Face à la cybermenace quantique, sortir du déni et passer à l’action

Comme le souligne notre rapport Top Tech Trends 2025, la cybersécurité reste une priorité essentielle. Parmi les menaces émergentes, celle liée à l’informatique quantique, qui nécessite une attention et une action immédiates.

La cryptographie en danger

L’un des atouts du quantique est sa capacité à exécuter de très gros calculs en parallèle, et donc d’en abaisser considérablement la durée. Ceci pourrait permettre, par exemple, de réaliser des deepfakes très ciblés à partir de très peu d’éléments[1], ce qui serait une arme redoutable entre de mauvaises mains. Cependant, la menace la plus significative concerne la cryptographie. Alors que la sécurité des algorithmes de chiffrement asymétrique couramment utilisés aujourd’hui repose sur le fait qu’il faudrait des milliers d’années à des ordinateurs classiques pour les casser, une machine quantique y parviendra, elle, en quelques heures à peine. Ce seront donc toutes nos données, tous nos échanges, tous nos systèmes d’authentification qui deviendront aussitôt vulnérables. En d’autres termes, dans le monde post-quantique, aucune identité, aucune communication, aucune transaction ne pourra plus être garantie si elle reste chiffrée comme actuellement.

Ce risque n’est pas une chimère. Les algorithmes qui le sous-tendent sont prêts de longue date et leurs performances ont été démontrées mathématiquement. Tout ce qu’il manque aujourd’hui, ce sont des machines quantiques suffisamment stables et industrialisées. Or, les annonces récentes montrent qu’elles n’arriveront pas dans dix, quinze ou vingt ans, mais bien avant. Et dès qu’elles seront disponibles, elles seront accessibles à tout un chacun via le cloud puisque les processeurs quantiques actuels, en dépit de leurs limitations, le sont déjà. Sur le pied de guerre, les pirates ont la possibilité de se préparer, le coût d’entrée sera faible et, sitôt les plateformes disponibles, le risque se matérialisera massivement et immédiatement.

Un risque déjà présent

La menace est donc majeure et toute proche. Elle est même déjà présente dans la mesure où des acteurs malveillants peuvent mettre de côté les données chiffrées qu’ils collectent aujourd’hui pour les déchiffrer lorsqu’ils en auront la capacité. Dans cinq ans, la plupart des informations stratégiques de long terme, des actifs financiers, des données de santé, des secrets industriels, diplomatiques ou militaires auront toujours une très grande valeur. L’enjeu est similaire dans tous les secteurs dont les produits ont une longue durée de vie et embarquent du numérique : défense, aéronautique et spatial, transport, énergie, santé… Cette stratégie, dite « harvest now, decrypt later », est une réalité avérée, de nombreux États reconnaissant eux-mêmes la pratiquer dans le cadre d’enquêtes judiciaires au long cours.

À un niveau ou un autre, toutes les organisations seront donc concernées, de la PME à la multinationale, de la collectivité locale au ministère régalien. En France plus qu’ailleurs, très rares pourtant sont celles qui en ont pris conscience, et plus rares encore celles qui ont commencé à mettre en place les dispositifs appropriés.

Réviser de fond en comble les systèmes de confiance

On peut, et on doit, cependant se préparer dès à présent à ce grand défi cryptographique, qui va nécessiter rien de moins qu’une révision complète de tous ses systèmes de confiance : annuaires, API, certificats, stockage, réseaux, développement applicatif… Ce sera un chantier considérable, aux impacts opérationnels majeurs, qui ne pourra s’improviser dans l’urgence. Il faut commencer par passer son SI au crible pour identifier et évaluer les risques, puis prioriser les interventions, allouer des budgets, implémenter, tester et déployer les solutions, conduire le changement, se coordonner avec ses partenaires et ses fournisseurs… Et il sera impossible de compresser tout cela en quelques semaines ou quelques mois quand la menace prendra corps.

Fort heureusement, les parades technologiques se mettent en place. Au terme d’une longue compétition, le NIST (National Institute of Standards and Technology) a ainsi homologué des algorithmes de chiffrement (cinq à ce jour) capables de résister aux ordinateurs quantiques. Ou, plutôt, qui le sont en l’état actuel des connaissances, ce qui signifie qu’il faudra se doter d’une certaine agilité cryptographique au cas où ils viendraient à leur tour à céder. En France, plusieurs startups et grandes entreprises proposent des solutions dans ce domaine. Et il est possible d’implémenter des solutions de chiffrement hybrides pour protéger ses données autant contre les menaces classiques d’aujourd’hui que contre les menaces quantiques de demain. Enfin, un autre axe d’étude, encore expérimental, concerne la sécurisation physique des communications avec la QKD (Quantum Key Distribution) qui donne la certitude absolue que les échanges n’ont pas été interceptés.

Pour une fois, il va néanmoins falloir agir sans attendre un aiguillon réglementaire explicite. Si l’ANSSI alerte sur le risque quantique depuis 2022, ces mises en garde ne sont pour l’heure assorties d’aucune obligation, pas même pour les OIV. En revanche, des textes comme NIS 2, DORA ou le RGPD mettent les dirigeants face à leurs responsabilités sans préciser la nature technique des menaces. Autrement dit, une organisation soumise à de telles réglementations ne pourra invoquer aucune excuse si ses données ont été volées et déchiffrées par un ordinateur quantique. Face à la menace quantique, l’attentisme, le scepticisme ou le déni ne sont plus de mise. Et moins encore dans le contexte sécuritaire et géopolitique actuel.

[1] https://www.bsi.bund.de/QuantumMachine_Learning.pdf