Le Campus Cyber fixe la feuille de route vers le post-quantique 

Éclipsé ces derniers mois par l’IA, le quantique revient brutalement dans l’agenda cyber. Réuni ce mercredi 24 juin à Puteaux, le Campus Cyber a dévoilé deux référentiels destinés à accélérer la transition vers la cryptographie post-quantique. D’un côté, un guide de migration traduit les échéances européennes en feuille de route opérationnelle pour les RSSI. De l’autre, un panorama recense les solutions déjà disponibles pour engager les premiers chantiers. Cette publication intervient alors que Washington vient d’accélérer sa propre stratégie quantique à travers un Executive Order signé par Donald Trump deux jours plus tôt. “La singularité du quantique en cyber, c’est qu’on est encore dans les temps”, a estimé Joffrey Célestin-Urbain, président du Campus Cyber. Encore faut-il s’y mettre. Bruxelles attend les premières migrations des systèmes les plus sensibles dès fin 2026 avant une sécurisation des infrastructures critiques à horizon 2030. “L’incertitude ne porte pas sur l’arrivée du phénomène, mais sur son calendrier”, a-t-il ajouté. Le Q-Day reste donc difficile à dater. La nécessité de s’y préparer l’est beaucoup moins. 

3 300 milliards de dollars de pertes 

Si le Campus Cyber a choisi de publier simultanément ses deux livrables, c’est pour éviter que le sujet ne reste cantonné aux laboratoires ou aux directions techniques. Le message s’adresse désormais aux comités exécutifs. “Ce sont des événements dont la probabilité est dure à quantifier, mais certains et potentiellement catastrophiques pour l’ensemble de l’économie”, a averti Joffrey Célestin-Urbain. Le président du Campus Cyber n’hésite pas à comparer l’enjeu au Covid-19 ou au dérèglement climatique, deux crises dont les signaux faibles étaient identifiés bien avant leur matérialisation. Les conséquences pourraient être considérables. Une étude de la Quantum Alliance Initiative estime qu’une cyberattaque quantique visant une grande banque américaine pourrait provoquer jusqu’à 3 300 milliards de dollars de pertes directes et indirectes. Un montant qui représenterait jusqu’à 17 % du PIB des États-Unis. Le guide de migration repose précisément sur cette logique de préparation. Il détaille les étapes à suivre jusqu’en 2035, met l’accent sur l’inventaire des actifs cryptographiques et insiste sur la nécessité de développer une véritable crypto-agilité. D’autant que la menace ne relève plus du seul scénario prospectif. “Ça commence avant l’arrivée de l’ordinateur quantique”, a rappelé Pierre Fressonnet, RSSI de la Banque de France. Les attaques dites Store Now, Decrypt Later, reposent sur ce principe. Des données sont collectées aujourd’hui dans l’espoir de pouvoir être déchiffrées demain lorsque les capacités de calcul auront atteint un seuil critique. 

Faire du quantique un sujet de COMEX 

Au-delà de la méthode, les deux livrables visent à transformer un sujet longtemps perçu comme ésotérique en enjeu stratégique. Le panorama met en lumière les outils déjà disponibles pour inventorier les dépendances cryptographiques, gérer les certificats ou moderniser les infrastructures de confiance, avec une visibilité particulière accordée aux acteurs européens. Une façon de rappeler que l’Europe n’a pas encore décroché dans la course quantique. “En France et en Europe, on est très compétitif sur les skills, sur la recherche”, a souligné Joffrey Célestin-Urbain. Mais le temps presse. L’ANSSI prévoit qu’à partir de 2027 les nouvelles solutions entrant dans un processus de qualification devront intégrer des mécanismes post-quantiques. Les entreprises commencent d’ailleurs à exiger des feuilles de route cryptographie post-quantique de leurs fournisseurs. Pour le président du Campus Cyber, le risque serait de reproduire le même effet de surprise que celui provoqué par l’irruption de certains modèles d’IA dans les états-majors. “Il ne faut pas exclure un nouveau moment Mythos, mais du quantique”, a-t-il prévenu. Le coût de la transition est estimé à 2,5 % des budgets IT cumulés des entreprises concernées. “Une organisation qui ne se prépare pas est une organisation virtuellement à la ramasse”, a tranché Joffrey Célestin-Urbain. Rarement le quantique aura semblé aussi lointain technologiquement... et aussi proche dans les agendas des dirigeants.