Aujourd’hui on aborde le Chiffrement post-quantique.
Le quantique nâest plus un sujet de science-fiction. Il sâinvite dĂ©sormais dans les conversations des RSSI, des architectes et des COMEX, souvent accompagnĂ© dâun parfum dâalarmisme : âRSA est mortâ, âle chiffrement sâeffondreâ, âla cybersĂ©curitĂ© Ă genoux face aux qubitsâ.
Pourtant, entre les annonces marketing et la rĂ©alitĂ© technologique, un fossĂ© persiste. Aucun ordinateur quantique actuel nâest capable de casser RSA-2048 ou ECC-256. Mais un autre risque, plus discret et dĂ©jĂ bien rĂ©el, sâinstalle : celui du Harvest Now, Decrypt Later, oĂč les donnĂ©es chiffrĂ©es dâaujourdâhui seront dĂ©chiffrĂ©es demain.
Dans ce contexte, le chiffrement post-quantique (PQC) nâest pas une rĂ©volution instantanĂ©e, mais une mutation profonde de la sĂ©curitĂ© des systĂšmes dâinformation. Une mutation lente, coĂ»teuse, et stratĂ©gique, qui exige prĂ©paration, gouvernance et vision Ă long terme.
Car lâenjeu nâest pas seulement de ârĂ©sister au quantiqueâ, mais dâadopter une approche crypto-agile â capable de changer dâalgorithme, de protocole ou de fournisseur sans tout reconstruire.
Ce RETEX et feuille de route RSSI vise à dresser un état des lieux réaliste, à partager les retours de terrain et à proposer une trajectoire concrÚte pour les cinq prochaines années : comprendre, cartographier, anticiper et tester.
Bref, passer de la panique médiatique à la planification stratégique.
1. đŻ Contexte et constats
Depuis quelques temps, la communication autour du âquantiqueâ fait fleurir les titres alarmistes :
âRSA est mortâ, âLe chiffrement sâeffondrera avec 1 000 000 de qubitsâ, etc.
La réalité est plus nuancée.
- Aucun ordinateur quantique actuel ne peut casser RSA-2048 ou ECC-256.
- Le vrai risque aujourdâhui est celui du âHarvest Now, Decrypt Laterâ : la collecte massive de donnĂ©es chiffrĂ©es sensibles, qui pourront ĂȘtre dĂ©chiffrĂ©es plus tard.
- Le passage au chiffrement post-quantique (PQC) nâest pas un âswitchâ, câest une transition de plusieurs annĂ©es, avec des impacts organisationnels, techniques et rĂ©glementaires.
Enjeu principal :
đ PrĂ©parer dĂšs maintenant lâentreprise Ă une transition âcrypto-agileâ, sans attendre que le quantique devienne opĂ©rationnel.
2. 𧟠Ătat de lâart (NIST, ANSSI, ENISA)
Normes en cours de standardisation :
- đ CRYSTALS-Kyber â remplaçant de RSA / Diffie-Hellman (chiffrement & Ă©change de clĂ©s)
- âïž CRYSTALS-Dilithium â signatures numĂ©riques
- đȘ¶ FALCON, SPHINCS+ â signatures complĂ©mentaires
Calendrier :
- Standardisation finale prévue par le NIST pour 2026
- LâANSSI a dĂ©jĂ engagĂ© un travail de labellisation et de recommandation de solutions certifiĂ©es.
- Les protocoles hybrides (TLS 1.3 + Kyber/Dilithium) sont en cours de test dans OpenSSL 3.2 et certains produits pilotes.
Position actuelle :
Le PQC est encore au stade de la R&D industrielle, mais il faut amorcer la maturité crypto-agile dÚs 2025.
3. âïž ProblĂ©matiques observĂ©es (RETEX terrain)
| Domaine | ProblÚme | Conséquence |
|---|---|---|
| Inventaire crypto | Peu ou pas de cartographie des usages (VPN, SSO, API, TLS, etc.) | DifficultĂ© Ă Ă©valuer lâexposition rĂ©elle |
| Interopérabilité | Solutions hétérogÚnes, dépendantes de RSA/ECC | Blocages à la migration |
| Performance | Clés PQC plus grandes, calculs plus lourds | Impact sur stockage, CPU, latence |
| Fournisseurs | Ăditeurs non encore compatibles PQC | Risque de dĂ©pendance et dâattente |
| Gouvernance | Manque de stratĂ©gie crypto-agile | DĂ©cisions rĂ©actives plutĂŽt quâanticipĂ©es |
4. đ§ Feuille de route RSSI 2025â2030
𧩠Bon, cela reste ma vision et/ou comment je prendrai les choses en main. Ăvidemment il faut le prendre dans un contexte simple, certaines architectures complexes demandent une analyse bien plus profonde.
𧱠Ătape 1 : Cartographier
- Recenser tous les usages de chiffrement dans lâentreprise : TLS, VPN, messagerie, SSO, signatures, stockage, etc.
- Identifier les dépendances RSA / ECC / SHA-1.
𧩠Ătape 2 : Ăvaluer les risques
- Identifier les données sensibles à longue durée de vie (dossiers RH, archives, contrats, logs).
- Prioriser les cas dâusage critiques (authentification, stockage, Ă©changes intersites).
đ Ătape 3 : PrĂ©parer la crypto-agilitĂ©
- IntĂ©grer la capacitĂ© Ă changer dâalgorithme dans les solutions internes (API, code, certificats).
- Exiger la compatibilitĂ© PQC ou hybride dans les nouveaux appels dâoffres.
- Mettre à jour les politiques de sécurité (PSSI, PRA, référentiel SSI).
đ§Ș Ătape 4 : Tester en environnement pilote
- DĂ©ployer un lab crypto (OpenSSL 3.2, TLS 1.3 hybride).
- Tester CRYSTALS-Kyber et Dilithium sur un use case concret (VPN ou messagerie interne).
- Mesurer les impacts en performance et interopérabilité.
đ Ătape 5 : Accompagner la gouvernance
- Sensibiliser les dĂ©cideurs : le PQC nâest pas une mode mais un virage industriel.
- PrĂ©parer une communication interne sur la âcontinuitĂ© cryptographiqueâ.
- Suivre la veille ANSSI / NIST / ENISA / ETSI pour mise à jour réguliÚre.
5. 𧩠Vision stratégique (RSSI / COMEX)
đž Le post-quantique nâest pas une urgence opĂ©rationnelle.
đž Câest une urgence stratĂ©gique : celle de ne pas ĂȘtre pris au dĂ©pourvu.
Les entreprises qui sây prĂ©parent aujourdâhui ne le font pas par peur du quantique, mais pour :
- renforcer leur résilience cryptographique,
- anticiper les changements réglementaires (certifications, souveraineté),
- et surtout Ă©viter de refaire le âdĂ©sastre MD5/SHA1â dans 10 ans.
6. đĄ Recommandations pratiques
| Priorité | Action | Horizon |
|---|---|---|
| đŽ | Cartographier tous les usages de RSA/ECC | 2025 |
| đ | Exiger la crypto-agilitĂ© dans les nouveaux projets | 2025â2026 |
| đĄ | Monter un lab de tests hybrides PQC | 2026 |
| đą | Planifier les migrations par lot fonctionnel | 2026â2028 |
| đą | DĂ©ployer des solutions certifiĂ©es post-quantique | 2028â2030 |
7. đ§ Conclusion
On tire la sonnette dâalarme, mais ce nâest pas demain que le pirate lambda utilisera un ordinateur quantique.
En revanche, câest aujourdâhui quâon doit dĂ©cider comment on changera de fusil dâĂ©paule, et avec quel plan.
âLâhistoire se rĂ©pĂšte : ceux qui ont migrĂ© tard vers SHA-256 sâen souviennent.
Le post-quantique, câest la mĂȘme leçon â mais avec vingt ans dâavance.â
đ§ Aller plus loin
NIST â « Post-Quantum Cryptography » : le portail officiel donne lâĂ©tat du processus de normalisation amĂ©ricain (algorithmes, calendrier, rapports). csrc.nist.gov
ANSSI â Avis sur la migration vers la cryptographie post-quantique (France) : bon retour dâexpĂ©rience, alignement avec les enjeux français. Cyber Gouv
ENISA â Rapports techniques « Post-Quantum Cryptography : Current state and quantum mitigation » et « Integration study » : excellent pour comprendre dĂ©fis, familles dâalgorithmes, dĂ©ploiement. ENISA
European Commission â Recommandation pour une approche harmonisĂ©e UE vers la PQC : aspect stratĂ©gique et rĂ©glementaire. digital-strategy.ec.europa.eu
GSMA â Guide « Post-Quantum Cryptography â Guidelines for Telecom Use Cases » : intĂ©ressant pour secteur tĂ©lĂ©com, migration et cas dâusage mĂ©tier. gsma.com
Sans oublier l’ANSSI : Avis de l’ANSSI sur la migration vers la cryptographie post-quantique
