L’informatique quantique n’est plus une menace théorique pour la prochaine décennie. En janvier 2026, l’ANSSI a publié un guide de référence qui sonne l’alerte générale : le risque HNDL (Harvest Now, Decrypt Later) rend nos documents numériques vulnérables dès à présent. Pour les entreprises le danger n’est pas seulement technologique, selon Philippe Delahaye, le directeur adjoint de Docaposte Arkhineo, il est structurel.
La fragmentation des documents stratégiques entre de multiples silos (Cloud, mails, serveurs) constitue une bombe à retardement que seul un passage rapide à l’agilité cryptographique et à l’archivage qualifié eIDAS 2.0 peut désamorcer. Les dirigeants qui n’adopteront pas une stratégie de migration post-quantique (PQC) avant la fin de l’année 2026 risquent de voir leur patrimoine documentaire exposé en clair d’ici 2028.
L’illusion du délai : le « Q-Day » a déjà commencé
Le débat sur l’informatique quantique est souvent mal posé. On parle de ce fameux « Q-Day » (le jour où un ordinateur quantique sera suffisamment puissant pour briser les algorithmes de chiffrement asymétrique actuels) comme d’un événement futur et incertain. Pourtant, pour un dirigeant, un DSI ou un RSSI, la réalité est déjà là sous une forme très pragmatique : la stratégie HNDL (« Harvest Now, Decrypt Later »).
Des acteurs malveillants, qu’il s’agisse de cybercriminels organisés ou d’entités étatiques, interceptent et stockent depuis de nombreux mois (voire des années) massivement des flux de données et documents (même chiffrés). Leur pari ? Attendre simplement que la puissance de calcul quantique, estimée à un horizon de trois à quatre ans par les experts, soit disponible pour “ouvrir” ces archives et capter vos secrets industriels et commerciaux, vos données de santé ou vos dossiers de propriété intellectuelle.
Le paradoxe est cruel : plus un document est stratégique et nécessite une conservation longue, plus il devient une cible prioritaire. Un contrat signé aujourd’hui pour 20 ans sera vulnérable au déchiffrement quantique bien avant que sa valeur juridique ne s’éteigne. En 2026, ignorer cette menace, c’est accepter une obsolescence programmée de votre sécurité.
Le véritable point aveugle : la « Document Sprawl »
Si l’informatique quantique est le marteau, la dispersion documentaire est l’enclume sur laquelle se brisera votre conformité. Dans la plupart des organisations, les documents « importants » ne vivent hélas pas dans un seul endroit hyperprotégé. Ils se dupliquent et s’éparpillent dans une zone grise technologique que les experts appellent le « Document Sprawl ».
Un contrat peut exister simultanément en version de travail dans un Drive, en version revue dans une GED, en version signée dans une boîte mail, un partage réseau ou un stockage cloud. Cette fragmentation entraîne des risques majeurs :
• absence de preuve sûre : en cas de litige, où se trouve la version qui fait foi ? Comment démontrer son intégrité le moment venu si les mécanismes de scellement ont été rendus obsolètes et peut-être « cassés » par une attaque quantique modifiant son contenu ?
• perte de temps et d’efficacité : les collaborateurs perdent des heures à rechercher la “bonne” version parmi des silos non gouvernés.
• bombe à retardement RGPD : le règlement impose des durées de conservation strictes limitées à la finalité du traitement et un “droit à l’oubli”. Comment purger ces données et justifier de leur destruction si vous ne savez même plus où sont les copies ?
Cette dispersion rend toute migration cryptographique post-quantique (PQC) impossible à industrialiser. On ne peut pas “patcher” cinquante silos différents avec la même rigueur. La surface d’exposition au risque HNDL augmente de manière exponentielle avec chaque nouvel outil de stockage non maîtrisé.
Le nouveau cadre européen : eIDAS 2.0 et la norme CEN/TS 18170:2025
Face à cette crise de confiance, l’Europe a radicalement fait évoluer son arsenal législatif. L’archivage électronique est devenu un Service de Confiance Qualifié défini par le Règlement d’exécution (UE) 2025/2532 du 16 décembre 2025.
Il est crucial de corriger une confusion courante : si la norme NF Z42-013 reste le socle en France, elle est aujourd’hui complétée par la nouvelle norme européenne CEN/TS 18170:2025. Publiée en mai 2025, cette spécification technique devient la pierre angulaire de l’archivage qualifié européen.
Ce nouveau cadre impose des exigences fonctionnelles strictes sur quatre piliers : la réception, le stockage, la récupération et la suppression. Mais surtout, dans la perspective d’une arrivée prochaine de l’informatique quantique, il introduit l’obligation pour les prestataires qualifiés de mettre en œuvre des procédures capables d’étendre la fiabilité des signatures électroniques au-delà de leur période de validité technologique.
En clair, le système d’archivage (SAE) devient l’outil capable de “durcir” et donc de protéger vos preuves contre la menace quantique grâce à des mécanismes de préservation de l’intégrité à long-terme utilisant des algorithmes post-quantiques dans le cadre d’une approche hybride (recommandée par l’ANSSI) permettant de maintenir la compatibilité avec les matériels/logiciels actuels.
Recommandations : comment agir maintenant ?
La transition vers le monde post-quantique est un marathon. Pour les dirigeants d’entreprises, de collectivités publiques et les DSI, la trajectoire 2026/27 doit s’articuler autour de trois étapes clés.
Étape 1 : le recensement et le CBOM
On ne gère que ce que l’on mesure. La priorité est de réaliser un inventaire exhaustif de vos actifs cryptographiques :
· Quels outils utilisent du chiffrement (VPN, GED, drives, messageries) ?
· Quels algorithmes sont en place (RSA, ECC, SHA-128, SHA-256) ?
· Quels documents doivent être protégés et quelle est leur durée de vie résiduelle ?
Cet audit permet d’identifier les systèmes prioritaires qui doivent migrer vers des standards post-quantiques dès 2026/2027 car ce processus est long (en moyenne 18 mois à 2 ans) et l’échéance quantique se profile à un horizon de 3 ou 4 ans.
Étape 2 : l’Agilité Cryptographique (Doctrine ANSSI 2026)
L’ANSSI et le NIST recommandent désormais l’hybridation cryptographique. Il s’agit de combiner un algorithme classique (éprouvé) avec un nouvel algorithme post-quantique (comme ML-DSA/Dilithium ou SLH-DSA/SPHINCS+). Cette approche garantit que vos documents restent protégés même si une faille mathématique était découverte dans l’un des deux systèmes. L’agilité cryptographique doit devenir un critère éliminatoire dans vos prochains appels d’offres : un système qui n’est pas capable de changer d’algorithme sans refonte architecturale est un passif financier pour votre entreprise.
Étape 3 : centralisation dans un SAE Qualifié eIDAS
La réponse à la dispersion n’est pas un énième serveur de stockage, mais une chaîne probatoire résistante à une attaque quantique. Centraliser vos documents critiques (RH, Finance, Juridique, R&D) dans un Système d’Archivage Électronique (SAE) qualifié eIDAS (et donc conforme à la norme CEN/TS 18170:2025) permet de :
• maîtriser le cycle de vie et la conformité RGPD : automatiser les purges et le respect des durées de conservation.
• garantir l’intégrité long terme : le SAE utilisant un algorithme post-quantique (point à vérifier tout de même) applique un scellement post-quantique qui “enveloppe” vos preuves d’origine et les protège contre toute falsification rétroactive par un ordinateur quantique.
• simplifier la preuve : en cas de contentieux, le SAE génère un “rapport de récupération” automatisé qui atteste de la présomption d’intégrité devant les tribunaux de toute l’Union Européenne (un avantage majeur d’un service qualifié eIDAS).
L’anticipation est essentielle
Le message est clair : l’inaction ne peut perdurer. La perspective de l’arrivée d’ici trois à quatre ans de l’informatique quantique avec sa gigantesque puissance de calcul combinée aux recommandations de l’Union européenne incitant chaque organisation à engager ses premières étapes (recensement puis priorisation) de transition PQC dès 2026, fait qu’il est urgent d’agir.
Déterminer son niveau de dépendance aux algorithmes cryptographiques pouvant être cassés par cette rupture technologique et reprendre le contrôle de son patrimoine documentaire et probatoire, c’est transformer une contrainte de cybersécurité en un levier de souveraineté d’entreprise. En réduisant votre surface d’exposition au risque de remise en cause de vos documents probants et en sanctuarisant ces preuves dans un SAE « quantum-proof », vous garantissez à vos équipes, juristes et régulateurs que votre confiance repose sur un socle inébranlable, aujourd’hui comme dans trente ans. Le Q-Day ne doit pas être le jour de l’effondrement de vos archives, mais celui de la validation de votre vision stratégique.
