Secu
Le dilemme Quantique : naviguer vers le prochain grand saut technologique
Par La rédaction, publié le 02 avril 2025
L’informatique quantique, autrefois un concept purement théorique, devient rapidement une réalité. Ces machines puissantes ont le potentiel de résoudre des problèmes que les ordinateurs classiques ne peuvent pas traiter, en exploitant la mécanique quantique pour relever des défis qui échappent aux technologies actuelles.
De Thiébaut Meyer, Directeur des stratégies de sécurité chez Google Cloud
La Commission européenne a publié, le 11 avril 2024, la Recommandation (UE) 2024/1101 relative à une feuille de route pour la mise en œuvre coordonnée de la transition vers la cryptographie post-quantique. Cette recommandation encourage les États membres à élaborer une stratégie globale pour adopter la cryptographie post-quantique, avec des objectifs, des jalons et des échéances clairs, afin d’assurer une transition harmonisée au sein de l’Union européenne.
En France, un appel à projets intitulé « Cryptographie Post-Quantique » a été lancé, avec un cahier des charges approuvé par l’arrêté du 17 mars 2022. Cette initiative vise à soutenir le développement de solutions de cryptographie résistantes aux attaques quantiques, reflétant l’engagement de la France à anticiper les défis posés par l’émergence de l’informatique quantique.
Ces initiatives témoignent de l’engagement des autorités européennes et françaises dans la préparation à la transition vers la cryptographie post-quantique, essentielle pour assurer la sécurité des communications et des données face aux menaces émergentes liées aux avancées quantiques.
Mais qu’est-ce que cela signifie pour les RSSI et les DSI ?
Si les ordinateurs quantiques atteignent une puissance suffisante, ils pourraient représenter une menace majeure pour les systèmes cryptographiques protégeant nos communications en ligne et nos données sensibles. Entre de mauvaises mains, l’informatique quantique pourrait compromettre la confidentialité et la sécurité des communications numériques dans tous les secteurs.
Des acteurs malveillants accumulent déjà des données chiffrées, dans l’attente que la technologie quantique arrive à maturité. Un ordinateur quantique suffisamment puissant pourrait déverrouiller ces données, mettant en péril les actifs essentiels des organisations, tels que la propriété intellectuelle, les secrets commerciaux et les communications confidentielles.
Heureusement, la solution réside dans la cryptographie post-quantique (PQC), un ensemble de systèmes cryptographiques conçus pour résister aux attaques quantiques. Google a commencé à tester la PQC dans Chrome dès 2016 et l’utilise pour protéger ses communications internes depuis 2022.
Cet été, le National Institute of Standards and Technology (NIST), l’organisme de standardisation américain, a publié des normes cryptographiques résistantes aux attaques quantiques et, en novembre, a proposé un calendrier de transition avec des échéances pour la mise hors service de certains systèmes cryptographiques à clé publique d’ici 2030, voire 2035 au plus tard.
Comment faire face au risque quantique
Bien que la menace quantique puisse paraître lointaine, l’émergence de nouvelles réglementations dans plusieurs secteurs est imminente. Il est donc essentiel d’anticiper et d’accélérer la transition dès à présent.
Concrètement, cela signifie prendre les mesures suivantes pour réduire les risques, renforcer la résilience et s’assurer que votre organisation est prête à affronter l’ère quantique.
Élaborer un plan clair pour une sécurité résistante au quantique
La transition vers la PQC ne doit pas être un changement brutal. Les expériences passées montrent que les migrations cryptographiques peuvent prendre plusieurs années. Les RSSI, DSI et CTO doivent collaborer pour développer une feuille de route en vue de l’adoption de la cryptographie résistante aux attaques quantiques. Ce plan doit trouver un équilibre entre coût, risque et utilisabilité, tout en garantissant une intégration harmonieuse des nouveaux algorithmes dans les systèmes existants.
Il est primordial d’acquérir une expertise en la matière pour distinguer les véritables avancées en informatique quantique des annonces qui peuvent être exagérées. Il est également important de rester informé en consultant les meilleures pratiques du secteur, les recherches académiques et des ressources fiables.
Identifier et protéger vos données les plus sensibles
La première étape est l’évaluation des données et des systèmes les plus exposés aux risques quantiques. Il s’agit notamment des systèmes utilisant le chiffrement asymétrique et des protocoles d’échange de clés, vulnérables aux attaques de type “store-now-decrypt-later”. D’autres systèmes, comme ceux utilisant des signatures numériques (IGC/PKI, signatures logicielles/firmware, mécanismes d’authentification, etc.), doivent aussi être pris en compte. L’analyse du risque quantique réalisée par Google peut servir d’exemple pour hiérarchiser les changements à apporter.
Anticiper les effets en cascade sur l’ensemble du système
La transition vers la cryptographie post-quantique peut avoir des répercussions sur d’autres systèmes. Par exemple, les signatures cryptographiques plus volumineuses pourraient nécessiter des mises à jour significatives des bases de données, des logiciels et des applications. Ce défi est comparable au bug de l’an 2000, où les changements structurels pour accueillir de nouveaux formats de données avaient entraîné des implications de grande envergure. Identifier ces dépendances en amont peut faciliter l’implémentation et prévenir les perturbations.
Tirer les leçons du passé
Les organisations ont déjà vécu des transitions cryptographiques, par exemple suite à la vulnérabilité Heartbleed de TLS ou l’abandon de la fonction SHA1. Comprendre ce qui a fonctionné – et ce qui doit être amélioré – peut guider l’adoption de la PQC. Il peut être pertinent de mener un exercice de simulation avec les équipes dirigeantes pour anticiper la complexité de la migration cryptographique et définir les étapes nécessaires.
Le calendrier de la percée quantique reste incertain : qu’elle se produise dans cinq, dix ou quinze ans, il est essentiel de s’y préparer dès à présent. De nombreuses agences de cybersécurité ont publié des orientations pour cette migration cryptographique, notamment l’ANSSI avec un avis publié en 2024. Avec les nouvelles normes PQC du NIST en place, les superviseurs, clients et auditeurs voudront connaître vos plans en matière de PQC. En agissant tôt, une transition en douceur vers une cryptographie résistante aux attaques quantiques est possible et permet de rester en phase avec des attentes encore en évolution.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
