Cryptographie

Cryptographie post-quantique : anticiper la menace quantique et réussir sa transition vers une cybersécurité durable

Auteur : Hazar Yasar
06/07/2026
Cybersécurité
De nombreux signaux récents de nations, de grandes industries technologiques et d'organismes de régulation fixent des échéances claires et appellent les organisations à se préparer dès maintenant au Q-Day*, dont l'arrivée menacera la sécurité des données de secteurs d'activité entiers, notamment le secteur financier.
Google et Microsoft avancent la date estimée du Q-Day à 2029 et visent une transition complète avant cette échéance. L’Agence de cybersécurité française, l’ANSSI, indique qu’elle ne certifiera plus les produits ne disposant pas d’une cryptographie résistante aux attaques quantiques après 2027. Le Président américain signe un décret qui oblige les organismes à sécuriser les données gouvernementales contre les attaques liées à l’ordinateur quantique. L’institut américain des sciences et technologies, le NIST, prévoit de déprécier les algorithmes de cryptographie classique à l’horizon 2030. 

*Q-Day : date estimée à laquelle un CRQC (Cryptographically Relevant Quantum Computer) sera capable de casser la cryptographie asymétrique classique.

 

Définition : Cryptographie post-quantique

La cryptographie post-quantique désigne un ensemble de nouvelles méthodes de chiffrement conçues pour protéger les données face aux futurs ordinateurs quantiques. Contrairement aux ordinateurs actuels, ces machines auront la capacité de casser certains systèmes de sécurité aujourd'hui largement utilisés. L'objectif est donc d'adopter dès maintenant des algorithmes capables de résister à cette nouvelle puissance de calcul. Cette transition permettra de garantir la confidentialité des informations, aujourd'hui comme dans les années à venir.

 

La menace quantique : pourquoi les entreprises doivent se préparer dès maintenant

Un ordinateur quantique n'est pas simplement un supercalculateur plus rapide. Son fonctionnement repose sur une logique fondamentalement différente : là où un bit classique vaut 0 ou 1, un qubit peut exister dans plusieurs états simultanément. Les ordinateurs quantiques exploitent trois propriétés principales, la superposition, l'intrication et l'interférence, qui ouvrent des possibilités de calcul inédites. Doté de ressources suffisantes, un tel ordinateur serait notamment capable d'exécuter les algorithmes de Shor et de Grover, qui représentent les principales menaces pour la cryptographie classique, respectivement pour le chiffrement asymétrique et symétrique.

L'algorithme de Shor permet de résoudre des problèmes mathématiques complexes, tels que la factorisation d'un nombre entier ou le problème du logarithme discret, dans un temps nettement inférieur à celui nécessaire pour un ordinateur classique. On parle ici d'une réduction d'un temps sub-exponentiel à un temps polynomial pour la factorisation. Or, c'est précisément sur la difficulté de ces problèmes que reposent les algorithmes de cryptographie classique utilisés aujourd'hui pour les échanges de clés et les signatures numériques. Ces deux mécanismes constituent les fondements de la cybersécurité moderne : sans eux, la confidentialité, l'authentification et l'intégrité des données ne peuvent plus être garanties, laissant de nombreux points d'entrée exploitables par des attaquants.

Ainsi, tous les algorithmes reposant sur ces problèmes mathématiques, tels que RSA, ECDH ou ECDSA, ne seraient plus considérés comme sécurisés face à un ordinateur quantique suffisamment puissant. Les experts estiment qu'une utilisation pratique de l'algorithme de Shor, nécessitant des ressources de l'ordre de plusieurs millions de qubits physiques, pourrait devenir possible aux alentours de 2030-2035.

L'algorithme de Grover représente quant à lui une menace plus indirecte, puisqu'il ne permet pas de casser directement des algorithmes symétriques comme AES, mais il réduit de manière quadratique la complexité de recherche dans un espace non structuré, permettant à un attaquant de retrouver une clé de chiffrement par force brute plus rapidement qu'avec un ordinateur classique.

Une manière de se prémunir contre cette menace est de doubler la taille des clés. AES-256 devient ainsi comparable en niveau de sécurité à AES-128 face à une attaque par Grover. Étant donné que ce renforcement est suffisant pour maintenir un bon niveau de sécurité, l'attention est aujourd'hui surtout portée sur le chiffrement asymétrique, qui demande un changement complet d'algorithme.

HNDL : pourquoi l'exposition commence aujourd'hui ?

Le danger le plus imminent aujourd'hui est le paradigme "Harvest Now, Decrypt Later". Celui-ci repose sur l'idée que des attaquants collectent dès aujourd'hui des données chiffrées dans le but de les déchiffrer ultérieurement lors du Q-Day.

Ce risque touche en premier lieu les organisations dont les données ont une durée de vie longue et une valeur stratégique élevée. Dans le secteur financier, les flux de messagerie interbancaire, les données M&A, les accords financiers ou encore les données KYC/AML contenant des informations clients critiques constituent des cibles de choix. Mais la menace s'étend bien au-delà : les environnements souverains et gouvernementaux, les infrastructures militaires, les acteurs du deep tech ou encore les opérateurs d'infrastructures critiques comme les réseaux d'énergie ou de télécommunications sont tout autant exposés.

Le vecteur d'exposition commun à toutes ces organisations est le transit sur Internet. Dès lors qu'une donnée sensible sort du réseau interne pour emprunter des infrastructures publiques, elle devient potentiellement capturable et stockable par un attaquant. Il est donc nécessaire de conduire un inventaire des données : où elles sont stockées, leur niveau de sensibilité, leur durée de vie et leur exposition au réseau public, afin de déterminer lesquelles sont susceptibles d'être ciblées dans une logique de "Harvest Now, Decrypt Later".


Cryptographie post-quantique : comment préparer votre entreprise à la cybersécurité de demain

La cryptographie post-quantique est la solution apportée à la menace que représentent les ordinateurs quantiques. Il s'agit d'algorithmes cryptographiques reposant sur des problèmes mathématiques qu'aucun algorithme connu, même quantique, n'est capable de résoudre efficacement à ce jour.
Le NIST a standardisé à ce jour cinq algorithmes. ML-KEM (Kyber) et ML-DSA (Dilithium) sont les deux principaux, respectivement pour l'échange de clés et la signature numérique. Ces deux algorithmes reposent sur les réseaux euclidiens.
En guise d'algorithme de secours à Kyber, on trouve HQC, qui repose quant à lui sur les codes correcteurs d'erreurs. En alternative à Dilithium, on dispose de Falcon, basé également sur les réseaux euclidiens , et de SPHINCS+, dont la sécurité repose sur les fonctions de hachage. À ce jour, des candidats sont encore en lice pour qu'un algorithme de signature supplémentaire soit standardisé par le NIST.
Ces nouveaux algorithmes standardisés présentent cependant des performances et des tailles de clés/signatures différentes de celles des algorithmes classiques utilisés aujourd'hui. On constate notamment des tailles de clés plus conséquentes. La gestion des clés, la congestion du trafic réseau et le stockage des données peuvent donc être impactés par ces différences de taille. Avant toute migration, des tests de performance et de capacité de stockage devront être menés, notamment dans les environnements sensibles.

Sur le plan mathématique, ces algorithmes, et plus précisément les problèmes sur lesquels ils reposent, sont étudiés depuis plusieurs années par la communauté de recherche. On n'a donc pas d'énormes doutes quant à la solidité de leurs fondements mathématiques. Cependant, étant donné que ces algorithmes restent récents, ils n'ont pas encore fait l'objet de tests de longue durée en production ni dans des configurations réelles variées, et l'on ne dispose donc pas encore d'un recul suffisant. C'est pourquoi il subsiste aujourd'hui des problèmes, notamment du côté des attaques par canaux auxiliaires, qui exploitent des failles d'implémentation ou matérielles, et non le problème mathématique en lui-même. L'adoption de ces algorithmes doit donc se faire progressivement et avec précaution.

 

Gouvernance, standards et réglementations : les fondations d'une cybersécurité résiliente

Pour engager la transition vers des environnements résistants aux attaques quantiques, les organisations de gouvernance et de standardisation ont fixé plusieurs échéances. Le NIST a par exemple retenu 2030 comme date de dépréciation d'ECDSA, EdDSA et RSA pour la signature, ainsi que Diffie-Hellman sur corps finis, ECDH et RSA pour l'échange de clés, et 2035 comme date de désactivation définitive.

On peut également citer le président Trump, qui vient récemment de signer un décret visant à sécuriser la nation contre les attaques cryptographiques. Le texte mandate le Département du Commerce, la NSA et le DHS pour fournir aux agences des directives claires et opérationnelles, chacune devant désigner un responsable dédié à la migration. Les données sensibles devront être migrées d'ici 2030 pour la confidentialité et 2031 pour l'authentification, avec un projet pilote attendu dès fin 2027. Au-delà du périmètre fédéral, les agences sont également chargées d'accompagner la transition des infrastructures critiques nationales, ainsi que des infrastructures critiques et gouvernements étrangers, dans l'optique que les États-Unis s'imposent comme leaders mondiaux sur ce sujet.

Au niveau européen, le DORA — Digital Operational Resilience Act — est entré en vigueur en janvier 2025. Un premier document publié en 2022 stipulait que les organisations financières devaient protéger la cryptographie utilisée dans leur architecture. Le Delegated Regulation (EU) 2024/1774, publié en juin 2024, cite cette fois-ci explicitement le danger que représentent les avancées quantiques pour le paysage des menaces cryptographiques. Parmi les exigences concrètes du DORA figurent la réalisation d'un inventaire cryptographique, l'identification des différents protocoles utilisant de la cryptographie, la mise en place de politiques de chiffrement, le signalement des incidents majeurs liés à la cryptographie, ainsi que le suivi des feuilles de route PQC publiées par les éditeurs et fournisseurs avec lesquels les organisations travaillent. Le non-respect de ces obligations peut entraîner de lourdes sanctions administratives, dont le niveau est défini par chaque État membre, le règlement imposant qu'elles soient effectives, proportionnées et dissuasives. La documentation et la préparation d'une migration deviennent donc bien plus qu'une simple bonne pratique : elles s'imposent désormais comme une exigence réglementaire. 

Au-delà du cadre sectoriel imposé par DORA, c'est l'ensemble de l'écosystème européen qui s'organise. ENISA recommande une approche fondée sur le risque, combinant l'utilisation de mécanismes symétriques avec des longueurs de clés adaptées et l'adoption de schémas cryptographiques hybrides. La Commission européenne, avec le soutien d'ENISA, a lancé une feuille de route de mise en œuvre coordonnée visant à sécuriser les systèmes à haut risque d'ici fin 2030 et à assurer une transition complète vers la cryptographie post-quantique d'ici 2035. Le premier livrable de cette feuille de route, produit par le groupe de travail PQC du NIS Cooperation Group, a été publié en juin 2025.

L'ANSSI a publié deux avis sur le sujet en 2022 et 2023, préconisant une approche de migration en trois phases. La première consiste à déployer des schémas hybrides comme couche de défense supplémentaire, tout en maintenant la sécurité classique comme garantie principale. La deuxième phase marque un changement de paradigme : l'algorithme post-quantique devient la garantie de sécurité principale, l'algorithme classique restant présent pour éviter toute régression. Enfin, la troisième phase, envisageable à partir de 2030 au plus tôt, rend l'hybridation optionnelle, les systèmes peuvent alors fonctionner en cryptographie post-quantique pure. L'agence recommande explicitement l'hybridation pour les produits de sécurité destinés à offrir une protection durable au-delà de 2030, ou susceptibles d'être utilisés après 2030 sans mises à jour. Dans cette logique, elle a publié des guides sur l'adoption de modes hybrides pour SSHv2, TLS 1.3 et IKEv2/IPsec. Très récemment, lors de la conférence France Quantum 2026, l'ANSSI a annoncé qu'elle ne certifierait plus, à partir de 2027, les produits de sécurité ne disposant pas de mécanismes cryptographiques résistants aux ordinateurs quantiques, une obligation s'appliquant au moins à certaines typologies de produits. 

 

Migration vers la cryptographie post-quantique : anticiper les défis de demain

Migration hybride : une stratégie pour préparer l'ère post-quantique

Avant d'envisager une migration complète vers la cryptographie post-quantique, une phase transitoire hybride sera nécessaire, combinant algorithmes classiques et algorithmes post-quantiques. Dans le cas d'un protocole de distribution de clés, cela consiste à utiliser les deux types d'algorithmes pour dériver au moins une clé partagée avec chacun d'eux. Pour les signatures numériques, cela signifie signer le même message avec au moins un algorithme classique et un algorithme post-quantique. Cette approche répond à un double objectif : maintenir la compatibilité dans les communications existantes, et se prémunir contre d'éventuelles failles qui pourraient être découvertes en production sur ces nouveaux algorithmes, notamment via des attaques par canaux auxiliaires. Il est donc préférable de traverser une phase à double sécurité plutôt que de basculer directement. Ces schémas hybrides introduisent cependant une surcharge computationnelle et d'implémentation qui peut s'avérer inadaptée dans certains contextes. C'est pourquoi des environnements de test préalables au déploiement réel seront plus que nécessaires dans certains cas.

Crypto-agilité : comment rendre votre infrastructure cryptographique plus flexible

La crypto-agilité représente la capacité d'un système à changer de suites cryptographiques sans avoir à refondre toute l'architecture. Des algorithmes codés en dur dans le code, des bibliothèques obsolètes ou des HSM sans mise à jour firmware disponible représentent autant de points bloquants qui empêchent ce changement rapide. Les PKI constituent également un point critique, dans la mesure où un changement d'algorithme implique une redistribution complète des certificats de confiance et des certificats utilisés. Il faut donc concevoir les systèmes de manière à permettre ces transitions rapidement. Cela passe également par la vérification que les équipements réseau utilisés sont capables de changer d'algorithme pour les tunnels IPsec, SSH, TLS 1.3, et autres protocoles. On voit donc qu'au-delà de l'architecture interne de l'entreprise, la crypto-agilité est aussi une question de choix de fournisseurs : les fournisseurs et éditeurs avec lesquels on travaille doivent être en mesure de livrer ces mises à jour dans les délais requis. La crypto-agilité est particulièrement importante dans le contexte actuel, où les normes de gouvernance peuvent évoluer rapidement. Comme évoqué précédemment, on ne dispose pas encore du recul nécessaire sur les nouveaux algorithmes en production, et les systèmes hybrides eux-mêmes sont amenés à évoluer. Les organisations doivent donc être capables de s'adapter rapidement, sans attendre le lancement d'un projet de migration de grande envergure.

La migration vers la cryptographie post-quantique ne peut pas être traitée comme un simple remplacement d'algorithmes. Elle doit être appréhendée comme un défi à la fois technique, organisationnel et de gouvernance, dont l'ampleur est souvent sous-estimée. L'exemple de SHA-1 est assez parlant : après sa dépréciation, il a fallu près de dix ans pour migrer vers SHA-256, et il ne s'agissait que d'une simple fonction de hachage. Imaginez alors l'ampleur du travail pour remplacer l'ensemble des algorithmes d'échange de clés, de signature et d'authentification qui constituent la colonne vertébrale de la sécurité d'une infrastructure moderne. Il ne faut donc surtout pas attendre que les fournisseurs intègrent ces nouvelles solutions pour les déployer au fur et à mesure : il faut agir dès maintenant.

Le premier défi est celui de la visibilité. Avant de migrer quoi que ce soit, encore faut-il savoir ce que l'on utilise, c'est ce que l'on appelle le CBOM, Cryptographic Bill of Materials. Dans une organisation, la cryptographie est présente dans les certificats TLS, les tunnels VPN, les connexions SWIFT, les HSM, les PKI, les API ou encore les firmwares embarqués, souvent sans qu'aucun inventaire centralisé n'existe. Cartographier ces actifs, comprendre leurs dépendances et identifier lesquels sont exposés aux attaques de type "Harvest Now, Decrypt Later" représente à lui seul un programme de plusieurs mois.

Vient ensuite la complexité de la transition elle-même. On ne remplace pas un algorithme comme on met à jour un logiciel. Chaque composant a ses contraintes et de nombreuses dépendances peuvent apparaître. Il faut donc, avant d'agir, établir un ordre de priorité clair pour éviter les redondances et les blocages : identifier les données sensibles, leur durée de vie et leur exposition, afin de construire une séquence de migration cohérente. Celle-ci doit se faire par couches, en commençant par les systèmes les plus exposés à Internet, et en s'assurant à chaque étape que la crypto-agilité est intégrée comme principe architectural.

La migration post-quantique est un projet inédit, transverse et complexe, qui engage bien plus que la seule dimension technique. L'ampleur des dépendances, la diversité des contraintes et l'évolution rapide des standards en font un exercice qui demande une attention particulière, une expertise adaptée et un investissement sérieux en temps et en énergie.

 

Conclusion 

Face à une menace quantique désormais tangible et dont l'horizon se rapproche, la transition vers des architectures intégrant la cryptographie post-quantique n'est plus une option : c'est une obligation. Les organisations doivent investir dans la mise à niveau de leurs infrastructures, conduire des évaluations approfondies de leurs données et systèmes sensibles, faire appel à des expertises cryptographiques spécialisées et suivre de près les feuilles de route de leurs fournisseurs. La cryptographie étant omniprésente dans une infrastructure moderne, cette transition est un travail minutieux et de longue haleine qui ne peut pas être improvisé. La priorité immédiate reste la protection contre le paradigme "Harvest Now, Decrypt Later". Attendre expose non seulement à des risques futurs, mais aussi à des risques présents.

Les organisations qui anticipent pourront aborder la migration de manière structurée, progressive et maîtrisée, en testant, en ajustant et en intégrant les évolutions des standards au fur et à mesure. Celles qui tarderont se retrouveront à migrer sous pression réglementaire et concurrentielle, avec des délais contraints, des coûts plus élevés et un risque accru de laisser des failles dans leur architecture. Chez Proximus NXT, nous travaillons activement sur ce sujet afin de proposer des solutions et un accompagnement adapté à ces enjeux. Dans un domaine où la sécurité ne tolère pas l'approximation, le temps est le seul actif qu'on ne peut pas rattraper.

Contactez-nous
Formulaire d'inscription
En soumettant ce formulaire, vous acceptez la politique de protection des données de Proximus NXT
* champs obligatoires