Les ordinateurs quantiques progressent à une vitesse fulgurante. Bientôt, ils seront capables de contourner les systèmes de chiffrement sur lesquels repose aujourd’hui la sécurité de toutes les entreprises. Pour Pierre Codis, directeur commercial Europe de l’ouest de Keyfactor, ce n’est pas seulement un défi technologique : c’est un enjeu stratégique majeur, qui va bouleverser la manière dont les entreprises protègent leurs données, leurs infrastructures et la confiance de leurs clients.
Se préparer à la sécurité post-quantique (PQC) ne se résume pas à adopter de nouveaux outils. C’est une transformation globale qui implique une planification, des investissements et un alignement à l’échelle de l’entreprise. Les RSSI doivent dès à présent initier un dialogue avec les directions générales et financières, souvent encore éloignées de cette réalité imminente.
Mais comment convaincre les dirigeants d’agir maintenant, alors que la menace semble encore abstraite ?
Cadrer le problème : un enjeu majeur en matière de gouvernance
La sécurité post-quantique n’est pas une simple mise à jour technique, c’est une question de gouvernance, de continuité et de résilience. L’informatique quantique rendra rapidement obsolètes les systèmes de chiffrement actuels : les infrastructures à clé publique perdront leur fiabilité et les données chiffrées d’aujourd’hui deviendront vulnérables demain.
Les cybercriminels l’ont déjà compris : leurs attaques de type harvest now, decrypt later consistent à à collecter des données sensibles maintenant pour les exploiter lorsque la puissance quantique sera disponible. Les conséquences financières, juridiques et réputationnels seraient majeures, en particulier pour les secteurs critiques comme la santé, les services publiques ou l‘industrie.
Cette mutation s’accompagne aussi d’un tournant réglementaire. Les initiatives du NIST, de l’ANSSI, la NSA et de la CISA annoncent l’émergence d’une crypto-agilité obligatoire. Les entreprises devront être capables d’adapter ou de remplacer rapidement les algorithmes cryptographiques sans perturber leurs systèmes existants. Cette agilité deviendra un indicateur de maturité et de conformité à l’ère quantique.
Axer le message sur la prévention et la gestion des risques
L’informatique quantique constitue une perturbation prévisible, susceptible de contourner des défenses valant des millions sans anticipation. La sécurité post-quantique ne signifie pas « tout reconstruire », mais moderniser progressivement, Cela passer par un inventaire précis des actifs, une hiérarchisation des priorités et une planification pluriannuelle.
Pour cela, les dirigeants doivent comprendre que cette transition relève avant tout de la gestion des risques : continuité des activités, protection de la réputation, conformité et résilience. Les discussions stratégiques autour de la sécurité quantique devraient s’articuler sur 4 axes afin d’inscrire la préparation post-quantique au cœur de la gouvernance d’entreprise :
1) Calendrier de mise en œuvre
La transition vers une cryptographie résistante au quantique prend du temps : trois à sept ans pour couvrir l’ensemble des systèmes. L’amorcer tôt permet de réduire la complexité opérationnelle, d’anticiper les coûts et de maîtriser les risques liés à l’obsolescence des technologies actuelles.
2) Exposition des données
Certaines catégories de données ont une longue durée de conservation, comme les informations personnelles, les informations médicales et la propriété intellectuelle. Elles constituent une cible privilégiée pour les cybercriminels car même si elles sont actuellement cryptées, l’informatique quantique permettra de les déchiffrer facilement. Les hackers sont patients.
Une protection anticipée limite cette vulnérabilité et préserve la réputation de l’entreprise.
3) Horizon de conformité
Les autorités publiques et les instances de normalisation intègrent déjà la menace quantique dans leurs cadres réglementaires. Le respect des nouvelles exigences en matière de gouvernance, de risque et de conformité devient un indicateur clé de maturité cyber. Anticiper ces obligations, c’est à la fois éviter les sanctions et renforcer la confiance des parties prenantes.
4) Dette cryptographique
À l’instar de la dette technique, la dette cryptographique découle du décalage entre les pratiques actuelles de sécurité et les avancées technologiques. Elle fragilise les systèmes et accroît le coût des futures mises à niveau. L’adoption d’une approche crypto-agile, capable d’adapter ou de remplacer rapidement les algorithmes, constitue un facteur clé de résilience face aux menaces quantiques.
Sensibiliser le conseil d’administration : le coût réel de l’inaction
La responsabilité fiduciaire des RSSI consiste à alerter le conseil d’administration sur les conséquences d’une inaction face à l’émergence de l’informatique quantique. Une compromission liée à une faille de cette technologie pourrait entraîner des responsabilités juridiques, des impacts assurantiels, voire une perte durable de confiance des clients et investisseurs. Les attaques de type harvest now, decrypt later accentuent ce risque en exposant dès aujourd’hui des données chiffrées qui pourraient, demain, être facilement décryptées.
Par où commencer ?
Les approches de migration vers la sécurité post-quantique varient selon la maturité et les priorités stratégiques des entreprises. Certaines privilégieront une mise en œuvre immédiate, tandis que d’autres opteront pour une transition progressive. Première étape essentielle, l’inventaire cryptographique, à l’aide d’outils de découverte, pour avoir une visibilité claire des actifs à protéger et faciliter les analyses et mises à jour. Il est important ensuite d’évaluer les risques et de prioriser les systèmes critiques. Enfin, il faut initier une démarche de crypto-agilité, en modernisant l’infrastructure à clé publique (PKI), en planifiant les changements et en renforçant la gouvernance inter-équipes afin d’assurer une transition fluide et résiliente vers la sécurité post-quantique.
