crypto-agilité en entreprise
• CRYSTALS-Kyber en entreprise
• PKI post-quantique