La menace quantique : mythe ou réalité ?

Un voleur capable d'ouvrir n'importe quelle serrure avec une clé universelle ? C'est précisément la menace que représente un ordinateur quantique cryptographique (CRQC) pour le chiffrement.

Depuis les années 1970, la cryptographie joue un rôle essentiel dans la protection des échanges, des transactions et des données sensibles en ligne. Elle repose sur des problèmes mathématiques si complexes qu’ils sont insolubles pour les ordinateurs classiques. Cette sécurité semblait inébranlable jusqu’en 1994, lorsque Peter Shor a démontré qu’un algorithme quantique pourrait briser ces codes en un temps record, bouleversant ainsi la cryptographie moderne.

Plus récemment, la NSA, l’Agence nationale de la sécurité aux États-Unis, a fixé à l’horizon 2035 la sécurisation des systèmes de défense nationale avec des algorithmes résistants aux attaques quantiques, plaçant de nouveau le sujet au cœur des priorités pour les entreprises.

L’émergence de la menace quantique

400 milliards de dollars par an : c’est le coût des temps d’arrêt pour les 200 plus grandes entreprises mondiales. Dans la plupart des cas, ces incidents sont liés à la cybersécurité, ou à des problèmes d’applications ou d’infrastructure. Avec le développement de la cryptographie post-quantique, la situation pourrait bien se compliquer davantage.

Pourrait. Car oui, les ordinateurs quantiques existent déjà mais ils ne disposent aujourd’hui ni du nombre de qubits suffisant ni de la stabilité nécessaire pour devenir des CRQC. Toutefois, cette situation pourrait évoluer d’ici dix à vingt ans, rendant ces machines capables de briser les systèmes de chiffrement actuels. C’est pourquoi il est essentiel pour les entreprises d’anticiper dès maintenant cette transition.

En 2024, l’ANSSI mettait déjà en avant la nécessité d’anticiper la cryptographie post-quantique dans un premier rapport sur l’état des solutions en France. Elle soulignait que, si ces technologies sont encore en cours de développement, cela ne justifiait en aucun cas l’inaction. Au contraire, certaines mesures de transition devraient être mises en place immédiatement, tandis que d’autres pourraient être déployées progressivement dans les années à venir.

Un second rapport, axé sur les prestations d’accompagnement et de conseil, dresse un constat tout aussi préoccupant. Il souligne le manque d’initiatives à la fois du côté des entreprises et des prestataires, ces derniers expliquant que leurs clients ne perçoivent pas encore l’urgence de se préparer à la menace quantique. L’absence de réglementation en la matière contribue à cette attitude attentiste.

Ces observations soulignent l’urgence d’une prise de conscience collective et d’un cadre réglementaire incitatif pour propulser la transition vers des solutions cryptographiques prêtes à relever les défis de l’ère quantique.

Se préparer sans céder à la panique

Si l’essor de l’informatique quantique suscite de nombreuses inquiétudes, toutes les organisations n’y sont pas exposées de la même manière. La priorité est donc d’évaluer les véritables risques pour hiérarchiser les actions à mener.

La menace dépend avant tout de la nature des données. Certaines informations, destinées à perdre leur sensibilité avec le temps, ne nécessitent pas de protection immédiate. En revanche, des données critiques à long terme, comme celles liées à la santé ou aux infrastructures stratégiques, doivent dès à présent être intégrées dans la planification de la transition vers la cryptographie post-quantique.

Qui plus est, toutes les formes de cryptographie ne présentent pas le même niveau de vulnérabilité face aux attaques quantiques, ce qui signifie qu’il est encore possible d’affiner les priorités. De la même manière qu’il est essentiel de prioriser la mise à jour des systèmes en fonction de la menace, de la gravité de l’impact et de la criticité de la vulnérabilité, il faut également déterminer quels actifs cryptographiques migrer en priorité, si une migration est nécessaire. Certains actifs arriveront en fin de vie, d’autres n’utilisent pas de cryptographie vulnérable aux attaques quantiques, et d’autres encore ne contiendront tout simplement pas de données sensibles.

S’y préparer dès maintenant reste néanmoins bénéfique. Réaliser un audit des infrastructures et des données critiques permet d’anticiper la transition tout en renforçant la cybersécurité existante. Identifier quelles données sont stockées, leur durée de vie et les mécanismes de chiffrement en place constitue un premier pas essentiel.

Paradoxalement, nombre d’organisations préoccupées par la menace quantique négligent encore des mesures basiques en matière de cybersécurité, comme la mise à jour régulière de leurs systèmes. Louis Naugès, expert reconnu de l’écosystème numérique, l’explique bien dans cet article d’InCyber News : « Tant que les 999 priorités de sécurité numérique actuelles ne seront pas traitées dans les organisations françaises, nous pourrons difficilement nous concentrer sur le millième sujet : les risques que l’informatique quantique fait peser sur les solutions cryptographiques existantes. »

En effet, une infrastructure obsolète est bien plus vulnérable aux attaques actuelles qu’à un hypothétique CRQC. Il est donc essentiel de trouver un équilibre et de bien définir ses priorités. Du moins au début, les CRQC ne seront accessibles qu’à des adversaires sophistiqués capables de collecter et stocker d’énormes quantités de données dès aujourd’hui, c’est-à-dire les États-nations. Et si ces acteurs malveillants volent déjà vos données sans difficulté — parce que vos systèmes n’ont pas été mis à jour depuis des mois, voire des années — ils ne vont pas soudainement changer de tactique et investir massivement dans des CRQC coûteux.

La bonne approche consiste à faire dès maintenant une évaluation, à prioriser les actifs et à être prêt pour une migration des systèmes, produits et données critiques. Puis, ne rien faire, à part actualiser cette évaluation de temps en temps et concentrer les efforts de sécurité ailleurs. Ce n’est peut-être pas la solution la plus spectaculaire, mais c’est un bon conseil en matière de cybersécurité. De toute façon, disposer d’un inventaire précis de ses actifs est un pilier fondamental de nombreuses stratégies de sécurité, alors autant profiter de l’excuse du quantique pour enfin obtenir une vision claire de son infrastructure IT.