Depuis plusieurs années, un scénario suscite une attention croissante dans le domaine de la cybersécurité : des acteurs malveillants collecteraient dès aujourd’hui des données chiffrées dans l’optique de les décrypter ultérieurement, lorsque les ordinateurs quantiques auront atteint une puissance de calcul suffisante. Cette approche, désignée par l’expression harvest now, decrypt later (« récolter maintenant, déchiffrer plus tard »), repose sur une hypothèse simple : ce qui demeure illisible aujourd’hui pourrait devenir transparent demain.
Par Marine Goninet, New Offering & EU Strategy Coordinator chez Stormshield
Face à cette menace latente, la cryptographie post-quantique (PQC) s’impose comme un chantier prioritaire. Elle englobe l’ensemble des méthodes cryptographiques conçues pour résister aux capacités inédites du calcul quantique. Parmi celles-ci figure le chiffrement post-quantique qui se concentre spécifiquement sur la protection de la confidentialité des données par des algorithmes de chiffrement adaptés. Selon une étude publiée par l’ANSSI, 50 % des organisations interrogées sont exposées à des risques liés aux futures attaques quantiques, notamment à cause de l’usage de VPN ou de certificats longue durée. L’agence appelle les bénéficiaires des solutions post-quantique à démarrer rapidement la préparation de leur migration.
Principes et objectifs du chiffrement post-quantique
Le chiffrement post-quantique désigne un ensemble de nouveaux algorithmes cryptographiques conçus pour résister à la puissance des futurs ordinateurs quantiques. Contrairement aux technologies actuelles, qui reposent souvent sur des problèmes mathématiques qu’un ordinateur classique mettrait des siècles à résoudre, ces nouvelles approches sont pensées pour rester robustes également face à des machines capables d’utiliser les lois de la physique quantique pour explorer simultanément un grand nombre de solutions possibles à certains problèmes mathématiques. Ce qu’il est essentiel de noter, c’est que ce chiffrement est compatible avec nos matériels actuels, ce qui permet de le déployer progressivement et sans attendre l’arrivée de l’ordinateur quantique.
Le chiffrement post-quantique trouve naturellement sa place partout où la cryptographie est déjà indispensable, que ce soit dans les communications sécurisées, les transactions financières, le stockage dans le cloud, les infrastructures critiques ou encore les objets connectés. Cependant, certains secteurs doivent accorder une attention plus immédiate à cette transition. Le domaine bancaire, par exemple, repose largement sur la sécurité des paiements et la confidentialité des données clients. De même, le secteur de la santé, où la protection des dossiers médicaux et des échanges entre professionnels est cruciale, ne peut se permettre de retard dans cette mutation. Pour ces domaines, anticiper la menace quantique n’est pas une option, mais une nécessité stratégique précisément car la durée nécessaire de confidentialité des données est élevée.
L’avancement de la cryptographie post-quantique face aux enjeux industriels et techniques
La standardisation de la cryptographie post-quantique est un processus en cours, principalement piloté par le NIST (National Institute of Standards and Technology). Ce travail vise à valider des algorithmes à la fois robustes, performants et sécurisés face aux menaces que représentent les futurs ordinateurs quantiques. Mais au-delà de la sélection d’algorithmes sûrs, cette standardisation inclut aussi la définition de bonnes pratiques pour leur implémentation, afin d’éviter que des failles n’apparaissent dans les usages concrets.
Sur le plan technologique, deux notions clés ressortent : l’hybridation et la crypto-agilité. L’hybridation consiste à combiner des algorithmes classiques avec des algorithmes post-quantiques pour sécuriser la transition, notamment le temps d’éprouver sur le long terme la robustesse des algorithmes post-quantiques. La crypto-agilité désigne entre autres la capacité d’un système à changer rapidement d’algorithme en cas de découverte d’une vulnérabilité. Ces deux notions étant importantes pour accompagner la transition vers la PQC, elles feront l’objet de standardisation ou de recommandations en fonction des usages.
En parallèle, la maturité des acteurs varie. Du côté des fournisseurs, on constate une certaine mobilisation, car beaucoup suivent activement les recommandations en cours et intègrent progressivement les nouveaux standards dans leurs produits. Du côté des utilisateurs finaux, la dynamique est plus contrastée. Certains secteurs restent dans l’attente de directives claires, tandis que d’autres, plus sensibles aux enjeux de sécurité, anticipent déjà les changements à venir.
Le rôle des autorités françaises et européennes dans l’accompagnement et la régulation
En France, l’ANSSI joue un rôle central dans la sensibilisation autour de la menace que représente l’informatique quantique pour les systèmes cryptographiques actuels. Au-delà des recommandations techniques, elle suggère avec ses homologues européens d’anticiper dès maintenant les coûts, les délais et la complexité liés à une migration vers la PQC afin d’éviter une transition précipitée et risquée.
En parallèle, elle a également un rôle à jouer dans les travaux de normalisation à l’échelle internationale. L’objectif est de s’assurer que les futurs standards mondiaux intègrent les exigences de sécurité propres au contexte français, et que les solutions retenues soient techniquement et opérationnellement compatibles avec les exigences nationales.
Sur le plan réglementaire, les bases sont déjà en place pour encadrer cette transition. En Europe par exemple, le Cyber Resilience Act (CRA) imposera aux fournisseurs de se conformer à des exigences strictes, notamment l’état de l’art cryptographique, avec des évaluations prévues en fonction du niveau de criticité des solutions. Au niveau national, plusieurs textes de loi font également déjà référence à des obligations en matière de cryptographie et par exemple les utilisateurs sensibles qui y sont soumis, comme certaines administrations ou opérateurs d’importance vitale, devront continuer de garantir que leurs systèmes intègrent l’état de l’art. Les utilisateurs non sensibles, sans être directement soumis aux mêmes obligations, devraient néanmoins s’assurer en fonction de leurs besoins que leurs fournisseurs proposent des solutions conformes aux standards de la cryptographie post-quantique.
Dès lors, avec l’avancée des technologies quantiques, la mise en place de la cryptographie post-quantique devient un enjeu incontournable pour assurer la sécurité des systèmes d’information. Cette transition nécessite une adaptation progressive des infrastructures et une coordination entre les différents acteurs du secteur. Au-delà des aspects techniques, elle soulève également des questions organisationnelles et stratégiques qui devront être abordées pour garantir une mise en œuvre efficace.
À lire également : Au-delà de la souveraineté : bâtir une liberté numérique européenne
Vous avez aimé cet article ? Likez Forbes sur Facebook
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
