Avant même l’avènement de l’ère de l’ordinateur quantique, des risques réels apparaissent déjà. Ceux qui souhaitent protéger leurs données à long terme doivent agir maintenant. Selon l’ISACA, une compréhension claire des risques et un plan d’action élaboré sont essentiels à cet effet.
Des paiements transfrontaliers et des données de santé partagées sur les plateformes cloud aux services gouvernementaux numériques : la confiance numérique est un composant essentiel de l’économie européenne.
Cependant, le développement de l’ordinateur quantique promet d’être une arme à double tranchant. Les ordinateurs quantiques peuvent stimuler les découvertes, les optimisations et l’IA, mais ils exercent également une pression sur la cryptographie qui maintient aujourd’hui nos données privées et protège les services critiques. Cette pression est déjà perceptible avant même que le premier véritable ordinateur quantique n’ait vu le jour.
Risque déjà présent
« Les ordinateurs quantiques finiront par briser les normes de cryptage actuelles », avertit Chris Dimitriadis, Chief Global Strategy Officer chez ISACA. « Les criminels collectent déjà des données dans le but de les décrypter à l’avenir. Les entreprises ne peuvent pas se permettre d’attendre. »
Les ordinateurs quantiques finiront par briser les normes de cryptage actuelles.
Chris Dimitriadis, Chief Global Strategy Officer ISACA
Une nouvelle étude de l’ISACA met en lumière cette réalité : environ deux tiers des professionnels s’attendent à un risque cyber accru dû au quantique, mais seule une fraction dispose aujourd’hui d’une stratégie élaborée. Seulement une organisation sur vingt environ affirme avoir un plan clair.
Préparation limitée
La menace est réelle, mais la préparation est à la traîne. Selon l’enquête de l’ISACA, 56 % des professionnels n’ont encore pris aucune mesure. « C’est une préoccupation sérieuse pour l’Europe, qui place la confiance et la résilience au cœur de la transformation numérique avec l’agenda de la Décennie numérique », note Dimitriadis.
Il est clair sur ce qui doit déjà être fait : « N’attendez pas. Cartographiez où se trouvent les données cryptées et lesquelles sont les plus sensibles, utilisez déjà des algorithmes résistants au quantique pour les nouvelles données et systèmes lorsque c’est possible, et élaborez un plan concret de re-cryptage avant que le quantique ne perce à grande échelle. »
L’histoire quantique n’est pas de la science-fiction, mais une réalité européenne. L’UE injecte un milliard d’euros dans le Quantum Technologies Flagship, l’Allemagne investit deux milliards d’euros depuis 2020, les Pays-Bas débloquent 615 millions d’euros pour Kwantum Delta NL et la Belgique et le Luxembourg ont activé un lien QKD transfrontalier. Les expériences de laboratoire deviennent des pilotes, et les défis de sécurité évoluent en conséquence.
Pas un correctif mais un projet
Devenir « prêt pour le quantique » n’est pas seulement un exercice technologique. La politique joue également un rôle important. Les organisations doivent avoir une visibilité sur l’utilisation de la cryptographie sous le capot : dans les produits, les services et les intégrations transfrontalières.
S’y ajoute ce que l’ISACA appelle la « flexibilité cryptographique » : l’agilité pour mettre à niveau les algorithmes et les clés sans réécrire tout le paysage applicatif. De telles capacités touchent à l’architecture, au développement logiciel, à l’identité, aux archives, aux contrats et aux tiers.
Les règles européennes et les donneurs d’ordre publics veulent affiner le cadre sur ces couches. Attendre une clarté « parfaite » risque cependant de rendre les délais serrés irréalisables.
Le re-cryptage à travers des décennies d’archives et de chaînes complexes prend des années.
Chris Dimitriadis, Chief Global Strategy Officer ISACA
Dimitriadis avertit que les plus grands obstacles ne sont pas purement techniques : « Le re-cryptage à travers des décennies d’archives et de chaînes complexes prend des années. Mais les vrais obstacles sont les priorités et les politiques correctes. Seuls sept pour cent des organisations considèrent le risque quantique comme une haute priorité commerciale, alors que 62 pour cent reconnaissent que le cryptage Internet actuel sera craqué. »
Politique et ressources
C’est un grand écart difficile à maintenir. Pour les entreprises européennes, l’alignement avec l’évolution de la réglementation telle que la stratégie de cybersécurité de l’UE, NIS2 et le règlement sur l’IA joue également un rôle. « Le défi est de passer de la prise de conscience à l’exécution : mettre à jour les politiques, libérer des ressources et former les équipes », déclare Dimitriadis.
Les progrès scientifiques en matière de quantique dépassent la formation. Des initiatives nationales émergent, mais l’adoption dépend des organisations qui forment les dirigeants, les architectes et les ingénieurs et encadrent le quantique dans le cadre de l’agenda plus large de la « confiance numérique ». Dans la pratique, l’ISACA constate que la maturité se développe dès qu’il y a une appropriation au niveau du conseil d’administration et de la direction.
Concrétisez
Des jalons tangibles sont importants à cet égard : cartographiez les flux de données critiques, lancez des pilotes avec des mécanismes de contrôle post-quantiques là où l’impact est le plus important, et concluez des accords avec les fournisseurs pour que les changements se propagent dans toute la chaîne. Les données à longue durée de vie et les identités numériques, en particulier, doivent être prioritairement protégées pour survivre à l’ère quantique.
L’ère quantique imminente n’apporte pas que des risques : la technologie quantique fait également partie de la solution. Pensez à la Distribution Quantique de Clés (QKD), au cryptage de nouvelle génération et aux avancées dans la reconnaissance de motifs qui peuvent justement renforcer la défense. Les applications d’IA en bénéficient également, à condition que la gouvernance suive le rythme et que la valeur ne se fasse pas au détriment de la sécurité.
Lors de la conférence ISACA 2025 Europe, qui se tiendra du 15 au 17 octobre à Londres, l’ISACA organise une session qui examine en profondeur les risques de la technologie quantique, et surtout les mesures et les politiques avec lesquelles les organisations peuvent relever les défis. Plus d’informations sont disponibles via ce lien.