Face aux menaces liées à l’informatique quantique, la transition vers la cryptographie post-quantique s’impose progressivement aux organisations. Dans cette tribune, Guillaume de Landtsheer, directeur général de NetApp France, estime toutefois que le chiffrement ne suffira pas : la protection des données devra aussi passer par une meilleure visibilité sur leur localisation et leurs usages.
Partout dans le monde, les entreprises et les états entament une course vers la cryptographie post-quantique, qui risque de se transformer en un chantier coûteux et interminable s’ils ne repensent pas fondamentalement leur approche. Après la finalisation des premières normes PQC (Post Quantum-Cryptography) par le National Institute of Standards and Technology (NIST) américain en août 2024, l’ANSSI a pris le relais en France, œuvrant dès à présent à la disponibilité d’une offre de solutions PQC certifiées et qualifiées pour les organisations nationales. Toutefois, considérer le chiffrement comme la défense principale contre les menaces quantiques relève d’une erreur de perspective. Face au risque réel induit par l’approche « récolter maintenant, déchiffrer plus tard » liée à l’informatique quantique, le chiffrement ne suffit pas : il est essentiel d’identifier précisément où sont les données et comment elles circulent pour mieux les protéger.
Il est tentant de privilégier la cryptographie post-quantique face aux menaces émergentes, mais la complexité des systèmes d’information et la dispersion des données entre cloud et systèmes hérités compliquent son déploiement. Sans une vision globale sur leurs données, les organisations peinent à prioriser la protection contre les attaques quantiques. L’ANSSI l’a bien compris en accompagnant les centres d’évaluation dans le développement des compétences sur la PQC. Les premières certifications de produits intégrant des algorithmes de cryptographie post-quantique à base de réseaux euclidiens ont d’ailleurs été délivrées, en octobre dernier, aux solutions de Thales et Samsung, reconnues par un Visa de sécurité ANSSI suite à des évaluations conduites par le Centre d’évaluation CEA-Leti. Quant aux grands constructeurs de solution de stockage et de gestion de données, comme NetApp ou Broadcom, ils ont annoncé ces derniers mois l’intégration des algorithmes certifiés par le NIST, permettant aux organisations de préparer leurs infrastructures aux attentes des organismes publics.
La préparation quantique et la gestion des données sont complémentaires. Les organisations peuvent suivre les directives actualisées de l’ANSSI pour intégrer la PQC, tout en développant une infrastructure adaptée à sa mise en œuvre durable. Avec l’obligation PQC pour entrer en qualification prévue à partir de 2027, et le soutien financier apporté via les appels à projets du Secrétariat général pour l’investissement ainsi que les programmes européens Digital Europe et Horizon Europe coordonnés par le Centre de coordination cyber français hébergé par l’ANSSI, l’écosystème français dispose des leviers nécessaires pour réussir cette transition. L’objectif doit être de garantir une cybersécurité nationale résiliente, avec des infrastructures intelligentes, capables de se défendre et de s’adapter aux menaces émergentes sans nuire à leurs missions.
