Cybersécurité

Cryptographie post-quantique : préparer la migration en entreprise

Un ordinateur quantique cassera le chiffrement actuel, et les données volées aujourd'hui seront déchiffrées plus tard. La méthode de migration post-quantique en entreprise.

Marc Aubert · Mis à jour le par Marc Aubert

La sécurité des échanges sur Internet, des signatures électroniques et des données chiffrées au repos repose sur une poignée d’algorithmes de cryptographie à clé publique. Leur solidité tient à la difficulté de certains problèmes mathématiques, comme la factorisation de grands nombres ou le logarithme discret, qu’aucun ordinateur classique ne sait résoudre en un temps raisonnable. Un ordinateur quantique suffisamment puissant, lui, le saurait. Cette machine n’existe pas encore, mais la perspective de son apparition transforme dès aujourd’hui la manière dont une organisation doit penser sa cryptographie.

Cet article explique pourquoi la menace quantique est déjà un problème concret malgré l’absence de machine opérationnelle, ce que recouvrent les nouveaux standards de cryptographie post-quantique, et la méthode pour engager une migration en entreprise. Il s’appuie sur les positions publiées par l’ANSSI, les standards du NIST et les analyses de l’ENISA.

Pourquoi la menace quantique est déjà réelle

L’intuition première conduit à reléguer le sujet à un avenir lointain : tant qu’aucun ordinateur quantique ne peut casser le chiffrement, pourquoi s’en préoccuper aujourd’hui. Ce raisonnement néglige deux caractéristiques propres au risque cryptographique, qui rendent l’attente coûteuse.

Le déchiffrement différé des données capturées aujourd’hui

La première raison porte un nom devenu courant dans la communauté de la sécurité : harvest now, decrypt later, que l’on peut traduire par moissonner maintenant, déchiffrer plus tard. Un adversaire patient et doté de moyens peut intercepter et stocker dès aujourd’hui des communications ou des fichiers chiffrés, sans pouvoir les lire, en pariant sur le fait qu’il disposera un jour de la capacité quantique nécessaire. Le jour venu, il déchiffrera tout ce qu’il aura accumulé.

Cette logique inverse la temporalité habituelle de la défense. D’ordinaire, on protège des données contre des menaces présentes. Ici, il faut protéger dès maintenant des données contre une capacité future, parce que ces données circulent et sont capturables dans le présent. Une donnée chiffrée aujourd’hui avec un algorithme classique, et interceptée, sera lisible le jour où la machine existera. La question n’est donc pas de savoir quand l’ordinateur quantique arrivera, mais combien de temps les données échangées aujourd’hui doivent rester confidentielles.

Les données à longue durée de confidentialité

Toutes les données ne se valent pas face à cette menace. Un mot de passe à usage unique ou une session de navigation sans enjeu n’ont aucun intérêt à être déchiffrés dans dix ans. En revanche, certaines catégories d’information conservent leur sensibilité sur des décennies : secrets industriels, brevets en préparation, données de santé, dossiers juridiques, informations classifiées, données personnelles que le RGPD impose de protéger durablement. Pour ces données à longue durée de confidentialité, la menace harvest now, decrypt later est immédiate, même si la machine qui les déchiffrera n’apparaît que dans quinze ans.

Le temps long de la migration cryptographique

La seconde raison de ne pas attendre tient à la durée d’une migration. Changer les algorithmes cryptographiques d’un système d’information ne se fait pas en une nuit. Il faut inventorier les usages, mettre à jour des bibliothèques, renouveler des certificats, parfois remplacer du matériel embarqué qui implémente la cryptographie de manière figée, et coordonner tout cela avec des partenaires et des fournisseurs. Les transitions cryptographiques précédentes, comme l’abandon de fonctions de hachage devenues faibles, se sont étalées sur de nombreuses années. La migration post-quantique sera plus vaste encore, car elle touche le cœur même de la cryptographie à clé publique.

L’équation est donc simple à poser. Si une donnée doit rester confidentielle pendant dix ans, si la migration prend cinq ans, et si l’ordinateur quantique apparaît dans douze ans, alors une organisation qui commence aujourd’hui est déjà en retard pour cette donnée. C’est ce calcul, et non une crainte de l’imminence, qui justifie d’engager la transition sans attendre.

Ce que la menace quantique casse, et ce qu’elle ne casse pas

Une confusion fréquente consiste à croire que l’ordinateur quantique rendrait toute la cryptographie inutile. La réalité est plus nuancée, et cette nuance oriente la stratégie de migration.

La cryptographie à clé publique est directement menacée

Les algorithmes à clé publique, ceux qui permettent à deux parties qui ne se connaissent pas d’établir un secret commun ou de vérifier une signature, reposent sur des problèmes qu’un algorithme quantique connu, l’algorithme de Shor, résoudrait efficacement. La factorisation et le logarithme discret, fondements de la cryptographie asymétrique actuelle, tomberaient. C’est cette famille d’algorithmes, omniprésente dans les protocoles de communication sécurisée, les certificats et les signatures électroniques, qu’il faut remplacer.

La cryptographie symétrique est seulement affaiblie

La cryptographie symétrique, celle qui chiffre des données avec une clé secrète partagée, résiste bien mieux. Un algorithme quantique connu, l’algorithme de Grover, réduit la sécurité effective d’une clé symétrique, mais cet affaiblissement se compense en augmentant la taille des clés. Une clé symétrique de taille suffisante reste sûre face à un ordinateur quantique. La conséquence pratique est que l’effort de migration se concentre sur la cryptographie à clé publique, tandis que le chiffrement symétrique demande surtout de vérifier que les tailles de clés employées offrent une marge adéquate.

Cette distinction est structurante. Elle indique où porter l’effort : sur les échanges de clés, les signatures et les certificats, et non sur l’ensemble indistinct de la cryptographie. Une démarche méthodique de gestion des identités et des accès, qui s’appuie largement sur des certificats et des signatures, fait partie des terrains directement concernés par cette transition.

Les protocoles et les certificats en première ligne

En pratique, la menace se matérialise dans des briques que toute organisation utilise sans toujours les voir. Les protocoles de communication sécurisée qui protègent le trafic web, la messagerie et les liaisons entre serveurs établissent un secret de session au moyen d’un échange de clés à clé publique : c’est précisément ce mécanisme que l’ordinateur quantique viserait. Les certificats électroniques, qui attestent l’identité d’un serveur ou d’une personne, reposent sur des signatures à clé publique, elles aussi concernées. Les infrastructures de gestion de clés, les bastions d’accès distant, les réseaux privés virtuels, les systèmes de signature de code et de documents constituent autant de points où la cryptographie à clé publique est employée de manière souvent invisible aux équipes métier. La migration consiste à remplacer ou à hybrider ces mécanismes un à un, ce qui explique l’ampleur du chantier et la nécessité d’un inventaire préalable rigoureux.

Les nouveaux standards de cryptographie post-quantique

La cryptographie post-quantique désigne des algorithmes à clé publique conçus pour résister à la fois aux ordinateurs classiques et aux ordinateurs quantiques. Ils ne reposent pas sur l’informatique quantique, mais sur des problèmes mathématiques que l’on pense hors de portée de l’algorithme de Shor. Après plusieurs années d’évaluation publique, le NIST a publié en août 2024 les premiers standards.

Les trois premiers standards du NIST

Le standard FIPS 203 définit ML-KEM, un mécanisme d’encapsulation de clé dérivé de l’algorithme CRYSTALS-Kyber. Il sert à établir un secret partagé de manière sûre, fonction aujourd’hui assurée par les échanges de clés classiques. C’est le standard le plus directement concerné par la menace harvest now, decrypt later, puisqu’il protège la confidentialité des échanges.

Le standard FIPS 204 définit ML-DSA, un schéma de signature numérique issu de CRYSTALS-Dilithium. Il garantit l’authenticité et l’intégrité, fonctions des signatures actuelles, et constitue le choix de signature recommandé par défaut.

Le standard FIPS 205 définit SLH-DSA, un schéma de signature fondé sur les fonctions de hachage et dérivé de SPHINCS+. Ses propriétés en font une option de signature reposant sur des hypothèses mathématiques différentes des deux premiers, ce qui apporte une diversité utile si une faiblesse devait un jour affecter la famille dominante.

Pourquoi la diversité des fondements compte

Les deux premiers standards reposent sur des problèmes liés aux réseaux euclidiens. Cette concentration crée un risque théorique : si une attaque mathématique majeure visait cette famille, plusieurs standards tomberaient ensemble. C’est pourquoi le NIST poursuit la standardisation d’algorithmes fondés sur d’autres problèmes mathématiques, afin de disposer de solutions de repli indépendantes. Pour une organisation, cette diversité confirme l’importance de ne pas figer un algorithme unique dans ses systèmes, mais de conserver la possibilité d’en changer.

La doctrine de l’ANSSI : hybridation et prudence

L’ANSSI a publié plusieurs prises de position sur la transition post-quantique, dont un document de suivi qui précise sa doctrine. Deux principes en ressortent, qui s’écartent d’un basculement brutal vers le post-quantique.

L’hybridation comme règle de transition

L’ANSSI recommande l’hybridation, c’est-à-dire la combinaison d’un algorithme classique éprouvé et d’un algorithme post-quantique, plutôt qu’un remplacement direct et exclusif. Le raisonnement est celui de la prudence. Les algorithmes post-quantiques sont récents ; leur résistance face à de futures attaques, y compris classiques, ne bénéficie pas du recul de plusieurs décennies dont jouissent les algorithmes actuels. En hybridant, on obtient une sécurité au moins égale à celle du plus robuste des deux composants : la protection contre l’ordinateur quantique vient de la composante post-quantique, tandis que la garantie contre une éventuelle faiblesse de cette dernière vient de la composante classique.

Cette position diffère de celle d’autres autorités, certaines envisageant un passage plus direct au post-quantique seul dans certains contextes. Pour une organisation française soumise à des exigences nationales, l’hybridation constitue le repère recommandé pendant toute la phase de transition.

La crypto-agilité comme objectif de long terme

Le second principe est la crypto-agilité, c’est-à-dire la capacité d’un système à changer d’algorithme sans être reconstruit. Personne ne peut garantir aujourd’hui quels algorithmes resteront sûrs dans vingt ans. Plutôt que de viser un état final figé, l’ANSSI invite à construire des systèmes capables d’absorber les changements futurs. Concrètement, cela suppose de séparer la logique métier de l’implémentation cryptographique, de paramétrer les algorithmes au lieu de les coder en dur, et de prévoir la coexistence de plusieurs algorithmes pendant les transitions. La crypto-agilité n’est pas un produit que l’on achète, mais une propriété d’architecture que l’on construit, et elle dépasse le seul enjeu quantique.

Les cinq étapes d’une migration en entreprise

La transition vers la cryptographie post-quantique se mène comme un projet à part entière, sur plusieurs années, en cinq étapes ordonnées. L’erreur la plus répandue consiste à chercher une solution technique avant d’avoir mesuré le problème.

Étape un : inventorier les usages cryptographiques

La première étape n’est pas technique mais documentaire. Il s’agit de recenser où et comment la cryptographie est utilisée dans le système d’information : les certificats et leur cycle de vie, les protocoles de communication chiffrée, les mécanismes de signature, les bibliothèques cryptographiques embarquées dans les applications, les matériels qui implémentent de la cryptographie de manière figée. Cet inventaire, que la plupart des organisations n’ont jamais réalisé, révèle souvent une dispersion et une opacité que personne ne soupçonnait. On ne migre pas ce que l’on ne connaît pas ; cette étape conditionne toutes les suivantes.

Étape deux : identifier les données à longue durée de confidentialité

Toutes les données n’exigent pas le même effort. Il faut distinguer celles dont la confidentialité doit être garantie sur le long terme, qui sont les plus exposées à la menace harvest now, decrypt later, de celles dont la sensibilité s’éteint rapidement. Cette analyse, conduite avec les métiers, croise la durée de vie de la donnée et la gravité d’une divulgation future. Elle oriente la priorisation, car protéger en premier les données les plus durablement sensibles offre le meilleur retour sur l’effort.

Étape trois : prioriser les systèmes à traiter

L’inventaire et l’analyse des données convergent vers une priorisation. On traite d’abord les systèmes qui combinent données à longue durée de confidentialité et exposition à l’interception, puis on descend vers les usages moins critiques. Cette priorisation par valeur de risque, plutôt que par facilité technique, évite de disperser l’effort sur des systèmes peu exposés tout en laissant les plus sensibles inchangés. Elle s’inscrit naturellement dans une démarche plus large de trajectoire Zero Trust, où l’on raisonne par criticité et par surface d’exposition.

Étape quatre : déployer des solutions hybrides

Vient le déploiement effectif des algorithmes post-quantiques, en mode hybride conformément à la doctrine de l’ANSSI. Cette étape dépend fortement de la maturité des fournisseurs : bibliothèques, navigateurs, équipements réseau et fournisseurs de cloud intègrent progressivement le support post-quantique, à un rythme inégal. L’entreprise dépend ici de son écosystème, ce qui renforce l’intérêt de dialoguer tôt avec ses fournisseurs et d’inscrire le support post-quantique dans ses exigences d’achat. Pour les organisations qui visent une qualification de sécurité, l’articulation avec des référentiels comme la qualification SecNumCloud de l’ANSSI deviendra un point d’attention à mesure que les exigences évolueront.

Étape cinq : construire la crypto-agilité

La dernière étape, qui est en réalité un objectif permanent, consiste à doter les systèmes de la capacité à changer d’algorithme sans reconstruction. C’est l’investissement qui rend toutes les transitions futures absorbables, qu’il s’agisse d’un nouvel algorithme post-quantique ou de la correction d’une faiblesse découverte. Une organisation crypto-agile transforme un futur projet de migration en une simple mise à jour de configuration. Cet objectif rejoint les préoccupations de souveraineté technologique, où la maîtrise de ses propres mécanismes de sécurité prend une importance croissante, comme l’illustrent les débats autour du cloud souverain en France.

Le calendrier et les obligations à venir

Aucune réglementation n’impose aujourd’hui en France un calendrier contraignant de migration post-quantique pour les entreprises. Mais plusieurs signaux indiquent que le sujet entrera progressivement dans le champ des obligations. Les autorités nationales publient des recommandations de plus en plus précises, les référentiels de sécurité commencent à mentionner la résilience quantique, et les exigences de protection des données sensibles convergent vers la nécessité d’anticiper.

La directive NIS2, qui impose aux entités concernées une gestion des risques de cybersécurité fondée sur l’état de l’art, intègre indirectement cette anticipation : un risque connu et documenté comme la menace quantique relève de la gestion des risques qu’une entité essentielle ou importante doit mener. Sans citer explicitement le post-quantique, le cadre réglementaire pousse les organisations matures à inscrire cette transition dans leur trajectoire de sécurité, plutôt qu’à la découvrir sous la contrainte.

Pour les directions des systèmes d’information, la conduite à tenir ne dépend donc pas d’une échéance réglementaire, mais d’un calcul de risque propre à chaque organisation. Plus les données sont durablement sensibles, plus la migration est longue à mener, plus il est rationnel de commencer tôt. Le moment opportun pour engager l’inventaire des usages cryptographiques n’est pas le jour où l’ordinateur quantique apparaîtra, mais maintenant.

Conclusion

La cryptographie post-quantique illustre une particularité du risque cyber : la nécessité de se protéger aujourd’hui contre une capacité qui n’existe pas encore. La menace ne tient pas à l’imminence de l’ordinateur quantique, mais à la combinaison de trois durées, celle de confidentialité des données, celle de la migration, et celle d’apparition de la machine. Pour les données les plus sensibles, cette équation impose d’agir dès maintenant.

Les outils existent. Le NIST a standardisé en 2024 les premiers algorithmes, l’ANSSI a tracé une doctrine fondée sur l’hybridation et la crypto-agilité, et les fournisseurs intègrent progressivement le support post-quantique. Ce qui manque le plus souvent n’est pas la technologie, mais l’inventaire et la priorisation, c’est-à-dire la connaissance de son propre parc cryptographique. Engager cette première étape, modeste et documentaire, est le geste qui transforme une menace abstraite en un projet maîtrisable.

Références

[1] ANSSI, document de suivi de sa prise de position sur la cryptographie post-quantique. [2] NIST, FIPS 203 (ML-KEM), standard de mécanisme d’encapsulation de clé. [3] NIST, FIPS 204 (ML-DSA), standard de signature numérique. [4] NIST, FIPS 205 (SLH-DSA), standard de signature fondé sur le hachage. [5] ENISA, rapport sur la cryptographie post-quantique et les mesures de mitigation.

Sources primaires : ANSSI, NIST FIPS 203, NIST FIPS 204, NIST FIPS 205, ENISA.

Questions fréquentes

L'ordinateur quantique capable de casser le chiffrement existe-t-il déjà ?

Non. Aucune machine connue ne possède aujourd'hui la puissance nécessaire pour casser la cryptographie à clé publique utilisée en production, qui exige un ordinateur quantique disposant de plusieurs milliers de qubits logiques stables, donc de plusieurs millions de qubits physiques pour corriger les erreurs. Les machines actuelles en sont très loin. Le problème n'est pas l'imminence de la menace, mais sa nature de long terme combinée à deux facteurs : un attaquant peut stocker dès maintenant des données chiffrées pour les déchiffrer le jour où la machine existera, et la migration d'un parc cryptographique se compte en années. C'est pourquoi les agences nationales recommandent de commencer la transition sans attendre l'apparition de la machine, et non parce qu'elle serait proche.

Qu'est-ce que la menace harvest now, decrypt later ?

L'expression désigne une stratégie d'attaque dans laquelle un adversaire capture aujourd'hui des communications ou des données chiffrées, les stocke, et attend de disposer d'un ordinateur quantique pour les déchiffrer ultérieurement. Cette menace rend le risque quantique immédiat pour toute donnée dont la confidentialité doit être garantie sur le long terme : secrets d'État, propriété intellectuelle, données de santé, archives juridiques, secrets industriels. Une donnée chiffrée aujourd'hui avec un algorithme classique et interceptée par un acteur patient sera lisible le jour où la capacité quantique existera. Cette logique inverse la temporalité habituelle de la sécurité : il faut protéger dès maintenant contre une capacité qui n'existe pas encore, car le préjudice se matérialisera dans le futur sur des données du présent.

Quels sont les algorithmes post-quantiques standardisés ?

Le NIST a publié en août 2024 les trois premiers standards. FIPS 203 définit ML-KEM, un mécanisme d'encapsulation de clé issu de l'algorithme CRYSTALS-Kyber, destiné à remplacer les échanges de clés actuels. FIPS 204 définit ML-DSA, un schéma de signature issu de CRYSTALS-Dilithium, et FIPS 205 définit SLH-DSA, un schéma de signature fondé sur les fonctions de hachage et dérivé de SPHINCS+. Ces algorithmes reposent sur des problèmes mathématiques, principalement liés aux réseaux euclidiens pour les deux premiers, que l'on pense résistants aux ordinateurs quantiques comme classiques. D'autres standards sont en cours de finalisation pour diversifier les fondements mathématiques et éviter la dépendance à une seule famille de problèmes.

Pourquoi parle-t-on d'hybridation cryptographique ?

L'hybridation consiste à combiner un algorithme classique éprouvé et un algorithme post-quantique récent, de telle sorte que la sécurité de l'ensemble soit au moins aussi forte que celle du plus robuste des deux. Elle répond à une prudence légitime : les algorithmes post-quantiques sont nouveaux, et leur résistance à de futures attaques classiques n'a pas le recul de plusieurs décennies dont bénéficient les algorithmes actuels. En hybridant, on se protège contre un ordinateur quantique grâce à la composante post-quantique, tout en conservant une garantie contre une éventuelle faiblesse de cette même composante grâce à la composante classique. L'ANSSI recommande cette approche pendant toute la phase de transition, plutôt qu'un basculement direct et exclusif vers le post-quantique.

Qu'est-ce que la crypto-agilité ?

La crypto-agilité désigne la capacité d'un système à changer d'algorithme cryptographique sans devoir être reconstruit. Un système crypto-agile sépare la logique métier de l'implémentation cryptographique, paramètre les algorithmes plutôt que de les coder en dur, et prévoit la coexistence de plusieurs algorithmes pendant les phases de transition. Cette propriété est l'objectif structurant de la migration post-quantique, car personne ne peut garantir aujourd'hui quels algorithmes resteront sûrs dans vingt ans. Une organisation crypto-agile pourra absorber les prochains changements, qu'il s'agisse d'un nouvel algorithme post-quantique ou de la correction d'une faiblesse découverte, sans relancer un projet de migration complet. À l'inverse, un système où les algorithmes sont figés dans le code rendra chaque évolution coûteuse et risquée.

Par où commencer la migration en entreprise ?

La première étape n'est pas technique mais documentaire : il faut inventorier où et comment la cryptographie est utilisée dans le système d'information. Cet inventaire, que la plupart des organisations n'ont jamais réalisé, recense les certificats, les protocoles de communication chiffrée, les mécanismes de signature, les bibliothèques cryptographiques et les matériels concernés. Vient ensuite l'identification des données à longue durée de confidentialité, qui sont les plus exposées à la menace harvest now, decrypt later, puis la priorisation des systèmes à traiter en premier. Le déploiement de solutions hybrides et la construction de la crypto-agilité concluent la démarche. Commencer par l'inventaire évite l'erreur fréquente qui consiste à chercher une solution technique avant d'avoir mesuré l'ampleur et la localisation du problème.

Sources citées

  1. https://cyber.gouv.fr/sites/default/files/document/follow_up_position_paper_on_post_quantum_cryptography.pdf
  2. https://csrc.nist.gov/pubs/fips/203/final
  3. https://csrc.nist.gov/pubs/fips/204/final
  4. https://csrc.nist.gov/pubs/fips/205/final
  5. https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation
#cryptographie post-quantique#PQC#chiffrement#ANSSI#NIST#RSSI
Cybersécurité

SIEM et journalisation : centraliser les logs pour détecter

Sans journaux centralisés, une intrusion reste invisible. Collecte, corrélation, cas d'usage SIEM : la méthode pour bâtir une vraie capacité de détection en entreprise.
Cybersécurité

Cyber Resilience Act : ce que le CRA impose aux fabricants en 2026

Le règlement (UE) 2024/2847 impose la sécurité aux produits numériques vendus en Europe. Obligations, calendrier, marquage CE : le décryptage pour DSI et fabricants.
Cybersécurité

Phishing et sécurité de la messagerie : se défendre en entreprise

SPF, DKIM, DMARC, filtrage et sensibilisation : réduire le risque d'hameçonnage et de compromission de la messagerie en entreprise, selon l'ANSSI et la CISA.