Passer au contenu

La menace quantique se précise, les entreprises regardent ailleurs

Clément Brauner, Jérome Desbonnet & Pierre- Olivier Vanheeckhoet
15 octobre 2025

96 $, c’est ce que coûte aujourd’hui la minute de calcul quantique chez un grand cloud provider [1].

Le quantique n’est plus un fantasme de laboratoire : les machines sont disponibles, les tarifs clairs, les capacités démontrées. En d’autres termes, il suffit à un acteur malveillant, étatique ou criminel, d’estimer ce qu’il lui en coûterait de déchiffrer des données en sa possession et le bénéfice qu’il pourrait en tirer.

Dans des secteurs sensibles – défense, aérospatial, énergie, finance, santé… –, où l’on pourrait gagner en quelques heures des années d’intelligence économique, ce ne sera très vite pas cher payé. Oui, le « harvest now, decrypt later » [2] sera bientôt « harvest now, decrypt now [3]», et il y a tout lieu d’en être très inquiet.

Pourtant, une enquête menée par Capgemini auprès de 1 000 grandes entreprises du monde entier montre que 30 % d’entre elles n’ont aucun projet de cybersécurité post-quantique (PQC) en cours et ne prévoient pas d’en lancer ces cinq prochaines années. Et ce, alors que 92 % d’entre elles ont été victimes de failles de sécurité dans les douze derniers mois !

Les maturités sont néanmoins très variables selon les secteurs, certains (défense, finance, aérospatial…) s’étant sérieusement emparé du sujet quand d’autres (industrie, retail, utilities…) l’ignorent encore largement. La distinction est aussi géographique avec un retard notable de la France sur les États-Unis, la Grande-Bretagne, les Pays-Bas ou certains pays asiatiques. Les entreprises françaises pèchent notamment par leur addiction aux phases d’étude et d’évaluation qui repoussent sans cesse les véritables décisions et le déploiement à grande échelle des solutions.

Les institutions en avance sur les entreprises

Une fois n’est pas coutume, ce sont les institutions qui ont pris les premières la véritable mesure des enjeux. Les États-Unis ont accéléré leur feuille de route, l’Union européenne a publié la sienne, et les échéances convergent : partout, les infrastructures critiques devront être protégées d’ici 2030. Rien n’est encore obligatoire, mais, comme pour l’IA, l’étau réglementaire va se resserrer de plus en plus rapidement. Cependant, les organisations doivent prendre conscience que la question dépasse largement la seule conformité – aussi salées que puissent être les amendes – et que la tâche qui les attend sera d’une ampleur sans précédent.

En effet, la spécificité de la menace quantique est qu’elle touche tous les systèmes numériques aujourd’hui protégés par algorithmes de chiffrement usuels : les communications, les données, les automatismes… Comme le résume Marco Pereira, Global Head of Cybersecurity et co-auteur du rapport : « Chaque actif chiffré aujourd’hui peut être demain une vulnérabilité. » Plus aucun secret n’est totalement à l’abri et l’on ose imaginer quelles pourraient être les conséquences si un OIV (Opérateur d’Importance Vitale) se faisait dérober et décrypter les siens. Même s’il existe – heureusement – des algorithmes de chiffrement capables de résister aux machines quantiques actuelles, il faudra donc les déployer absolument partout, ce qui signifie remplacer certains matériels, changer des bibliothèques, recompiler les applications, reconcevoir des systèmes embarqués…  C’est tout le système d’information qu’il faudra revoir.

Un gigantesque chantier à aborder avec méthode

Face à un tel chantier, avancer avec méthode sera primordial, car il pourrait parfois se révéler beaucoup plus efficace de repartir des fondations que de tenter de corriger les systèmes un à un. Un inventaire des actifs concernés et une évaluation des risques restent dans tous les cas un préalable indispensable. Par ailleurs, comme toujours en cybersécurité, la technologie ne sera qu’une partie de la solution. Tout dépendra aussi de la façon dont les systèmes seront utilisés et les consignes appliquées. L’augmentation du risque doit donc également inciter les organisations à renforcer sensiblement le volet humain de leurs politiques de sécurité, notamment la sensibilisation et la formation.

Enfin, cette remise à plat technique et pratique doit être, pour la cybersécurité, l’occasion d’un changement de paradigme plus profond. En effet, les solutions post-quantiques actuelles ne résisteront qu’un temps. Les technologies vont se perfectionner, les prix vont baisser, les pirates vont se professionnaliser, et il faudra pouvoir s’adapter en permanence à l’évolution des menaces sans qu’il soit chaque fois nécessaire de changer ses systèmes de fond en comble. La PQC consiste donc aussi à adopter une approche agile, dynamique et proactive de la cybersécurité afin d’être en ordre de bataille face à la nouvelle ère des cybermenaces.

Agir sans tarder : une nécessité et un intérêt

Toute la difficulté pour le CISO (Chief Information Security Officer ou Responsable de la sécurité des Systèmes d’Information) est qu’il est noyé sous l’urgence et que ses moyens sont contraints par une conjoncture morose et incertaine. Il lui faut donc faire des choix et, bien qu’inéluctable, le risque quantique n’est pas toujours sa priorité, car il n’est ni le plus facile à vendre, ni le plus facile à traiter. En cela, le CISO paie aussi le manque de maturité et d’investissement dans les sujets cyber du reste de l’organisation. Malgré tout, il est capital de s’y atteler sans attendre, non seulement en raison de l’ampleur et de l’imminence de la menace, mais aussi parce que devancer l’appel permettra de se préparer à moindre coût et sans hâte, d’avoir accès aux meilleures compétences (qui sont rares) et de ne pas monopoliser toutes ses ressources au détriment d’autres sujets qu’il faudra malgré tout traiter.

L’étude de Capgemini montre que les early adopters en ont bien conscience : 70 % d’entre eux considèrent le passage à la PQC comme un levier de compétitivité. Cité dans le rapport, Vivek Sharma, Head of Global Partner Management chez Bosch, résume la pensée de ces précurseurs : « Adopter dès à présent la PQC n’est pas seulement une question de sécurité : c’est aussi un atout stratégique. Cela construit la confiance de nos clients, nous évitera de coûteuses adaptations a posteriori et nous permet de devancer les obligations réglementaires.»

Pour en savoir plus, consultez l’étude « Future Encrypted. Why Post-Quantum Cryptrography Tops the New Cybersecurity Agenda »

[1] Source : IBM Quantum. Produits et services de calcul quantique. Disponible sur www.ibm.com/quantum/products

[2] « Collecter maintenant, déchiffrer plus tard »

[3] « Collecter maintenant, déchiffrer maintenant »

Auteurs

Clément Brauner

Clément Brauner

Quantum Computing Lead, Capgemini Invent
Clément est un manager chez Capgemini Invent. Passionné de technologie, il travaille aujourd’hui en tant que SPOC des activités quantiques en France et est membre du « Capgemini Quantum Lab » qui a pour but d’aider ses clients à monter en compétence sur les technologies quantiques, d’explorer les cas d’usages pertinents et de les accompagner dans leurs expérimentations et leurs partenariats.
Jérôme Desbonnet

Jérôme Desbonnet

VP – Cybersecurity CTIO – Chief cybersecurity Architect CIS GBL's, Capgemini
En tant que VP, Cybersecurity CTIO, Jérôme crée des modèles d’architecture de sécurité. Jérôme planifie et exécute d’importants programmes de sécurité afin de garantir que les clients de Capgemini sont bien protégés.
Pierre-Olivier Vanheeckhoet

Pierre-Olivier Vanheeckhoet

Head of Paris Innovation Center, Capgemini
    Pour aller plus loin

    Face à la cybermenace quantique, sortir du déni et passer à l’action

    Moins en vue que l’intelligence artificielle, l’informatique quantique progresse néanmoins tout aussi vite.

    Lire l'article de blog

    Cybersécurité

    Une résilience continue face aux menaces de demain.

    En savoir plus

    Ecosystème d’innovation

    Nous sommes passionnés par l’innovation, qui peut être à l’origine d’une croissance durable et d’une meilleure façon de vivre et de travailler.

    En savoir plus