L'informatique quantique vole « maintenant pour déchiffrer dans le futur »

Soyons clairs : vos données ne sont plus en sécurité.

Pas piratées aujourd'hui, mais stockées pour être déchiffrées lorsque les ordinateurs quantiques seront matures. Cette attaque est appelée « Récolter maintenant, déchiffrer plus tard » (Harvest Now, Decrypt Later), et elle est en cours.

Le problème est plus urgent que vous ne le pensez

L'informatique quantique est souvent considérée comme une menace théorique lointaine. Ronit Ghose, responsable mondial de l'avenir financier chez Citi Research, souligne que cet état d'esprit met les services financiers en danger.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Ce n'est pas de l'alarmisme. Le chiffrement à clé publique actuel (RSA, ECC) sera impuissant face à un ordinateur quantique suffisamment puissant. L'algorithme de Shor peut factoriser de grands nombres en temps polynomial, ce qui signifie qu'une clé RSA de 2048 bits sera inutile.

Le problème de la chronologie

La question centrale n'est pas de savoir si « l'informatique quantique arrivera », mais « quand ».

• Estimation optimiste : des ordinateurs quantiques pratiques dans 5 à 10 ans
• Estimation prudente : 15 à 20 ans
• Réalité : le cycle de vie des données peut durer de 10 à 20 ans

Si les données que vous chiffrez aujourd'hui sont toujours sensibles dans 15 ans (dossiers médicaux, données financières, secrets d'État), vous êtes déjà en danger.

Progrès de la cryptographie post-quantique (PQC)

La bonne nouvelle est que la solution est en route. Le NIST a normalisé le premier lot d'algorithmes de cryptographie post-quantique en 2024 :

• CRYSTALS-Kyber : pour l'encapsulation de clés
• CRYSTALS-Dilithium : pour les signatures numériques
• SPHINCS+ : signatures de hachage sans état

La mauvaise nouvelle est que la migration vers ces algorithmes prend du temps - pour les grandes organisations, cela peut prendre des années.

Une nouvelle dimension de la sécurité de la chaîne d'approvisionnement

Ce n'est pas un problème de défense pour une seule organisation. Un cas intéressant : une extension Chrome a été découverte en train de voler des données d'entreprise et des codes 2FA.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Cela nous rappelle : avant de considérer la menace quantique, la sécurité de base est toujours pleine de vulnérabilités. Les attaques de la chaîne d'approvisionnement, les risques tiers, le contournement de l'authentification - ces problèmes ne disparaîtront pas avec l'avènement de l'informatique quantique.

L'intersection de l'IA et de la cybersécurité

Une tendance à surveiller : l'IA + la cybersécurité deviennent d'énormes opportunités de carrière.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Il ne s'agit pas seulement de se défendre contre les attaques basées sur l'IA, mais aussi d'utiliser l'IA pour améliorer les opérations de sécurité : détection des menaces, identification des anomalies, réponse automatisée. Mais l'IA apporte également de nouveaux risques - empoisonnement des modèles, exemples contradictoires, erreurs de décision de sécurité dues à des hallucinations.

Conseils pratiques pour les entreprises

1. Inventaire des actifs chiffrés : identifier les données qui doivent être protégées à long terme
2. Élaborer un plan de migration PQC : n'attendez pas la dernière minute
3. Renforcer la sécurité de base : VAPT (évaluation des vulnérabilités et tests d'intrusion) ne devrait pas être un projet ponctuel, mais un cycle de vie continu
4. Surveiller la chaîne d'approvisionnement : chaque outil tiers est une surface d'attaque potentielle
5. Investir dans les talents : les talents qui comprennent à la fois l'IA et la sécurité seront extrêmement rares

Conclusion

La menace quantique n'est pas de la science-fiction, mais un fait mathématique. La seule différence est : vous vous préparez maintenant, ou vous réparez après l'attaque.

Le choix vous appartient. Mais rappelez-vous : les attaquants sont déjà derrière vous, ils collectent toutes les données que vous chiffrez aujourd'hui.