« La cryptographie post-quantique ne sera pas uniquement une question d’anticipation technologique. Elle deviendra, tôt ou tard, un enjeu de souveraineté, de confiance et de compétitivité. » Mathieu Isaia, Directeur Général de TheGreenBow
La révolution quantique pose dès maintenant des questions cruciales aux organisations : comment protéger des données qui pourraient être décryptées dans dix ans ? Faut-il investir dès maintenant dans une cryptographie post-quantique encore en construction ? Qui doit porter ces choix structurants ? Alors que des initiatives nationales et européennes se multiplient, la cryptographie post-quantique devient un enjeu de souveraineté, de stabilité financière et de résilience. Le moment est venu d’anticiper, d’expérimenter, et d’unir les forces.
Une menace d’actualité
Bien que de plus en plus médiatisée la menace quantique reste aujourd’hui difficile à adresser pour les RSSI. D’ici cinq à dix ans, les avancées pourraient remettre en cause les algorithmes sur lesquels repose une large part de la sécurité des échanges financiers. En parallèle, le contexte réglementaire, avec des textes comme DORA, impose des investissements massifs en cybersécurité et pour accroître la résilience des systèmes. Pour les RSSI, cela complique les arbitrages. La prise de conscience dépend fortement de l’écosystème des différentes entreprises et du niveau d’information de la direction générale. Alors que 73 % des entreprises reconnaissent que l’informatique quantique représente une menace pour la cryptographie traditionnelle, 61 % n’ont pas encore défini de stratégie post-quantique. Pourtant, la menace est d’actualité. D’ici 2026, le nombre de bits quantiques (qubits) devrait être multiplié par dix par rapport aux quelques 400 qubits atteints fin 2022, ce qui augmentera considérablement la capacité de traitement des ordinateurs quantiques et leur permettra de résoudre des problèmes de plus en plus complexes.
Sensibiliser les COMEX
S’il est aujourd’hui difficile d’évaluer la menace, tous ont aujourd’hui conscience qu’elle est bien réelle. Reste que les COMEX ont des difficultés à faire des investissements importants pour sécuriser les systèmes d’informations alors même qu’aucune technologie n’est aujourd’hui en mesure de casser les algorithmes de chiffrement. C’est pourquoi il est aujourd’hui nécessaire de replacer les stricts besoins au centre des préoccupations pour faire face à la menace quantique. Afin de sensibiliser au mieux les COMEX à la menace quantique, il faut la rendre concrète. Une partie des données pouvant être stockées dès aujourd’hui restent sensibles même dans les décennies à venir et pourraient être décryptées plus tard grâce à un ordinateur quantique. Ces attaques dites Harvest Now Decrypt Later ne relèvent plus de la science-fiction et doivent alerter les entreprises aux données stratégiques et hautement confidentielles. Pour faire face Orange Business et Toshiba Europe ont récemment annoncé le lancement du tout premier service commercial de réseau sécurisé quantique en région parisienne. Baptisé Orange Quantum Defender, ce service s’appuie sur la technologie Quantum Safe Networking développée par Toshiba. Celle-ci combine la distribution de clés quantiques (QKD) et la PQC, offrant ainsi un niveau de protection renforcé pour les communications sensibles. Conçu pour répondre aux enjeux de cybersécurité liés à l’émergence des technologies quantiques, ce réseau sécurisé quantique vise à protéger les organisations face aux menaces futures. D’autant qu’au niveau national, les investissements dans la PQC affluent. Le ministre des Armées français dévoilait un plan ambitieux pour accélérer et accompagner la révolution quantique. « Ce à quoi sert l’État, et singulièrement et historiquement le monde militaire – industriels privés compris – c’est l’effet de levier, la capacité à créer la confiance et à entraîner. » expliquait le ministre. Entraîner tout un écosystème, c’est bel et bien le défi qu’auront à relever les industriels du secteur. Au total, le ministère des Armées a engagé 250 millions d’euros jusqu’en 2030 pour le financement de technologies quantiques.
Quelques organisations ont déjà compris l’ampleur de l’enjeu et peuvent donc aujourd’hui apporter de précieux RETEX aux autres entités de son secteur. Cela fait plusieurs années que la Banque de France a identifié qu’au-delà de l’enjeu technologique, des impacts financiers existent également. « Dans le domaine des paiements, qui repose aujourd’hui sur des mécanismes de cryptographie symétrique et asymétrique, notamment pour sécuriser les paiements par carte, les enjeux liés au post-quantique sont particulièrement importants. Il y a, collectivement, une opportunité de valoriser ce sujet bien au-delà de sa seule dimension technologique. De notre côté, nous l’abordons sous l’angle des impacts : en quoi ces avancées technologiques touchent directement nos missions, à commencer par la stabilité financière à grande échelle. Un second aspect, plus récent mais de plus en plus central, réside dans la dimension géopolitique : dans le contexte actuel, ces questions deviennent aussi des enjeux de souveraineté. » note Valérie Fasquelle, DSI de la Banque de France.
S’y préparer dès aujourd’hui
Pour se préparer à la transition en cours, plusieurs actions peuvent déjà être mises en place. La migration PQC sera longue et doit reposer sur des expérimentations. C’est précisément l’approche adoptée par la Banque de France. « Nous avons mené une série d’expérimentations en interne, avec d’autres banques centrales en Europe mais aussi avec Singapour. Ces expérimentations nous permettent de mieux comprendre la technologie et nous approprier les réponses en matière de cryptographie post-quantique. Comme tous les acteurs, nous devrons adapter notre système d’information et garantir un niveau maximal de sécurité et de résilience, compte tenu des missions régaliennes que nous assurons. Nous faisons également oeuvre de pédagogie et émettons des recommandations, notamment auprès de l’industrie des paiements, particulièrement exposée à cette menace. Nous avons recommandé de commencer la cartographie de son système d’information pour en comprendre l’exposition au risque, l’évaluation des vulnérabilités, et ainsi réfléchir aux réponses technologiques à mettre en œuvre pour renforcer la défense. » expose Valérie Fasquelle. Par ailleurs, miser sur la combinaison des expériences et la collaboration avec d’autres acteurs notamment académiques est complémentaire. « Nous nous sommes également associés à une spin-off de la Sorbonne pour travailler sur ce sujet. C’est en croisant les expertises, en combinant les approches académiques, institutionnelles et opérationnelles, que nous pourrons réellement progresser. » poursuit la DSI de la Banque de France.
Si les offres de PQC arrivent peu à peu chez les industriels français, un marché pérenne ne naîtra qu’au prix d’un effort commun : « D’où l’intérêt de partager, de coopérer, d’expérimenter ensemble, pour trouver des solutions dans un contexte encore incertain. Cela étant dit, nous restons contraints. Mais au fond, nous n’avons pas le choix : ces investissements sont nécessaires. Sans cela, notre proposition de valeur ne tient plus. Le sujet de la temporalité est d’ailleurs central. On parle d’une échéance à l’horizon 2035, avec déjà des lignes directrices côté américain. Les algorithmes qui ne résistent pas aux attaques quantiques sont encore autorisés, mais cela ne durera pas. » souligne Mathieu Isaia, Directeur Général de TheGreenBow qui fait notamment partie du projet RESQUE (RESilience QUantiquE). Ce dernier a pour ambition, d’ici deux ans, de développer une solution de chiffrement post-quantique destinée à protéger les communications, les infrastructures et les réseaux des collectivités locales et des entreprises face aux menaces que pourraient faire peser les futurs ordinateurs quantiques. Financé à hauteur de 6 millions d’euros par Bpifrance, ce projet bénéficie du soutien du gouvernement dans le cadre de France 2030 et de l’Union européenne via le plan France Relance – Next Generation EU. Porté par un consortium réunissant Thales, TheGreenBow, CryptoExperts, CryptoNext Security, l’ANSSI et l’Inria, RESQUE se concentre sur deux cas d’usage stratégiques : le développement d’un VPN post-quantique hybride, garantissant un accès sécurisé, résilient et simple aux systèmes d’information et la conception d’un HSM (hardware security module) post-quantique haute performance, assurant une sécurisation complète et pouvant être intégré dans d’autres équipements.
Les premières certifications de solutions intégrant de la PQC accélèreront quoi qu’il arrive leur adoption. Certaines entreprises ont d’ores et déjà implémentés des premières versions d’algorithmes post quantiques dans leurs systèmes d’informations. Enfin, dernier élément qui ira dans le sens de l’adoption des technologies de PQC : la réglementation française et européenne. A l’instar du RGPD ou de NIS 2 qui ont permis de créer un cadre commun en harmonisant les pratiques pour l’ensemble des acteurs, la réglementation viendra jouer un rôle important dans la migration des entreprises et organisation vers des technologies PQC. Si certains secteurs, comme celui de la banque, ont déjà pris une longueur d’avance dans la prise en compte des enjeux liés à la menace quantique, ce n’est pas toujours le cas de leurs prestataires ou sous-traitants, qui restent souvent plus vulnérables. Or, les attaques ciblent de plus en plus les chaînes d’approvisionnement. En ce sens, les réglementations européennes pourraient jouer un rôle clé en imposant un alignement de l’ensemble des acteurs, renforçant ainsi la sécurité globale et instaurant un véritable cadre de confiance. « La cryptographie post-quantique ne sera pas uniquement une question d’anticipation technologique. Elle deviendra, tôt ou tard, un enjeu de souveraineté, de confiance et de compétitivité… autant prendre dès aujourd’hui le virage de la PQC avant qu’il ne soit trop tard » conclut Mathieu Isaia.
Pour aller plus loin : lire la note de synthèse « Crypto post quantique : la transition s’accélère »