Cryptographie post-quantique : pourquoi les entreprises doivent migrer leur chiffrement maintenant

7 min de lecture

La direction demande si les ordinateurs quantiques représentent un risque pour le chiffrement. La réponse honnête est : oui, et pas seulement dans vingt ans. Depuis août 2024, le National Institute of Standards and Technology américain a finalisé trois standards post-quantiques. Le BSI recommande la migration d’ici 2030 au plus tard pour les infrastructures critiques. Et les services de renseignement collectent déjà aujourd’hui des données chiffrées pour les déchiffrer dès que la technologie sera au point.

L’essentiel en bref

Le NIST a finalisé en août 2024 trois standards post-quantiques : ML-KEM (FIPS 203) pour l’échange de clés, ML-DSA (FIPS 204) et SLH-DSA (FIPS 205) pour les signatures numériques.
Harvest Now, Decrypt Later décrit une menace réelle : des attaquants stockent aujourd’hui des données chiffrées pour les déchiffrer ultérieurement avec des ordinateurs quantiques.
Le BSI fixe la deadline de migration PQC à 2030 pour les infrastructures critiques et à 2032 pour toutes les autres entreprises.
Moins de 5 % des entreprises disposent à ce jour d’un plan de migration formel vers la cryptographie quantique-résistante.
Les nouveaux algorithmes fonctionnent sur le matériel existant. La migration ne nécessite pas de nouveaux équipements, mais des logiciels et des protocoles mis à jour.

Harvest Now, Decrypt Later : pourquoi la menace commence aujourd’hui

La stratégie semble simple, et c’est précisément ce qui la rend si dangereuse : les services de renseignement et les attaquants soutenus par des États interceptent aujourd’hui des flux de données chiffrées et les stockent. Dès qu’un ordinateur quantique cryptographiquement pertinent sera disponible, ces archives seront déchiffrées. Cette méthode s’appelle Harvest Now, Decrypt Later et concerne toute organisation dont les données actuelles resteront sensibles dans cinq, dix ou quinze ans.

Cela concerne les prestataires de services financiers avec leurs données clients et historiques de transactions. Cela concerne les entreprises avec une propriété intellectuelle qui reste stratégiquement concurrentielle pendant des années. Cela concerne les administrations publiques avec des informations classifiées. Et cela concerne les professionnels de santé dont les données patients méritent une protection sans limite de durée.

La question n’est pas de savoir si les ordinateurs quantiques briseront le chiffrement actuel. La question est de savoir quand. Le Global Risk Institute estime dans sa Quantum Threat Timeline 2026 qu’un ordinateur quantique cryptographiquement pertinent est probable dans les dix prochaines années et très probable dans les quinze prochaines. Ce qui signifie : des données chiffrées aujourd’hui avec RSA ou des courbes elliptiques pourraient être déchiffrées en quelques minutes dans les premières années 2030.

« The quantum age is no longer when, but now. »

BSI (Office fédéral allemand pour la sécurité des technologies de l’information), PQC Migration Guidance

Les trois standards NIST : ce qui change concrètement

Le 13 août 2024, le NIST a publié les trois premiers standards de cryptographie post-quantique finalisés. Il ne s’agit plus de brouillons, mais de Federal Information Processing Standards prêts pour la production et immédiatement utilisables.

FIPS 203 : ML-KEM

Module-Lattice-Based Key-Encapsulation Mechanism. Remplace RSA et ECDH pour l’échange de clés. Basé sur l’algorithme CRYSTALS-Kyber. Trois jeux de paramètres : ML-KEM-512, ML-KEM-768, ML-KEM-1024.

FIPS 204 : ML-DSA

Module-Lattice-Based Digital Signature Algorithm. Remplace les signatures RSA et ECDSA. Basé sur l’algorithme CRYSTALS-Dilithium. Trois jeux de paramètres : ML-DSA-44, ML-DSA-65, ML-DSA-87.

FIPS 205 : SLH-DSA

Stateless Hash-Based Digital Signature Standard. Algorithme de sauvegarde conservateur pour les signatures, basé sur SPHINCS+. Signatures plus grandes, mais approche de sécurité mathématiquement diversifiée.

Source : NIST, août 2024. Les trois standards sont en vigueur depuis le 14 août 2024.

En mars 2025, le NIST a également sélectionné l’algorithme HQC (Hamming Quasi-Cyclic) comme algorithme de sauvegarde pour ML-KEM. Le standard final est attendu pour 2027. Il existera donc bientôt deux approches mathématiques indépendantes pour l’échange de clés quantique-résistant : ML-KEM est basé sur des structures de treillis, HQC sur des codes correcteurs d’erreurs. Cette diversité est cruciale. Si une avancée mathématique compromet l’une des deux approches, l’autre reste disponible comme solution de repli.

Point important pour la pratique : les tailles de clés et de signatures des nouveaux algorithmes sont nettement plus grandes que celles de leurs prédécesseurs classiques. Une clé ML-KEM-768 fait environ 1 184 octets, contre 32 octets pour ECDH. Les signatures ML-DSA-65 représentent environ 3 309 octets contre 64 octets pour ECDSA. Cela a des répercussions sur les échanges TLS, les chaînes de certificats et les appareils IoT à bande passante limitée. L’approche hybride contourne ce problème car elle maintient la performance de base de l’algorithme classique.

Calendrier : la feuille de route vers le chiffrement quantique-résistant

Août 2024

Le NIST finalise FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA). Les standards sont immédiatement prêts pour la production et utilisables.

Mars 2025

Le NIST sélectionne HQC comme algorithme de sauvegarde pour l’échange de clés. Le standard provisoire est attendu début 2026.

Janv. 2026

Le groupe d’experts cyber du G7 publie une feuille de route coordonnée pour la transition PQC. Les gouvernements du monde entier accélèrent leurs plans de migration.

2027

Standard HQC final attendu. Les navigateurs et systèmes d’exploitation commencent à intégrer le support PQC par défaut dans les connexions TLS.

2030

Deadline BSI pour les infrastructures critiques : migration complète vers la cryptographie quantique-résistante. Les entreprises soumises à NIS2 et à la réglementation KRITIS doivent être en conformité.

2032

Deadline BSI pour toutes les autres entreprises. A partir de cette date, les méthodes classiques comme RSA-2048 et ECDSA sont considérées comme insuffisamment sécurisées.

Ce que la migration implique concrètement

Commençons par la bonne nouvelle : les algorithmes post-quantiques fonctionnent sur le matériel existant. Aucune entreprise n’a besoin de remplacer ses serveurs ou ses équipements réseau pour déployer un chiffrement quantique-résistant. La migration concerne les logiciels, les bibliothèques, les protocoles et les certificats.

L’approche recommandée pour démarrer est l’approche hybride : les algorithmes classiques existants sont utilisés en parallèle avec des algorithmes post-quantiques. Si l’un des deux échoue, l’autre protège. Google Chrome et Cloudflare utilisent des connexions TLS hybrides avec ML-KEM depuis 2024. Signal a également migré son chiffrement de messagerie vers un système PQC hybride. Apple a introduit avec iMessage PQ3 l’un des premiers protocoles offrant une sécurité post-quantique à des milliards d’utilisateurs.

Pour les entreprises, le mode hybride est le chemin de migration le plus sûr : il protège déjà contre Harvest Now, Decrypt Later sans rompre la compatibilité avec les systèmes existants. L’Internet Engineering Task Force (IETF) a créé les bases techniques pour l’établissement hybride de clés dans TLS 1.3 avec la RFC 9370 et d’autres brouillons. Les principales bibliothèques cryptographiques comme OpenSSL 3.x, BoringSSL et liboqs prennent déjà en charge les algorithmes NIST.

La migration d’une entreprise moyenne comprend quatre phases : inventaire de tous les actifs cryptographiques, évaluation des risques selon la durée de vie des données, priorisation de la conversion et mise en oeuvre progressive. Selon une étude publiée dans le journal MDPI, la migration prend cinq à sept ans pour les petites entreprises, huit à douze ans pour les entreprises moyennes et douze à quinze ans pour les grandes entreprises. Ce qui signifie : quiconque veut être prêt en 2032 doit commencer maintenant.

Une étude conjointe du BSI et de KPMG a révélé que la menace des ordinateurs quantiques pour la sécurité de l’information est largement sous-estimée. Moins de 5 % de toutes les entreprises disposent d’un plan de migration formel. Le secteur financier, les télécommunications et le secteur public sont les plus avancés, mais même dans ces domaines, la plupart des organisations en sont encore à la phase d’exploration.

Pour ou contre : migrer tout de suite ou attendre ?

Arguments pour : démarrer maintenant

Harvest Now, Decrypt Later est déjà en cours. Chaque jour sans PQC est un jour où des données sont collectées de manière vulnérable.
Les standards NIST sont finalisés et prêts pour la production. Il n’y a plus de raison d’attendre de meilleurs standards.
Une migration précoce laisse du temps pour les tests et le dépannage, sans avoir à commettre des erreurs sous pression.
Les deadlines BSI 2030/2032 semblent lointaines, mais la durée moyenne de migration est de 5 à 12 ans.

Arguments contre : attendre

Les ordinateurs quantiques cryptographiquement pertinents n’existent pas encore. Le risque est théorique, pas immédiat.
Les outils et le support des bibliothèques sont encore en maturation. L’adoption précoce comporte un risque de problèmes de compatibilité.
Les clés et signatures post-quantiques sont nettement plus grandes que les classiques. Cela peut affecter les performances et la bande passante.
Les coûts d’une migration complète sont significatifs, notamment pour les PME disposant d’un budget sécurité limité.

La conclusion est sans équivoque : pour les entreprises dont les données ont une durée de vie supérieure à cinq ans, les arguments en faveur d’un démarrage immédiat l’emportent. L’approche hybride minimise le risque de problèmes de compatibilité, car le chiffrement classique reste disponible comme solution de repli. Qui commence seulement en 2028 ou 2029 aura du mal à respecter la deadline BSI 2032.

Un aspect souvent négligé : la crypto-agilité. Beaucoup d’entreprises ont leurs algorithmes cryptographiques profondément ancrés dans le code des applications, les fichiers de configuration et les modules de sécurité matériels. Un changement d’algorithme nécessite alors des modifications du code à des dizaines d’endroits. Quiconque introduit maintenant une couche d’abstraction qui sépare l’algorithme concret de la logique applicative facilite non seulement la migration PQC. Il se prépare aussi aux futurs changements d’algorithmes, inévitables dans un paysage cryptographique en évolution rapide.

Pour les prestataires de services financiers et le secteur de la santé, un aspect réglementaire s’ajoute : la Banque centrale européenne a publié en novembre 2025 une recommandation sur la préparation PQC pour les prestataires de services de paiement. DORA (Digital Operational Resilience Act) exige des entreprises financières qu’elles disposent d’un inventaire cryptographique à jour. Quiconque cadre la migration PQC dans le contexte de la conformité DORA peut plus facilement sécuriser le budget et l’attention de la direction.

Checklist : les 90 premiers jours de la migration PQC

Mois 1 : inventaire et évaluation des risques

Créer un inventaire cryptographique : quels algorithmes sont utilisés et où ?
Classification des données selon la durée de protection : quelles données resteront sensibles dans 10 ou 15 ans ?
Documenter l’utilisation des tunnels VPN, certificats TLS, signatures de code et S/MIME
Vérifier les dépendances tierces : quels fournisseurs utilisent quelle cryptographie ?

Mois 2 : priorisation et pilotage

Highest-Risk-First : migrer en priorité les systèmes avec une longue durée de vie des données
Tester le mode TLS hybride : ML-KEM en parallèle à ECDH dans des environnements de test
Evaluer la capacité de crypto-agilité : les algorithmes peuvent-ils être échangés sans modification du code ?
Planifier le budget et les ressources pour la migration pluriannuelle

Mois 3 : gouvernance et feuille de route

Documenter le plan de migration PQC et le faire valider par le CISO
Aligner les jalons sur les deadlines BSI : 2030 pour les KRITIS, 2032 pour tous
Attribuer les responsabilités : qui pilote la migration pour quels systèmes ?
Etablir un cycle de révision trimestriel et suivre les avancées

Conclusion : la migration commence par l’inventaire

La cryptographie post-quantique n’est plus un sujet d’avenir. Les standards sont finalisés, les deadlines sont fixées et la menace de Harvest Now Decrypt Later est réelle. Quiconque n’a pas encore fait l’inventaire de ses actifs cryptographiques devrait commencer cette semaine. La première étape ne coûte ni budget ni conseil externe : listez tous les endroits où votre entreprise utilise RSA, ECDH ou ECDSA. Pour chaque système, vérifiez combien de temps les données protégées resteront sensibles. Ce seul exercice révélera l’ampleur de la tâche, où se trouvent les priorités et quels systèmes migrer en premier. Les standards sont là. Les deadlines sont fixées. Ce qui manque, c’est votre premier pas.

Questions fréquentes

Qu’est-ce que la cryptographie post-quantique ?

La cryptographie post-quantique désigne des méthodes cryptographiques qui résistent également aux attaques par ordinateurs quantiques. Les algorithmes standardisés par le NIST, ML-KEM, ML-DSA et SLH-DSA, reposent sur des problèmes mathématiques tels que les structures de treillis et les fonctions de hachage qui, selon les connaissances actuelles, ne peuvent pas être résolus efficacement par les ordinateurs quantiques. Ces algorithmes fonctionnent sur du matériel conventionnel.

Que signifie Harvest Now, Decrypt Later ?

Harvest Now, Decrypt Later décrit une stratégie d’attaque dans laquelle des données chiffrées sont interceptées et stockées aujourd’hui pour être déchiffrées à l’avenir avec des ordinateurs quantiques. La menace concerne toutes les données qui resteront sensibles pendant plus de cinq à dix ans. Les services de renseignement et les acteurs soutenus par des États pratiquent déjà cette stratégie aujourd’hui.

Quand les entreprises doivent-elles migrer vers PQC ?

Le BSI fixe la deadline à 2030 pour les opérateurs d’infrastructures critiques et à 2032 pour toutes les autres entreprises. Etant donné que la durée moyenne de migration est de cinq à douze ans selon les études, les entreprises devraient commencer dès maintenant l’inventaire et le pilotage. L’utilisation hybride de la cryptographie classique et quantique-résistante est l’approche recommandée pour démarrer.

Quels algorithmes le NIST recommande-t-il ?

Le NIST recommande ML-KEM (FIPS 203) pour l’échange de clés en remplacement de RSA et ECDH, ML-DSA (FIPS 204) pour les signatures numériques en remplacement des signatures RSA et ECDSA, et SLH-DSA (FIPS 205) comme option de sauvegarde conservatrice pour les signatures. De plus, HQC a été sélectionné comme algorithme de sauvegarde pour l’échange de clés, dont le standard final est attendu en 2027.

Faut-il acheter du nouveau matériel ?

Non. Les nouveaux algorithmes post-quantiques fonctionnent sur le matériel existant. La migration concerne les bibliothèques logicielles, les configurations de protocoles et les certificats. Cependant, les clés et signatures post-quantiques sont plus grandes que leurs équivalents classiques, ce qui doit être pris en compte pour les applications critiques en bande passante ou les systèmes embarqués. Un test de performance dans son propre environnement fait partie de la phase de pilotage.

Lectures recommandées

IA on-premise comme stratégie de sécurité : ce que Gemma 4 signifie pour la protection des données (SecurityToday)
Cyber-assurance 2026 : ce que l’assureur vérifie vraiment (SecurityToday)
Threat Intelligence pour les PME : détecter les menaces avant qu’elles ne frappent (SecurityToday)

Plus du réseau MBF Media

Source image : Pexels / cottonbro studio (px:5473960)

Imprimer l'article

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch