Le monde numérique est à l’aube d’une révolution technologique avec l’arrivée de l’informatique quantique. Si cette technologie promet des avancées spectaculaires dans des domaines comme la modélisation moléculaire, l’intelligence artificielle ou la résolution de problèmes complexes, elle représente également une menace pour la sécurité des données. Pour répondre efficacement à cette menace, Pierre Codis, AVP of Sales Nordics & Southern Europe chez Keyfactor, explique que les entreprises doivent devenir crypto-agiles et adapter rapidement et efficacement leurs solutions de chiffrement aux menaces émergentes.
Les algorithmes de chiffrement utilisés aujourd’hui (RSA, ECC, …), qui sécurisent les communications, les transactions financières et les infrastructures critiques, seront rendus obsolètes par la puissance de calcul des ordinateurs quantiques. Le compte à rebours est enclenché et les projections suggèrent que l’informatique quantique pourrait être opérationnelle dès 2030.
La menace quantique : un ouragan en approche
Aujourd’hui, les attaques de type “harvest now, decrypt later”[1] (récolter maintenant, décrypter plus tard) sont déjà une réalité. Les cybercriminels stockent des données chiffrées, en attendant de pouvoir les déchiffrer grâce à un ordinateur quantique. Cela signifie que les données échangées aujourd’hui (informations bancaires, données de santé, secrets industriels, …) sont potentiellement compromises à moyen terme.
De nombreuses entreprises considèrent qu’elles ont le temps pour agir mais la complexité de la transition vers des systèmes quantique exige des années de préparation. Le simple fait de la repousser à plus tard, ne fait qu’accroitre l’exposition des entreprises à des fuites massives de données dans un futur proche. Il est donc essentiel de migrer rapidement pour atténuer les risques et maintenir la conformité à mesure que les réglementations évoluent.
Le risque ne se limite pas à la cryptographie asymétrique. Les failles dans la génération de nombres aléatoires, déjà exploitées dans des attaques majeures comme Randstorm ou Polynonce, pourraient également être amplifiées par la capacité des ordinateurs quantiques à analyser des volumes massifs de données à une vitesse inégalée.
La réponse stratégique : l’agilité cryptographique
Pour répondre efficacement à cette menace, les entreprises doivent devenir crypto-agiles et adapter rapidement et efficacement leurs solutions de chiffrement aux menaces émergentes. Il ne s’agit pas seulement d’intégrer de nouveaux algorithmes post-quantiques, mais aussi de construire une infrastructure résiliente capable d’évoluer sans perturber les opérations courantes via :
1 L’évaluation et la hiérarchisation
Les entreprises doivent d’abord cartographier leurs actifs numériques et évaluer les vulnérabilités associées à l’informatique quantique. Les données à longue durée de vie — comme les dossiers médicaux ou les données financières — doivent être sécurisées en priorité.
2 La mise en œuvre progressive
Une transition réussie passe par une approche itérative, incluant des tests pilotes, une intégration progressive des solutions post-quantiques et une surveillance continue pour ajuster les stratégies en fonction de l’évolution de la menace.
3 L’amélioration continue
Les solutions de sécurité post-quantiques doivent être évaluées et adaptées en permanence pour répondre à l’évolution rapide des technologies et des tactiques d’attaque. Cela passe par une collaboration étroite avec les partenaires industriels et une évaluation constante des performances.
Déconnexion du leadership et défis organisationnels
Malgré une prise de conscience croissante des enjeux de la cryptographie post-quantique (PQC) par les DSI et RSSI, un fossé persiste entre les équipes techniques et les décideurs budgétaires. Aligner ces parties prenantes exige un engagement stratégique à long terme, car la préparation à la PQC s’étend sur plusieurs années et nécessite des investissements en matériel, logiciels et processus opérationnels.
L’histoire de la transition entre SHA-1 et SHA-2, qui a pris plus de dix ans, illustre la difficulté d’adapter une infrastructure cryptographique à grande échelle. Or, la transition vers la cryptographie post-quantique sera encore plus complexe. Les entreprises qui attendent la dernière minute pour agir risquent de se retrouver dans une situation critique, confrontées à des fuites massives de données, des interruptions de service et des pertes financières colossales.
Cette transformation sécuritaire exige des dirigeants d’entreprise qu’ils harmonisent la stratégie, mettent à jour la gouvernance, améliorent les pratiques d’approvisionnement et renforcent l’agilité organisationnelle. Des secteurs comme la finance, la défense et les télécommunications sont en avance dans l’adoption de la PQC, tandis que le retail et les administrations locales doivent combler leur retard pour éviter les vulnérabilités.
De plus, les organismes de standardisation comme le NIST (National Institute of Standards and Technology) ont déjà défini des échéances pour le remplacement des algorithmes classiques. Les entreprises qui n’anticiperont pas cette mutation pourraient se retrouver en violation des normes de sécurité et être exposées à des sanctions réglementaires.
Défis opérationnels et techniques
La transition vers la cryptographie post-quantique est techniquement complexe. Le manque de visibilité centralisée sur les actifs cryptographiques actuels complique la gestion d’un inventaire exhaustif par les entreprises, entravant la planification et entraînant des difficultés lors de la mise en œuvre. Les systèmes hérités, les appareils IoT limités et le matériel obsolète peinent à répondre aux exigences de calcul accrues de la PQC. De plus, la taille plus importante des clés et les temps d’échange prolongés peuvent dégrader les performances, même pour les technologie les plus avancées.
La sécurité quantique est une responsabilité partagée qui exige une vision stratégique à long terme. Face à la menace quantique, les entreprises doivent évaluer rapidement leurs vulnérabilités et établir des priorités claires, en mettant l’accent sur la protection des données à longue durée de vie. Il est essentiel d’adopter une infrastructure cryptographique agile, capable de s’adapter aux nouvelles menaces à mesure qu’elles émergent. La PQC nécessite une surveillance, des correctifs et des mises à jour continus par une équipe qualifiée. Les entreprises qui débutent leur parcours de crypto-agilité doivent l’aborder comme un processus évolutif. Enfin, la collaboration avec des partenaires industriels et des organismes de standardisation est également cruciale pour assurer une transition fluide et interopérable vers un environnement sécurisé.
L’informatique quantique n’est pas une menace lointaine qui impactera l’activité des entreprises et de la société dans un futur incertain ; elle façonne déjà, en silence, le paysage de la cybersécurité. La prise de conscience doit être collective et il faut agir maintenant. La mise en commun de solutions doit permettre de construire un avenir numérique résilient à même de répondre aux défis posés par l’ère quantique.
[1] Récolter maintenant, décrypter plus tard est une stratégie de surveillance qui se base sur l’acquisition et le stockage à long terme de données chiffrées actuellement illisibles en attendant d’éventuelles avancées dans la technologie de déchiffrement qui les rendraient lisibles dans le futur
