Microsoft veut faire basculer ses produits et services critiques vers la cryptographie post-quantique d’ici 2029. L’éditeur inscrit désormais ce chantier dans sa Secure Future Initiative, signe que la migration ne concerne plus seulement les laboratoires ou les équipes de cryptographie. Elle touche déjà les certificats, les protocoles, les chaînes de confiance et les services cloud utilisés par les entreprises.
Un calendrier ramené à 2029
Microsoft a annoncé, le 30 juin, une accélération de sa feuille de route quantum-safe. L’éditeur prévoit désormais de migrer ses produits et services critiques vers des mécanismes de cryptographie post-quantique d’ici 2029, dans le cadre de son Quantum Safe Program.
Le groupe justifie ce calendrier par le déplacement du risque. Les ordinateurs quantiques actuels ne permettent pas de casser les standards de chiffrement modernes, mais les données sensibles peuvent déjà être interceptées et conservées en vue d’un déchiffrement ultérieur. C’est le scénario dit du « harvest now, decrypt later », particulièrement préoccupant pour les secrets industriels, les données de santé, les échanges diplomatiques ou les informations à longue durée de confidentialité.
Microsoft rattache aussi cette migration à sa Secure Future Initiative, lancée après plusieurs incidents de sécurité majeurs. Le sujet n’est donc plus traité comme une évolution cryptographique isolée, mais comme une exigence de sécurité produit.
Des briques techniques à revoir en profondeur
La migration quantum-safe ne se limite pas au remplacement d’un algorithme par un autre. Microsoft évoque plusieurs chantiers déjà engagés, dont l’intégration de la cryptographie post-quantique dans les bibliothèques, les protocoles réseau et les services exposés à grande échelle.
Le point sensible se situe notamment dans les chaînes de confiance. Certificats, échanges TLS, signatures, gestion des clés et dépendances applicatives devront être inventoriés avant toute bascule. C’est ce qui rend la transition lente. Une entreprise peut utiliser un service cloud prêt pour le post-quantique tout en conservant des applications, des appliances ou des outils internes qui ne le sont pas.
Cette phase d’inventaire sera probablement la plus difficile pour beaucoup d’organisations. Les usages cryptographiques sont dispersés dans les applications, les équipements réseau, les services d’identité, les sauvegardes, les API et les outils d’administration. Sans cartographie précise, la migration risque de se faire par fragments, avec des angles morts.
Les fournisseurs alignent leurs propres échéances
L’annonce de Microsoft intervient peu après le signal envoyé en France par l’ANSSI. L’agence a indiqué qu’à partir de 2027, les produits de sécurité dépourvus de mécanismes résistants aux ordinateurs quantiques ne seraient plus certifiés. D’ici 2030, les achats des administrations et des opérateurs d’importance vitale devront se tourner vers des solutions quantum-safe.
L’ANSSI fixe une pression de certification et d’achat. Microsoft répond par une feuille de route fournisseur, centrée sur ses produits et ses services critiques. Les deux mouvements se rejoignent néanmoins sur un point : la migration post-quantique devient un critère de conformité et de sélection technologique, pas seulement une anticipation théorique.
Pour les entreprises, la question va donc se déplacer vers les contrats, les audits fournisseurs et les plans de transformation. Il ne suffira pas de demander si un service est « quantum-safe ». Il faudra savoir quelles fonctions le sont réellement, à quelle échéance, avec quels standards, et comment cohabiteront les anciens mécanismes pendant la période de transition.
La crypto-agilité devient le vrai sujet
Le calendrier de Microsoft confirme surtout l’importance de la crypto-agilité. Les organisations devront pouvoir changer d’algorithmes, de suites cryptographiques ou de mécanismes de signature sans reconstruire toute leur architecture. C’est ce point qui fera la différence entre une migration maîtrisée et une succession de corrections tardives.
La cryptographie post-quantique n’est pas encore une urgence d’exploitation quotidienne, mais elle devient un chantier d’infrastructure. Les entreprises qui manipulent des données sensibles à longue durée de vie ont intérêt à identifier dès maintenant les flux concernés, les systèmes dépendants et les fournisseurs critiques. Le risque n’est pas seulement d’être en retard en 2029 ou 2030. Il est de découvrir trop tard où la cryptographie est réellement utilisée.






