Deux ans de travaux collectifs, une dizaine d’organisations publiques et privées, et deux livrables publiés simultanément : le Campus Cyber vient de franchir un cap concret dans la préparation des entreprises françaises à la menace quantique.
Guide de migration et panorama des outils disponibles forment ensemble un vademecum opérationnel à destination des RSSI et des décideurs IT. Décryptage.
Un risque présent, pas futur
La menace quantique n’est pas une hypothèse de science-fiction planifiée pour 2035, elle se joue déjà maintenant. La phrase est devenue un classique des conférences cyber, mais le Campus Cyber y met désormais des chiffres, des jalons et des outils.
“Les attaques SNDL, Store Now, Decrypt Later, sont déjà en cours”, rappelle le guide de migration dévoilé ce 24 juin. Des acteurs malveillants collectent massivement des données chiffrées aujourd’hui, pour les déchiffrer le jour où la puissance de calcul quantique sera suffisante. Les données à longue durée de confidentialité sont donc déjà exposées : secrets industriels, contrats inter-banques, données médicales, propriété intellectuelle.
Valérian Gieszle cofondateur de Quandela, spécialiste hardware quantique, a posé le calendrier avec une précision qui a retenu l’attention : “Aujourd’hui, avoir un horizon de Q-day dans la prochaine décennie, c’est de plus en plus probable”.
“Dire que dans les années 2030, le protocole RSA sera obsolète parce qu’il y aura potentiellement des capacités de calcul suffisamment puissantes pour déchiffrer, c’est tout à fait raisonnable”
Valérian Gieszle cofondateur de Quandela
Il a aussi rappelé que les besoins en qubits nécessaires pour casser RSA 2048 ne cessent de diminuer à mesure que les algorithmes s’optimisent, rapprochant les courbes de capacité et de besoin.
Pour le secteur financier, la Banque de France a posé les enjeux encore plus crûment. Pierre Fressonnet, son représentant au groupe de travail, a rappelé que la blockchain et les systèmes d’échanges interbancaires reposent entièrement sur la confiance dans la cryptographie : “Si la crypto est cassée, c’est la blockchain qui s’écroule.” Le Citi Institute, cité dans le guide, estime qu’une seule cyberattaque quantique sur une grande banque américaine pourrait générer entre 2 000 et 3 300 milliards de dollars de pertes économiques indirectes à la suite d’une interruption d’une seule journée d’accès au réseau Fedwire, soit 10 à 17 % du PIB américain.
Une feuille de route en quatre phases, ancrée dans le réel réglementaire
Face à cette temporalité contrainte, le guide publié par le Campus Cyber structure la migration en quatre phases calées sur les jalons de la feuille de route européenne publiée par la Commission en juin 2025. La première phase, immédiate et planifiée pour 2026, couvre la sensibilisation, la mise en place d’une gouvernance dédiée, l’inventaire cryptographique complet et la définition d’une stratégie alignée sur les exigences réglementaires. La deuxième phase, entre 2026 et 2027, amorce le déploiement pilote en mode hybride. La troisième, de 2028 à 2030, cible la migration des systèmes à risque élevé. La quatrième, jusqu’en 2035, parachève la généralisation.
Ce cadrage s’inscrit dans un environnement réglementaire en durcissement rapide. Le Cyber Resilience Act, entré en vigueur en décembre 2024, impose des obligations dès décembre 2027 à tout produit connecté commercialisé en Europe. DORA, effectif depuis janvier 2025, exige des entités financières un inventaire cryptographique exhaustif et une crypto-agilité obligatoire. L’ANSSI, de son côté, a acté que dès 2027, aucune solution ne disposant pas de mécanismes compatibles avec la cryptographie post-quantique ne sera éligible à ses processus de qualification. “Il ne sera pas raisonnable d’acheter des produits qui n’intègrent pas de la PQC après 2030”, résume le guide.
L’inventaire cryptographique, étape fondatrice de toute la démarche, est décrit comme “bien plus qu’une simple liste de certificats”. Il cartographie l’ensemble du paysage cryptographique de l’organisation, algorithmes, clés, certificats, dépendances tierces, et conditionne la qualité de toute la migration qui suit. Hafeuda, d’Eviden, a insisté lors de la conférence sur un point souvent sous-estimé : l’hybridation, c’est-à-dire la combinaison d’algorithmes classiques et post-quantiques au sein d’un même protocole, est la recommandation centrale de l’ANSSI pour la période de transition. Elle protège contre le risque Store Now Decrypt Later tout en limitant l’exposition à des algorithmes post-quantiques encore jeunes.
Un panorama d’outils qui prouve que l’écosystème est prêt
Publié simultanément avec le guide, le panorama des outils de migration post-quantique recense les solutions disponibles en inventaire cryptographique, gestion du cycle de vie des certificats, HSM, librairies et PKI. Le groupe de travail a fait le choix de valoriser en priorité les solutions françaises et européennes, par cohérence avec une approche de souveraineté numérique, tout en référençant l’ensemble du marché. Le classement est alphabétique, sans hiérarchie de valeur entre éditeurs.
Ce panorama répond à un vrai manque. Comme l’a souligné Hafeuda lors de la conférence de presse, “avant, ce qu’on nous disait, c’est : les algorithmes ne sont pas encore standardisés, donc on ne peut rien faire. Ça, c’était une première réponse pour ne rien faire.” La standardisation du NIST en août 2024 avec les FIPS 203, 204 et 205 a levé cet obstacle. Les solutions existent, certaines sont déjà en production.
La Banque de France en témoigne : passage en production de TLS 1.3 sur son Certificate Lifecycle Manager, expérimentations sur les VPN et les échanges de mails chiffrés en mode hybride avec des partenaires comme la Bundesbank et l’autorité monétaire de Singapour. “Notre rôle de RSSI, c’est de faire en sorte que ces échanges de mails soient chiffrés de manière pérenne, parce qu’il y a des informations qui ont une valeur dans le temps”, a résumé Pierre Fressonnet.
Sur la question de qui porte ce chantier en interne, la réponse des praticiens est sans ambiguïté : ni un “Chief Quantum Officer” ni une restructuration organisationnelle, mais un programme transversal, remonté au niveau du Comex pour sécuriser les budgets. Le Boston Consulting Group estime le coût de la transition entre 2,5 % et 5 % du budget IT annuel sur la durée de la migration, avec un doublement probable du coût pour les organisations qui attendraient 2030 pour démarrer.
“BCG avertit explicitement que démarrer en 2030 sera déjà trop tard pour bénéficier d’une transition maîtrisée”
Guide de migration vers la cryptographie post-quantique, Campus Cyber, juin 2026.
Comme l’a conclu le president du Campus Cyber Joffrey Célestin-Urbain en ouverture de la conférence : “La singularité du quantique en cyber, c’est qu’on est encore dans les temps. Certaines batailles sont perdues et on les ignore. Celles du quantique ne l’est pas”.
