Les dernières nouvelles, analyses et les informations recueillies entre les sessions. Notre journal quotidien en direct du Moscone Center, rédigé par notre équipe sur place, notamment Leo Grove, président-directeur général de SSL.
jeudi, 26 mars 2026
Lors de ma dernière journée à RSAC 2026, j'ai assisté à une session sur la lutte contre l'extrémisme violent. Consortium Cloud Signature En tant que membre du conseil d'administration, je m'intéresse particulièrement aux normes et à l'interopérabilité technologique afin de promouvoir l'innovation partagée et une communication transfrontalière efficace.
Le conseil d'administration du CVE assure la supervision stratégique de Mission du programme CVE (Common Vulnerabilities and Exposures). Il définit politiques d'identification, de désignation et de partage des vulnérabilités entre les gouvernements et le secteur privé.
Tandis que le Corporation MITRE Ce programme, qui gère le système CVE, a toujours été financé et soutenu par le Département américain de la Sécurité intérieure, ce qui l'a intégré à un modèle de gouvernance hybride public-privé essentiel à la coordination mondiale en matière de cybersécurité. Ces dernières années, des inquiétudes ont émergé quant à la stabilité du financement et à la fragmentation géopolitique, faisant craindre un affaiblissement ou une fragmentation du système centralisé CVE.
Il est essentiel de maintenir la base de données CVE à jour et bien gérée, car elle constitue le référentiel universel pour la gestion des vulnérabilités. Sans elle, la divulgation coordonnée des vulnérabilités, l'application des correctifs et le partage de renseignements sur les menaces transfrontalières seraient plus lents, incohérents et bien moins efficaces.
Ces difficultés ont été évoquées lors de la session, où les participants se sont interrogés sur le rôle des pouvoirs publics dans l'établissement de normes visant à lutter contre l'évolution rapide du paysage de la cybersécurité. Je partage l'avis des intervenants : les pouvoirs publics ont un rôle à jouer dans l'élaboration de normes lorsque l'intérêt général est une considération importante et que des intérêts divergents peuvent freiner l'adoption d'une norme commune. Il est très difficile d'exclure toute dimension politique de ce processus, mais les cadres de normes entièrement privés comportent inévitablement des incitations personnelles et financières qui ne sont pas conformes à l'intérêt général.
Dans le contexte d'organisations comme le Cloud Signature Consortium, à mesure que se multiplient les accords commerciaux, tels que le Accord commercial MERCOSUR/Commission européenneDans un contexte commercial de plus en plus multipolaire, la mise en œuvre de ces technologies accentuera le besoin de normes interopérables pour l'identité et la signature numériques. Je me réjouis des échanges que nous aurons lors de cette conférence. L'événement « Confiance sans frontières » du CSCLes 13 et 14 mai à Bogota, en Colombie, nous réunirons des représentants des gouvernements, du secteur privé et du monde universitaire afin non seulement de discuter de la manière d'améliorer l'interopérabilité transfrontalière, mais aussi de nous engager à prendre des mesures concrètes.
Mercredi, Mars 25, 2026
Voici quelques éléments de réflexion : les LLM devraient-ils intégrer la signature de code au code généré par l’IA qu’ils fournissent aux utilisateurs ? Quelle part de responsabilité les ingénieurs devraient-ils conserver dans un flux de développement piloté par un LLM ?
L'une des tables rondes les plus pertinentes de la semaine à RSAC a permis de clarifier la situation concernant l'IA de génération dans le développement logiciel. Elle s'est concentrée sur une réalité cruciale : si l'IA de génération accélère le codage, elle introduit également de nouveaux risques, notamment des failles de sécurité dans le code, des attaques par injection de code et des dépendances non sécurisées, parmi les plus préoccupantes. L'accent mis sur la gouvernance, les garde-fous et la transparence a clairement démontré que l'adoption sécurisée n'est pas une option ; elle est fondamentale, mais son déploiement concret reste encore à faire.
Un moment particulièrement intéressant a été un débat animé entre les intervenants concernant le rôle des ingénieurs dans le codage assisté par l'IA générale. Certains ont soutenu que les ingénieurs devaient rester fortement impliqués dans la génération et la révision du code, considérant les langages de programmation comme des outils de productivité plutôt que comme des décideurs. D'autres ont plaidé pour un avenir plus automatisé, où les langages de programmation prendraient en charge une plus grande partie de la génération de code, les ingénieurs se concentrant principalement sur la supervision et la révision. On a même évoqué la possibilité que l'expertise dans certains langages et frameworks ne soit plus indispensable.
Cette tension montre que le secteur cherche encore le juste équilibre entre rapidité et contrôle. J'en conclus que l'IA de nouvelle génération représente bien plus qu'une simple évolution des outils ; elle constitue un défi fondamental en matière de gouvernance. Les organisations qui réussiront seront celles qui définiront clairement les responsabilités, mettront en place des processus de contrôle rigoureux et éviteront une automatisation excessive et prématurée.
Je repose donc la question : les LLM devraient-ils intégrer la signature de code au code qu’ils fournissent aux utilisateurs ? Quelle responsabilité les ingénieurs devraient-ils conserver dans un processus de développement piloté par un LLM ? J’aimerais beaucoup échanger avec vous à ce sujet.
Dès Ram Kishore, architecte de solutions en chef mondial :
La deuxième journée a été riche en sessions et réunions avec les partenaires, et aujourd'hui, le deuxième thème dominant était l'électronique quantique. Le message était clair tout au long des sessions : l'ère du « on verra ça plus tard » est révolue. La transition vers cryptographie post-quantique Le processus de validation préalable (PQC) est déjà en cours, et les entreprises qui attendent encore le signal de départ sont déjà à la traîne. Les menaces quantiques ne sont pas de simples problèmes théoriques. Agir tôt, c'est garantir la sécurité, l'agilité et anticiper les évolutions de la conformité et de l'écosystème.
C’est précisément là qu’intervient SSL.com. Notre Plateforme de confiance numérique Notre approche va bien au-delà de la simple délivrance de certificats. Nous accompagnons les entreprises à chaque étape de leur transition post-quantique, de la planification de leur agilité cryptographique à la mise en place d'une base de confiance solide pour l'avenir.
Presque toutes les conversations que j'ai eues aujourd'hui à RSAC ont porté sur l'IA agentielle. Elle bouleverse complètement le fonctionnement des entreprises, grâce à des systèmes autonomes qui gèrent les flux de travail à une vitesse et à une échelle que les équipes humaines ne peuvent égaler. Mais chaque agent agissant pour votre compte représente aussi une faille de sécurité potentielle, et les acteurs malveillants scrutent déjà ces systèmes à la recherche de vulnérabilités.
Le risque majeur n'est même pas externe : des agents d'IA mal gérés, opérant sans identité claire, sans autorisations définies ni mécanismes de responsabilisation, peuvent causer de graves dommages de l'intérieur. Lorsque les machines prennent des décisions autonomes, la confiance numérique est essentielle. La révolution de la productivité est bien réelle, et la responsabilité qu'elle implique l'est tout autant.
Lundi, Mars 23, 2026
Dès Dustin Ward, vice-président exécutif de la technologie chez SSL :
La conférence RSA (RSAC) est le plus grand événement mondial consacré à la cybersécurité. Chaque année, des dizaines de milliers de professionnels de la sécurité se réunissent au Moscone Center de San Francisco pour discuter des projets en cours, des failles de sécurité existantes et des solutions à apporter. C'est lors de cette conférence que l'industrie définit les priorités.
Voici ce que j'entends dans tout le secteur :
- Les organisations savent Cryptographie post-quantique Ça arrive, mais je ne sais pas par où (ni comment) commencer
- L'IA crée simultanément de nouvelles surfaces d'attaque et de nouvelles exigences de confiance.
- Le C2PA et la provenance du contenu passent du statut d’« intéressant » à celui d’« essentiel ».
- La gestion du cycle de vie des certificats devient de plus en plus complexe, tant pour les organismes de confiance publics que pour les organismes publics. Privé PKI
- La plupart des équipes gèrent tout cela avec des outils obsolètes.
Une session en particulier m'a marqué. Elle portait sur la transition vers une durée de vie des certificats de 47 jours : de 398 jours à 200, puis 100, et enfin 47. Cela représente une multiplication par huit de la fréquence de renouvellement, et il ne s'agit pas d'un problème de conformité, mais d'un problème opérationnel. Si votre solution repose encore sur des processus manuels et des outils peu intégrés, vous êtes déjà en retard. Et la dépendance à une seule autorité de certification devient un risque réel lorsque vous devez remplacer l'intégralité de votre parc de certificats en 24 heures.
C'est un aspect sur lequel nous avons mis l'accent chez SSL.com : Privé PKI pour les cas d'utilisation où la confiance publique n'est pas le modèle approprié, et pour une véritable préparation à l'autorité de certification de secours où les validations sont déjà en place, les voies d'émission sont établies et où vous pouvez déplacer le trafic ou émettre en parallèle lorsque cela compte.
Au-delà des certifications, deux thèmes ont dominé presque toutes les conversations aujourd'hui : l'IA et le PQC.
Du côté de l'IA, l'IA agentielle est omniprésente aujourd'hui, une révolution de productivité qui présente également des risques importants, allant des attaques pilotées par l'IA au défi de la gouvernance des agents autonomes agissant en notre nom. Comment… authentifier le contenu généré par l'IA ? Comment sécuriser les modèles eux-mêmes ? C’est là qu’interviennent des normes comme… C2PA et fort PKI Ce ne sont plus de simples atouts, mais des éléments fondamentaux.
Du côté du contrôle qualité des processus, NIST a finalisé ses normes post-quantiques. Le compte à rebours de la migration est lancé. Si vous êtes responsable de quoi que ce soit qui touche aux certificats, qu'il s'agisse de la confiance publique, TLS/SSL, privé PKIEn matière de signature de code et d'authentification du contenu C2PA, la question n'est pas de savoir si vous avez besoin d'un plan de transition PQC, mais plutôt si vous en avez déjà un.
Voilà le genre de sujets sur lesquels mon équipe et moi travaillons quotidiennement chez SSL.com. N'hésitez pas à nous contacter si l'un de ces sujets vous préoccupe.
Ce journal est mis à jour quotidiennement pendant la semaine RSAC. Revenez demain pour le compte rendu du deuxième jour et suivez-nous sur LinkedIn pour suivre en temps réel les moments forts du terrain.
Vous souhaitez discuter de la manière dont votre organisation se prépare à des cycles de vie des certificats plus courts, à la gestion de plusieurs autorités de certification ou à la planification post-quantique ? Contactez-nous.
