Pourquoi l'informatique post-quantique sera un plus grand défi que le passage à l'an 2000

Le passage à la CQP est beaucoup plus complexe que la correction du bogue de l’an 2000

Si vous vous souvenez du défi du passage à l’an 2000, vous vous souviendrez qu’il s’agissait principalement de corriger un code de date étroit. Il s’agissait d’une solution précise, ciblée et, avec le recul, relativement simple. Imaginez maintenant que vous le fassiez pour chaque couche de votre infrastructure, de votre sécurité des données et de vos systèmes logiciels. C’est ce à quoi nous sommes confrontés lors de la transition vers la cryptographie post-quantique (PQC). Il s’agit d’une évolution structurelle complète.

Au cours des trois dernières décennies, le cryptage s’est profondément ancré dans presque tous les domaines : connexions, transactions, communications inter-services, technologie opérationnelle. Comme le dit Ollie Whitehouse, directeur technique du Centre national de cybersécurité (NCSC) du Royaume-Uni, cette transition est une « tâche colossale » qui exige un « programme de changement complexe ». Il a raison. Les organisations modernes exécutent des milliers, parfois des millions, de fonctions cryptographiques à travers le cloud, la périphérie, les systèmes embarqués et les systèmes existants. Avant de pouvoir réparer ou pérenniser quoi que ce soit, vous devez identifier chaque instance qui repose sur le chiffrement. Rien que pour cela, c’est un travail énorme.

Le problème est aggravé par les dépendances, les systèmes existants qui n’ont pas été conçus pour être mis à jour et l’inertie organisationnelle qui accompagne naturellement les entreprises complexes. Vous ne pouvez pas faire semblant d’être prêt. La migration du PQC est une décision stratégique. Elle nécessitera une planification opérationnelle soutenue, des modèles de financement solides et un leadership au plus haut niveau. Cette transition est mondiale, pluriannuelle et, contrairement aux défis passés, elle n’attend pas une date limite pour exploser, elle se rapproche au rythme exponentiel des progrès de l’informatique quantique.

L’informatique quantique représente une menace pour les normes de cryptage actuelles

Soyons clairs : le cryptage conventionnel n’a plus beaucoup de temps devant lui. La plupart des systèmes sur lesquels nous comptons aujourd’hui, qu’il s’agisse de sécuriser des applications bancaires, des API d’entreprise ou des communications nationales, pourront être cassés par des ordinateurs quantiques. ordinateurs quantiques. Il ne s’agit plus de menaces théoriques. Les principaux acteurs de l’informatique quantique font des progrès significatifs et, selon des estimations prudentes, des machines capables de se compromettre seront commercialisées dès les années 2030.

Qu’est-ce que cela signifie ? Un ordinateur quantique doté d’un nombre suffisant de qubits et d’un bruit suffisamment faible pourrait briser le chiffrement à clé publique tel que RSA ou ECC. Ces algorithmes sécurisent la quasi-totalité des processus de confiance numérique, qu’il s’agisse de connexions SSL, de courriers électroniques cryptés ou de signatures de documents. L’internet a été construit sur la base de ces normes. Si vous les brisez, l’authentification échoue. La confidentialité disparaît. La conformité s’effondre.

Voici maintenant le véritable défi : une fenêtre s’ouvre pour les acteurs malveillants qui peuvent récolter des données cryptées aujourd’hui et attendre simplement que le décryptage devienne plus facile. Des adversaires au niveau de l’État le font déjà, en collectant et en stockant des communications cryptées aujourd’hui avec l’intention de les décrypter plus tard. Cela signifie que même si vous pensez que vos systèmes sont sûrs aujourd’hui, cela n’est vrai que sur la base des modèles de calcul actuels. Avec la technologie quantique, cette certitude disparaît.

Ce n’est pas alarmiste. Il s’agit de prévisions basées sur la trajectoire. Si vous êtes aujourd’hui dans une salle de conférence et que votre feuille de route ne tient pas encore compte des menaces post-quantiques, vous êtes à la traîne. Les décisions que vous prendrez au cours des cinq prochaines années détermineront si votre infrastructure restera sécurisée pendant les 50 prochaines années.

Un plan national structuré guide la migration du Royaume-Uni vers la CQP d’ici à 2035.

Le Royaume-Uni ne reste pas inactif dans ce domaine. Le Centre national de cybersécurité (NCSC), qui fait partie du GCHQ, a établi un calendrier clair et en plusieurs phases pour la transition du pays vers la cryptographie post-quantique (PQC). L’objectif n’est pas la panique générale. Il s’agit d’une migration délibérée. Voici à quoi cela ressemble : d’ici 2028, les organisations doivent identifier les systèmes cryptographiques dont elles dépendent et finaliser un plan de migration. De 2028 à 2031, elles s’occupent des mises à niveau hautement prioritaires. D’ici à 2035, l’objectif est le déploiement complet de la CQP dans toutes les grandes infrastructures cryptographiques.

Ce calendrier est révélateur de deux choses. Premièrement, la menace est réelle et, deuxièmement, les dirigeants traitent cette question avec le sérieux qu’elle mérite. Les dirigeants des services essentiels doivent reconnaître qu’il ne s’agit pas d’un problème futur, mais d’une responsabilité actuelle. Les systèmes déjà architecturés aujourd’hui pourraient avoir besoin d’une révision cryptographique structurelle dans moins de dix ans. Si vous déployez une nouvelle infrastructure sans tenir compte de la résilience quantique, vous créez une dette technologique dans votre feuille de route.

L’approche progressive est intelligente. Elle permet de planifier, de budgétiser et de préparer l’organisation. Mais ne vous y trompez pas, l’action doit être précoce. Vous ne voulez pas atteindre 2030 alors que vous êtes encore en train de cartographier vos dépendances. La mise en place d’une politique de migration claire au cours des prochaines années déterminera le degré de résilience de votre entreprise à travers les chaînes d’approvisionnement, les flux de données et les cadres de conformité.

Les secteurs possédant des infrastructures critiques et des données sensibles sont confrontés à des pressions uniques dans le cadre de la transition vers les CQP.

Toutes les organisations ne sont pas confrontées au même niveau de pression en matière de CQP. Les petites et moyennes entreprises peuvent se décharger d’une grande partie de leur transition cryptographique sur des fournisseurs de services gérés. Cette option n’existe pas pour les acteurs des infrastructures critiques, les organismes gouvernementaux ou les multinationales. Si vous gérez des services essentiels, des systèmes financiers ou des technologies liées à la défense, la responsabilité de votre transition vers la CQP incombe à la direction interne.

Ces secteurs ont généralement des architectures labyrinthiques, des systèmes existants, des cadres de sécurité cloisonnés et des obligations de conformité strictes. La mise à niveau des composants cryptographiques, en particulier à grande échelle, nécessite plus qu’un financement, elle exige une gouvernance et une surveillance technique solides. La marge d’erreur est plus mince et les implications en termes de risques sont plus importantes. Le NCSC facilite les programmes de conseil et d’orientation pour aider les organisations à s’y retrouver, mais la responsabilité en incombe toujours à la direction de l’entreprise.

Si vous êtes leader dans l’un de ces secteurs, vous ne protégez pas seulement l’infrastructure, vous protégez la confiance. La lenteur dans ce domaine affecte la résilience nationale. L’attention du conseil d’administration n’est pas négociable. Cela signifie qu’il faut financer des équipes chargées d’inventorier les dépendances cryptographiques, investir dans la coordination interdomaines entre la sécurité et les opérations, et résister aux solutions rapides proposées par les fournisseurs qui promettent une compatibilité PQC sans validation à long terme.

La transition des secteurs critiques sera complexe, mais elle n’est pas facultative. Il s’agit d’une responsabilité à grande échelle. Si vous vous trompez, vous risquez plus qu’une simple panne de système : vous risquez de nuire à votre réputation et d’avoir un impact opérationnel et stratégique à une époque où la confiance est aussi importante que les performances.

Le NCSC s’emploie activement à empêcher les fournisseurs de mettre en œuvre des CQP de manière prématurée ou inappropriée.

Se lancer dans la cryptographie post-quantique (PQC) sans disposer de solutions entièrement validées est un problème. Le Centre national de cybersécurité (NCSC) l’a bien compris. C’est pourquoi il a publié des lignes directrices afin d’empêcher les fournisseurs d’imposer des produits de CQP non testés ou immatures aux organisations, en particulier celles qui sont responsables d’infrastructures critiques. Ces technologies doivent s’adapter de manière sûre et fiable. Les déployer trop tôt introduit des risques inutiles.

Si vous gérez les achats, ces conseils devraient servir de filtre. Tous les produits labellisés PQC ne sont pas aptes à être déployés. La pression exercée par les fournisseurs, davantage motivée par la concurrence du marché que par l’état de préparation technique, peut entraîner de mauvaises décisions. La position du NCSC est pratique : adoptez la technologie lorsqu’elle est mûre, lorsqu’elle est soutenue par des normes et lorsque vous avez réalisé un examen approprié de vos ressources cryptographiques.

Les conseils d’administration et les équipes de direction doivent évaluer les nouvelles options de PQC non seulement en fonction du prix et de l’urgence, mais aussi en fonction de l’assurance de la sécurité et de la durabilité du cycle de vie. Une mise en œuvre sans contexte, sans tenir compte de la compatibilité des systèmes, des compromis en matière de performances ou de l’extensibilité future, peut introduire de nouvelles surfaces d’attaque au lieu de les fermer. Le marché continuera d’évoluer rapidement. Votre responsabilité est d’avancer délibérément, sur la base de critères clairs et de cadres de confiance.

Les orientations du NCSC donnent également aux RSSI et aux architectes de la sécurité les munitions dont ils ont besoin pour se défendre en interne, en particulier lorsqu’ils sont soumis à des pressions visant à les faire adopter trop tôt. La résilience réelle exige de la préparation, pas de la rapidité.

Les progrès rapides de l’IA réduisent la fenêtre de correction des vulnérabilités, ce qui complique encore la migration vers les CQP.

L’intelligence artificielle (IA) modifie le paysage des cybermenaces d’une manière qui a un impact direct sur la transition vers la PQC. Les acteurs de la menace utilisent de plus en plus l’IA pour identifier, exploiter et étendre les attaques contre les vulnérabilités connues plus rapidement que les organisations ne peuvent réagir. Ce qui prenait des jours ou des semaines pour être détecté et exploité peut désormais se produire en quelques heures. Cela réduit le temps dont disposent les organisations pour corriger les faiblesses, en particulier dans les anciens systèmes cryptés qui n’ont jamais été conçus pour une telle vitesse de réaction.

Combinez maintenant cette dynamique avec la migration PQC. La plupart des entreprises travaillent déjà sur des environnements patrimoniaux complexes. L’accélération des cycles d’attaque de l’IA rend encore plus urgent le remplacement des algorithmes qui ne sont pas résistants au quantum. Si vous utilisez encore des bibliothèques cryptographiques obsolètes, elles doivent être repensées pour les menaces conscientes de l’automatisation.

Pour les dirigeants, il s’agit d’une exposition opérationnelle. Tout retard dans votre capacité à identifier et à mettre à jour les systèmes existants augmente les risques de compromission. Les entreprises doivent s’adapter de deux manières : réduire le délai de mise en place des correctifs dans l’ensemble de leur infrastructure et intégrer la préparation post-quantique dans chaque processus de transformation. L’objectif est d’empêcher qu’une vulnérabilité ne crée des défaillances en cascade dans vos opérations numériques.

Les surfaces d’attaque augmentent et l’IA donne aux acteurs de la menace un avantage en termes de rapidité. Votre tâche consiste à neutraliser cet avantage grâce à une préparation structurelle, à des cycles de correctifs plus courts, à une surveillance plus intelligente des menaces et à une infrastructure cryptographique compatible avec l’avenir. La gestion de ces éléments parallèlement au déploiement du PQC n’est pas facultative. C’est ce qui détermine si votre stratégie de sécurité est réactive ou à l’épreuve du temps.

La résilience à long terme dépend de la réduction de la dette technique et de l’intégration de la sécurité dans la conception des produits.

Si vous voulez assurer la pérennité de votre infrastructure, vous ne pouvez pas ignorer la dette technique. Il s’agit des raccourcis pris dans les développements logiciels antérieurs, des cadres mis sur le marché à la hâte, des correctifs appliqués sans examen adéquat de l’architecture et des systèmes laissés à l’abandon. Cette dette limite votre capacité à agir rapidement en cas de menaces réelles, en particulier lors de transitions à fort impact comme la cryptographie post-quantique (PQC).

Ollie Whitehouse, directeur technique du National Cyber Security Centre (NCSC) du Royaume-Uni, l’a dit directement : sans une action radicale et soutenue, l’industrie risque de répéter les mêmes échecs en matière de sécurité qui l’ont hantée au cours des trente dernières années, mais avec des conséquences plus graves aujourd’hui. Il ne s’agit pas de spéculations. Il s’agit de tendances historiques et d’environnements opérationnels actuels.

La sécurité doit faire partie du processus de conception du produit dès le début. Pour les dirigeants, cela signifie qu’il faut investir dans des cadres sécurisés dès la conception, récompenser la discipline de développement et orienter les efforts architecturaux vers la stabilité à long terme. La migration vers la PQC ne consiste pas seulement à appliquer une nouvelle cryptographie, mais aussi à rétablir la confiance dans les systèmes qui traitent les opérations les plus sensibles, à grande échelle.

Cela nécessite un leadership. Non seulement de la part de l’équipe informatique, mais aussi de la part du conseil d’administration. En effet, la dette technique n’est pas seulement un problème d’équipe technique, c’est une responsabilité stratégique. Si votre entreprise maintient des systèmes qui n’évoluent pas assez vite, vous limitez votre capacité à répondre à des menaces qui évoluent plus rapidement chaque année. La préparation à la CQP est une occasion de se moderniser. Saisissez-la. Nettoyez l’architecture obsolète et exigez des systèmes durables et sûrs pour aller de l’avant.

La résilience est le fruit d’une action délibérée. Vous ne pouvez pas remédier aux faiblesses fondamentales avec des solutions à court terme. Vous devez réparer les fondations. Si vous menez cet effort dès maintenant, vos systèmes ne se contenteront pas de survivre à la CQP, ils en sortiront renforcés.

Récapitulation

Il ne s’agit pas seulement de cryptage. Il s’agit de leadership, de décisions à long terme et de savoir si votre organisation est en mesure de s’adapter avant que le paysage technique ne change sous vos pieds. L’informatique quantique n’est plus de la science-fiction. Il s’agit d’une certitude technique sur un calendrier incertain. Attendre une perturbation à grande échelle pour agir n’est pas une stratégie, c’est une exposition au risque.

Vous n’avez pas besoin de paniquer. Vous avez besoin d’un plan. Cela commence par l’identification des systèmes cryptographiques dont vous dépendez, la compréhension des vulnérabilités et l’élaboration d’un calendrier de migration adapté à la fois à votre infrastructure et à votre profil de risque.

La plus grande erreur que les dirigeants peuvent commettre aujourd’hui est de déléguer entièrement cette tâche à des équipes techniques sans surveillance. La migration vers la cryptographie post-quantique touchera chaque partie de votre organisation, depuis les données des clients et les systèmes financiers jusqu’à l’architecture des produits et la conformité réglementaire.

Il s’agit de la résilience opérationnelle au niveau de la sécurité. Si vous y parvenez, votre entreprise restera fiable et compétitive face à l’évolution des menaces. Si vous l’ignorez, chaque actif orienté vers l’avenir devient un handicap.

Alexander Procter

mai 21, 2025

13 Min

Technologies et innovation
Ce que la fuite de LockBit 3.0 nous apprend sur les ransomwares modernes
Mai 30, 2025
14 min
Technologies et innovation
Améliorez l’expérience de vos clients grâce à une structure dynamique
Mai 30, 2025
12 min
Technologies et innovation
L’impact réel de l’IA agentique sur l’expérience client à l’échelle mondiale.
Mai 30, 2025
17 min

Pourquoi l’informatique post-quantique sera un plus grand défi que le passage à l’an 2000

Le passage à la CQP est beaucoup plus complexe que la correction du bogue de l’an 2000

L’informatique quantique représente une menace pour les normes de cryptage actuelles

Un plan national structuré guide la migration du Royaume-Uni vers la CQP d’ici à 2035.

Les secteurs possédant des infrastructures critiques et des données sensibles sont confrontés à des pressions uniques dans le cadre de la transition vers les CQP.

Le NCSC s’emploie activement à empêcher les fournisseurs de mettre en œuvre des CQP de manière prématurée ou inappropriée.

Les progrès rapides de l’IA réduisent la fenêtre de correction des vulnérabilités, ce qui complique encore la migration vers les CQP.

La résilience à long terme dépend de la réduction de la dette technique et de l’intégration de la sécurité dans la conception des produits.

Récapitulation

Ce que la fuite de LockBit 3.0 nous apprend sur les ransomwares modernes

Améliorez l’expérience de vos clients grâce à une structure dynamique

L’impact réel de l’IA agentique sur l’expérience client à l’échelle mondiale.

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !