Alors que le risque quantique devient urgent, les fournisseurs de sécurité transforment la préparation au PQC en une offre de marché structurée centrée sur la découverte, l’inventaire et la planification de la migration.
La cryptographie post-quantique (PQC) est longtemps restée à la périphérie de la sécurité des entreprises, les experts la qualifiant d’inévitable mais pas d’urgente. Cette posture commence à changer.
Plus tôt cette année, Palo Alto Networks a publié un blog annonçant une nouvelle initiative de « sécurité quantique », la présentant comme un moyen permettant aux entreprises d’évaluer où existe la cryptographie quantique vulnérable dans leurs environnements et de commencer à planifier une transition. Bien que l’annonce soit légère sur les détails techniques, elle a ajouté à un sentiment de sécurité croissant. Les menaces post-quantiques sont réelles.
« Le point de vue d’IDC est que le risque post-quantique n’est plus une question théorique lointaine ; il devient un risque de gouvernance et opérationnel d’aujourd’hui, en particulier pour les secteurs réglementés et à forte intensité de données », a déclaré Sakshi Grover, directeur de recherche senior, services de sécurité, IDC Asie-Pacifique. Alors que les attaques quantiques pratiques resteront avant des années, les fournisseurs de sécurité commencent à sortir le PQC des limites d’une « théorie du futur » et à l’intégrer à la gestion des risques d’aujourd’hui.
Plutôt que d’imposer dès le départ des changements architecturaux radicaux, ils positionnent la découverte, l’inventaire, les évaluations de l’état de préparation et les capacités de crypto-agilité comme les premières étapes pour mettre les entreprises au courant du quantique.
Mais même ce travail de base est loin d’être simple.
Je ne peux pas changer ce que tu ne peux pas voir
Au cœur de la plupart des offres de préparation au PQC se trouve un problème fondamental mais difficile. De nombreuses organisations ne savent pas où ni comment la cryptographie est utilisée dans leur infrastructure. Le chiffrement est intégré partout, des certificats et VPN aux API, micrologiciels, systèmes d’identité et logiciels tiers. Cette prolifération rend difficile l’évaluation de l’exposition à des algorithmes tels que RSA et la cryptographie à courbe elliptique, qui devraient être brisés par des ordinateurs quantiques suffisamment performants.
La messagerie de Palo Alto se concentre sur cette lacune de visibilité. Selon la société, son approche consiste à aider les organisations à identifier les utilisations cryptographiques qui pourraient ne pas être sécurisées quantiquement et à fournir des conseils sur les voies correctives. Il n’est pas le seul à tenter de le faire.
Cisco présente le problème de visibilité en termes tout aussi opérationnels, en soulignant que la préparation s’étend sur plusieurs phases plutôt qu’un audit ponctuel. « Les services Quantum-Safe de Cisco CX offrent une assistance de bout en bout en matière de découverte, de surveillance et de migration, ainsi que des conseils stratégiques et une optimisation continue pour suivre l’évolution des normes », a déclaré Christian Chisolm, directeur principal de la stratégie et de la planification, sécurité et organisation de confiance, Cisco.
Des entreprises comme IBM ont également créé des solutions d’inventaire cryptographique pour cataloguer chaque composant de chiffrement. Quantum Safe Explorer (QSE) d’IBM effectue une analyse statique des logiciels pour localiser les actifs cryptographiques, y compris les bibliothèques et les dépendances, et l’associe à la surveillance de l’exécution via son Quantum Safe Advisor pour créer une « nomenclature cryptographique » complète.
Certains fournisseurs se concentrent spécifiquement sur la visibilité de la couche infrastructure. Cisco affirme que sa découverte se concentre actuellement sur l’exposition à la cryptographie réseau. « Nous détectons actuellement : les certificats numériques dans les lieux de gestion, de contrôle et de données ; les protocoles et algorithmes cryptographiques (TLS/SSL, SSH, IPsec, etc.) ; les mécanismes d’échange de clés sur les périphériques réseau Cisco ; les ancres de confiance et les éléments de sécurité matérielle au sein des architectures de plate-forme », a déclaré Chisolm.
Cloudflare, en revanche, met l’accent sur la visibilité au niveau de la couche de connexion plutôt que sur la découverte approfondie des actifs. « Cloudflare offre une visibilité sur les appareils clients et les points de terminaison qui peuvent établir avec succès des connexions TLS 1.3 », a déclaré Volker Rath, RSSI sur le terrain chez Cloudflare.
Les fournisseurs de gestion de certificats repositionnent également les fonctions principales pour la préparation au PQC. DigiCert, par exemple, utilise son Trust Lifecycle Manager et les outils associés pour aider les entreprises à identifier, inventorier et commencer à remplacer les certificats vulnérables par des alternatives à sécurité quantique.
Certains sont déjà en avance alors que se profile la question migratoire
L’un des premiers fournisseurs à opérationnaliser la découverte cryptographique spécifiquement pour la préparation au PQC a été Sandbox AQ, issu des efforts de recherche quantique de Google. Dès 2022, l’entreprise affirmait que les entreprises devaient inventorier les actifs cryptographiques bien avant que les algorithmes post-quantiques puissent être déployés à grande échelle.
Initialement proposée sous la forme d’une évaluation axée sur le conseil, cette fonctionnalité a finalement évolué vers un produit, AQtive Guard, conçu pour surveiller en permanence l’utilisation cryptographique et signaler les dépendances quantiques vulnérables.
En 2024, le déploiement de la plateforme par SoftBank Corporation a donné aux affirmations de l’entreprise une validation publique, révélant des problèmes de chiffrement et de certificat vulnérables inaperçus sur un réseau de grande entreprise. Au-delà de SoftBank, SandboxAQ a réussi à obtenir des engagements de haut niveau, notamment un partenariat pour déployer AQtive Guard dans plusieurs entités du département américain de la Guerre afin d’accélérer la visibilité cryptographique et la modernisation du PQC.
Une poignée d’autres fournisseurs sont également allés au-delà des efforts expérimentaux pour proposer des offres plus matures. QuSecure propose la plateforme QuProtect, combinant crypto-agilité et découverte afin que les entreprises puissent intégrer une cryptographie à résilience quantique dans l’infrastructure existante sans réécrire le code de l’application.
Certains acteurs de niche proposent des produits full-stack qui intègrent le PQC dans tous les services. Des entreprises comme Post-Quantum (basée au Royaume-Uni) fournissent des logiciels modulaires pour l’identité, les VPN et la messagerie cryptée qui sont aujourd’hui à sécurité quantique, mettant l’accent sur la crypto-agilité et la rétrocompatibilité dans le cadre de la préparation.
« L’approche d’une migration massive depuis l’endroit où nous nous sommes habitués aux nouvelles méthodes de chiffrement n’est pas une tâche facile », a déclaré Bart Willemsen, analyste vice-président chez Gartner. « Le chemin vers un inventaire continu, la priorisation des remplacements et la capacité de maintenir la connectivité dans les opérations est long. De plus, nous devons devenir et rester crypto-agiles (nous devrons probablement refaire la même chose plus tard, comme cela a toujours été le cas historiquement) et cette répétabilité exige de la cohérence. «
Cisco affirme que la planification de la migration doit tenir compte des contraintes héritées, et pas seulement des systèmes modernes. « Les systèmes existants présentent des défis uniques : puissance de traitement limitée, micrologiciels fixes et cycles de vie opérationnels s’étendant sur 10 à 20 ans. Lorsque les mises à niveau directes ne sont pas réalisables, nous déployons des couches d’abstraction cryptographique : des proxys ou des passerelles à sécurité quantique qui assurent la médiation des communications au nom des appareils existants, en enveloppant essentiellement les protocoles vulnérables dans des tunnels sécurisés par PQC », a déclaré Chisolm.
Cloudflare adopte une approche différente, positionnant son réseau comme un contrôle compensatoire. « Cela signifie que les clients n’ont pas nécessairement besoin de mettre à niveau leurs systèmes existants ou leurs logiciels propriétaires pour être prêts au PQC, car la connexion est sécurisée à la périphérie, éliminant ainsi toute possibilité d’interception en cours de route », a déclaré Rath.
« Récoltez maintenant, décryptez plus tard » ajoute une pression
Une partie de cette urgence renouvelée vient du modèle de menace « récolter maintenant, décrypter plus tard », dans lequel les adversaires collectent aujourd’hui des données cryptées dans l’espoir qu’elles pourront être déchiffrées une fois que les capacités quantiques seront matures.
Ce scénario a fait passer le PQC d’un problème futur hypothétique à une préoccupation immédiate en matière de protection des données, en particulier pour les secteurs traitant des données sensibles avec une longue durée de vie confidentielle, notamment les télécommunications, la finance, la santé et le gouvernement.
« Nous entendons parler d’attaques HNDL, dans lesquelles le contenu crypté de manière conventionnelle n’est plus rejeté mais retenu par des criminels, qui voient les développements (quantiques) comme une opportunité pour leurs activités néfastes d’ici 2 à 3 ans », a déclaré Willemsen de Gartner. « Lorsque les criminels voient une opportunité à l’horizon, les risques de décryptage quantique ne sont plus théoriques ; ils sont réels. »
Les fournisseurs affirment de plus en plus que l’action ne peut pas attendre la disponibilité d’ordinateurs quantiques pleinement performants. Cisco prévient que les organisations détenant des données sensibles de longue durée devraient déjà aller au-delà des évaluations. « L’évaluation est urgente, mais le remplacement actif est désormais impératif », a déclaré Chisolm.
Cloudflare fait écho aux préoccupations liées au calendrier tout en soulignant les directives officielles. « Le National Institute of Standards and Technology (NIST) recommande aux organisations d’être pleinement prêtes pour l’ère post-quantique d’ici 2030 », a noté Rath. « Compte tenu de la complexité de la mise à jour de l’infrastructure à grande échelle, nous recommandons aux entreprises de commencer dès maintenant à planifier le processus de remplacement afin de réduire le stress, les coûts et les frictions. »
Le NIST a également finalisé plusieurs algorithmes cryptographiques post-quantiques, donnant aux fournisseurs et aux entreprises des objectifs de migration et réduisant l’incertitude. Alors que les organisations se préparent aux déploiements PQC hybrides, combinant des algorithmes classiques et résistants aux quantiques, les fournisseurs s’efforcent de garantir que leurs offres prennent en charge l’évolution des normes.
« Nous surveillons les développements dans l’espace quantique depuis plus d’une décennie, et nos hypothèses de planification stratégique concernant le moment attendu du compromis ont toujours été orientées vers 2029 », a souligné Willemsen. « Étant donné la quantité de travail à accomplir pour une migration réussie et une situation de « contrôle continu », cela devrait être lu comme « demain ». »
État de préparation vs réalité
Tout le monde n’est pas convaincu que les offres actuelles de préparation au PQC représentent une catégorie fondamentalement nouvelle d’outils de sécurité.
Une grande partie de ce que les fournisseurs promeuvent : les inventaires de cryptomonnaies, le suivi des certificats, la cartographie des dépendances, recoupent des pratiques que les équipes de sécurité devraient sans doute déjà mettre en place. En ce sens, le PQC pourrait simplement agir comme un moyen de force pour inciter les organisations à remédier à des angles morts de longue date plutôt que d’introduire des exigences techniques entièrement nouvelles.
Certains fournisseurs rétorquent que la différence réside dans la profondeur et l’intégration plutôt que dans le concept. Cisco positionne son approche comme fondamentale plutôt que comme additive. « Les outils de chiffrement traditionnels inventorient les certificats et suivent les cycles de vie des clés. Cisco offre une préparation quantique au niveau de l’infrastructure, en intégrant les algorithmes NIST PQC dans les protocoles de base et les racines matérielles de confiance. »
Bien que les normes NIST soient désormais disponibles, de nombreux produits et protocoles commerciaux n’intègrent pas encore pleinement les algorithmes post-quantiques. Même là où le support existe, des compromis en matière de performances et des défis d’interopérabilité demeurent. Grover d’IDC recommande une transition progressive. « Au lieu de viser un déploiement à grande échelle, les acheteurs devraient d’abord donner la priorité aux systèmes critiques, s’aligner sur les délais du NIST et intégrer le PQC dans des programmes GRC plus larges », a-t-elle déclaré.
Pour les vendeurs, la course est désormais à une question de positionnement. Être considéré comme un guide de confiance tout au long de la transition PQC, plutôt que comme un simple fournisseur d’algorithmes, offre l’opportunité de s’intégrer profondément dans les feuilles de route de l’entreprise à long terme.
L’entrée de Palo Alto Networks dans la préparation au PQC reflète un changement plus large dans la façon dont le marché aborde le problème. Ce qui était autrefois en grande partie le domaine des entreprises spécialisées en sécurité quantique est désormais repris par les principaux fournisseurs de sécurité et d’infrastructure dans le cadre de leurs stratégies de plate-forme de base. Les fournisseurs de réseaux comme Cisco introduisent des protections quantiques pour les protocoles existants, tandis que les fournisseurs HSM comme Futurex ajoutent la prise en charge des algorithmes post-quantiques aux systèmes de gestion de clés établis utilisés dans les environnements réglementés.
De la même manière, Cloudflare considère la préparation comme un changement architectural plutôt que comme un déploiement d’outil discret. « Avec Cloudflare, les clients doivent simplement placer leur serveur d’origine derrière le réseau Cloudflare, et Cloudflare gère le cryptage et la gestion des clés », a déclaré Rath.
À mesure que de plus en plus de fournisseurs formalisent leurs offres et que des déploiements supplémentaires chez les clients sont divulgués, les limites du marché de la préparation PQC deviendront probablement plus claires. Ce qui reste incertain, c’est si les entreprises donneront la priorité à ces efforts à court terme ou les traiteront dans le cadre d’une modernisation cryptographique à plus long terme.
