Les entreprises sont confrontées à une échéance silencieuse, mais potentiellement dévastatrice : le jour où les ordinateurs quantiques rendront obsolètes les standards actuels de cryptographie. Ce « Q-Day », bien qu’encore hypothétique, pousse les plus grandes organisations mondiales à anticiper une refonte complète de leur sécurité numérique.

Si l’alerte semble encore lointaine pour certains, les signaux faibles s’accumulent : adoption croissante des normes PQC (post quantum cryptography), mobilisation des autorités de régulation, et premières implémentations industrielles concrètes. Le Capgemini Research Institute, dans son rapport 2025 « Future Encrypted », révèle que la cryptographie post-quantique s’impose désormais comme une priorité stratégique, bien au-delà des cercles technologiques spécialisés.

L’étude révèle aussi un écart préoccupant entre la prise de conscience et la mise en œuvre effective, avec un faible niveau de préparation réel dans la majorité des entreprises. Décryptage d’un basculement cryptographique majeur qui redéfinit la notion même de sécurité dans l’économie numérique.

Une menace invisible, mais imminente

Le rapport s’appuie sur une enquête menée auprès de 1 000 entreprises réalisant plus d’un milliard de dollars de chiffre d’affaires, réparties sur 13 pays et secteurs. Il en ressort un paradoxe : si les deux tiers des dirigeants interrogés considèrent l’informatique quantique comme une menace critique dans une perspective allant de trois à cinq ans, seulement
11 % des organisations disposent aujourd’hui d’un niveau de préparation jugé mature. Le concept de harvest-now, decrypt-later — intercepter des données chiffrées aujourd’hui pour les casser demain — n’est plus une hypothèse. En 2025, plus de 16 milliards d’identifiants ont été exfiltrés à partir de bases de données compromises, selon Capgemini.

La fenêtre de tir pour anticiper le « Q-Day » — le jour où les ordinateurs quantiques rendront caduques RSA et ECC — se referme rapidement. Selon Marco Pereira, directeur cybersécurité du groupe, « la préparation quantique n’est pas une question de calendrier, mais de gestion du risque irréversible ».

Un virage porté par la réglementation et les leaders de la tech

Les autorités normatives accélèrent : le NIST américain a finalisé en 2024 les premiers standards de cryptographie post-quantique (Kyber, Dilithium, SPHINCS+), tandis que l’Union européenne recommande une transition avant 2030 pour les infrastructures critiques. La NSA prévoit même l’interdiction des algorithmes RSA de moins de 2048 bits dès 2035. Parallèlement, les géants du numérique déploient déjà les premières briques : Apple avec PQ3 pour iMessage, Cloudflare avec des échanges TLS hybrides, ou encore AWS avec Kyber pour l’échange de clés.

Capgemini observe aussi une montée en puissance des initiatives internes : 45 % des entreprises pilotes explorent activement des cas d’usage, et 32 % ont aligné leurs standards internes sur les recommandations du NIST. Toutefois, la mise à l’échelle se heurte à des obstacles majeurs : manque de compétences (63 %), faible cryptoagilité (seulement 23 % des infrastructures sont prêtes à changer d’algorithmes rapidement), et lourdeur des coûts de transition.

Des pionniers tracent la voie d’une transition réussie

Capgemini identifie une frange d’entreprises « champions quantum-safe » (15 % des early adopters), réparties principalement dans les secteurs télécoms, les technologies de pointe et les banques. Celles-ci se distinguent par une gouvernance dédiée, un inventaire cryptographique complet, des budgets alloués à la transition, et une capacité d’expérimentation sur les nouveaux algorithmes (Kyber, SPHINCS+). Leur part budgétaire consacrée à la PQC atteint 2,74 %, contre 2 % pour la moyenne des organisations engagées.

Le rapport souligne également l’importance croissante de la collaboration intersectorielle : 75 % des entreprises interrogées jugent critique l’implication d’acteurs publics, de consortiums technologiques et de partenaires cloud dans la sécurisation de la transition.
« Personne ne sonnera l’alerte quand un ordinateur quantique sera prêt à casser nos systèmes : soit vous serez prêt, soit vous ne le serez pas », rappelle Ben Packman, directeur stratégie chez PQShield.

Vers une gouvernance cryptoagile

Le basculement vers la cryptographie post-quantique ne se résume pas à un changement d’algorithme : il impose une agilité cryptostructurelle. Cela suppose un inventaire exhaustif des systèmes chiffrés, des mécanismes de mise à jour rapide, une intégration des contraintes PQC dans les processus de développement logiciel, et des clauses spécifiques dans les contrats fournisseurs.

Capgemini invite à suivre une démarche en plusieurs étapes : évaluer les risques, sensibiliser les dirigeants, expérimenter via des projets pilotes ciblés, anticiper les mises à jour matérielles, et planifier la migration à grande échelle. Les experts recommandent de démarrer non pas par l’inventaire technique, mais par l’identification des données sensibles à forte valeur stratégique, souvent réparties sur des chaînes d’approvisionnement étendues et mal maîtrisées.

Une nouvelle frontière stratégique pour les RSSI

La cryptographie post-quantique devient un marqueur différenciant pour les entreprises en matière de confiance numérique, de conformité et de résilience. Pour les RSSI, c’est un changement de paradigme : ils doivent désormais intégrer l’hypothèse quantique comme un scénario probable à horizon 2030, et non comme une anomalie technologique hypothétique.

Le rapport Capgemini conclut sur un avertissement : la migration vers la PQC prendra du temps, jusqu’à 15 ans, selon certaines estimations. Ceux qui attendront le premier choc risquent de se retrouver dans une course à la remédiation coûteuse et chaotique. À l’inverse, ceux qui auront structuré leur organisation, leur architecture et leurs talents autour de la résilience cryptographique disposeront d’un avantage compétitif décisif dans le futur numérique, forcément post-quantique.