La plupart des organisations reconnaissent la menace imminente que représente le chiffrement quantique, mais seule une organisation sur 20 a mis en place une stratégie. Voici comment les entreprises des secteurs de la cybersécurité et de la finance gèrent le risque.
La technologie quantique peut sembler lointaine, mais certains risques existent déjà sous la forme du « récolter maintenant, décrypter plus tard » – un vecteur d’attaque dans lequel des acteurs malveillants volent des données maintenant pour un avenir dans lequel ils auront accès à des outils informatiques quantiques capables de briser le cryptage déployé par la plupart des entreprises aujourd’hui pour protéger leurs données.
Malgré les discussions croissantes autour de cette question, toutes les organisations ne sont pas conscientes du risque. Selon une enquête ISACA de 2025, seuls 5 % des cyberprofessionnels considéraient la menace comme une priorité élevée, même si les deux tiers d’entre eux s’inquiétaient de la capacité future du quantum à briser le cryptage. Selon les résultats de l’enquête, ces 5 % correspondent au même pourcentage d’organisations ayant défini une stratégie pour se préparer à la menace quantique.
Contrairement à la rhétorique du « Jour Q » – date charnière à laquelle la cryptographie classique sera brisée par les ordinateurs quantiques – des organisations comme le groupe de réflexion européen CEPS préviennent que cette possibilité n’arrivera pas soudainement, mais progressivement.
« Nous attendons depuis un certain temps quelque chose comme un ordinateur quantique, qui nous permettra probablement de briser les systèmes de cryptage traditionnels d’une manière apparemment simple », explique Félix Barrio, directeur général de l’institut national espagnol de cybersécurité INCIBE, par appel vidéo. « Bien que cela ait été démontré théoriquement et que nous n’ayons pas encore vu d’ordinateurs dotés de cette capacité, il existe différentes estimations », allant de quelques mois à une décennie.
Barrio note cependant qu’une telle puissance de calcul ne sera probablement disponible que pour quelques entités, généralement des agences gouvernementales, compte tenu de son coût élevé.
Les trois premières normes de chiffrement de cryptographie post-quantique (PQC) ont été publiées par le National Institute of Standards and Technology (NIST) des États-Unis en 2024.
« Ce sont des algorithmes censés résister à une attaque quantique utilisant un ordinateur quantique », explique Barrio. Actuellement, ces algorithmes sont testés et adaptés à diverses technologies.
La distribution de clés quantiques (QKD) — un système de type quantique qui pourrait être appliqué à la transmission de données par câble, par câble à fibre optique adapté ou par satellite — établit un système d’échange de clés alternatif qui, grâce aux propriétés de la physique quantique, fonctionne comme un mécanisme d’alerte précoce en cas de violations ou d’intrusions détectées, permettant ainsi d’éliminer les clés compromises.
L’UE a déjà élaboré une feuille de route pour la transition vers la cryptographie post-quantique, qui fixe fin 2026 comme première phase de déploiement de ces outils, avec 2030 comme date limite pour les cas d’usage à haut risque et 2035 pour le reste.
Barrio explique qu’INCIBE a alloué une partie des ressources de son programme innovant de marchés publics à la cryptographie avancée résistante aux attaques quantiques, en finançant cinq initiatives situées dans différentes villes d’Espagne.
« En Espagne, nous avons pris les devants en investissant dans cette phase de transition avec les projets les plus prometteurs que nous avons identifiés dans ces appels à propositions publics, et au cours de ces trois années, nous avons travaillé pour garantir que des systèmes de test utilisant la technologie espagnole puissent être proposés et que ces systèmes puissent également être commercialisés », note-t-il. « En Europe, en général, lorsque vous discutez avec d’autres agences de cybersécurité, elles sont véritablement préoccupées. »
Où en est le secteur en matière de résilience quantique
« Aujourd’hui, nous tenons pour acquis que les communications avec nos systèmes bancaires ou de santé sont privées et que les signatures numériques – par exemple celles qui soutiennent les transactions financières ou les crypto-monnaies – sont infalsifiables. L’impact de l’invalidité de ces garanties est énorme, tant sur le plan économique que social », a déclaré par courrier électronique Alberto de Mercado, responsable de l’ingénierie des systèmes pour les fournisseurs de services chez Fortinet.
Du point de vue d’un fournisseur de cybersécurité, De Mercado parle de la nécessité de « mettre en œuvre une stratégie de transition progressive », en tenant compte d’éléments tels que le type d’informations échangées et leur besoin de confidentialité à long terme, les ressources disponibles, la compatibilité avec l’architecture existante et la priorité par rapport à d’autres risques de cybersécurité plus immédiats.
« Dans ce contexte, le concept de cryptoagilité est clé : déployer des solutions qui permettent le changement agile ou la combinaison d’algorithmes cryptographiques lorsque cela est nécessaire, garantissant la continuité du service sans avoir besoin de repenser complètement l’architecture ou de changer de fournisseur », explique-t-il.
De Mercado appelle à « agir maintenant » lorsqu’il s’agit d’informations sensibles qui doivent rester confidentielles à long terme.
« Dans ces cas-là, attendre une certitude absolue, c’est prendre un risque qui peut s’avérer inacceptable », dit-il, ajoutant le facteur réglementaire : bien qu’il n’existe pas de réglementation européenne explicite sur le sujet, elle peut être liée à des réglementations comme le RGPD, NIS2 ou DORA, qui établissent des obligations de protection, « sans limiter explicitement les délais ».
« De ce point de vue, les organisations qui traitent des informations sensibles à long terme doivent commencer à considérer ce risque dans le cadre de leurs évaluations de sécurité », dit-il, une tendance qui s’applique également aux fournisseurs de cybersécurité, « qui intègrent progressivement des algorithmes et des mécanismes à sécurité quantique dans leurs produits », comme c’est le cas de Fortinet.
Concernant la demande actuelle, De Mercado observe une première tendance vers le PQC, « car il nécessite moins d’investissement et est plus facile à intégrer dans les environnements existants. QKD est réservé à des scénarios très spécifiques, comme les interconnexions très sensibles entre de grands sièges sociaux ou des centres de données ».
Globalement, il perçoit un niveau d’inquiétude « inégal », les secteurs les plus réglementés ou ceux ayant les exigences de confidentialité les plus élevées étant à un stade plus avancé des tests, de la planification de la transition, voire des premiers déploiements de communications sécurisées.
« En général, plus une organisation est mature en matière de cybersécurité, plus elle est capable d’atténuer les risques immédiats et plus elle est capable d’anticiper les menaces émergentes telles que l’informatique quantique », explique-t-il.
Comment se protéger
Du côté du secteur bancaire, CaixaBank s’attaque à la menace quantique « en comprenant qu’il s’agit d’un risque réel et, en tant que tel, doit être géré de manière proactive », a déclaré un représentant de l’entreprise par courrier électronique.
« Le risque est déjà important et il est nécessaire de mettre en place des mesures d’atténuation dès maintenant », a poursuivi le représentant. « Dans le même temps, l’approche ne consiste pas simplement à remplacer un algorithme de chiffrement par un autre, mais à doter la banque de l’agilité cryptographique nécessaire pour pouvoir alterner les clés, changer de modèle cryptographique ou adopter de nouvelles normes rapidement et de manière contrôlée si nécessaire. De cette manière, non seulement cette menace spécifique est atténuée, mais la résilience et la préparation de la banque aux futurs changements technologiques sont structurellement renforcées. «
La société elle-même élabore déjà un plan complet, actuellement en cours, avec 2029 comme date cible pour un modèle de crypto-agilité robuste. Ce plan comporte deux dimensions complémentaires. D’une part, il s’agit des nouveaux programmes PQC, que la banque analyse actuellement pour déterminer comment les intégrer de manière ordonnée.
« L’objectif est de garantir que la banque est techniquement prête à protéger à la fois les données en transit et les données au repos, à mesure que ces nouvelles normes atteignent la maturité nécessaire », a déclaré le représentant de la banque. Mais « l’approche va bien au-delà d’une transition technologique ponctuelle, en profitant de l’occasion pour construire un modèle structurellement plus robuste, automatisé et reproductible qui permettra une bien plus grande agilité dans la mise en œuvre de tout changement cryptographique à l’avenir ».
CaixaBank participe également à des projets européens visant à valider des solutions pratiques de sécurité post-quantique applicables au secteur financier, ainsi qu’à des forums industriels tels que le Quantum Safe Financial Forum (QSFF), où ils « partagent leurs expériences, définissent les meilleures pratiques et contribuent à une transition réaliste, interopérable et alignée sur les exigences réglementaires du secteur », selon le représentant de la banque.
Alors que la menace quantique devient de plus en plus répandue, revoir le modèle de cybersécurité sera bientôt impératif pour toutes les entreprises.
