D’un côté, le potentiel de l’informatique quantique ouvre des perspectives extraordinaires en matière d’innovation. De l’autre, elle met les RSSI sous pression, alors qu’ils tentent de déterminer où concentrer leurs efforts, tout en assurant la gestion des risques de sécurité et de réputation majeurs. À tout cela s’ajoute un flot continu de discours commerciaux qui inondent les équipes de sécurité de solutions prétendument résistantes au quantique, tout en alimentant un sentiment d’urgence et en brandissant des menaces apocalyptiques pour forcer la main des entreprises. Toutefois, beaucoup d’organisations font face à des contraintes de ressources et doivent arbitrer leurs priorités, leurs budgets et leurs efforts au profit d’autres sujets technologiques tout aussi stratégiques, comme l’adoption de l’IA ou la résilience des infrastructures cloud.
Face à ces enjeux, quelle stratégie les RSSI doivent-ils adopter ? Comment éviter à la fois l’inaction et des investissements prématurés ?
Etat des lieux du marché des technologies quantiques
Le marché mondial des technologies quantiques devrait atteindre jusqu’à 97 milliards de dollars d’ici 2035, dont 72 milliards générés par l’informatique quantique à elle seule. De nombreux analystes s’accordent à dire que la technologie arrive à un point d’inflexion, passant de la recherche théorique à des applications concrètes et opérationnelles. Les estimations actuelles indiquent qu’entre 45 et 130 systèmes quantiques complets sont aujourd’hui déployés pour des usages pratiques.Les systèmes quantiques sont désormais disponibles commercialement, que ce soit via des installations sur site ou par le biais de plateformes cloud proposées par Google, IBM, Honeywell, IonQ ou encore D-Wave. Ces systèmes, dont la puissance varie de quelques centaines à plusieurs milliers de qubits (l'unité de base de l'informatique quantique), s'avèrent très performants pour des tâches spécialisées telles que l'optimisation, le développement de l'intelligence artificielle et la recherche en cryptographie. » Cependant, la majorité des experts s’accordent à dire que les ordinateurs quantiques capables de casser les protocoles de chiffrement les plus courants ne verront pas le jour avant plusieurs années.
Quel fossé entre intentions et passage à l’action dans les organisations actuelles ?
Malgré l’incertitude, les méthodes de chiffrement largement utilisées telles que RSA (Rivest-Shamir-Adleman) et ECC (Elliptic Curve Cryptography) devraient devenir vulnérables dès que les ordinateurs quantiques atteindront une échelle commerciale significative. Les organisations doivent se préparer à cette éventualité, mais le processus est loin d'être simple. Le marché regorge aujourd’hui de conseils contradictoires tant sur la temporalité que sur l’ampleur des transformations et les investissements à engager . Certains fournisseurs recommandent des refontes coûteuses des infrastructures à grande échelle, tandis que d’autres préconisent une migration immédiate vers des algorithmes post-quantiques encore en cours de normalisation..Des études récentes mettent en évidence un décalage inquiétant dans la préparation des organisations : 62 % des professionnels de la technologie à l’échelle mondiale estiment que l’informatique quantique pourrait remettre en cause les standards actuels de chiffrement d’Internet, mais seuls 5 % considèrent cette menace comme une priorité à court terme. Cette même minorité indique que leur organisation dispose d’un plan clairement défini pour y faire face.
Cet attentisme est particulièrement alarmant, alors même que des acteurs malveillants s'emploient déjà à capturer des données chiffrées dans le but de les décrypter lorsque les capacités quantiques auront atteint un niveau de maturité suffisant.Les organisations exposées à un risque accru en raison de la gestion de données sensibles à long terme (banques, acteurs de la santé, administrations publiques) doivent être particulièrement vigilantes, sous peine de laisser les cyberattaquants prendre le dessus.
3 leviers à mettre en place pour anticiper l’ère quantique
- Renforcer la veille et l’expertise en sécurité quantique au sein de l’entreprise
2. Établir une stratégie de gouvernance quantique Les RSSI doivent promouvoir l’agilité cryptographique au sein de leur organisation afin que les enjeux liés au quantique soient intégrés aux prises de décisions. Lors de la conception ou de la mise à jour des systèmes, les dirigeants doivent évaluer leur capacité d’adaptation face à l’émergence de menaces à l’échelle quantique, ainsi que les investissements supplémentaires qui pourraient être nécessaires pour être prêts à y faire face.
Mettre en place des architectures qui séparent la cryptographie de la logique métier permet aux organisations de gagner en souplesse sur le long terme. Cette organisation rend le remplacement ou l’évolution des algorithmes de chiffrement plus simple, sans nécessiter de transformations techniques lourdes. L’automatisation de la gestion des certificats numériques réduit également les risques en éliminant les interventions manuelles et en accélérant les réactions lorsque les normes évoluent. Il est enfin essentiel de s’assurer que les nouveaux systèmes puissent prendre en charge les futures normes post quantiques et rester compatibles avec plusieurs approches cryptographiques, afin d’éviter toute dépendance à des solutions fournisseurs rigides.
3. Définir les priorités Il est important de commencer par définir les premières actions à engager. Les organisations doivent donc évaluer et cartographier leurs risques afin d’identifier les systèmes prioritaires. Bien que cette analyse prenne du temps, elle permet de distinguer ce qui doit être traité en priorité de ce qui peut attendre.
Certaines institutions financières testent déjà leur niveau de préparation au quantique et identifient les mises à jour ciblées à apporter à leurs systèmes critiques, tout en reportant les migrations moins urgentes. Plusieurs banques européennes ont ainsi réussi à faire évoluer leurs systèmes de paiement vers une cryptographie post-quantique, une approche permettant notamment d’améliorer la sécurité. Les acteurs du secteur de la santé s’engagent également dans cette démarche: l’association des hôpitaux américains recommande en priorité de concentrer les efforts sur les systèmes essentiels à la prise en charge des patients.
À l’échelle mondiale, des instituts de recherche et des universités collaborent déjà avec les gouvernements pour développer des technologies résistantes au quantique destinées aux infrastructures critiques. La Fondation Nationale des Sciences (NSF) américaines a, par exemple, investi 1,3 million de dollars pour renforcer la sécurité du réseau électrique dans le Tennessee, dans le cadre du programme QuantumGrid Innovation Hub mené en partenariat avec l’Université du Tennessee.
En conclusion, la disruption quantique est en chemin. Les organisations et leurs RSSI doivent dès à présent se préparer à cette évolution qui passe par une connaissance approfondie du sujet, une agilité cryptographique et une priorisation réfléchie. Cela leur permettra de renforcer leur résilience dès aujourd’hui, et d’éviter des investissements démesurés à l’avenir. Même si l’informatique quantique atteint sa maturité commerciale plus tard que prévu, le renforcement des pratiques de sécurité restera toujours un choix bénéfique pour les organisations.
Par Yves Wattel, VP Sales Europe du Sud et Europe Centrale chez Delinea
