Les constructeurs français d’ordinateurs quantiques communiquent régulièrement sur leurs avancées technologiques. Quandela annonçait ainsi récemment le lancement de Belenos, le plus puissant ordinateur quantique photonique d’Europe avec 12 qubits.
La puissance quantique progresse et avec elle la menace pour les systèmes de chiffrement. Ce risque est-il connu des entreprises, et notamment les OIV, les opérateurs d’importance vitale ? Et fait-il l’objet d’une anticipation ? L’Anssi enquête depuis 2023 et publie un nouveau bilan.
Une connaissance avant tout théorique de la menace
Selon l’Agence de sécurité, plus de la moitié de ses interlocuteurs “semble dès aujourd’hui être à risque vis-à-vis de la menace de l’ordinateur quantique.” Motif : leur recours à des pratiques vulnérables aux attaques rétroactives, telles que l’usage de VPN pour transmettre des informations sensibles.
Les organisations n’ignorent d’ailleurs pas le risque, à terme, que le quantique pourrait représenter pour leur sécurité. Du moins, la menace quantique est-elle connue d’une “grande majorité” d’un point de vue théorique.
Mais la théorie ne justifie pas des actions dès à présent, constate l’Anssi dans sa dernière enquête consacrée à la cryptographie post-quantique. Une raison explique sans doute cet état des lieux : “l’impact concret de celle-ci sur leurs systèmes d’information ne leur est pas connu.”
Une préparation inexistante des RSSI
Le résultat est dès lors assez prévisible : les travaux d’analyse des risques liés à la menace quantique ne sont ni engagés, ni planifiés, ni budgétés pour la quasi-totalité des entreprises sondées par l’agence de sécurité de l’Etat.
Pour résumer : Aucun plan de transition post-quantique n’existe. Les RSSI ont des priorités opérationnelles plus immédiates. Mais en outre, ces derniers n’ont pas une idée précise de la date à laquelle leurs systèmes d’information devront avoir migré.
Ils ignorent également la durée nécessaire à une transition post-quantique. A un niveau plus fin de préparation, cela signifie notamment que les cas d’usage prioritaires ne sont pas identifiés et par conséquent pas pris en compte.
Des budgets à allouer et un accompagnement
L’Anssi estime que les acteurs concernés ont “un fort besoin d’accompagnement” par des prestataires externes afin de préparer un plan de transition, puis pour mettre en œuvre ce plan et ainsi tenir compte du risque sur l’ensemble de la cryptographie traditionnelle.
Mais ces prestataires sont-ils eux-mêmes prêts ? Clients comme fournisseurs se regardent, sans agir, attendant de l’autre partie qu’elle bouge. Dans les entreprises et administrations sensibles, les dirigeants restent eux aussi éloignés du sujet.
“L’écosystème ne s’est pas encore réellement emparé du sujet et force est de constater que chacun compte sur les autres pour avancer”, résume l’Anssi. Les équipes chargées des risques cyber ne disposent ni de moyens humains ni de budgets.
L’attribution de ces moyens est conditionnée “par un nécessaire soutien des Directions générales des bénéficiaires et donc l’appropriation du sujet par les décideurs au plus haut niveau.” Bilan : la transition post-quantique est au point-mort. Circulez.