La gestion des certificats numériques reste un angle mort stratégique. Une étude mondiale menée par le Ponemon Institute pour CyberArk met en lumière un constat préoccupant : la PKI, pilier silencieux de la confiance numérique, n’est plus à la hauteur des usages modernes et expose directement les systèmes à des interruptions de service et à des failles de sécurité majeures.
Une infrastructure critique, mais fragilisée
La PKI n’est plus un simple socle technique. Elle structure l’authentification, le chiffrement et l’intégrité des échanges, dans des environnements désormais dominés par le cloud, les API, les conteneurs et les identités machines. Or, selon l’étude mondiale conduite par le Ponemon Institute, les organisations gèrent en moyenne plus de 114 000 certificats internes avec des moyens largement insuffisants, tant humains que technologiques.
Cette inflation silencieuse des certificats transforme la PKI en facteur de risque systémique. Plus de la moitié des organisations interrogées déclarent avoir subi des interruptions de service non planifiées à cause de certificats expirés ou mal configurés. Un chiffre qui rappelle à quel point la PKI reste souvent gérée « en arrière-plan », jusqu’à ce qu’elle casse.
Quand l’héritage devient un risque opérationnel
Les approches PKI historiques, fragmentées et manuelles, ne suivent plus le rythme. 34 % des répondants citent les coûts et les risques liés aux infrastructures PKI héritées comme le principal obstacle à une gestion sécurisée. En pratique, les équipes sont contraintes d’arbitrer entre maintien en conditions opérationnelles et modernisation, souvent au détriment de la visibilité globale.
La pénurie de compétences accentue la tension. En moyenne, seules quatre personnes à temps plein sont dédiées à la PKI, poussant 63 % des organisations à externaliser tout ou partie de sa gestion. Un choix qui ne règle pas toujours la question du pilotage, ni celle de la gouvernance.
Automatisation et visibilité : les marqueurs de la maturité
L’étude met en évidence un contraste net entre organisations « matures » et les autres. Celles qui affichent un haut niveau de confiance dans leur PKI sont aussi celles qui disposent d’une visibilité unifiée sur leur parc de certificats et qui ont engagé une automatisation avancée du cycle de vie. Elles subissent moins de pannes, moins d’incidents de sécurité et maîtrisent mieux leurs obligations de conformité.
Seules 46 % des organisations se disent aujourd’hui réellement confiantes dans la capacité de leur PKI à répondre aux exigences réglementaires. Un chiffre qui interroge, à l’heure où les durées de validité des certificats se raccourcissent et où la crypto-agilité, notamment face au post-quantique, devient un sujet stratégique.
Larry Ponemon résume l’enjeu sans détour : « La PKI est essentielle à la confiance numérique, mais les organisations doutent de plus en plus de sa capacité à suivre la croissance des usages et des menaces. L’automatisation et l’usage de l’IA apparaissent désormais comme des leviers incontournables. »
La PKI comme révélateur stratégique
Au-delà des chiffres, ce rapport agit comme un test de maturité. Il met en lumière une réalité souvent sous-estimée : la PKI n’est plus un composant technique isolé, mais un indicateur de la capacité d’une organisation à gouverner ses identités, humaines et machines, à grande échelle.
Ne pas moderniser sa PKI, c’est accepter un risque latent : celui d’une panne brutale, d’une compromission en cascade ou d’une non-conformité subie. À l’inverse, l’aborder comme un chantier structurant, outillé et automatisé, revient à renforcer durablement la confiance numérique de l’ensemble du système d’information.
