Cybersécurité à l'ère quantique : anticiper aujourd'hui ce que le calcul de demain va briser

Loïc Guézo

La révolution quantique est en marche, et avec elle, la menace d'un "Q-Day" qui pourrait briser nos systèmes de chiffrement et redéfinir la cybersécurité mondiale.

Quand aura lieu la première cyberattaque quantique ? Développée au début du XXe siècle pour résoudre des problèmes fondamentaux que la physique classique newtonienne ne parvenait pas à expliquer, la quantique a inspiré son informatique. Popularisée par la capacité de résoudre rapidement des problèmes insolubles en temps raisonnable avec l’informatique classique. Notamment casser le chiffrement symétrique massivement utilisé dans tous les secteurs (énergie, santé, finance, etc.), cette informatique quantique progresse vite. Et avec l’intelligence artificielle, elle est déjà en train de redessiner les lignes de fracture et de défense de la cybersécurité mondiale.

L'IA, après avoir transformé la détection et la réponse aux incidents, est maintenant l'outil privilégié pour des attaques toujours plus ciblées. La quantique, avec sa puissance de calcul inédite, menace de rendre caducs nos systèmes de chiffrement actuels, sur lesquels repose la confiance numérique.

Les signaux faibles se multiplient : de la démonstration chinoise d’un « craquage » symbolique d’une clé RSA de 22 bits grâce à un ordinateur quantique D-Wave, aux projections plus sérieuses sur la réduction drastique du nombre de qubits nécessaires pour casser RSA-2048, la course est bel et bien lancée. Si ces percées restent pour l’heure théoriques, elles nous rapprochent inexorablement du « Q-Day », ce jour très redouté où un État disposera d’un ordinateur quantique suffisamment puissant pour exécuter l’algorithme de Shor, mettant ainsi en péril l'intégralité des clés de chiffrement qui sécurisent actuellement nos données, nos transactions et nos systèmes d'accès.

Les dernières analyses de l’ANSSI et de plusieurs organismes internationaux soulignent un paradoxe inquiétant : alors que le risque est désormais bien identifié, trop peu d’organisations ont amorcé la transition vers une cryptographie post-quantique, c’est-à-dire résistante à des attaques menées avec des ordinateurs quantiques. Mais pendant ce temps, certains états collectent déjà les flux chiffrés en appliquant la stratégie « SNDL » (store now, decrypt later) : stocker aujourd’hui ce qui pourra être déchiffré demain. Quid des données aux mains des groupes cybercriminels à l’origine de fuites de données massives ?

De la réaction défensive à l’anticipation stratégique

Dans ce contexte inédit de protection de nos informations et de nos secrets, l’humain restera la vraie ligne de défense. Aucune avancée technologique, si puissante soit-elle, ne pourra compenser durablement une faille humaine persistante. La sensibilisation, la formation et la responsabilisation des collaborateurs demeurent plus que jamais essentielles pour limiter l’exposition initiale et détecter les signaux faibles qui échappent aux outils automatisés, qu’il va bien pourtant falloir adapter à ce nouveau contexte post-quantique.

La Commission Européenne, dans sa recommandation du 11 avril 2024, appelle les États membres à élaborer une feuille de route coordonnée pour la transition vers la cryptographie post-quantique. Face à la menace imminente des ordinateurs quantiques sur nos systèmes de chiffrement actuels, l'objectif est de garantir la confidentialité et l'intégrité des données à long terme.

Pour y parvenir, la stratégie s'articule autour de plusieurs axes clés : réaliser des inventaires cryptographiques et des analyses de risques quantiques, adopter des algorithmes hybrides standardisés, développer l'agilité cryptographique, et renforcer la coopération entre États membres, experts et industries. Cette démarche vise une mise en œuvre harmonisée et une sensibilisation accrue, avec pour ambition d'achever la transition des cas les plus critiques d'ici fin 2030.

Mais la préparation ne doit pas venir que des états. Les acteurs du secteur privés se préparent déjà au virage quantique : Microsoft a récemment publié une série de recommandations qui consistent à inventorier les actifs cryptographiques et évaluer les risques, intégrer progressivement des algorithmes post-quantiques par les composants fondamentaux (tels que SymCrypt), avant de s'étendre aux services d'infrastructure essentiels (authentification, gestion des clés). L'entreprise vise une généralisation de ces services à l'ensemble de ses offres et points d'accès d'ici 2033, avec une disponibilité anticipée dès 2029, afin de neutraliser efficacement la menace « Harvest Now, Decrypt Later ».

Gagner du temps aujourd’hui pour ne pas en perdre demain

Bien que l’échéance de 2030 puisse paraître lointaine, attendre pour agir serait une erreur. Repousser les investissements dans la cryptographie post-quantique coûtera bien plus cher demain, lorsque les systèmes devront être remplacés en urgence. L’agilité cryptographique doit devenir une compétence clé pour toute organisation soucieuse de préserver ses données à long terme. Ce sujet était d’ailleurs au cœur des dernières Rencontres de l’ARCSI, en mai dernier, réunissant de nombreux experts du domaine pour réfléchir aux implications de l’avancée de l’informatique quantique dans le monde de demain.

L’informatique quantique n’est plus une promesse lointaine : c’est une réalité émergente qui fragilise déjà la sécurité des communications. Pour relever ce défi, la combinaison d’une cybersécurité centrée sur l’humain et d’un plan de transition vers des solutions cryptographiques post-quantiques doit s’imposer comme une priorité stratégique. Dans ce nouvel âge de la puissance de calcul, la véritable force résidera dans la capacité collective à anticiper et à agir avant que la menace ne se concrétise.