La Cryptographie Post-Quantique : Une priorité stratégique pour les entreprises

L'ère de l'informatique quantique se profile à l'horizon, remettant en question les fondements mêmes de la cybersécurité moderne. 

Face à cette révolution technologique imminente, la cryptographie post-quantique (PQC) s'impose comme un défi stratégique majeur que toutes les organisations, des PME aux grands groupes, doivent absolument anticiper.

Une menace quantique mais bien réelle

La cryptographie post-quantique désigne l'ensemble des algorithmes cryptographiques conçus pour résister aux attaques des ordinateurs quantiques, tout en conservant leur efficacité contre les attaques classiques. 

Contrairement aux systèmes actuels qui reposent sur des problèmes mathématiques comme la factorisation des grands nombres (RSA), les algorithmes post-quantiques s'appuient sur d'autres fondations mathématiques réputées insolubles même pour les ordinateurs quantiques.

L'urgence de cette transition s'explique par les avancées spectaculaires de l'informatique quantique. 

IBM a quadruplé le nombre de qubits stables de ses processeurs quantiques entre 2019 et 2021, et McKinsey prévoit jusqu'à 5 000 ordinateurs quantiques opérationnels d'ici 2030.

Cette menace n'est plus théorique mais imminente. 

Les cybercriminels adoptent déjà une stratégie de "Harvest Now, Decrypt Later" – collectant dès aujourd'hui des données chiffrées en attendant de pouvoir les déchiffrer avec des ordinateurs quantiques, profitant de l'absence ou de la lenteur de la rotation de clés.

Un état des lieux préoccupant

Les statistiques révèlent un décalage inquiétant entre la perception et la réalité de la préparation des organisations françaises.

Par un questionnaire du CESIN sur 85 organisations françaises:

Seulement 19% des organisations ont engagé ou vont prochainement engager des travaux de migration vers des solutions utilisant la cryptographie post-quantique, tandis que 59% se déclarent concernées par ces questions.

Résultat : les travaux d'analyse des risques quantiques sont peux nombreux pour des organisations qui seront pourtant très prochainement exposées aux risques. 

Les obstacles à surmonter

L'ANSSI identifie quatre raisons principales à cette passivité dangereuse: 

Premièrement, une mauvaise compréhension des enjeux et de l'agenda quantique, aggravée par l'absence de communication formelle sur les échéances. 

Deuxièmement, un manque de moyens financiers et humains, tant que le risque n'est pas pleinement matérialisé dans l'esprit des organisations. 

Troisièmement, l'absence d'offre de services d'accompagnement à la transition post-quantique. 

Enfin, l'absence d'obligation réglementaire pour les entités régulées.

À ce jour (mi-2025), DORA ne contient pas d’exigence explicite sur la cryptographie post-quantique (PQC). Toutefois :

DORA s’inscrit dans une logique de neutralité technologique mais exige la maîtrise des risques émergents, ce qui inclut potentiellement le risque quantique :

« Les entités financières doivent garantir la sécurité, la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. »

Cela implique qu’à mesure que la menace quantique devient concrète, les entités supervisées doivent en tenir compte dans leurs analyses de risque.

Bien que DORA lui-même ne dicte pas encore de migration vers des algorithmes PQC: l’EBA, l’ESMA et l’EIOPA (autorités de surveillance européennes du secteur financier) peuvent émettre des normes techniques (RTS/ITS) ou des orientations futures prenant en compte ce risque.

Par ailleurs, l’ENISA, en lien avec le NIST et les travaux de l’ETSI, recommande déjà de se préparer à la transition post-quantique, notamment par :

• l’inventaire des usages de la cryptographie actuelle,
• la planification de la migration,
• et l’intégration dans les plans de continuité et d’audit.

L'initiative du Campus Cyber

Face à ces enjeux critiques, le groupe de travail PQC du Campus Cyber a développé un outil d'auto-évaluation pour aider les entreprises à évaluer leur niveau de maturité en matière de cryptographie post-quantique. 

Cette initiative résulte de la collaboration exceptionnelle de quinze organisations majeures de l'écosystème français : BNP Paribas, Axa, Air France, Accenture, l'ANSSI, la Banque de France, Bouygues Télécom, BPCE, EDF, Euro-Information, GRT Gaz, Headmind Partners, Orange, Portyq et Société Générale.

L'outil se compose de deux questionnaires complémentaires totalisant 35 points de contrôle. 

• Le premier questionnaire évalue la crypto-agilité au sens large avec 25 points de contrôle répartis en trois catégories : gouvernance (politiques cryptographiques, documentation), conformité/contrôles (évaluation des directives, KPIs), et outillage (inventaires cryptographiques, automatisation). 
• Le second questionnaire se concentre spécifiquement sur la préparation post-quantique avec 10 points de contrôle couvrant la sensibilisation, la stratégie PQC, les tests et l'impact sur les équipements.

Chaque point de contrôle est noté de 0 à 5 avec un coefficient de pondération personnalisable selon le contexte organisationnel. 

L'outil intègre les fonctions du Cybersecurity Framework du NIST (Govern, Identify, Protect, Detect, Respond, Recover) pour faciliter son intégration dans les frameworks existants.

Retrouvez le ici

L'urgence d'agir

La cryptographie post-quantique n'est plus une hypothèse lointaine mais une nécessité stratégique immédiate. L'outil d'auto-évaluation développé par le Campus Cyber constitue un premier pas essentiel pour les organisations françaises. 

Il est essentiel de lancer un inventaire exhaustif des actifs cryptographiques (SBOM et CBOM) et d'identifier les cas d'usage critiques selon les risques.

L'ANSSI recommande une approche par phases : hybridation facultative comme défense en profondeur, résistance quantique comme propriété de sécurité , et cryptographie post-quantique autonome.

Il ne reste qu'à passer à l'action, car comme le souligne l'ANSSI, "la question n'est plus de savoir si cela arrivera, mais quand".