Les progrès de l’industrie vers la cryptographie post-quantique (PQC) restent lents en raison d’une priorisation inégale et de contraintes budgétaires, malgré l’urgence reconnue et l’échéance imminente.
Même si elles reconnaissent la gravité de la menace, les entreprises continuent de réagir lentement aux avertissements selon lesquels les systèmes existants doivent être mis à jour pour faire face aux risques liés à l’avènement imminent des ordinateurs quantiques.
Les ordinateurs quantiques menacent la sécurité des systèmes de cryptographie à clé publique existants. Des agences gouvernementales telles que l’Institut national américain des normes et technologies et le National Cyber Security Center (NCSC) du Royaume-Uni conseillent d’adopter la cryptographie post-quantique (PQC) avant l’échéance de 2030, à temps pour la dépréciation attendue des algorithmes cryptographiques vulnérables.
Cependant, à cinq ans de cette échéance, le rapport Global Digital Trust Insights de PwC dresse le tableau d’un manque général de préparation au déploiement d’une cryptographie à résistance quantique.
« Bien que l’informatique quantique figure parmi les cinq principales menaces auxquelles les organisations sont les moins préparées à faire face, moins de 10 % d’entre elles lui donnent la priorité dans leurs budgets et seulement 3 % ont mis en œuvre toutes les principales mesures de résistance quantique étudiées », indique le rapport.
« Certaines organisations font de premiers progrès, avec 29 % en phase de pilotage et de test. Cependant, seulement 22 % ont dépassé le stade du pilotage, et près de la moitié (49 %) n’ont pas envisagé ou commencé à mettre en œuvre des mesures de sécurité résistantes aux quantiques », ajoute-t-il.
Préparation de l’industrie
« L’adoption ne se limite pas au secteur bancaire, mais les services financiers ont tendance à être en tête parce qu’ils sont très réglementés, peu enclins au risque et exposés à des risques liés aux données à long terme », explique Soroko. « De nombreuses banques et réseaux de paiement disposent d’inventaires cryptographiques plus importants, d’une gestion des clés établie et de critères de conformité, ce qui les pousse à agir plus tôt. »
« D’autres secteurs avec de longues durées de vie des données et un large parc d’appareils, tels que le gouvernement, les télécommunications, le cloud et les infrastructures critiques, sont également actifs », ajoute Soroko.
Les services financiers et les services professionnels sont les plus avancés, mais l’industrie manufacturière, le pétrole et le gaz, les mines et la santé restent nettement en retard, dans certains cas avec une adoption du PQC aussi faible que 2 %, selon le fournisseur de cybersécurité Forescout.
« Ce retard sera coûteux », prédit Hickman.
Les obstacles à une adoption généralisée vont du manque de personnel qualifié, au temps limité et aux priorités concurrentes, ainsi qu’à la lenteur de l’adoption des normes existantes, explique Hickman.
État de migration
Le cryptage sous-tend la sécurité de tout, des dossiers de santé aux données gouvernementales et aux transactions de commerce électronique.
Mais seulement 8,5 % des serveurs SSH prennent actuellement en charge le cryptage quantique.
L’adoption de TLS 1.3 – actuellement à 19 % – est également à la traîne des versions plus anciennes et vulnérables quantiquement, selon une étude récente de Forescout.
D’autres experts dressent un tableau plus optimiste du déploiement du PQC depuis que le NIST a finalisé les premières normes cryptographiques post-quantiques en août 2024.
« Google, Apple, Signal et Zoom ont mis en œuvre le PQC », déclare Duncan Jones, responsable de la cybersécurité chez la société d’informatique quantique intégrée Quantinuum. « Les mandats gouvernementaux tels que CNSA 2.0 fixent des délais stricts. Les services financiers évoluent – l’évaluation de l’état de préparation de l’ASC X9 pour 2025 décrit les étapes concrètes allant de l’inventaire cryptographique à la planification de la migration. »
Obstacles à l’adoption
Les principaux obstacles à l’adoption généralisée du PQC sont notamment le coût, l’incertitude des normes et l’inertie organisationnelle. Ce dernier problème est important étant donné que la préparation à la menace quantique nécessite une approche progressive de l’agilité cryptographique.
« Les obstacles à une adoption généralisée sont bien réels », déclare Hickman de Keyfactor. « Le manque de personnel qualifié, le temps limité et les priorités concurrentes, ainsi que la lenteur de l’adoption des normes existantes sont les principaux défis qui ralentissent les progrès. »
Hickman poursuit : « De plus, la perception des risques varie, en particulier entre les équipes de sécurité et la direction, ce qui rend plus difficile l’alignement des stratégies. »
Kevin Hilscher, directeur principal de la gestion des produits chez DigiCert, affirme que l’horizon temporel joue un rôle important dans l’écart de préparation au PQC. « Les entreprises donnent la priorité à d’autres projets car, avouons-le, 2030 est encore dans plus de quatre ans et d’autres projets ont la priorité », dit-il.
De plus, les équipes de sécurité se trouvent de plus en plus sous le feu des menaces croissantes ici et maintenant.
« Les organisations manquent souvent de l’expertise ou des ressources nécessaires pour donner la priorité au PQC tout en faisant face aux menaces quotidiennes », déclare le Dr Katrina Rosseini, experte en cybersécurité chez Ascendant Group. « Les normes évoluent encore et le déploiement d’algorithmes résistants aux quantiques nécessite des tests minutieux pour éviter de briser les systèmes critiques. »
Pourtant, les retards dans l’adoption du PQC non seulement rendent les organisations vulnérables aux futures menaces quantiques, mais amplifient également les vulnérabilités déjà ciblées par les attaquants, prévient le Dr Rosseini.
L’incertitude, la complexité et les difficultés de cartographie des actifs cryptographiques freinent également le déploiement du PQC.
« Les budgets sont en concurrence avec des menaces à plus court terme et tout le monde n’est pas encore conscient de la dépréciation du RSA/ECC par le NIST en 2030, donc la planification et les investissements sont retardés », explique Soroko de Sectigo. « Les normes et le support des fournisseurs sont encore en cours d’opérationnalisation, et certains algorithmes introduisent une surcharge de performances ou des problèmes de compatibilité pour les systèmes existants et les appareils contraints. »
Soroko ajoute : « Les compétences sont rares et les dépendances s’étendent à travers les chaînes d’approvisionnement et les services cloud, ce qui ralentit l’adoption de la planification et de la gouvernance de la migration de bout en bout. »
Le Dr Rosseini note également que les systèmes et infrastructures existants peuvent rendre difficile le déploiement de nouveaux algorithmes.
Benjamin Mourad, directeur principal et architecte de solutions chez DMI, considère que les principaux obstacles à une adoption généralisée sont l’éducation sur les risques liés à l’informatique quantique – comme la menace des attaques « récolter maintenant, décrypter plus tard » – et le financement.
À l’inverse, les améliorations technologiques au cours de l’année écoulée ont rendu plus simple la mise en œuvre et le développement des systèmes cryptographiques, affirme Mourad.
« Les améliorations technologiques au cours des 12 derniers mois ont amélioré les capacités et réduit les coûts de migration vers PQC à grande échelle avec des applications conteneurisées et légères qui n’existaient pas il y a plus d’un an », explique Mourad. « La diminution du besoin d’investissements importants en matériel et en logiciels rendra le PQC plus évolutif. »
Naviguer dans l’incertitude quantique
Les analystes prédisent que les ordinateurs quantiques seront capables de briser le cryptage actuel d’ici cinq à vingt ans.
Cette incertitude peut être source de distraction, explique le Dr Rosseini. « L’accent doit être mis sur la préparation et la résilience », conseille-t-elle. « Les organisations doivent inventorier les actifs sensibles, évaluer l’état de préparation du système, exécuter des programmes pilotes et sécuriser la gestion des clés. »
Le rapport de PwC devrait servir de signal d’alarme, ajoute le Dr Rosseini.
« Les organisations qui traitent le PQC comme une initiative de sécurité stratégique seront désormais en mesure de réduire les risques et de renforcer la résilience », dit-elle. « Ceux qui attendent risquent de s’exposer à des menaces présentes et futures. »
