Industrie Mag - Le journal de l'industrie.

Longtemps considérée comme une question reléguée à un futur lointain, la cryptographie post-quantique (PQC) est aujourd’hui une réalité. La publication des premiers standards, l’entrée en vigueur du Cyber Resilience Act (CRA) et la progression rapide des cybermenaces obligent les entreprises à se mobiliser. Pourtant, selon l’étude Digital Trust Digest : The Quantum Readiness Edition[1], près d’un tiers (31 %) des entreprises pensent encore qu’il est « trop tôt » pour agir bien qu’attendre revienne à prendre du retard. Keyfactor a relevé les 6 excuses les plus courantes et explique pourquoi il est urgent de les dépasser.

1. « Nous ne savons pas quels algorithmes seront nécessaires » Cet argument ne tient plus puisque le NIST a publié les premiers standards PQC en août 2024. Les entreprises disposent désormais d’une base solide pour tester leur interopérabilité et renforcer leur agilité cryptographique. Attendre que « tout soit finalisé » reviendrait à retarder inutilement une transition inévitable.

2. « Nous attendons de voir ce que font les autres » A l’ère quantique, temporiser revient à s’exposer et à mettre en danger son activité. Les cybercriminels appliquent déjà la tactique du « Harvest Now, Decrypt Later », en collectant aujourd’hui les données pour les déchiffrer demain grâce à la puissance quantique. Pourtant, 24 % des entreprises préfèrent attendre que d’autres ouvrent la voie pour les suivre. Un pari risqué : chaque jour perdu réduit le temps de migration et augmente l’exposition aux menaces.

3. « Ce n’est pas notre priorité absolue » De nombreuses entreprises continent de reléguer la transition vers le PQC au second plan, alors même que :
 72 % des décideurs reconnaissent qu’il s’agira d’une transition majeure,
 20 % estiment même qu’il s’agira du défi le plus important depuis le passage à l’an 2000, Malgré cette prise de conscience, seuls 28 % des dirigeants ont alloué un budget et des ressources humaines pour mener leur migration vers la PQC. Ce décalage entre conscience du risque et action concrète pourrait avoir de graves conséquences. Par ailleurs, les entreprises dont l’autorité de certification racine expire dans les 3 prochaines années doivent obligatoirement préparer leur infrastructure PKI de nouvelle génération.

4. « Nous attendrons que les risques soient imminents » Un tiers des entreprises (33%) n’envisagent d’agir que lorsque la menace sera tangible. C’est ignorer que le PQC n’est pas une simple mise à jour « clé en main » : il s’agit d’un projet qui exige un inventaire des systèmes, une planification et des tests approfondis. Ce processus prendra plusieurs années. Lorsque la menace sera avérée, il sera probablement déjà trop tard pour réagir.

5. « Les normes et les délais ne sont toujours pas clairs » C’était peut-être le cas hier mais aujourd’hui le NIST a officialisé les premiers standards PQC et l’Union Européenne a fixé des stratégies claires d’ici 2026 et impose des mises à jour critiques à réaliser avant 2030. Autrement dit, le calendrier est désormais établi et attendre n’a plus de raison d’être.

6. « Nous ne disposons pas des ressources nécessaires » C’est l’un des arguments les plus fréquents : 40 % des entreprises font état d’un manque de compétences internes, et 31 % invoquent des contraintes budgétaires. Bien que réels, ces freins ne sont pas insurmontables. Comme pour toute évolution majeure de cybersécurité, la clé est de convaincre la direction (avec des arguments solides) et de constituer des équipes d’experts internes sont sécuriser le budget et les talents nécessaires.

« Trop tôt ? Non, déjà urgent » résume parfaitement la situation. La cybersécurité post-quantique n’est pas un chantier que l’on peut repousser. Les normes existent, le calendrier est fixé, et la migration nécessitera plusieurs années mais reporter sa mise en œuvre ne fait qu’accroître les risques.

https://www.keyfactor.com