Les responsables IT estiment que le Q-Day, le moment à partir duquel les ordinateurs quantiques seront capables de casser les systèmes de chiffrement classiques, n’est pas pour demain. Cela dit, il serait imprudent de repousser les préparatifs car les acteurs malveillants organisés ainsi que des États hostiles sont d’ores et déjà en action, d’après David Warburton, directeur du Lab F5. Ils collectent déjà des données telles que des identifiants client et administrateur, des clés API et des informations sensibles relevant de la propriété intellectuelle d’entreprise, dans l’objectif de les déchiffrer une fois les ordinateurs quantiques arrivés à maturité. C’est ce que l’on appelle “collect now, decrypt later”.
La cryptographie classique sera bientôt obsolète.
Pour le dire clairement, les ordinateurs classiques mettraient des millions d’années à factoriser les très grands nombres utilisés dans les algorithmes cryptographiques actuels alors que la prochaine génération d’ordinateurs quantiques pourrait effectuer ces calculs en quelques heures. Dans un monde hyperconnecté, un large éventail d’acteurs pourrait avoir accès à des ordinateurs quantiques très performants d’ici le début des années 2030.
Ne pensez pas alors qu’il existe des problèmes de sécurité plus urgents à traiter. Non, la mise à jour de la cryptographie n’est pas un simple problème technique que les fournisseurs ou intégrateurs peuvent résoudre. La préparation au Q-Day doit être une priorité stratégique pour toutes les entreprises y compris les organismes publics et ce, dès aujourd’hui.
Concrètement, il s’agit de passer à une cryptographie post-quantique (PQC) via une approche globale.
En 2024, le National Institute of Standards and Technology (NIST) aux États-Unis a finalisé trois algorithmes PQC conçus spécifiquement pour résister aux attaques d’ordinateurs quantiques, donnant ainsi l’impulsion à une mise à jour mondiale. Anticipant le fait que les ordinateurs quantiques compromettront la cryptographie asymétrique actuelle d’ici 2029, le cabinet Gartner avait classé la PQC au deuxième rang de ses tendances technologiques stratégiques pour 2025.
Attendre n’est donc pas une stratégie viable.
Dans certains secteurs, comme celui de la finance, de nombreuses organisations semblent attendre les instructions des régulateurs. Mais la préparation au Q-Day dépasse largement le cadre de la conformité réglementaire : il en va de la réputation et même de la continuité d’activité car une cyberattaque majeure pourrait paralyser une organisation, en provoquant la fuite de ses clients et autres parties prenantes.
Si les entreprises ne se préparent pas à temps, le Q-Day pourrait engendrer une « apocalypse de la confiance ». Cela peut sembler exagéré, mais les ordinateurs quantiques pourraient permettre de déchiffrer des communications sensibles, falsifier des certificats et contourner des signatures numériques, avec des conséquences dévastatrices. Par exemple, un fraudeur pourrait générer un faux certificat qui trompe votre navigateur et lui fait croire qu’il accède à un site de e-commerce légitime, incitant l’utilisateur à y saisir ses coordonnées bancaires. La falsification de certificats numériques faciliterait également la distribution de malwares contournant les antivirus, ou encore l’usurpation d’identités numériques.
Malheureusement, la transition vers la PQC ne se résume pas à une mise à jour unique. Comme le souligne Gartner, se préparer à la PQC nécessitera plus d’efforts que le passage à l’an 2000. Cela exigera une planification rigoureuse, des tests approfondis, et surtout de l’agilité cryptographique c’est à dire la capacité à adopter rapidement de nouveaux algorithmes cryptographiques selon les besoins. Ce défi est d’autant plus difficile que les compétences en cryptographie sont rares, ce qui augmente le risque que de nombreuses organisations soient sous-préparées pour le Q-Day.
La cryptographie est omniprésente
L’un des principaux défis est la prolifération cryptographique (crypto sprawl) — la plupart des organisations utilisent des solutions de chiffrement issues de nombreux fournisseurs, déployées dans des environnements variés : serveurs sur site, services cloud, systèmes de production et de test. Dans les grandes entreprises issues de fusions et acquisitions, cette prolifération est souvent très accentuée.
Par ailleurs, le problème touche aussi bien les systèmes informatiques que les dispositifs connectés. Alors que la plupart des navigateurs web prennent désormais en charge la PQC, de nombreux objets connectés (IoT), lecteurs de cartes intelligentes et systèmes d’accès ne le permettent pas. Certains de ces dispositifs ne prennent même pas en charge les mises à jour à distance.
Dans la majorité des cas, la cryptographie a été intégrée de manière ad hoc par les développeurs, sans registre centralisé indiquant quels systèmes utilisent quels algorithmes. De plus, les certificats numériques sont souvent codés en dur dans les applications ou les dispositifs, ce qui complique leur mise à jour. Ces difficultés sont aggravées par le fait que les équipes DevSecOps manquent généralement de compétences en cryptographie, tandis que les ingénieurs plus expérimentés ont soit pris leur retraite, soit sont mobilisés sur le maintien en conditions opérationnelles des systèmes anciens.
Par où alors commencer et que prioriser ?
La première étape consiste à former une équipe dédiée chargée d’établir une liste des composants cryptographiques (cryptographic bill of materials) recensant les bibliothèques, certificats et clés utilisés par les différents systèmes. Malheureusement, ce travail devra en grande partie être effectué manuellement, car il n’existe pas encore d’outils capables d’auditer intégralement la cryptographie d’une organisation. Pour une grande structure, il faut compter jusqu’à un an pour établir un tel inventaire.
Lors de la mise en œuvre de la PQC, il convient de commencer par la protection des applications et données critiques avec un temps de couverture long c’est-à-dire des données qui resteront sensibles et exploitables après 2029. Certaines données, comme les dossiers médicaux, pourraient avoir un temps de couverture illimité, tandis que d’autres, comme les numéros de carte bancaire, auront un cycle de vie beaucoup plus court.
Il faut également prioriser les plateformes traditionnelles, notamment celles qui ne prennent pas en charge TLS 1.3, la version la plus sécurisée du protocole TLS, indispensable pour activer les suites de chiffrement PQC. Il est par ailleurs essentiel d’intégrer une gestion robuste du cycle de vie des certificats et une agilité cryptographique dans les pipelines d’intégration et de déploiement continus.
Dans les organisations fortement contraintes en ressources, comme le secteur public, la PQC pourrait être déployée en parallèle d’autres mises à jour informatiques. Par exemple, lors de la modernisation d’une solution de protection des applications web et des API (WAAP) ou d’un système de gestion des identités et des accès, il serait judicieux de mettre à jour simultanément les mécanismes de chiffrement vers des versions post-quantiques. Pour préserver la confiance des usagers et des citoyens, des solutions d’identité et d’accès résistantes au quantique seront absolument incontournables.
Se préparer au Q-Day est ainsi à la fois une priorité stratégique et un processus long et coûteux en ressources. Il ne faut pas procrastiner : plus vous commencerez tôt, meilleures seront vos chances de protéger la réputation de votre organisation.
