1. La menace quantique : réelle, imminente, déjà active

Pendant des décennies, la cryptographie à clé publique — RSA, ECC, Diffie-Hellman — a garanti la confidentialité des échanges numériques. Ces algorithmes reposent sur des problèmes mathématiques que les ordinateurs classiques ne peuvent résoudre en un temps raisonnable : factorisation de grands nombres entiers, logarithme discret sur les courbes elliptiques.

L’informatique quantique change radicalement ce paradigme. En 1994, le mathématicien Peter Shor a démontré qu’un ordinateur quantique suffisamment puissant pouvait résoudre ces problèmes de manière exponentielle. Un ordinateur quantique disposant d’environ 4 000 qubits logiques pourrait briser RSA-2048 en quelques heures.

Où en sommes-nous aujourd’hui ? IBM a déployé en 2023 un processeur de 1 121 qubits. Google travaille sur des machines atteignant le seuil de la « suprematie quantique utile ». Les experts du NIST et de l’ANSSI estiment qu’un ordinateur quantique cryptographiquement pertinent (CRQC) pourrait émerger entre 2030 et 2035.

Ce délai peut sembler confortable. Il ne l’est pas. La durée de vie des données sensibles dans la plupart des organisations — données médicales, secrets industriels, communications gouvernementales — dépasse largement cette fenêtre. Et la menace est déjà active, aujourd’hui.

2. Pourquoi RSA et ECC seront brisés par les ordinateurs quantiques

La solidité de RSA repose sur la difficulté de factoriser le produit de deux grands nombres premiers. Pour RSA-2048, le meilleur algorithme classique connu — le General Number Field Sieve — nécessiterait des milliards d’années de calcul sur les supercalculateurs actuels.

L’algorithme de Shor réduit cette complexité de manière exponentielle. Sur un ordinateur quantique idéal, factoriser RSA-2048 passerait de milliards d’années à quelques heures. La même logique s’applique à ECC via l’algorithme de Shor adapté au problème du logarithme discret.

Concrètement, voici les protocoles et usages directement menacés :

  • TLS / HTTPS : toutes les communications web chiffrées (échanges de clés RSA ou ECDH)
  • VPN : tunnels IPSec et OpenVPN utilisant des échanges Diffie-Hellman
  • Certificats numériques : signatures RSA des certificats X.509
  • Signatures de code : authenticité des mises à jour logicielles
  • Messagerie chiffrée : Signal, PGP, S/MIME
  • Blockchain et actifs numériques : clés publiques ECDSA

Le chiffrement symétrique (AES-256) est également affaibli par l’algorithme de Grover, mais seulement d’un facteur quadratique — AES-256 offre encore 128 bits de sécurité quantique, ce qui reste acceptable. La priorité absolue est donc la cryptographie asymétrique.

3. La stratégie « Harvest Now, Decrypt Later » : la menace est déjà là

Voici le scénario qui rend la menace quantique urgente dès aujourd’hui, bien avant l’existence d’un CRQC opérationnel : des acteurs malveillants — groupes APT, services de renseignement étrangers — collectent massivement des données chiffrées en transit, dans l’attente de les déchiffrer le jour où la puissance quantique le permettra.

Cette stratégie dite « Harvest Now, Decrypt Later » (HNDL) ou « Store Now, Decrypt Later » est documentée par la NSA, l’ANSSI et plusieurs agences de renseignement occidentales. Des documents exfiltrés révèlent que certains acteurs étatiques stockent des téraoctets de trafic chiffré intercepté depuis plusieurs années.

Pour votre organisation, cela signifie que :

  • Les secrets industriels transmis aujourd’hui peuvent être exposés dans 5 à 10 ans
  • Les données médicales chiffrées collectées aujourd’hui ont une valeur pour des acteurs malveillants qui planifient à long terme
  • Les communications gouvernementales et diplomatiques actuelles sont des cibles prioritaires
  • Les propriétés intellectuelles à longue durée de vie (brevets, formules, code source) sont particulièrement exposées

La règle est simple : si vos données doivent rester confidentielles au-delà de 2030, vous devez les protéger avec un chiffrement post-quantique aujourd’hui.

4. Les algorithmes post-quantiques standardisés par le NIST en 2024

Après 8 ans d’un processus de sélection rigoureux impliquant des cryptographes du monde entier, le NIST (National Institute of Standards and Technology) a publié en août 2024 ses premiers standards de cryptographie post-quantique. C’est une date historique pour la cybersécurité mondiale.

Trois algorithmes ont été standardisés :

  • FIPS 203 — ML-KEM (CRYSTALS-Kyber) : algorithme d’encapsulation de clé (KEM) pour le chiffrement des communications. Basé sur la difficulté du problème des réseaux euclidiens (Module Learning with Errors). Recommandé pour remplacer les échanges de clés RSA et ECDH.
  • FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : schéma de signature numérique post-quantique. Destiné à remplacer RSA et ECDSA pour les signatures.
  • FIPS 205 — SLH-DSA (SPHINCS+) : schéma de signature basé sur les fonctions de hachage. Alternative conservatrice aux signatures basées sur les réseaux.

Le NIST a également retenu FALCON (FIPS 206) comme algorithme de signature supplémentaire pour les cas nécessitant des signatures compactes.

Ces algorithmes ont été soumis à une analyse cryptographique intensive pendant plusieurs années. Ils sont aujourd’hui considérés comme la référence mondiale pour la migration post-quantique.

5. ML-KEM / CRYSTALS-Kyber : le standard de chiffrement post-quantique

Parmi les nouveaux standards, ML-KEM (Machine Learning Key Encapsulation Mechanism), anciennement connu sous le nom de CRYSTALS-Kyber, est l’algorithme central pour sécuriser les échanges de clés et le chiffrement des communications.

ML-KEM existe en trois variantes selon le niveau de sécurité requis :

  • ML-KEM-512 : sécurité niveau 1 NIST (équivalent AES-128 classique). Pour les usages à risque modéré.
  • ML-KEM-768 : sécurité niveau 3 NIST (équivalent AES-192 classique). Recommandé pour la plupart des applications.
  • ML-KEM-1024 : sécurité niveau 5 NIST (équivalent AES-256 classique). Pour les données les plus sensibles, les OIV, les secteurs régulés. C’est le niveau implémenté par Kapelgy.

La robustesse de ML-KEM repose sur le problème Module Learning With Errors (MLWE), une variante du problème Learning With Errors introduit par Oded Regev. Ce problème est considéré comme résistant aux attaques quantiques car aucun algorithme quantique connu — y compris l’algorithme de Shor — ne le résout efficacement.

Sur le plan des performances, ML-KEM-1024 génère des clés publiques de 1 568 octets et des ciphertexts de 1 568 octets, ce qui reste parfaitement compatible avec les contraintes réseau modernes. Les benchmarks montrent des performances comparables à RSA-2048 sur hardware récent.

6. Comment migrer vers la cryptographie post-quantique en entreprise

La migration PQC est un projet structuré qui ne s’improvise pas. Voici les quatre phases d’une transition réussie.

Phase 1 : Inventaire cryptographique

Avant toute chose, il faut savoir où sont utilisés les algorithmes vulnérables. Cet inventaire couvre les certificats TLS, les VPN, les applications métier, les API, les bases de données, les sauvegardes chiffrées et les échanges avec les partenaires. C’est souvent la phase la plus chronophage — et la plus sous-estimée.

Phase 2 : Évaluation des risques par criticité

Toutes les données ne méritent pas la même urgence de migration. Priorisez selon deux critères : la sensibilité des données (valeur pour un attaquant) et leur durée de confidentialité requise (combien d’années doivent-elles rester secrètes ?). Les données dont la durée de confidentialité dépasse 2030 sont prioritaires.

Phase 3 : Déploiement hybride

La migration ne se fait pas en une nuit. La stratégie recommandée par le NIST et l’ANSSI est le chiffrement hybride : utiliser simultanément un algorithme classique (RSA ou ECDH) et un algorithme post-quantique (ML-KEM). La clé de session résultante est protégée par les deux mécanismes. Cela garantit la sécurité même si l’un des algorithmes s’avérait vulnérable.

Phase 4 : Migration complète et rotation des clés

Une fois la compatibilité validée, la migration complète vers les algorithmes post-quantiques peut s’effectuer. Cette phase inclut la rotation de toutes les clés existantes, la mise à jour des certificats, la reconfiguration des VPN et des API, et la documentation des nouvelles politiques cryptographiques.

Un outil d’audit agentless comme

7. Réglementation : ANSSI, NIS2 et les exigences PQC en France

La transition post-quantique n’est plus seulement une bonne pratique — elle devient progressivement une obligation réglementaire.

Position de l’ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information a publié en 2022 ses recommandations pour une migration post-quantique, avec un horizon cible de 2030 pour les systèmes les plus critiques. L’ANSSI recommande explicitement ML-KEM (CRYSTALS-Kyber) comme algorithme KEM de référence, en alignement avec le NIST.

Pour les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE), la migration PQC s’inscrit dans le cadre du Référentiel Général de Sécurité (RGS) v2 et des exigences de la directive NIS2 transposée en droit français.

Directive NIS2

La directive européenne NIS2, transposée en France en 2024, élargit considérablement le périmètre des organisations soumises à des exigences de cybersécurité. Elle couvre désormais plus de 18 secteurs et environ 600 types d’entités. Parmi les exigences : la gestion des risques cryptographiques, qui inclut implicitement la préparation à la menace quantique pour les entités essentielles et importantes.

Secteur financier (DORA)

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose aux institutions financières européennes des exigences strictes en matière de résilience numérique, incluant la gestion prospective des risques cryptographiques.

8. Comment Kapelgy protège votre organisation contre la menace quantique

Kapelgy est la première plateforme d’audit cyber française à intégrer nativement CRYSTALS-Kyber-1024 / ML-KEM pour le chiffrement de toutes les communications et données sensibles de la plateforme.

Concrètement, voici ce que Kapelgy apporte à votre organisation :

Inventaire cryptographique automatisé

Le scanner agentless de Kapelgy analyse votre infrastructure web et vos API pour détecter automatiquement toutes les configurations cryptographiques vulnérables : certificats TLS avec algorithmes obsolètes, headers de sécurité manquants, protocoles SSL/TLS dépréciés. Le résultat : un inventaire complet en quelques minutes, sans installation.

Score de couverture PQC

Kapelgy calcule un score de couverture post-quantique pour chaque actif surveillé, indiquant clairement quels systèmes sont protégés par des algorithmes post-quantiques et lesquels restent vulnérables. Ce score s’affiche en temps réel dans le tableau de bord.

Chiffrement ML-KEM-1024 natif

Toutes les communications entre les agents Kapelgy et la plateforme, ainsi que le stockage de tous les champs sensibles, utilisent CRYSTALS-Kyber-1024 avec rotation automatique des clés. Votre organisation bénéficie donc d’une protection PQC réelle, pas seulement d’un audit PQC.

Monitoring des menaces quantiques en temps réel

Des alertes spécifiques signalent les nouvelles sessions non protégées, les certificats arrivant à expiration avec des algorithmes vulnérables, et les nouvelles vulnérabilités cryptographiques publiées dans les CVE.

FAQ – Cybersécurité Post-Quantique

Qu’est-ce que la cybersécurité post-quantique ?

La cybersécurité post-quantique désigne l’ensemble des techniques cryptographiques conçues pour résister aux attaques d’ordinateurs quantiques. Elle repose sur des algorithmes mathématiques — basés sur les réseaux euclidiens, les codes correcteurs d’erreurs ou les fonctions de hachage — que ni les ordinateurs classiques ni les ordinateurs quantiques ne peuvent casser en temps raisonnable.

Quand les ordinateurs quantiques menaceront-ils le chiffrement actuel ?

Les experts s’accordent sur une fenêtre de 5 à 15 ans pour l’émergence d’ordinateurs quantiques capables de briser RSA-2048 et ECC. La stratégie « harvest now, decrypt later » rend cependant la menace déjà active aujourd’hui.

Quels algorithmes post-quantiques le NIST a-t-il standardisés ?

En août 2024, le NIST a publié FIPS 203 (ML-KEM / CRYSTALS-Kyber), FIPS 204 (ML-DSA / CRYSTALS-Dilithium) et FIPS 205 (SLH-DSA / SPHINCS+). ML-KEM est l’algorithme de référence pour le chiffrement des échanges de clés.

Comment migrer vers la cryptographie post-quantique en entreprise ?

La migration PQC suit quatre étapes : inventaire cryptographique, évaluation des risques par criticité des données, déploiement hybride (PQC + classique), puis migration complète avec rotation des clés. Un outil d’audit agentless comme Kapelgy automatise la phase d’inventaire.

La migration post-quantique est-elle obligatoire ?

Pour les OIV et les OSE en France, l’ANSSI fixe un horizon cible de 2030. NIS2 et DORA imposent également une gestion proactive des risques cryptographiques. Pour toutes les organisations, la migration devient une exigence de fait dès lors que leurs données ont une durée de confidentialité dépassant 2030.