» Prouver un fait sans révéler la donnée qui le fonde. Prouver « je suis majeur » sans montrer ma date de naissance ; prouver « mon permis est valide » sans livrer le permis. Le vérificateur obtient une certitude mathématique, pas une copie de mes papiers. C'est le principe directeur de tout ce qui suit : minimiser par la preuve, vérifier sans stocker.
La promesse trahie
On nous avait promis un monde numérique simple, bienveillant, sûr par construction. Nous avons hérité d'un terrain de chasse. L'hameçonnage imite désormais les administrations à la perfection, dopé par une intelligence artificielle qui ne fait plus de fautes d'orthographe. Les fuites de données s'enchaînent au point qu'on ne les compte plus : en 2026, des millions de Français ont vu leurs informations administratives exposées, parfois leur numéro de passeport ou de sécurité sociale. On colmate depuis vingt ans, on durcit les mots de passe, on empile les audits, on rajoute un facteur d'authentification, et le sol continue de se dérober.
Et si le problème n'était pas le nombre d'attaquants, mais la fondation ? Et si, à force de réparer les murs, nous n'avions jamais regardé les fondations sur lesquelles tout repose ?
Le fil que je voudrais dérouler ici est simple : il s'agit de recréer dans le monde virtuel ce qui fonctionne déjà dans la vraie vie. Pas d'inventer une utopie, mais de remettre dans le numérique les mécanismes que l'humanité a mis des siècles à éprouver hors ligne : la preuve, le mandat, le délai, le recours, le témoin.
I. Le péché originel : la confiance déléguée
Nous avons bâti la confiance numérique sur la délégation : faire confiance à un tiers central, plutôt que sur la preuve, vérifier mathématiquement. Tout en découle.
Prenez le mot de passe. C'est un secret que vous devez présenter pour prouver qui vous êtes. Un site sérieux, bien sûr, ne conserve pas votre mot de passe en clair : il n'en garde qu'une empreinte, un condensé qu'on ne sait pas inverser. Cela n'a pas toujours été le cas, et les fuites de mots de passe en clair restent monnaie courante. Mais même rangé proprement, le procédé garde son péché de naissance : dans le schéma classique, pour vous authentifier, vous devez livrer le secret, et le serveur doit le voir, ne serait-ce qu'un instant, le temps de le comparer à son empreinte. Des procédés plus récents commencent certes à se répandre, où le serveur ne voit jamais le secret, où l'appareil prouve sans rien dévoiler ; mais ils ne font qu'amorcer, timidement, la direction que défend précisément cette tribune. Pour l'immense majorité des connexions d'aujourd'hui, chacune reste un aveu. Multipliez par le nombre de services, par le nombre d'années, et vous obtenez une économie entière fondée sur des aveux répétés. Et la base d'empreintes, elle, demeure un pot de miel : un point unique où se concentre la valeur, qu'un attaquant peut dérober puis casser tranquillement, hors ligne, à l'abri des regards. Le hacker ne force plus la porte, il se connecte.

La fuite, dès lors, n'est pas un accident de parcours. Elle est inscrite dans le design. Et qu'on ne s'y trompe pas : ce n'est pas une affaire de négligence. Même les plus grands y laissent des plumes, y compris ceux qui disposent des meilleures équipes de sécurité du monde. Le problème n'est pas la diligence, c'est le paradigme.
II. Le vrai enjeu : la confiance entre adversaires
On confond deux choses très différentes. « Faire confiance », c'est de la foi : je crois sur parole, sans pouvoir vérifier. « Prouver », c'est de la certitude : je n'ai pas besoin de croire, je constate. Le vrai défi du numérique n'est pas seulement de se protéger des « méchants ». C'est de permettre à des gens qui ne se connaissent pas, et qui n'ont aucune raison de se faire confiance, de transiger quand même.
Prenez la vente d'une voiture entre particuliers. Le blocage est éternel : « envoie-moi l'argent d'abord », « non, donne-moi la carte grise d'abord ». Chacun craint de se faire avoir, et il n'a pas tort : aucun des deux ne peut faire confiance à l'autre. Que fait-on aujourd'hui ? On rajoute un tiers, un mandataire, une plateforme. Un intermédiaire de plus à payer, à croire, et à pirater.
Imaginez maintenant un contrat de vente porté par le protocole lui-même. La carte grise est mise sous séquestre, les fonds aussi, et deux signatures sont requises, celle de l'acheteur et celle du vendeur. Un programme dont la correction a été prouvée n'exécute alors qu'une seule chose possible : l'échange atomique de la propriété contre les fonds, tout ou rien. Le vendeur ne peut pas encaisser sans céder le titre. L'acheteur ne peut pas prendre la voiture sans payer. Personne n'a eu à faire confiance à personne : la règle est tenue par les mathématiques, pas par la bonne foi.

Et qu'on ne croie pas l'exemple anecdotique : c'est la même question, du trottoir à la géopolitique. Deux puissances en guerre qui négocient un échange de prisonniers se défient, ne se font évidemment aucune confiance, et doivent pourtant convenir d'un échange qui tienne, simultané et vérifiable, sans qu'aucune ne puisse trahir l'autre à la dernière seconde. Là où il a fallu des médiateurs, des garants, des pays tiers, un protocole prouvé offre exactement ce qu'il offrait pour la voiture : l'échange atomique, tout ou rien, sans avoir à se fier à l'adversaire.
Voilà ce que veut dire « prouver remplace croire ». Ce n'est pas un slogan, c'est le moyen concret de faire coopérer des adversaires.
III. L'IA, une rencontre du troisième type qui rend quarante ans de défenses obsolètes
Imaginez un premier contact avec une intelligence non humaine : plus rapide, infatigable, capable de lire et de raisonner à une échelle qui nous dépasse. C'est, à peu de chose près, ce que l'IA fait surgir. Or nos défenses, les mots de passe, les périmètres, les antivirus, les audits, les jetons de session, ont toutes été pensées pour des adversaires humains, à vitesse humaine. Quarante ans de solutions bâties pour un monde qui n'existe déjà plus.
La dernière génération d'agents lit, sonde et casse vingt-quatre heures sur vingt-quatre, en parallèle, sans dormir, plus vite qu'aucune équipe d'audit. Et cette vitesse ne pardonne rien : la semaine dernière, en plein direct, un streamer a laissé apparaître par mégarde sa phrase de récupération à l'écran, le temps d'un battement de cils ; dix secondes plus tard, des robots avaient vidé son portefeuille d'environ un million et demi. Aucun humain ne réagit à cette vitesse. Mais la rapidité n'est que la moitié du problème. Un audit est un échantillon, les quelques chemins qu'un humain a pensé à tester ; une IA, elle, explore tout, et l'échantillon ne bat jamais l'exhaustif. La bascule est déjà là : fin mai 2026, l'un des co-fondateurs d'OpenZeppelin, référence mondiale de l'audit de contrats, déclarait publiquement considérer désormais l'ensemble de la finance décentralisée comme dangereux. Que faut-il en conclure pour une direction des systèmes d'information ? Que si la finance, le domaine le mieux audité de la planète, vacille, aucune entreprise ordinaire ne fera le poids. La preuve est la seule défense dont le coût n'augmente pas avec la vitesse de l'attaquant. La question change de nature : on ne demande plus « est-ce que c'était audité ? », on demande « peux-tu le prouver ? ».

L'Histoire est sans pitié pour qui optimise le monde d'avant. Face à l'imprimerie, on n'a pas sauvé les moines copistes en perfectionnant la fluidité de leur encre. Face au commerce en ligne, aucune enseigne lumineuse, si éclatante soit-elle, n'a retenu le client parti acheter ailleurs. Durcir le mot de passe ou empiler un audit de plus face à l'IA, c'est exactement cela : polir l'encre du copiste, un soin méticuleux apporté à l'objet que l'époque s'apprête à congédier. On ne rattrape pas une rupture de cette ampleur en empilant des rustines. Il faut repenser le système, pas le rafistoler. Le socle informatique n'est plus adapté à notre monde, et sans migration, point de salut.
IV. Brique 1, une identité qu'on ne peut pas voler
Première brique du nouveau socle : une identité dont le secret ne quitte jamais l'appareil. On prouve qui l'on est sans jamais révéler le secret qui le fonde. L'identité n'est pas la clé : la clé n'est qu'un instrument de délégation de preuve. On change ses clés comme on change les serrures d'une porte, sans changer de maison, sans perdre sa réputation ni son histoire.
La biométrie, dans ce modèle, retrouve sa juste place. Le visage ou l'empreinte déverrouille la clé sur l'appareil, localement, et ne part jamais vers un serveur. Aucune base biométrique centrale, qui serait le pire des pots de miel. La nuance est de taille : un mot de passe se change, une clé se change, mais une empreinte qui fuit, jamais. La biométrie doit donc servir à garder un secret local, jamais à être ce secret dans une base distante.

On en a pourtant vu, récemment, l'archétype inversé. Pour répondre à une question née de l'ère de l'IA, prouver qu'on est bien un humain et non une machine, l'un des architectes les plus en vue de cette même IA a entrepris de faire scanner l'iris de millions de personnes à travers le monde, en échange de quelques jetons, afin d'en constituer un registre planétaire. C'est l'exacte mauvaise réponse : un trésor d'iris, par nature inchangeables et cette fois centralisés, soit le pot de miel ultime, celui qu'on ne pourra jamais ni révoquer ni reconstituer une fois éventé. La bonne réponse est rigoureusement l'inverse : la biométrie déverrouille un secret qui reste chez vous, elle n'alimente aucune base.
L'exemple inverse existe, grandeur nature. Sur de nombreux ordinateurs, le système d'exploitation sauvegarde par défaut la clé de récupération du chiffrement de disque sur les serveurs de l'éditeur. En janvier 2026, ce même éditeur a confirmé avoir remis à une autorité judiciaire, sur réquisition, les clés de déchiffrement de plusieurs machines. Le procédé est légal, et là n'est pas la question. La question est la suivante : quand un tiers détient votre clé, ce n'est plus votre coffre. Le modèle souverain inverse la charge. Le secret ne quitte jamais l'appareil, et tout accès légitime passe par vous, par un mandat, un délai, un quorum, jamais par un dépositaire silencieux.
V. Brique 2, signer une intention, et mandater
Deuxième brique : chaque message, chaque formulaire est signé cryptographiquement. On n'émet plus un sésame réutilisable, on autorise une intention lisible : « j'autorise la lecture de mon dossier ». L'hameçonnage par IA peut copier l'apparence d'un site à la perfection, il ne pourra jamais copier la clé. Le faux ne passe plus.
De cette même brique naît une primitive décisive : le mandat. Je délègue à un tiers le droit de faire une action précise, en mon nom, de façon bornée et révocable. C'est exactement ce dont l'ère des agents IA a besoin. Un agent autonome agit pour notre compte ; encore faut-il qu'il ne puisse faire que ce que son mandat l'autorise, et qu'on puisse le prouver. Le mandat cryptographique transforme la délégation aveugle, « je lui donne mes accès et j'espère », en délégation prouvable, « il ne peut faire que ceci, et pas davantage ».

V bis. L'application phare : administrer les systèmes sous mandat
Avant même les agents autonomes, le mandat a une application immédiate, et qui parle directement à quiconque administre un système d'information. Voyez comment on pilote aujourd'hui un parc de serveurs ou une infrastructure critique. On distribue des comptes à hauts privilèges, des clés d'administration partagées, des accès quasi permanents, le plus souvent gardés par un coffre central qu'il faut, là encore, croire sur parole. Ce coffre est un pot de miel de plus, et le serveur unique qui orchestre tout le parc est un point unique de compromission : qui le prend, prend tout. La plupart des grandes paralysies informatiques sont entrées par là.

Renversons le modèle. Plutôt qu'un accès statique et permanent, chaque action d'administration devient un ordre signé, daté, borné à un périmètre précis et révocable : « redémarrer ce service, sur ces machines, pendant cette fenêtre, et rien d'autre ». La machine qui exécute vérifie elle-même, localement, que l'ordre est bien signé, que le mandat est valide et n'a pas été révoqué, qu'il reste dans son périmètre et qu'il n'est pas rejoué, avant d'agir. Plus de coffre à clés central à piller, plus de compte tout-puissant : seulement des mandats étroits, prouvables, qu'on retire d'un geste. Révoquer, c'est faire refuser l'ordre suivant, à l'instant même.
Le bénéfice dépasse la sécurité. Comme l'autorisation est portée par l'ordre lui-même et vérifiable de façon autonome, l'infrastructure ne dépend plus d'un tiers central pour continuer de fonctionner. Si le service qui a délivré les mandats venait à disparaître, les machines déjà autorisées continueraient d'obéir aux ordres légitimes : pas de bouton d'arrêt distant, pas de dépendance qui transforme la panne d'un fournisseur en paralysie générale. On retrouve là, exactement, la primitive dont l'économie d'agents aura besoin : qu'il s'agisse d'une main humaine ou d'un automate, ce qui administre un système ne doit pouvoir faire que ce que son mandat l'autorise, et devoir le prouver.
VI. Brique 3, la confiance collective : gouverner à plusieurs
Jusqu'ici, un individu. Mais une entreprise, une association, un conseil d'administration sont des sujets de droit collectifs. Personne ne devrait y détenir seul les clés. Deux problèmes que le monde réel gère mal, et que la preuve résout nativement.
Remplacer un membre sans casser l'entité, d'abord. Un administrateur décède, démissionne ou est révoqué. Aujourd'hui, c'est la panique : qui avait les accès, les mots de passe, le portefeuille ? Avec une identité d'organisation ancrée et une gouvernance par quorum, on fait simplement tourner un signataire. On retire celui qui part, on intègre son remplaçant, et l'entreprise ne perd ni son identité, ni son histoire, ni sa trésorerie. C'est « changer une serrure sans changer de maison », mais à l'échelle d'une personne morale : la continuité du sujet de droit par-delà ses membres.
Confier une trésorerie sans faire confiance, ensuite. Le monde réel a résolu cela depuis longtemps : un directeur financier engage l'entreprise jusqu'à un plafond que la banque lui accorde ; au-delà, il faut une autorisation supérieure. Un mandat borné, délégué, révocable, et personne ne tient « toute la caisse ». Or les systèmes décentralisés ont longtemps proposé l'inverse exact : qui détient la clé contrôle tout, sans plafond ni recours. C'est une anomalie. Un système décentralisé sérieux doit offrir exactement la même garantie que le monde réel, y compris pour des actifs numériques : ce dirigeant peut engager jusqu'à tel montant, révocable à tout instant, et au-delà du plafond, un quorum est obligatoire, par exemple trois signatures du conseil. La question « peut-on lui faire confiance ? » disparaît. Ce n'est plus une affaire de confiance, c'est une règle que le protocole impose et démontre. Le détournement par un seul n'est pas découragé, il est rendu impossible par construction.
VII. Brique 4, les garde-fous : une clé n'est pas un pouvoir absolu
Il faut le dire avec force, car le croire est dangereux : la cryptographie ne résout pas tout. Une clé privée, c'est un pouvoir absolu et instantané. La perdre ou la divulguer une fraction de seconde, c'est tout perdre, sans recours. On l'a vu plus haut, ce portefeuille vidé en dix secondes : aucun humain ne réagit à la vitesse d'une machine. La crypto sans garde-fous est un piège. La parade consiste à réinjecter dans le protocole ce que le réel a inventé : le délai, le recours, le témoin.

Le délai qui sauve, d'abord. Une récupération ou un transfert sensible n'est pas instantané : un minimum de vingt-quatre à quarante-huit heures, avec alerte au propriétaire sur tous ses appareils. S'il n'est pas à l'origine de la demande, il a le temps de l'annuler et de changer ses clés. La lenteur volontaire devient une fonction de sécurité : elle rend à l'humain le temps que la machine lui avait pris.
La récupération sociale, ensuite. Fini le « si tu perds ta clé, tu perds tout ». On définit un cercle de confiance, des proches, un notaire, un avocat, et le recouvrement exige un quorum de leurs signatures, plus le délai. Le tout est conçu contre la collusion : ni un proche seul, ni un officier seul ne peut usurper.
L'héritage prouvable, encore. On déclare ses héritiers via l'infrastructure. Sans signe de vie pendant une durée fixée, le système ouvre une demande de transfert auprès des personnes de confiance désignées ; si un quorum valide, la succession s'active. Les fonds et les actifs ne sont pas perdus. L'identité numérique devient une forme d'assurance-vie : elle survit proprement à son porteur.
La protection contre la contrainte physique, enfin. L'actualité est sinistre : des détenteurs d'actifs numériques sont enlevés, séquestrés, parfois mutilés, pour qu'ils « ouvrent » leurs avoirs. Une sécurité qui protège la donnée mais expose la personne a échoué. Ici, la même mécanique de délai et de quorum vous protège. Si un transfert sensible exige quarante-huit heures et la signature d'autres gardiens, alors vous ne pouvez pas l'exécuter sur-le-champ, même sous la menace. On ne peut pas vous extorquer un accès que vous-même êtes incapable de donner immédiatement. La contrainte devient sans objet. La résilience ne protège pas que les fonds, elle protège les corps.
La preuve donne le pouvoir ; les garde-fous donnent la résilience. L'un sans l'autre est dangereux.
VIII. Ni « code is law », ni confiance aveugle
Attention, maintenant, au dogme inverse. Rien de ce qui précède ne signifie « le code fait loi », cette idée née dans la crypto selon laquelle une ligne de code ferait jurisprudence, sans appel. C'est un autre piège. Si le code se trompe, il n'y a aucun recours ; un bug devient une sentence, le hack est « définitif ». On n'aurait fait que remplacer l'arbitraire d'un tiers par l'arbitraire d'un programme. Ce n'est pas un progrès.
Les humains ont mis des siècles à bâtir un code juridique : l'intention, l'équité, les circonstances atténuantes, le recours, la prescription, la hiérarchie des normes. Tout n'est pas binaire, et ce patrimoine ne se jette pas à la poubelle.
La bonne doctrine tient en une phrase : le code prouve et exécute, le droit arbitre. La cryptographie n'abolit ni le juge, ni le notaire, ni l'avocat. Elle leur fournit des preuves fiables pour statuer, et leur réserve une place dans le protocole : mandats, quorums incluant des officiers de justice, délais d'annulation, succession encadrée. La preuve gère le vérifiable, qui a signé, quel solde, quel droit d'accès. Le jugement humain garde l'interprétable, était-ce équitable, y a-t-il eu vice du consentement, faut-il une exception. Les deux ne s'opposent pas : la machine pour la certitude, l'humain pour le sens.
Une objection s'impose ici, et elle est saine : le juge, le notaire, l'officier sont faillibles, parfois partiaux, parfois corrompus. Faire du jugement humain le dernier mot, n'est-ce pas réintroduire le tiers de confiance qu'on a passé tout ce texte à congédier ? Non, et c'est précisément là que le dispositif tient. La preuve ne rend pas le juge incorruptible : elle réduit drastiquement ce qu'un juge corrompu peut faire. Il garde l'interprétation, mais il ne peut plus mentir sur les faits. Il ne peut pas prétendre qu'une signature n'a pas été donnée, réécrire un solde, fabriquer un droit d'accès ou antidater un consentement. Ces faits sont figés, signés, vérifiables des années plus tard par une cour d'appel, par un autre expert, par n'importe quel tiers, sans rien avoir à lui demander. Et sa décision elle-même peut être ancrée et auditée. Le sens reste humain, mais il s'exerce désormais sur un socle de faits que personne, pas même l'arbitre, ne peut falsifier. La règle ne change jamais : on ne remplace pas un tiers de confiance par un autre, on rend chacun vérifiable, y compris celui qui juge.
IX. Reprendre les fondations cassées : le courrier, le SMS, la voix
Nos protocoles les plus quotidiens sont nés sans authentification. Le courrier électronique en est l'illustration la plus crue : avec quelques lignes de commande, on peut expédier un message signé du nom de n'importe quelle personnalité, à n'importe qui, sans le moindre contrôle d'origine. Le SMS frauduleux qui réclame deux euros pour un colis, la voix usurpée au téléphone, procèdent du même vide originel.
La signature rétablit ce qui manque : la provenance, l'origine réelle d'un message, devient une propriété vérifiable au lieu d'une simple impression visuelle. Concrètement, un appel pourrait s'ouvrir par un échange cryptographique : avant même que votre téléphone ne sonne, il aurait vérifié que l'appel vient bien de votre banque, ou d'un tribunal, et vous l'afficherait. L'escroc, lui, est incapable de produire cette preuve : il peut imiter un ton, un logo, un numéro affiché, jamais une signature. La légitimité d'un message cesse alors d'être une affaire de ressenti, « ça a l'air officiel », pour devenir une propriété qu'on peut prouver ou réfuter.
On peut pousser l'idée plus loin. Aujourd'hui, on écrit à une adresse, un courriel, un numéro, qui peut être usurpée ou détournée. Demain, une messagerie pourrait être rattachée non à une adresse, mais à un bien ou à un dossier : le canal suivrait alors automatiquement le propriétaire légitime quand le bien change de mains, sans fil de discussion qui reste accessible à l'ancien détenteur après une revente ou un départ.
X. La chaîne d'information simplifiée
Le cas de l'hôtel est emblématique. Aujourd'hui, la réception photocopie ou scanne votre passeport et remplit une fiche de police. Cette copie dort ensuite dans le logiciel de réservation de l'établissement, soit un pot de miel de plus. Quand la chaîne tombe, ce sont des numéros de passeport qui fuitent ; un grand groupe hôtelier a ainsi exposé les données de centaines de millions de clients, dont plusieurs millions de passeports. Demain, vous scannez le code de l'hôtel, qui prouve qu'il s'agit bien de cet établissement, et votre téléphone présente une preuve à divulgation nulle : majeur, identité vérifiée et signée par l'État, séjour de tant de nuits, le tout déverrouillé par votre biométrie locale. L'hôtel vérifie et ne garde rien. La fiche de police devient une attestation vérifiable. Zéro dossier, zéro surface de fuite, zéro rétention à déclarer. Vous n'avez jamais lâché votre passeport.

Le dossier médical suit la même logique : un coffre dont vous fixez les droits, lecture pour l'hôpital, écriture pour votre médecin, l'un et l'autre révocables. Le contrôle d'accès n'est plus géré par un prestataire, mais par le mandat que vous délivrez et que vous reprenez. La location de voiture, l'ouverture de compte, la vérification d'identité réglementaire obéissent au même principe transversal : minimiser par la preuve, accorder un droit d'accès par mandat, et non par compte stocké.
XI. La scène, et la rupture
Imaginez une banque physique où cinq cents inconnus se pressent au même guichet. C'est la panique : lequel a une arme cachée, lequel est de mauvaise intention ? Le serveur cryptographique, lui, ne vit pas cette angoisse. Il reçoit cinq cents ordres chiffrés et signés, et il ne fouille pas les gens : il vérifie les ordres. Un ordre mal formé, rejoué, non autorisé, falsifié, est désarmé d'office, avant même d'être lu. Le serveur devient un assainisseur d'intentions, pas un videur dépassé, et chacun de ses contrôles est prouvable, exportable, vérifiable des années plus tard.

De là découle un corollaire frappant : la mort du jeton de session. À quoi sert au juste ce sésame ? Le web est né sans état et sans authentification. Pour garder un utilisateur « connecté » d'une requête à l'autre, on a inventé le jeton de session, un secret que le serveur vous remet et que vous représentez à chaque appel. Son défaut est natif : c'est un jeton au porteur. Qui le vole devient vous : par une faille de navigateur, une interception, un logiciel malveillant, une fuite de journaux. D'où la course sans fin aux rustines, durées de vie raccourcies, rotations, rattachement à l'appareil. Renversons le problème. Si chaque échange entre votre navigateur et le serveur est signé par une clé qui ne quitte jamais l'appareil, il n'y a plus aucun secret de session réutilisable à voler. Le jeton de session résolvait un problème que ce modèle fait tout simplement disparaître. Là encore, l'Histoire a tranché en grandeur nature : en 2023, un groupe a dérobé une seule clé de signature chez un grand fournisseur, et a pu dès lors forger des jetons d'authentification pour n'importe quel compte, usurpant des dizaines d'organisations, y compris des responsables gouvernementaux. Une seule clé volée, et l'on se fait passer pour tout le monde. Tout le modèle au porteur s'effondre.
On ne sécurise donc pas mieux la session : on supprime la catégorie. L'identité et la conformité ne dépendent plus d'un gestionnaire central. Plus de gardien à corrompre, donc plus rien à lui voler. Fin de l'interception, du vol de jeton, du rejeu : des familles entières de vulnérabilités éliminées par construction, pas par mitigation. C'est cela, la nouvelle ère.
XII. Pour un DSI : ce que cela change lundi matin
Traduisons tout cela dans le quotidien de qui dirige un système d'information. Le paradigme de la preuve n'est pas une abstraction de chercheur ; il attaque d'un même geste les fronts les plus coûteux d'une direction informatique.
Les accès, d'abord, qui sont le nerf de la guerre. Le premier vecteur d'intrusion n'est plus l'exploit, c'est l'identifiant volé. Tant que l'authentification repose sur un secret rejouable, mot de passe, cookie, jeton, il y aura quelque chose à voler. Une identité non dépositaire et une signature par requête, et le vol d'accès perd son objet. De surcroît, un droit accordé par mandat se révoque d'un seul geste, sans devoir naviguer les mille sous-catégories d'un annuaire où l'on oublie toujours un accès résiduel.
Les données, ensuite. Chaque base clients est un passif autant qu'un actif : une cible, et une obligation réglementaire. Vérifier sans stocker renverse l'équation. Moins de données conservées, c'est moins de surface d'attaque, moins de coût de conformité, et moins à déclarer en cas de fuite.
Les serveurs, encore. Un serveur qui ne détient aucune clé ni aucun secret réutilisable n'est plus un coffre à piller. Compromis, il ne livre que des preuves, jamais des identités. La valeur n'est plus dans le serveur. Et l'on oublie trop souvent que notre sécurité ne dépend pas que de nos propres failles : elle dépend aussi de celles, imprévisibles, de tous ceux dont nous dépendons. Une brèche chez un prestataire, une bibliothèque tierce piégée, une seule clé dérobée à l'autre bout de la chaîne, comme cette signature volée chez un grand fournisseur évoquée plus haut, et nous voilà dommage collatéral d'une faute que nous n'avons pas commise. Le régulateur, lui, ne s'en émeut pas : la responsabilité reste la nôtre. La seule parade structurelle consiste à réduire ce dont notre sécurité dépend. Une infrastructure qui ne détient rien, et dont chaque maillon ne livre que des preuves, ne peut pas faire de nous la victime collatérale du coffre d'un autre : le risque fournisseur cesse d'être une fatalité.
La vérification d'identité, enfin, et la conformité. Le contrôle « pièce d'identité plus selfie » est déjà en train de céder face aux deepfakes. La parade n'est pas de mieux examiner une image, par nature falsifiable, mais de vérifier une preuve signée par l'émetteur, par nature infalsifiable : le faux n'a plus rien à imiter. Quant à la conformité, NIS 2 fait entrer des milliers d'entités dans l'obligation et engage désormais la responsabilité des dirigeants ; DORA, en vigueur pour la finance depuis le début 2025, impose la maîtrise du risque fournisseur. Le régulateur comme l'assureur posent la même question : « prouvez vos contrôles ». Une infrastructure qui produit des preuves exportables transforme l'audit subi en garantie native. On peut même garantir la fin de vie d'une donnée en détruisant sa clé de déchiffrement, ce qui la rend mathématiquement inerte, au lieu d'espérer qu'un sous-traitant l'efface vraiment.
Le point essentiel, pour un DSI, est celui-ci : ce n'est pas un projet de plus. C'est un même geste, remplacer la confiance par la preuve, qui réduit en même temps le risque d'accès, la surface de données, l'exposition des serveurs, la fraude à l'identité et la charge réglementaire.
XIII. « Mais pourquoi personne ne l'a fait avant ? », et pourquoi vous pouvez vérifier
La question est légitime, et il faut y répondre franchement. Si c'est si évident, pourquoi les géants du numérique ne l'ont-ils pas fait, et comment une petite équipe le pourrait-elle ?
Parce que leur intérêt est inverse, d'abord. Le modèle économique des géants consiste à détenir vos données et vos clés : c'est leur actif, pas leur bug. La sauvegarde par défaut de vos clés de chiffrement sur leurs serveurs en est l'aveu candide. On ne scie pas la branche sur laquelle on est assis ; le non-dépositaire est, pour eux, une destruction de valeur.
Parce que l'existant est une prison, ensuite. Des milliards d'utilisateurs, des décennies de compatibilité ascendante, des protocoles gravés dans le marbre. Un mastodonte ne migre pas, il rafistole. Une petite équipe, elle, part d'une page blanche.
Parce que les outils viennent de mûrir, enfin. Les preuves à divulgation nulle, la cryptographie résistante au quantique, et surtout la preuve formelle, celle qui établit l'absence de défaut et pas seulement son absence constatée, ne sont industrialisables que depuis peu. La fenêtre s'ouvre maintenant, précisément au moment où l'IA rend l'ancien modèle intenable.
Reste la question qui tue : « pourquoi vous croirais-je, vous ? » La réponse est cohérente avec tout le reste : ne me croyez pas, vérifiez. Un système digne de confiance doit pouvoir prouver qu'il ne peut pas trahir, y compris contre son propre constructeur. Il ne détient aucune clé, les secrets restent chez l'utilisateur, et l'infrastructure ne voit jamais que des preuves. Son cœur est vérifié formellement : on démontre que les transitions dangereuses, l'insolvabilité, la double dépense, une clé qui ouvrirait trop de portes, sont impossibles par construction, avant la première ligne livrée. Et sa correction est publiquement vérifiable sans ouvrir le code. Nous publions une carte de contrôle : la liste des garanties démontrées, énoncées en clair, chacune assortie du verdict de sa preuve et de l'empreinte du document qui l'établit, librement téléchargeable. Deux régimes s'y complètent, celles qu'on établit en explorant la totalité des états possibles du système, et celles qu'on démontre mathématiquement, une fois pour toutes. Viendra ensuite un espace où chacun pourra rejouer ces preuves contre l'engagement cryptographique des circuits, sans jamais accéder à l'infrastructure. La propriété intellectuelle reste fermée, la preuve reste ouverte, vérifiable par un expert ou par un juge, des années plus tard, sans aucun accès à l'infrastructure. Auditable n'est pas open source : on prouve sans se déshabiller.
Et nous, pourquoi nous ? Parce que la rupture ne demande pas davantage de moyens, mais la rencontre de mondes qui ne se croisent jamais. D'un côté, l'informatique grand public a grandi sur une culture du « on livre, on verra, on corrigera ». De l'autre, il existe des disciplines où l'on ne teste pas, où l'on prouve, parce qu'une défaillance tue : l'aéronautique, le militaire, l'automatisme industriel. On y certifie qu'un système ne peut pas défaillir avant qu'il ne vole, pas après le crash. Presque personne n'a songé à appliquer cette exigence-là, celle des systèmes critiques, à l'infrastructure de confiance numérique. Mariez cette rigueur à la cryptographie moderne et à la capacité d'opérer réellement l'infrastructure, et vous tenez une combinaison que les géants possèdent aussi, mais éclatée en silos qui ne se parlent pas. Le verrou n'est pas la taille, c'est la rareté du croisement.

C'est la cohérence ultime de la démarche : même le bâtisseur se soumet à la preuve. Pour valider la charge d'un pont, on ne le charge pas jusqu'à la rupture : on calcule sa résistance et l'on prouve qu'il tiendra, avant d'y laisser passer le premier camion. La preuve formelle, c'est ce même geste appliqué au logiciel. On ne casse pas le système pour voir, on démontre ce qu'il supporte. On ne vous demande donc pas de faire confiance à une équipe de trois personnes : on vous donne les moyens de vérifier ce qu'elle affirme.
Conclusion, la confiance comme infrastructure, et le rôle de l'école
Un changement radical arrive. Les IA et les agents agissent plus vite que nous, et l'on ne peut plus se contenter de dire que tout va bien se passer : il faut le prouver, avant. Une nouvelle ère s'ouvre, celle des identités souveraines, des mandats prouvables, des garde-fous qui rendent le temps à l'humain, et de garanties établies par le calcul avant la première ligne livrée plutôt que constatées après coup. La prochaine génération d'ingénieurs en cybersécurité ne doit pas seulement défendre des murs fissurés. Elle doit refonder le socle : une confiance mathématique et souveraine, agnostique aux standards d'identité. Elle utilise eIDAS en Europe, et tout équivalent souverain ailleurs, comme un outil du socle, jamais comme le socle lui-même.
Et c'est là que tout se joue. Ces profils, qui prouvent au lieu de tester, n'existent presque pas sur le marché, alors que des millions de postes en cybersécurité restent non pourvus dans le monde. Les former, et former aussi les équipes déjà en poste à ce paradigme de la preuve, n'est pas un luxe : c'est la condition pour ne pas livrer la prochaine décennie aux machines. C'est, précisément, la raison d'être d'une école comme l'ESSN. Aux étudiants comme aux DSI, une seule question vaudra désormais d'être posée : peux-tu le prouver ?

La sécurité numérique repose encore sur la confiance déléguée : des secrets qu'il faut livrer pour être vérifié, des coffres à clés centraux, des jetons au porteur. À l'ère des agents IA qui attaquent en continu et à l'exhaustif, ce paradigme cède. William Famy (OvoChain) défend un socle bâti sur la preuve : identité non dépositaire, mandats prouvables et révocables, garde-fous (délai, quorum, recours) qui rendent le temps à l'humain, et vérification formelle avant la première ligne livrée. Un enjeu de formation autant que de technologie — et, précisément, la raison d'être d'une école comme l'E2SN.
Former des ingénieurs qui prouvent au lieu de seulement tester : c'est précisément la raison d'être de l'École des Sécurités et de la Souveraineté Numérique (E2SN). Cybersécurité, intelligence artificielle et souveraineté pensées ensemble, sans silos.
