Une nouvelle génération de machines pourrait rendre caduques les standards cryptographiques actuels d’ici dix ans. Le Boston Consulting Group alerte sur les failles anticipées, le besoin d’agilité cryptographique et le coût élevé d’une transition post-quantique. Un enjeu stratégique pour les entreprises, les États et l’ensemble de la filière cyber.
L’étude publiée par Boston Consulting Group en octobre 2025 fait figure d’électrochoc. Selon ses auteurs, les avancées en calcul quantique menacent l’ensemble des protocoles de sécurité fondés sur le chiffrement asymétrique. Certes, la généralisation des machines quantiques reste hypothétique, mais leur potentiel destructeur sur la sécurité numérique, lui, est bien réel. BCG appelle les entreprises à engager dès maintenant une transition progressive vers une cryptographie post-quantique (PQC), sous peine de se retrouver démunies face à une rupture brutale. Cette mise en garde vise autant les DSI que les décideurs politiques et les éditeurs de logiciels embarqués.
L’impact potentiel du quantique sur la cybersécurité repose sur trois dynamiques simultanées. D’abord, la vulnérabilité structurelle des systèmes de chiffrement actuels, notamment RSA et ECC, face aux algorithmes quantiques de type Shor. Ensuite, l’inertie des infrastructures informatiques et des chaînes d’approvisionnement, qui rend difficile une mise à jour rapide. Enfin, l’anticipation stratégique des acteurs malveillants, qui pourraient stocker dès aujourd’hui des données chiffrées dans l’attente de pouvoir les décrypter plus tard. C’est cette logique de « collect now, decrypt later » que redoute en priorité le BCG.
Les fondations du chiffrement mises en péril par le quantique
La majorité des systèmes numériques repose sur des algorithmes de chiffrement à clé publique. Ces mécanismes, comme RSA, exploitent la difficulté de certains calculs mathématiques, par exemple la factorisation de grands nombres premiers. Or, un ordinateur quantique suffisamment puissant serait capable de résoudre ces calculs en quelques heures à l’aide d’algorithmes spécialisés. Le chiffrement asymétrique, qui sous-tend les connexions TLS, les certificats SSL ou encore les portefeuilles de cryptomonnaie, pourrait devenir inefficace en un temps très court.
Les projections convergent autour d’un horizon 2035. C’est la date estimée à laquelle les machines quantiques de plusieurs millions de qubits corrigés pourraient émerger. D’ici là, la cryptanalyse quantique reste théorique, mais le principe de précaution impose de s’y préparer. Les infrastructures critiques, les données de santé, les secrets industriels et les communications gouvernementales sont particulièrement exposés à ce basculement. Le risque est moins celui d’une attaque de masse immédiate que celui d’une remise en cause systémique de la confiance numérique.
La cryptographie post-quantique, nouveau socle de confiance
Pour répondre à cette menace latente, plusieurs initiatives internationales convergent vers une nouvelle génération de protocoles dits « post-quantiques ». Le National Institute of Standards and Technology (NIST) a lancé dès 2016 un processus de standardisation de la PQC, avec une première série d’algorithmes finalistes en 2022. Ces algorithmes, basés sur des problèmes mathématiques réputés résistants aux attaques quantiques (réseaux euclidiens, codes correcteurs, isogénies…), commencent à être intégrés dans les bibliothèques cryptographiques des grands fournisseurs IT.
Mais cette bascule est loin d’être triviale. Le BCG insiste sur la complexité technique et organisationnelle d’une transition vers la PQC. Elle implique d’identifier tous les points d’usage du chiffrement, de classer les actifs par criticité, et de déployer des solutions capables de fonctionner dans un monde mixte — avec ou sans quantique. L’agilité cryptographique devient ici une compétence-clé. Il ne s’agit pas seulement de remplacer un protocole, mais de concevoir des architectures capables d’absorber plusieurs évolutions à venir sans rupture de continuité.
Un investissement immédiat pour un retour différé
Sur le plan budgétaire, la transition vers une cybersécurité post-quantique représente un effort conséquent. BCG l’évalue entre 2,5 % et 5 % du budget informatique annuel pour les grandes entreprises, en tenant compte des audits, des refontes logicielles, des tests et de la formation. Un coût difficile à justifier dans un contexte de rationalisation des dépenses, surtout face à un risque dont l’échéance reste floue. Pourtant, ne rien faire revient à s’exposer à une dette de sécurité massive dans dix ans.
Les objets connectés et les équipements embarqués sont identifiés comme les points les plus vulnérables. Faiblement mis à jour, souvent construits avec des composants propriétaires, ils forment une surface d’attaque considérable. Les fabricants d’IoT, de voitures connectées ou de dispositifs médicaux devront intégrer des protocoles PQC dès la phase de conception. De même, les services cloud et les solutions SaaS devront garantir un passage progressif vers des standards renforcés, tout en maintenant l’interopérabilité avec les systèmes existants.
Une réponse industrielle et réglementaire déjà en marche
Face à ces risques systémiques, les régulateurs multiplient les signaux d’alerte. L’Anssi, en France, a publié dès 2022 des recommandations sur la cryptographie post-quantique. L’Enisa, l’agence européenne pour la cybersécurité, travaille sur une feuille de route commune avec les États membres. Outre-Rhin, le BSI (Bundesamt für Sicherheit in der Informationstechnik) soutient activement les tests de robustesse des algorithmes post-quantiques. Le cadre réglementaire européen, via le Cyber Resilience Act, pourrait à terme imposer des exigences spécifiques sur la résistance quantique des produits numériques.
En parallèle, l’industrie de la cybersécurité se prépare. De grands éditeurs comme Thales, Cisco, IBM ou Kudelski ont intégré des composants PQC dans leurs solutions. Des startup européennes spécialisées dans la cryptographie, comme CryptoNext ou PQShield, proposent des kits de migration. Mais le BCG alerte sur la fragmentation actuelle des initiatives. Sans coordination sectorielle ni standardisation opérationnelle, la transition risque d’être hétérogène, avec des angles morts critiques dans certaines filières ou régions.
Préparer une cybersécurité résiliente aux ruptures technologiques
La menace quantique agit comme un révélateur des faiblesses structurelles de la cybersécurité contemporaine. Trop souvent pensée comme une couche additionnelle, elle doit devenir une dimension native, intégrée dès la conception des architectures. La transition vers une cryptographie post-quantique ne se résume pas à un choix technologique. Elle engage la gouvernance, les achats, la conformité et la culture même de la sécurité dans l’entreprise. Les DSI et RSSI doivent dès maintenant mobiliser leurs équipes autour de cette mutation silencieuse, mais déterminante.
Car le quantique, même s’il n’a pas encore atteint sa maturité opérationnelle, introduit une incertitude radicale. Face à elle, les entreprises doivent développer des stratégies résilientes, capables de résister aux chocs tout en restant agiles. Cela passe par des audits cryptographiques réguliers, par l’intégration des technologies PQC dans les feuilles de route, et par une collaboration étroite avec les fournisseurs et les régulateurs. Une cybersécurité réellement post-quantique ne sera pas seulement une protection, mais un marqueur de confiance et de compétitivité à long terme.
