Comprendre le cadre
réglementaire et technique.

Ballot SC-081v3 — Réduction progressive de la durée de vie des certificats TLS

Adopté le 11 avril 2025 à l'unanimité (29 voix pour, 0 contre), ce texte fixe le calendrier de réduction des durées de vie des certificats TLS publics. Il prévoit trois phases : 200 jours en mars 2026, 100 jours en mars 2027, et 47 jours en mars 2029. La réutilisation des données de validation (DCV) est également réduite à 10 jours en phase finale.

• Renouvellements multipliés — 1 000 certificats à 47 jours = 20 renouvellements quotidiens. La gestion manuelle devient opérationnellement impossible.
• Automatisation obligatoire — Le protocole ACME ou équivalent devient indispensable pour tout prestataire gérant des certificats pour des clients.
• Validation DCV réduite à 10 jours — Chaque renouvellement nécessitera une nouvelle validation de domaine, rendant les workflows manuels totalement intenables.
• Impact MSP immédiat — Depuis le 15 mars 2026, la durée de vie maximale est déjà passée à 200 jours. Les prestataires sans CLM automatisé accumulent un retard opérationnel.

Transition post-quantique pour le protocole TLS 1.3

Guide technique de l'ANSSI sur l'adoption des algorithmes post-quantiques dans les connexions TLS. Décrit les mécanismes hybrides (classique + post-quantique) recommandés pour protéger les communications dès aujourd'hui contre la menace "Harvest now, decrypt later".

• TLS 1.3 comme socle — L'ANSSI recommande de migrer vers TLS 1.3 avant d'engager la transition post-quantique. Les certificats TLS gérés par Klarion sont compatibles.
• Algorithmes hybrides — La recommandation préconise des certificats hybrides combinant un algorithme classique (ECDSA/RSA) et un algorithme post-quantique (ML-KEM, ML-DSA). Klarion les supporte nativement.
• Migration progressive — L'ANSSI recommande une approche par tenant, en commençant par les services les plus exposés. Klarion permet ce suivi client par client.
• Inventaire préalable obligatoire — Impossible de migrer sans savoir quels certificats existent et où. Un CLM avec détection complète est le prérequis indispensable.

Avis de l'ANSSI sur la migration vers la cryptographie post-quantique

Avis officiel de l'ANSSI sur la stratégie de migration vers la cryptographie post-quantique pour les organisations françaises. Fixe le cadre de priorités et l'horizon temporel de la transition.

• Urgence "Harvest now, decrypt later" — Des acteurs malveillants collectent dès maintenant des données chiffrées pour les déchiffrer quand un ordinateur quantique sera disponible. La migration ne peut pas attendre 2029.
• Horizon 2030 — L'ANSSI recommande que les systèmes critiques soient migré vers des algorithmes post-quantiques d'ici 2030. Les certificats TLS sont en première ligne.
• Priorisation des flux critiques — Finance, santé, défense et énergie doivent migrer en premier. Les MSSP qui gèrent ces secteurs doivent anticiper la demande.
• Crypto-agilité requise — L'ANSSI insiste sur la capacité à changer d'algorithme sans refonte d'infrastructure. Un CLM intégrant la gestion PQC est la seule réponse opérationnelle.

A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography

Publication internationale co-rédigée par l'ANSSI avec ses homologues européens et américains. Définit une feuille de route coordonnée pour la transition vers la cryptographie post-quantique au niveau mondial.

• Coordination internationale — La transition PQC est un enjeu mondial. Les MSSP opérant pour des clients internationaux doivent anticiper des exigences multijuridictionnelles.
• Standards NIST alignés — La roadmap s'aligne sur NIST FIPS 203-205 (ML-KEM, ML-DSA). Les certificats hybrides supportés par Klarion respectent ce cadre.
• Phases de déploiement définies — La feuille de route identifie des phases d'inventaire, de test et de migration. Un CLM multi-tenant permet de les exécuter client par client.
• Visibilité indispensable — La roadmap insiste sur la nécessité d'un inventaire cryptographique complet avant toute migration. Sans visibilité sur tous les certificats, la migration est impossible.

Cyber Resilience Act (CRA) — Ce qui change pour les entreprises

Synthèse officielle française du règlement européen Cyber Resilience Act. Le CRA impose des exigences de sécurité "by design" pour tous les produits comportant des éléments numériques commercialisés dans l'UE — ce qui inclut les solutions CLM, les logiciels de gestion PKI et les composants d'infrastructure de confiance.

• Sécurité "by design" obligatoire — Les solutions CLM commercialisées en Europe doivent intégrer la sécurité dès la conception. Klarion, développé en France, est conçu selon ce principe.
• Gestion des vulnérabilités imposée — Le CRA exige une politique documentée de gestion des vulnérabilités pour les composants d'infrastructure. Les MSSP doivent s'assurer que leurs outils CLM y répondent.
• Traçabilité et documentation — Les fournisseurs de solutions PKI/CLM doivent documenter leur chaîne de composants logiciels (SBOM). Un argument supplémentaire pour choisir un éditeur européen.
• Responsabilité des MSSP — En tant que distributeurs de solutions à leurs clients, les MSSP sont concernés par les obligations de due diligence sur les outils qu'ils proposent.

Directive NIS2 — Sécurité des réseaux et des systèmes d'information

La directive NIS2 (2022/2555) étend les obligations de cybersécurité à plus de 100 000 entités en Europe — dont les fournisseurs de services managés (MSP et MSSP) qui entrent dans la catégorie des "entités importantes". Elle impose des mesures de sécurité techniques documentées, incluant explicitement la gestion de la cryptographie et des certificats.

• MSP et MSSP directement concernés — NIS2 classe explicitement les prestataires de services managés comme entités importantes soumises aux obligations de sécurité.
• Gestion cryptographique obligatoire — L'article 21 impose des politiques de sécurité cryptographique documentées, ce qui inclut la gestion du cycle de vie des certificats.
• Traçabilité et reporting — Les entités NIS2 doivent pouvoir démontrer leur posture de sécurité à tout moment. Les snapshots Klarion fournissent cette preuve horodatée.
• Chaîne d'approvisionnement — NIS2 impose une due diligence sur les fournisseurs. Proposer un CLM souverain européen est un argument commercial fort auprès des clients concernés.

Règlement DORA — Résilience opérationnelle numérique du secteur financier

Le règlement DORA (Digital Operational Resilience Act) est en vigueur depuis janvier 2025 pour les entités financières européennes — banques, assurances, gestionnaires d'actifs, prestataires de services de paiement. Il impose des exigences strictes sur la résilience des systèmes TIC, incluant la gestion des certificats numériques.

• Certificats dans le périmètre DORA — DORA exige la gestion sécurisée de tous les actifs TIC critiques. Avec des certificats à 200 jours puis 47 jours, l'automatisation devient une obligation de fait.
• Tests de résilience obligatoires — Les entités financières doivent tester leur capacité à maintenir les services en cas d'incident. Un certificat expiré est un incident de résilience. Les snapshots Klarion documentent l'état du parc.
• Gestion des tiers (TPRM) — DORA impose une surveillance des prestataires tiers. Les MSSP fournissant du CLM à des clients financiers entrent dans ce périmètre et doivent démontrer leur niveau de maîtrise.
• Reporting vers les régulateurs — DORA exige des rapports d'incidents dans des délais très courts. La traçabilité complète des certificats et les logs immuables de Klarion répondent à cette exigence.