L’ombre du Q-Day se fait de plus en plus menaçante. 2035 ou avant, le danger est bien là

La révolution quantique est en marche, et avec elle, une menace bien plus immédiate qu’on ne l’imagine : celle de l’effondrement de la cybersécurité telle que nous la connaissons. Il est grand temps de s’engager dans la PQC, la cryptographie post-quantique.

« Aujourd’hui, je cache le sujet, tout en sachant qu’il est grand temps de soulever le tapis ! », reconnait un CISO. L’avènement des ordinateurs quantiques n’est plus une question de « si », mais de « quand ». Face à cette évidence, la cryptographie post-quantique est devenue un enjeu stratégique majeur pour la sécurité des échanges numériques.

« Le quantique, une menace lointaine… jusqu’à ce qu’il soit trop tard ! », ironise Laurent Gentil, Channel Sales Director, CryptoNext Security. A l’entendre, la sensibilisation et la préparation à la cryptographie post-quantique sont essentielles pour sécuriser notre avenir numérique.

Q-Day, inévitable

Aujourd’hui, tout repose sur des algorithmes cryptographiques qui, en théorie, garantissent la sécurité de nos systèmes bancaires et des communications sensibles. Mais les ordinateurs quantiques, avec leur puissance de calcul exponentielle, risquent de rendre ces protections obsolètes. Comment ? En utilisant les qubits, ces unités d’information capables de traiter simultanément des milliards de possibilités, les ordinateurs quantiques seront bientôt capables de briser des codes qui étaient jusque-là considérés comme indéchiffrables. Dès que l’avantage quantique se matérialisera, ces machines déchiffreront sans effort des milliards de données cryptées, menaçant l’intégrité des échanges mondiaux et la stabilité des infrastructures critiques.

« Le Q-Day, le jour marquant ce que l’on appelle ‘la suprématie quantique’ est inévitable », expliquait Laurent Gentil lors de la dernière session de la All Cyber School organisée par Cyber Security Management. Quand ce jour arrivera, les conséquences pourraient être catastrophiques : cyberattaques massives, fuite de données sensibles, voire effondrement des systèmes financiers, sans parler de la santé, de la défense…

Le quantique déjà performant d’ici 2035

La PQC n’est donc plus une option ou un projet à long terme, mais une urgence stratégique pour toutes les organisations, a priori les plus sensibles. D’autant que la migration vers la PQC ne se fera pas du jour au lendemain. « Ce seront des années de préparation, de mise en œuvre et de tests rigoureux. Ce n’est pas une simple mise à jour logicielle : il s’agit de repenser les bases mêmes de la sécurité informatique ! »

Si le calendrier de la percée quantique reste incertain, nombre d’experts s’accordent à reconnaître que le quantique sera déjà performant d’ici 2035. Quant aux cybercriminels, ils sont déjà à pied d’œuvre, déployant la stratégie « Harvest now, decrypt later ». Autrement dit, ils infiltrent les réseaux d’entreprise par le biais d’attaques de phishing ou d’autres failles et récoltent dès maintenant d’immenses volumes de données chiffrées… en attendant patiemment l’arrivée d’ordinateurs quantiques capables de les déchiffrer !

Les autorités mondiales, conscientes de cette menace grandissante, ont déjà pris des mesures. Aux États-Unis, le NIST a sélectionné des algorithmes PQC. En Europe, rien encore. Ce qui n’empêche pas de grandes organisations de s’engager dans des projets pilotes pour sécuriser leurs systèmes dans un environnement post-quantique. Mais fort peu de PME. « Attendre un hypothétique Q-Day pour réagir serait une erreur fatale ! », prévient Laurent Gentil.

Un équilibre entre coût, risque et utilisabilité

La transition vers la PQC ne doit pas être un changement brutal. Les expériences passées montrent que les migrations cryptographiques peuvent prendre plusieurs années. CISO, CIO et CTO doivent collaborer pour développer une feuille de route en vue de l’adoption de la cryptographie résistante aux attaques quantiques. Ce plan doit trouver un équilibre entre coût, risque et utilisabilité, tout en garantissant une intégration harmonieuse des nouveaux algorithmes dans les systèmes existants.

Aujourd’hui, aucune organisation ne dispose d’une visibilité totale sur ses actifs cryptographiques. Pourtant, comprendre et cartographier ces actifs constitue la première étape essentielle d’une migration réussie vers la PQC.

Avec CryptoNext COMPASS Discovery, CryptoNext Security propose une solution de découverte cryptographique innovante au départ d’un inventaire complet des actifs cryptographiques et un suivi en temps réel de la progression de la migration PQC.

Comparable au bug de l’an 2000

« Il est absolument nécessaire d’identifier tant les données issues des applicatifs que les systèmes les plus exposés aux risques quantiques, indique encore Laurent Gentil. La transition vers la cryptographie post-quantique peut avoir des répercussions sur de multiples systèmes. » Par exemple, les signatures cryptographiques plus volumineuses pourraient nécessiter des mises à jour significatives des bases de données, des logiciels et des applications.

Ce défi est comparable au bug de l’an 2000, où les changements structurels pour accueillir de nouveaux formats de données avaient entraîné des implications de grande envergure. Identifier ces dépendances en amont peut faciliter l’implémentation et prévenir les perturbations.

Seule l’anticipation permettra d’affronter ces défis. Le message de Cyber Security Management est clair : considérer la question dès à présent, notamment en testant ces nouvelles solutions et en évaluant leur impact afin de se préparer à leur adoption progressive. La manière de concevoir la cybersécurité du futur ne pourra pas se faire du jour au lendemain. C’est pourquoi il importe de commencer à la bâtir dès aujourd’hui. Et donc de soulever le tapis !