Pour Bastien Bobe, Security Field CTO chez Commvault, la question n’est plus de savoir si les entreprises devront se préparer à l’ère post-quantique, mais à quel rythme elles doivent engager cette transition. Si les ordinateurs capables de casser les mécanismes de chiffrement actuels ne sont pas encore une réalité opérationnelle, la perspective d’un « Q-Day » plus proche qu’anticipé pousse déjà les organisations à revoir leur stratégie cryptographique.
Alors que l’intelligence artificielle a dominé une grande partie de l’actualité cybersécurité ces derniers mois, un autre sujet s’impose désormais dans les discussions stratégiques : la cryptographie post-quantique (PQC).
Les avancées de l’informatique quantique s’accélèrent. Et même si le basculement n’est pas pour demain matin, la question n’est plus de savoir si les entreprises doivent s’y préparer, mais à quel rythme elles doivent le faire.
L’enjeu est majeur : les mécanismes de chiffrement asymétrique les plus utilisés aujourd’hui, comme RSA et ECC, pourraient à terme devenir vulnérables face à des capacités quantiques suffisantes. Pour les organisations qui manipulent des données sensibles à longue durée de vie, dans la santé, la finance, l’industrie, le secteur public ou les infrastructures critiques, le risque est déjà concret.
Un risque qui se joue aujourd’hui
Le terme « Q-Day » désigne le moment critique où les machines quantiques deviendront assez puissantes pour briser le chiffrement asymétrique actuellement en usage. Il y a encore un an, le consensus tablait sur un délai de 15 ans. Mais face à l’accélération des progrès matériels et algorithmiques, certains chercheurs estiment désormais que ce délai s’est considérablement raccourci, pour ne plus être que de 5 à 7 ans.
Cette compression du calendrier est d’autant plus inquiétante qu’elle coïncide avec une menace bien réelle : la tactique du “récolter maintenant, déchiffrer plus tard”. Des acteurs malveillants volent dès aujourd’hui des données chiffrées, les conservent, puis les déchiffrent lorsque les technologies quantiques le leur permettront.
Face à cette menace, une seule riposte : la transition vers la cryptographie post-quantique. Pour autant, il ne s’agit pas de remplacer des algorithmes. C’est tout l’écosystème des protocoles, des systèmes et des réseaux qui doit être repensé. Et surtout, il faut cultiver une vraie crypto-agilité : la capacité à pivoter rapidement quand de nouveaux standards émergent ou quand des failles apparaissent.
Les organisations qui temporisent prennent un risque croissant. Attendre le Q-Day, c’est devoir mener cette transformation sous pression, à coût exponentiellement plus élevé. C’est pourquoi il est temps d’agir, dès aujourd’hui.
Quatre priorités pour se préparer
1. Cartographier les actifs et les usages cryptographiques
Il est indispensable d’identifier non seulement les serveurs, terminaux, applications cloud, clés, certificats et bibliothèques, mais aussi la manière dont ces composants soutiennent les processus métiers. Dans des environnements souvent hétérogènes, entre legacy, SaaS et prestataires tiers, cette visibilité est la première étape.
2. Evaluer la feuille de route des fournisseurs
La préparation au post-quantique dépend aussi de l’écosystème. Les entreprises doivent interroger leurs éditeurs, intégrateurs et fournisseurs cloud sur leurs feuilles de route, leurs choix technologiques et leur calendrier de transition en regardant sur quelles normes cryptographiques les fournisseurs misent et à quel rythme ils comptent déployer des algorithmes résistants à l’informatique quantique et s’ils s’engagent dans des coalitions sectorielles ou des initiatives de certification sur le sujet.
3. Faire monter les équipes en compétence
Le sujet ne peut pas rester cantonné à quelques experts. Les responsables sécurité, infrastructure, architecture et gestion des risques doivent acquérir un socle commun de compréhension pour intégrer la PQC dans les décisions à venir.
4. S’appuyer sur les normes
Les normes FIPS 203 à 205 du NIST constituent aujourd’hui un socle international pour la cryptographie post-quantique. En France, les organisations ont également intérêt à s’aligner sur les recommandations de l’ANSSI, qui encourage une transition progressive, maîtrisée et fondée sur la crypto-agilité.
Cette approche est essentielle dans la mesure où les nouveaux algorithmes post-quantiques peuvent avoir un impact sur les performances : taille des clés, signatures plus lourdes, contraintes réseau, IoT ou stockage. En adoptant des bibliothèques cryptographiques modulaires et des protocoles hybrides, les entreprises peuvent renforcer leur résilience tout en évitant des refontes coûteuses.
L’informatique quantique n’est plus un sujet théorique. Pour les entreprises françaises, la priorité est désormais d’anticiper: recenser les dépendances cryptographiques, challenger les fournisseurs, former les équipes et préparer des architectures plus agiles. La transition vers la cryptographie post-quantique prendra du temps. Mais sur ce sujet, attendre revient déjà à prendre du retard.
