Retour sur les Assises de la cybersécurité : le quantique inquiète et fait tiquer, la souveraineté s'impose
"Un bilan plus sombre que d'habitude". C'est ainsi que le 8 octobre dernier, pendant la conférence inaugurale de la 25e édition des Assises de la cybersécurité, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Vincent Strubel, a conclu son intervention, surprenant des professionnels et exposants habitués du grand raout de la cybersécurité qui nous ont confié n'avoir jamais entendu un discours aussi maussade de sa part. Mais pouvait-il en être autrement ? Le patron de l'Anssi a énuméré les grands risques cyber actuels et émergents mais en a surtout retenu deux : le Q-Day, soit l'apparition de l'ordinateur quantique, et la dépendance numérique aux Etats-Unis. Deux thématiques qui, de fait, étaient au cœur des discussions ayant rythmé les trois jours de l'événement.
Le spectre du Q-Day
C'est sans doute l'annonce d'un calendrier de transition vers l'ère post-quantique qui a suscité le plus de débats. Comme Vincent Strubel l'a annoncé, l'Anssi ne délivrera plus de certifications à des solutions qui n'intègrent pas de cryptographie post-quantique dès 2027. Et en 2030, il ne sera plus possible d'acquérir des outils de sécurité dépourvus de protection contre le risque quantique.
Pour Olivier Daloy, chief information security officer in redidence chez Zscaler, cette annonce est bienvenue. "Le souhait de l'Anssi et de Vincent Strubel est de s'assurer que les organisations ne repoussent pas éternellement leur transition post-quantique. Ils veulent les pousser à commencer à faire le strict nécessaire : s'intéresser au problème, se poser les bonnes questions, définir un plan de migration des algorithmes de chiffrement, etc. Je pense que la crainte de l'Anssi est qu'aucune organisation n'agisse jusqu'à ce qu'elles découvrent qu'un acteur malveillant est capable de déchiffrer leurs données. Là, au moins, une date est fixée."
Pierre Codis, directeur commercial Europe de l'ouest chez Keyfactor, s'est aussi réjoui de l'annonce de ce calendrier. Selon lui, les organisations doivent réaliser dès maintenant une cartographie de leurs actifs cryptographiques pour préparer leur transition.
Toutefois, certains offreurs n'ont pas caché leur désintérêt, voire leur exaspération, face à l'importance qu'a pris cette annonce lors de l'événement. "La cybersécurité française est basée sur le chiffrement depuis les années 1950. Certains spécialistes la considèrent donc uniquement à travers cet angle. Mais en réalité, la cryptographie post-quantique n'est pas le sujet principal. C'est une niche qui ne concerne qu'une petite fraction du secteur de la cybersécurité. Vous pensez que les solutions exposées autour de moi ont besoin de cryptographie post-quantique ?", peste le président-directeur général d'une entreprise de cybersécurité depuis son stand.
La souveraineté en étendard
Pour faire face au risque de dépendance numérique à l'égard des Etats-Unis, de nombreux exposants ont brandi la souveraineté comme un argument marketing. Et pour cause, "la géopolitique s'invite dans les comités exécutifs et les directions des systèmes d'information", observe Julien Levrad, responsable de la sécurité des systèmes d'information d'OVH Cloud. "La souveraineté est désormais une famille de risques qui se pilote et qui se gère." Pour lui comme pour Laurent Tombois, country manager France de Bitdefender, entreprise de cybersécurité dont les sièges sociaux sont en Roumanie et aux Etats-Unis, il existe actuellement une demande croissante de solutions souveraines de la part du marché. Même constat de la part de Jean-Nicolas Piotrowski, président-directeur général d'Itrust, un managed security service providers français : "il existe une croissance linéaire de la demande de solutions souveraines."
De plus en plus de clients d'ITrust réclament le déploiement on-premise des solutions, afin de conserver la plus grande maîtrise de leurs données. Yosra Jarraya, dont la start-up Astran a remporté le prix de l'innovation des Assises de la cybersécurité 2025, est même encouragée à orienter sa solution vers la souveraineté. Pour assurer une continuité et une reprise d'activité efficaces, Astran fragmente les données, les chiffre et les disperse dans différents cloud pour être capable de toutes les récupérer. Lorsque les cloud utilisés sont américains, les données restent indéchiffrables par le fournisseur. Certains prospects d'Astran suggèrent donc à Yosra Jarraya d'utiliser sa technologie pour garantir un stockage souverain chez des fournisseurs de cloud américains.