Avant même que l’ère de l’ordinateur quantique n’ait commencé, des risques bien réels apparaissent déjà. Quiconque souhaite protéger ses données à long terme doit agir dès maintenant. Une compréhension claire des risques et un plan stratégique bien défini sont essentiels à cet égard, souligne l’ISACA.
Des paiements transfrontaliers et du partage des données de santé sur les plateformes cloud aux services administratifs numériques, la confiance numérique est un élément essentiel de l’économie européenne.
Pourtant, le développement de l’ordinateur quantique est promis à être une arme à double tranchant. Les ordinateurs quantiques peuvent stimuler les découvertes, les optimisations et l’IA, mais ils mettent également sous pression la cryptographie qui assure aujourd’hui la confidentialité de nos données et protège les services critiques. Cette pression se fait déjà sentir avant même que le premier véritable ordinateur quantique n’ait vu le jour.
Déjà un risque
« Les ordinateurs quantiques briseront à terme les normes de cryptage actuelles », prévient Chris Dimitriadis, directeur de la stratégie mondiale chez l’ISACA. « Les criminels collectent déjà des données , dans le but de les décrypter à l’avenir. Les entreprises ne peuvent pas attendre. »
Les ordinateurs quantiques briseront à terme les normes de cryptage actuelles
Chris Dimitriadis, ISACA
Une nouvelle étude de l’ISACA montre clairement cette réalité : environ deux tiers des professionnels s’attendent à une augmentation des cyberrisques liés au quantique, mais seule une fraction d’entre eux dispose aujourd’hui d’une stratégie élaborée. Seule une organisation sur vingt déclare avoir un plan clair.
Préparation limitée
La menace est réelle, mais la préparation est à la traîne. Selon l’enquête de l’ISACA, 56 % des professionnels n’ont encore pris aucune mesure. « C’est une préoccupation majeure pour l’Europe, qui place la confiance et la résilience au cœur de la transformation numérique dans le cadre de son programme « Décennie numérique », note Dimitriadis.
Il est clair sur ce qu’il faut faire dès maintenant : « N’attendez pas. Identifiez où se trouvent les données cryptées et lesquelles sont les plus sensibles, utilisez si possible des algorithmes résistants au quantique pour les nouvelles données et les nouveaux systèmes, et élaborez un plan de recryptage concret avant que le quantique ne se généralise. »
L’histoire du quantique n’est pas de la science-fiction, mais une réalité européenne. L’UE injecte un milliard d’euros dans le Quantum Technologies Flagship, l’Allemagne investit deux milliards d’euros depuis 2020, les Pays-Bas débloquent 615 millions d’euros pour Kwantum Delta NL et la Belgique et le Luxembourg ont activé une liaison QKD transfrontalière. Les expériences en laboratoire deviennent des projets pilotes, et les défis en matière de sécurité évoluent en conséquence.
Pas un correctif, mais un projet
Être prêt pour le quantique n’est pas seulement une question de technologie. La politique joue également un rôle important. Les organisations doivent savoir où se trouve la cryptographie dans leurs produits, services et intégrations transfrontalières.
À cela s’ajoute ce que l’ISACA appelle la « crypto-flexibilité » : la capacité à mettre à niveau les algorithmes et les clés sans avoir à réécrire l’ensemble du paysage applicatif. Ces capacités touchent à l’architecture, au développement de logiciels, à l’identité, aux archives, aux contrats et aux tiers.
C’est sur ces aspects que les réglementations européennes et les pouvoirs adjudicateurs souhaitent clarifier le cadre. Cependant, attendre une clarté « parfaite » risque de rendre les délais serrés irréalisables.
Le re-cryptage à travers des décennies d’archives et de chaînes complexes prend des années.
Chris Dimitriadis, ISACA
Dimitriadis prévient que les principaux obstacles ne sont pas uniquement techniques : « Le recryptage de décennies d’archives et de chaînes complexes prend des années. Mais les véritables obstacles sont la définition de priorités et de politiques adéquates. Seules 7 % des organisations considèrent le risque quantique comme une priorité élevée pour leur entreprise, tandis que 62 % reconnaissent que le cryptage actuel d’internet sera piraté. »
Politique et ressources
C’est une position difficile à maintenir. Les entreprises européennes doivent en outre s’adapter à l’évolution de la réglementation, comme la stratégie de cybersécurité de l’UE, la directive NIS2 et le règlement sur l’IA. « Le défi consiste à passer de la prise de conscience à la mise en œuvre : mettre à jour les politiques, libérer des ressources et former les équipes », explique Dimitriadis.
Les progrès scientifiques dans le domaine du quantique avancent plus rapidement que les formations. Des initiatives nationales voient le jour, mais leur adoption dépend des organisations qui forment les dirigeants, les architectes et les ingénieurs et qui inscrivent le quantique dans le cadre plus large de la « confiance numérique ». L’ISACA constate dans la pratique que la maturité augmente dès que le conseil d’administration et les cadres supérieurs s’approprient le sujet.
Concrétiser
Pour cela, il est important de fixer des jalons concrets : schématiser les flux de données critiques, lancer des projets pilotes avec des mécanismes de contrôle post-quantum là où l’impact est le plus important et conclure des accords avec les fournisseurs afin que les changements se répercutent sur l’ensemble de la chaîne. Les données à longue durée de vie et les identités numériques doivent notamment bénéficier en priorité d’une protection qui survivra à l’ère quantique.
L’ère quantique qui s’annonce n’est pas uniquement synonyme de risques : la technologie quantique fait également partie de la solution. Par exemple, la Quantum Key Distribution (QKD), au cryptage nouvelle génération et aux progrès en matière de reconnaissance des formes, qui peuvent renforcer la défense. Les applications d’IA en bénéficient également, à condition que la gouvernance suive le rythme et que la valeur ne se fasse pas au détriment de la sécurité.
Lors de la conférence ISACA 2025 Europe, qui se tiendra à Londres du 15 au 17 octobre, l’ISACA organisera une session consacrée aux risques liés à la technologie quantique, et plus particulièrement aux mesures et politiques permettant aux organisations de relever ces défis. Pour plus d’informations, cliquez sur ce lien..