Croire vos données à l'abri est une erreur

Harvest now, decrypt later (HNDL) est une menace active pour la cybersécurité.

Nous vivons à une époque où les données ne sont pas seulement des informations, mais aussi une stratégie, une valeur et une responsabilité. L’hypothèse selon laquelle les données cryptées sont sûres ? C’est une vérité temporaire. La menace la plus importante à laquelle vous ne vous préparez probablement pas s’appelle « Harvest Now, Decrypt Later » (récolter maintenant, décrypter plus tard) ou HNDL.

Voici comment cela fonctionne. Les pirates volent des données chiffrées aujourd’hui et les stockent. À l’heure actuelle, elles peuvent être illisibles. Mais une fois que l informatique quantiqueou d’autres technologies révolutionnaires, ces mêmes données cryptées pourront être facilement décodées. Il n’est pas nécessaire de détruire les réseaux. Ils n’ont pas besoin de perturber les systèmes. Ils ont juste besoin de temps et de patience. Vous ne vous en rendrez compte que des années plus tard, lorsque des communications, des contrats ou des secrets commerciaux oubliés depuis longtemps seront soudainement dévoilés ou utilisés comme armes.

La plupart des entreprises pensent que les normes de chiffrement actuelles sont à toute épreuve. Ce n’est pas le cas. Le chiffrement repose sur le fait que les ordinateurs classiques mettent beaucoup de temps à résoudre certains problèmes. L’informatique quantique change la donne. L’horloge tourne, et nos systèmes de cryptage actuels ne tiendront pas éternellement.

Il ne s’agit pas d’une théorie. Selon Whitfield Diffie, lauréat du prix Turing et inventeur de la cryptographie à clé publique, la méthode HNDL a déjà fait ses preuves dans le monde réel. Les services de renseignement américains ont utilisé cette méthode après la Seconde Guerre mondiale pour intercepter puis décrypter les communications soviétiques. Le même raisonnement est aujourd’hui appliqué par les acteurs malveillants qui cherchent à dévoiler des données commerciales, politiques et stratégiques.

Les dirigeants doivent changer leur façon de concevoir la protection des données. L’idée que le cryptage offre une sécurité permanente est dépassée. La menace a déjà commencé. Vous ne ressentirez les dégâts que lorsqu’il sera trop tard pour y remédier.

Les données très sensibles et à long terme sont vulnérables à un décryptage ultérieur

Toutes les données n’ont pas la même valeur. C’est en sachant ce qui compte, et pour combien de temps, que l’on obtient un effet de levier décisif. Les données sensibles à long terme constituent le véritable risque. Pensez aux modèles exclusifs. Recherche à long terme. Documents juridiques. Dossiers médicaux. Communications liées à la direction ou à l’action réglementaire. Une fois qu’une fuite a eu lieu, vous ne pouvez pas la reprendre et vous ne pouvez pas remettre cette valeur dans la bouteille.

Ce n’est pas le volume qui est important, mais la persistance. Si les données ont une valeur dans dix ans et qu’elles sont cryptées selon les normes actuelles, vous êtes déjà exposé. Par exemple, des données telles que la propriété intellectuelle, les communications gouvernementales ou les stratégies confidentielles des investisseurs restent sensibles pendant des décennies. Ainsi, si elles sont récoltées aujourd’hui, elles pourront absolument être utilisées plus tard, une fois que le décryptage sera devenu trivial.

Raluca Ada Popa, qui dirige la recherche sur la sécurité chez Google DeepMind, a été directe sur ce risque. Elle a souligné que de nombreuses entreprises pensent à tort qu’elles peuvent ignorer le problème simplement parce que les attaques quantiques ne se sont pas encore matérialisées. Cette logique ne tient pas la route. Les attaquants n’ont pas besoin de déchiffrer le cryptage aujourd’hui. Il leur suffit de le stocker et d’attendre.

Il convient également de noter que les premières cibles des attaques quantiques ne seront pas des données de faible valeur. Le processus de décryptage, au moins dans un premier temps, sera coûteux. Les informations ciblées et sensibles, telles que les feuilles de route en matière de R&D, les litiges confidentiels ou les révélations de patrimoine, sont donc la priorité numéro un.

Pour un dirigeant, il ne s’agit pas d’un problème informatique isolé. Il s’agit d’un risque stratégique à long terme. La valeur de vos données confidentielles se multiplie entre les mains de quelqu’un qui sait comment les utiliser, surtout s’il les a obtenues quand vous ne regardiez pas. La responsabilité est claire : sécurisez les données qui comptent vraiment, avant qu’elles ne deviennent un levier pour quelqu’un d’autre.

Les indicateurs suggèrent que le HNDL est déjà en train d’évoluer alors que le vol de données augmente.

Les signes sont déjà visibles sur le tableau. Bien que les ordinateurs quantiques capables de décrypter à grande échelle ne soient pas encore largement disponibles, les cybercriminels n’attendent pas. La première étape du HNDL, le vol de données cryptées, bat son plein. Cela vous dit tout ce que vous devez savoir sur l’évolution de la situation.

En 2023, les compromissions de données ont augmenté de 78 %. Il ne s’agit pas d’une croissance normale, mais d’une accélération. Et voici ce qui importe pour la stratégie à long terme : 91 % des attaques par ransomware impliquent désormais le vol de données, et non plus seulement l’interruption du système. Les pirates passent d’une perturbation à court terme à la capture d’actifs à long terme. Seuls 57 % des victimes sont informées du vol de leurs données. Les autres ne savent pas ce qu’il leur manque, ni depuis combien de temps elles sont exposées.

Le succès de HNDL dépend précisément de ce manque de visibilité. Une fois les données volées, elles attendent. Il n’y a pas d’explosion ou d’alerte. Puis, lorsque la technologie les rattrape, elles deviennent lisibles et utiles.

Michele Mosca, chercheur en informatique quantique à l’université de Waterloo, a estimé en 2015 qu’il y avait une chance sur sept que le cryptage RSA-2048 soit cassé d’ici à 2026. Selon ses prévisions actualisées, il y a 50 % de chances qu’il soit cassé d’ici à 2031. Il y a dix ans, ce chiffre aurait semblé spéculatif. Aujourd’hui, même le matériel quantique de base surpasse les systèmes classiques dans des tâches spécifiques. L’orientation est claire.

Pour les dirigeants, cela devrait faire passer la conversation de l’hypothétique à l’opérationnel. Cette menace se déroule en deux phases. La première phase, celle de la collecte des données, est en cours. La deuxième phase, le décryptage, tend vers l’inévitabilité. L’attente n’est pas une stratégie. C’est un mode d’échec.

Le passage à la cryptographie post-quantique (PQC) est essentiel pour assurer la sécurité des données à l’avenir.

Il n’existe aucune stratégie de protection des données à long terme qui tienne la route sans la cryptographie post-quantique. La PQC n’est pas un avantage. C’est désormais un atout nécessaire pour défendre la valeur, la continuité des activités et la confiance.

Le NIST, l’organisme de normalisation du gouvernement américain, a déjà sélectionné et publié de nouveaux algorithmes de cryptage post-quantique. Il ne s’agit pas d’algorithmes expérimentaux, mais d’algorithmes conçus spécifiquement pour résister aux attaques des ordinateurs traditionnels et quantiques. Selon leurs indications, les méthodes de chiffrement actuelles qui dépendent de systèmes de clés asymétriques devraient être progressivement abandonnées d’ici à 2030. Cette échéance se rapproche déjà.

Mark Horvath, qui dirige la stratégie de cryptographie quantique chez Gartner, l’a clairement indiqué : la cryptographie asymétrique commencera à échouer d’ici 2029 et pourrait être totalement compromise d’ici 2034. Les entreprises qui n’auront pas encore effectué la transition devront le faire rapidement, ce qui signifie des coûts plus élevés, des risques plus importants et une plus grande perturbation des opérations. S’il est réalisé de manière proactive, le processus est contrôlé, stratégique et budgétisé. S’il est retardé, il est réactionnaire.

Pour les dirigeants qui gèrent des environnements hautement réglementés, du capital intellectuel ou des innovations à long terme, le CQP n’est pas un détail technique, c’est une question qui se pose au niveau du conseil d’administration. Les régulateurs n’accepteront pas l’excuse selon laquelle « personne ne l’a vu venir ». Le changement a déjà commencé. Les outils sont disponibles. Les talents sont prêts.

Le choix incombe désormais aux dirigeants : agir lorsque vous pouvez contrôler les conditions, ou être contraint d’agir lorsque vous ne le pouvez pas.

Une défense efficace nécessite une stratégie de transition proactive et progressive vers la CQP.

Si l’objectif est de protéger les données critiques de votre organisation pour les dix prochaines années ou plus, une approche structurée et progressive de la mise en œuvre de la cryptographie post-quantique (PQC) n’est pas facultative. C’est le seul moyen de gérer les risques à grande échelle sans perturbation inutile.

Cela commence par l’éducation. L’équipe dirigeante et le personnel de sécurité de base doivent bien comprendre ce qu’est la CQP, où elle s’inscrit dans le cadre de la sécurité et pourquoi le moment est venu d’agir. Il n’est pas nécessaire que chaque employé soit un expert, mais vos équipes chargées de la politique, de l’ingénierie et de la conformité doivent être en phase sur l’importance de cette question et sur la manière d’exécuter un plan de transition.

Ensuite, déterminez où le chiffrement est utilisé dans votre organisation. La plupart des entreprises disposent d’une cryptographie obsolète intégrée dans les systèmes, les appareils, les applications et les intégrations des fournisseurs, dont certaines sont oubliées ou non documentées. Vous ne pouvez pas protéger ce que vous ne suivez pas. La réalisation d’un audit complet permet d’établir une base de référence.

Vous devez également comprendre les données que vous protégez. Concentrez-vous sur les informations qui ont une valeur actuelle et future, en particulier la propriété intellectuelle, les documents juridiques, les plans stratégiques et les données clients régies par des règles de conformité à long terme. Cela devient votre priorité en matière de migration.

Vient ensuite la mise en œuvre. Sélectionnez des algorithmes PQC certifiés par le NIST, testez-les en interne et commencez à les intégrer dans les nouveaux systèmes tout en éliminant progressivement les cryptages existants. Il ne s’agit pas d’une solution miracle. Elle nécessite des projets pilotes, des environnements de test et des déploiements échelonnés dans les unités opérationnelles.

Il est tout aussi important d’impliquer vos partenaires externes dès le début. Si vos vendeurs ou fournisseurs de cloud sont à la traîne en matière de préparation aux CQP, votre environnement au sens large reste exposé. La collaboration fait ici partie de votre première ligne de défense.

Ce n’est pas quelque chose que vous déléguez entièrement à l’informatique. Il s’agit d’une priorité interfonctionnelle, de cybersécurité, de droit, de conformité, d’infrastructure et de stratégie. Vous devez vous aligner sur le budget, le rythme et la faisabilité technique. Lorsque la mise à niveau est effectuée à l’échelle du système, le risque diminue fortement et vous gardez le contrôle sur la voie à suivre.

Retarder le passage au CQP entraîne des coûts et des risques plus élevés à long terme

Chaque équipe dirigeante est confrontée à des contraintes de ressources, d’argent, de temps, de compatibilité des infrastructures. Mais attendre pour s’attaquer aux menaces quantiques ne vous permet pas d’économiser à long terme. Cela coûte plus cher.

La plupart des systèmes existants n’ont pas été conçus dans une optique de changement. La mise à jour de la cryptographie intégrée dans le matériel, les microprogrammes ou les plateformes personnalisées prend beaucoup de temps et est techniquement complexe. Tout retard ne fait qu’accroître l’urgence et les dépenses lorsque les attaques quantiques commencent à se traduire par des brèches dans le monde réel.

Lorsque le passage du chiffrement classique au chiffrement post-quantique deviendra urgent, disons après 2028, la migration ne sera pas facultative. Elle sera rapide, réactive et coûteuse. C’est à ce moment-là que les prix augmentent, que les spécialistes deviennent plus difficiles à sécuriser et que les projets prennent plus de temps à mettre en œuvre. L’introduction de nouvelles normes cryptographiques sous pression garantit presque à coup sûr un risque opérationnel et des taux d’échec plus élevés.

Au-delà de la pression opérationnelle, pensez à l’atteinte à la réputation. Si des données sensibles détenues depuis longtemps par votre organisation sont soudainement décryptées ou utilisées à mauvais escient, le coût de la confiance est exponentiel. Les conséquences réglementaires peuvent suivre rapidement. Les sanctions financières liées à une mauvaise manipulation des données des clients, des dossiers médicaux ou des négociations confidentielles l’emporteront probablement sur les coûts évités au préalable.

En investissant dès maintenant dans un passage contrôlé à la CQP, votre organisation prend une longueur d’avance. Cela vous donne la possibilité d’établir un budget efficace, de procéder à des tests approfondis et de former des équipes sans interruption. Il s’agit d’une position tournée vers l’avenir qui détermine non seulement la manière dont vous répondez aux risques, mais aussi si vous contrôlez le moment où vous y répondez.

En d’autres termes, les organisations qui retardent la transition paieront plus cher pour moins de flexibilité. Celles qui agissent maintenant définiront la norme que les autres suivront.

Principaux enseignements pour les dirigeants

Le HNDL est déjà en train de se produire : Des acteurs malveillants récoltent aujourd’hui des données cryptées en prévision de l’utilisation de l’informatique quantique pour les décrypter plus tard. Les dirigeants doivent partir du principe que des menaces à long terme sont en cours, même en l’absence de brèches visibles.
Les données sensibles à long terme constituent le véritable risque : Les données ayant une valeur stratégique prolongée (propriété intellectuelle, juridique, financière ou réglementaire) doivent faire l’objet d’une protection prioritaire et résistante à l’avenir. Les dirigeants doivent évaluer les actifs qui conservent leur valeur au fil du temps et s’assurer qu’ils sont cryptés à l’aide de la cryptographie post-quantique.
Les tendances en matière de vol de données confirment la menace du HNDL : L’augmentation de 78 % du nombre de brèches en 2023 et la montée en puissance des vols de données liés à des ransomwares confirment que les bases de la menace HNDL sont déjà en place. Les équipes dirigeantes doivent modifier leur vision de la sécurité des données et passer d’une vision à court terme à une vision axée sur le cycle de vie.
La PQC est désormais une exigence stratégique en matière de sécurité : Les algorithmes post-quantiques approuvés par le NIST sont disponibles et prêts à être déployés. La protection des données à l’épreuve du temps nécessite une adoption rapide, et les dirigeants doivent intégrer dès maintenant la PQC dans les feuilles de route en matière de sécurité.
La transition vers la PQC doit être planifiée, échelonnée et interfonctionnelle : La défense contre les brèches de l’ère quantique exige des audits détaillés des actifs, la formation des équipes, des tests d’intégration et l’alignement des partenaires. Les dirigeants doivent financer et formaliser une stratégie de migration à l’échelle de l’entreprise.
Les retards augmentent les coûts à long terme et l’impact de la violation : La migration vers la PQC sous pression, après une violation ou une percée quantique, aggrave les risques, les dépenses et les perturbations opérationnelles. Les dirigeants doivent agir pendant que les délais sont flexibles et que la mise en œuvre est contrôlée.

Alexander Procter

août 12, 2025

14 Min

Tendances sectorielles
Ce que révèle l’alerte des agences US face à interlock
Août 13, 2025
11 min
Tendances sectorielles
L’Europe veut encadrer l’IA mais les fournisseurs peinent à suivre
Août 13, 2025
18 min
Stratégies et transformation
Ce que les meilleurs font mieux avec leurs données
Août 13, 2025
19 min

Croire vos données à l’abri est une erreur

Harvest now, decrypt later (HNDL) est une menace active pour la cybersécurité.

Les données très sensibles et à long terme sont vulnérables à un décryptage ultérieur

Les indicateurs suggèrent que le HNDL est déjà en train d’évoluer alors que le vol de données augmente.

Le passage à la cryptographie post-quantique (PQC) est essentiel pour assurer la sécurité des données à l’avenir.

Une défense efficace nécessite une stratégie de transition proactive et progressive vers la CQP.

Retarder le passage au CQP entraîne des coûts et des risques plus élevés à long terme

Principaux enseignements pour les dirigeants

Ce que révèle l’alerte des agences US face à interlock

L’Europe veut encadrer l’IA mais les fournisseurs peinent à suivre

Ce que les meilleurs font mieux avec leurs données

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !