Le 27 mai dernier, l’ANSSI a publié une analyse de risque sur le chiffrement destinée aux décideurs non spécialistes. Certaines des attaques qu’elle décrit sont déjà en cours. Selon l’agence, pour migrer une organisation vers des mécanismes résistants aux attaques quantiques, il faut environ dix ans. Mieux vaut donc commencer maintenant.
On vous en a déjà parlé sur Clubic, la menace quantique concerne les particuliers, mais également les entreprises, dont les TPE-PME. Alors au même titre que madame ou monsieur tout le monde, quand votre comptable expédie un bilan par messagerie ou que votre prestataire se connecte à distance à vos serveurs, ces échanges sont sécurisés par des algorithmes cryptographiques.
Un ordinateur quantique n’est pas un ordinateur plus rapide. C’est une machine qui fonctionne selon des principes physiques radicalement différents, capable de résoudre en quelques heures des problèmes mathématiques qu’un ordinateur classique mettrait des millénaires à traiter. Les algorithmes qui chiffrent vos données aujourd’hui, RSA et ECDSA, deux standards très répandus dans les messageries et les VPN professionnels, sont construits sur ce type de problèmes.
La Commission européenne estime probable qu’une telle machine soit opérationnelle d’ici 2040, et le Global Risk Institute estimait en 2025 entre 19 % et 34 % la probabilité qu'une telle machine casse les protocoles les plus répandus en 24 heures dès 2035.
Si vous êtes à la tête d’une organisation qui traite des données de sécurité hautement sensibles, voici les sept questions à vous poser, et ce que l’ANSSI répond.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Vos données stratégiques sont déjà vulnérables
Combien d’années vos contrats et accords confidentiels doivent-ils rester hors de portée ?
Des acteurs malveillants, essentiellement étatiques à ce stade, interceptent des flux chiffrés dès maintenant et les stockent, en attendant les capacités quantiques qui leur permettront de les décrypter. C’est l’attaque « moissonner maintenant, déchiffrer plus tard ». Pour un accord de partenariat à quinze ans ou un dossier médical, cette menace est déjà réelle.
Sur quels protocoles cryptographiques votre réseau tourne-t-il ?
RSA et ECDSA, très répandus dans les VPN et les messageries professionnelles, sont directement exposés, car leur sécurité est élaborée à partir de problèmes mathématiques qu’un ordinateur quantique résoudra sans difficulté. Mais l’algorithme de chiffrement AES-256 résiste. Il s’agit d’abord de cartographier ce qui tourne dans votre infrastructure, avant de décider quoi migrer en priorité.
Certains de vos équipements ont-ils plus de dix ans ?
Une fraiseuse numérique ou un automate de production embarquent des clés cryptographiques qu’on ne peut généralement pas mettre à jour sans remplacer la machine. Il faut en dresser la liste et mesurer ce que leur compromission coûterait à votre activité.
La haute gouvernance de votre entreprise doit piloter la migration
Vos prestataires IT ont-ils prévu leur propre migration ?
Un fournisseur non migré reste une porte d’entrée dans votre système, même si votre propre infrastructure est à jour. Il suffit d’une signature numérique falsifiée sur une mise à jour logicielle pour tout compromettre. Par ailleurs, la directive NIS2, dont la transposition française est attendue pour ce mois de juillet, vous oblige à sécuriser votre chaîne d’approvisionnement. Vos clients grands comptes vous poseront bientôt cette question.
Avez-vous commencé un inventaire de ce que vous chiffrez ?
Il n’a pas besoin d’être exhaustif pour être utile. Il vous faut prioriser selon deux critères : la gravité des conséquences si la donnée est compromise et la durée pendant laquelle elle doit rester protégée.
Un accord confidentiel à quinze ans passe avant un e-mail de prospection. Le Secrétariat général pour l’investissement peut financer des outils pour accompagner cet inventaire si vous en avez besoin.
Votre prochain VPN ou votre prochain pare-feu intègre-t-il de la cryptographie post-quantique ?
À partir de 2030, si vous choisissez des solutions sans mécanismes post-quantiques, vous prenez des risques, selon l’ANSSI. Dès 2027, l’agence cessera de qualifier des produits qui n’en embarquent pas. C’est donc maintenant qu’il faut poser la question à votre fournisseur. À la signature du prochain contrat, il sera sans doute trop tard.
Qui, au sein de votre direction, pilote ce sujet ?
Comme le précise l’ANSSI, c’est à la haute gouvernance de votre entreprise, direction générale ou comité des risques, d’en être garante, pas au seul prestataire informatique. Au minimum, vous devez mettre en place un point annuel en comité de direction et un suivi opérationnel trimestriel. En 2025, le Global Risk Institute estimait entre 19 % et 34 % la probabilité qu’un ordinateur quantique casse RSA-2048 en 24 heures d’ici 2035.
Que faire en priorité et pour le futur pour votre transition cryptographique ?
On vient de le voir, en priorité, vous devez dresser l’inventaire de vos données à longue durée de vie et l’identification des protocoles asymétriques qui les protègent. C’est le seul moyen de savoir si vous êtes déjà concerné par les attaques « moissonner maintenant, déchiffrer plus tard ».
Vos sauvegardes, en parallèle, doivent être chiffrées, déconnectées du réseau et testées régulièrement. En 2025, 37 % des incidents par rançongiciel traités par l’ANSSI visaient des TPE, PME et ETI, et les exfiltrations de données ont bondi de 51 % par rapport à 2024. Un prestataire compromis peut à lui seul paralyser une filière entière : en décembre 2023, un seul hébergeur touché a bloqué des milliers de cabinets comptables pendant plusieurs jours.
Au fil des renouvellements de contrats, il faudra intégrer les exigences post-quantiques dans chaque achat de solution de sécurité. La crypto-agilité, la capacité à mettre à jour les algorithmes cryptographiques sans remplacer toute l’infrastructure, sera l’objet des prochaines négociations avec vos fournisseurs.
En attendant, vous pouvez télécharger la dernière analyse de l’ANSSI, qui vous guidera à travers vos priorisations en cliquant ici.
