Aujourd’hui on aborde le Chiffrement post-quantique.
Le quantique n’est plus un sujet de science-fiction. Il s’invite désormais dans les conversations des RSSI, des architectes et des COMEX, souvent accompagné d’un parfum d’alarmisme : “RSA est mort”, “le chiffrement s’effondre”, “la cybersécurité à genoux face aux qubits”.
Pourtant, entre les annonces marketing et la réalité technologique, un fossé persiste. Aucun ordinateur quantique actuel n’est capable de casser RSA-2048 ou ECC-256. Mais un autre risque, plus discret et déjà bien réel, s’installe : celui du Harvest Now, Decrypt Later, où les données chiffrées d’aujourd’hui seront déchiffrées demain.
Dans ce contexte, le chiffrement post-quantique (PQC) n’est pas une révolution instantanée, mais une mutation profonde de la sécurité des systèmes d’information. Une mutation lente, coûteuse, et stratégique, qui exige préparation, gouvernance et vision à long terme.
Car l’enjeu n’est pas seulement de “résister au quantique”, mais d’adopter une approche crypto-agile — capable de changer d’algorithme, de protocole ou de fournisseur sans tout reconstruire.
Ce RETEX et feuille de route RSSI vise à dresser un état des lieux réaliste, à partager les retours de terrain et à proposer une trajectoire concrète pour les cinq prochaines années : comprendre, cartographier, anticiper et tester.
Bref, passer de la panique médiatique à la planification stratégique.
1. 🎯 Contexte et constats
Depuis quelques temps, la communication autour du “quantique” fait fleurir les titres alarmistes :
“RSA est mort”, “Le chiffrement s’effondrera avec 1 000 000 de qubits”, etc.
La réalité est plus nuancée.
- Aucun ordinateur quantique actuel ne peut casser RSA-2048 ou ECC-256.
- Le vrai risque aujourd’hui est celui du “Harvest Now, Decrypt Later” : la collecte massive de données chiffrées sensibles, qui pourront être déchiffrées plus tard.
- Le passage au chiffrement post-quantique (PQC) n’est pas un “switch”, c’est une transition de plusieurs années, avec des impacts organisationnels, techniques et réglementaires.
Enjeu principal :
👉 Préparer dès maintenant l’entreprise à une transition “crypto-agile”, sans attendre que le quantique devienne opérationnel.
2. 🧮 État de l’art (NIST, ANSSI, ENISA)
Normes en cours de standardisation :
- 🔐 CRYSTALS-Kyber → remplaçant de RSA / Diffie-Hellman (chiffrement & échange de clés)
- ✍️ CRYSTALS-Dilithium → signatures numériques
- 🪶 FALCON, SPHINCS+ → signatures complémentaires
Calendrier :
- Standardisation finale prévue par le NIST pour 2026
- L’ANSSI a déjà engagé un travail de labellisation et de recommandation de solutions certifiées.
- Les protocoles hybrides (TLS 1.3 + Kyber/Dilithium) sont en cours de test dans OpenSSL 3.2 et certains produits pilotes.
Position actuelle :
Le PQC est encore au stade de la R&D industrielle, mais il faut amorcer la maturité crypto-agile dès 2025.
3. ⚙️ Problématiques observées (RETEX terrain)
| Domaine | Problème | Conséquence |
|---|---|---|
| Inventaire crypto | Peu ou pas de cartographie des usages (VPN, SSO, API, TLS, etc.) | Difficulté à évaluer l’exposition réelle |
| Interopérabilité | Solutions hétérogènes, dépendantes de RSA/ECC | Blocages à la migration |
| Performance | Clés PQC plus grandes, calculs plus lourds | Impact sur stockage, CPU, latence |
| Fournisseurs | Éditeurs non encore compatibles PQC | Risque de dépendance et d’attente |
| Gouvernance | Manque de stratégie crypto-agile | Décisions réactives plutôt qu’anticipées |
4. 🧭 Feuille de route RSSI 2025–2030
🧩 Bon, cela reste ma vision et/ou comment je prendrai les choses en main. Évidemment il faut le prendre dans un contexte simple, certaines architectures complexes demandent une analyse bien plus profonde.
🧱 Étape 1 : Cartographier
- Recenser tous les usages de chiffrement dans l’entreprise : TLS, VPN, messagerie, SSO, signatures, stockage, etc.
- Identifier les dépendances RSA / ECC / SHA-1.
🧩 Étape 2 : Évaluer les risques
- Identifier les données sensibles à longue durée de vie (dossiers RH, archives, contrats, logs).
- Prioriser les cas d’usage critiques (authentification, stockage, échanges intersites).
🔁 Étape 3 : Préparer la crypto-agilité
- Intégrer la capacité à changer d’algorithme dans les solutions internes (API, code, certificats).
- Exiger la compatibilité PQC ou hybride dans les nouveaux appels d’offres.
- Mettre à jour les politiques de sécurité (PSSI, PRA, référentiel SSI).
🧪 Étape 4 : Tester en environnement pilote
- Déployer un lab crypto (OpenSSL 3.2, TLS 1.3 hybride).
- Tester CRYSTALS-Kyber et Dilithium sur un use case concret (VPN ou messagerie interne).
- Mesurer les impacts en performance et interopérabilité.
📚 Étape 5 : Accompagner la gouvernance
- Sensibiliser les décideurs : le PQC n’est pas une mode mais un virage industriel.
- Préparer une communication interne sur la “continuité cryptographique”.
- Suivre la veille ANSSI / NIST / ENISA / ETSI pour mise à jour régulière.
5. 🧩 Vision stratégique (RSSI / COMEX)
🔸 Le post-quantique n’est pas une urgence opérationnelle.
🔸 C’est une urgence stratégique : celle de ne pas être pris au dépourvu.
Les entreprises qui s’y préparent aujourd’hui ne le font pas par peur du quantique, mais pour :
- renforcer leur résilience cryptographique,
- anticiper les changements réglementaires (certifications, souveraineté),
- et surtout éviter de refaire le “désastre MD5/SHA1” dans 10 ans.
6. 💡 Recommandations pratiques
| Priorité | Action | Horizon |
|---|---|---|
| 🔴 | Cartographier tous les usages de RSA/ECC | 2025 |
| 🟠 | Exiger la crypto-agilité dans les nouveaux projets | 2025–2026 |
| 🟡 | Monter un lab de tests hybrides PQC | 2026 |
| 🟢 | Planifier les migrations par lot fonctionnel | 2026–2028 |
| 🟢 | Déployer des solutions certifiées post-quantique | 2028–2030 |
7. 🧠 Conclusion
On tire la sonnette d’alarme, mais ce n’est pas demain que le pirate lambda utilisera un ordinateur quantique.
En revanche, c’est aujourd’hui qu’on doit décider comment on changera de fusil d’épaule, et avec quel plan.
“L’histoire se répète : ceux qui ont migré tard vers SHA-256 s’en souviennent.
Le post-quantique, c’est la même leçon — mais avec vingt ans d’avance.”
🧠 Aller plus loin
NIST – « Post-Quantum Cryptography » : le portail officiel donne l’état du processus de normalisation américain (algorithmes, calendrier, rapports). csrc.nist.gov
ANSSI – Avis sur la migration vers la cryptographie post-quantique (France) : bon retour d’expérience, alignement avec les enjeux français. Cyber Gouv
ENISA – Rapports techniques « Post-Quantum Cryptography : Current state and quantum mitigation » et « Integration study » : excellent pour comprendre défis, familles d’algorithmes, déploiement. ENISA
European Commission – Recommandation pour une approche harmonisée UE vers la PQC : aspect stratégique et réglementaire. digital-strategy.ec.europa.eu
GSMA – Guide « Post-Quantum Cryptography – Guidelines for Telecom Use Cases » : intéressant pour secteur télécom, migration et cas d’usage métier. gsma.com
Sans oublier l’ANSSI : Avis de l’ANSSI sur la migration vers la cryptographie post-quantique
