L’informatique quantique est en train de transformer un sujet technique en enjeu stratégique pour les entreprises. Car lorsque les standards cryptographiques actuels deviendront obsolètes, ce ne sont pas seulement les systèmes de sécurité qui seront fragilisés, mais aussi le chiffre d’affaires, la continuité d’activité et la confiance des marchés.
Une tribune de Pierre Codis, Keyfactor pour L’observatoire de la tech.
Face à des régulateurs déjà en mouvement et à des cybercriminels qui anticipent l’ère post-quantique, les conseils d’administration doivent désormais répondre à une question centrale : combien coûtera réellement le retard ?
Le risque quantique devient un risque business
L’arrivée du post-quantique n’est plus une hypothèse lointaine réservée aux experts cybersécurité. Les premiers standards sont déjà publiés, les régulateurs accélèrent et les entreprises commencent à mesurer l’ampleur de leur dépendance à la cryptographie. Le sujet dépasse largement la protection des données. Toute l’économie numérique repose sur des mécanismes cryptographiques : transactions financières, certificats numériques, authentification des machines, mises à jour logiciels, infrastructures cloud ou encore chaînes d’approvisionnement.
« Toute l’économie numérique repose sur la cryptographie »
Fragiliser ces fondations, c’est exposer directement l’activité. Le défi est d’autant plus critique que les délais de transition seront longs. Migrer une grande entreprise vers des standards post-quantiques prendra plusieurs années. Attendre les dernières échéances réglementaires reviendrait à conduire cette transformation dans l’urgence, avec des coûts et des risques opérationnels bien plus lourds.
Le coût caché de l’inaction augmente déjà
Les cybercriminels n’attendent pas l’arrivée d’ordinateurs quantiques pleinement opérationnels pour agir. Les stratégies « harvest now, decrypt later » consistent déjà à collecter des données chiffrées aujourd’hui pour les exploiter demain. Pour les entreprises manipulant des données sensibles à longue durée de vie – propriété intellectuelle, données financières, données de santé ou secrets industriels – le risque est donc déjà bien réel.
Dans le même temps, la pression réglementaire s’intensifie. DORA, le Cyber resilience Act (CRA) ou l’ANSSI convergent vers une même exigence : les entreprises devront démontrer qu’elles identifient leurs dépendances cryptographiques et qu’elles disposent d’une trajectoire de migration crédible. En réalité, plus les entreprises repoussent leur préparation, plus la facture finale risque d’être élevée. Le véritable danger pour les entreprises réside en effet moins dans la technologie elle-même que dans le coût du retard : migrations accélérées et donc non maitrisée, renouvellements d’infrastructures non anticipés, incompatibilités applicatives, rupture avec certains fournisseurs ou encore crises de confiance.
Une transition qui concerne toute l’entreprise
La migration post-quantique ne pourra pas être traitée comme une simple mise à jour technologique. Les dépendances cryptographiques sont nombreuses : applications métiers, environnements cloud, infrastructures réseau, équipements industriels, identités machines, certificats ou logiciels embarqués. Cette complexité impose une approche progressive et coordonnée. Les entreprises qui engagent dès maintenant cette migration pourront prioriser leurs actifs critiques, lisser leurs investissements et réduire les risques opérationnels. Les autres risquent de devoir agir sous contrainte et dans l’urgence. La capacité à identifier rapidement les dépendances cryptographiques et à faire évoluer les infrastructures sans interruption deviendra un facteur clé de résilience.
Le rôle du board : faire du post-quantique un sujet de gouvernance
Le principal risque n’est pas uniquement technologique. Il réside dans l’absence de pilotage stratégique. Trop d’entreprises délèguent la question du post-quantique aux équipes techniques alors que ses conséquences relèvent directement des responsabilités des conseils d’administration : protection des actifs stratégiques, continuité d’activité, résilience opérationnelle, exposition réglementaire et allocation du capital. Les boards doivent désormais traiter le post-quantique avec la même rigueur que les autres risques structurants de l’entreprise. Car une faille cryptographique pourrait demain provoquer des interruptions de services, des pertes financières ou une crise de confiance majeure.
« La migration post-quantique ne sera pas une simple mise à jour »
Les conseils d’administration doivent donc anticiper dès maintenant en exigeant une visibilité claire sur les systèmes, certificats et fournisseurs exposés, afin de prioriser les investissements et d’éviter une transition subie dans l’urgence. Les entreprises qui engageront cette transformation suffisamment tôt renforceront durablement leur résilience et leur crédibilité auprès des clients, des investisseurs et des régulateurs.Bas du formulaire La transition post-quantique représente une opportunité de moderniser les fondations numériques de l’entreprise, d’améliorer la gouvernance des identités machines, de renforcer la résilience opérationnelle et de bâtir une confiance numérique durable
Par Pierre Codis, Directeur commercial Europe de l’ouest de Keyfactor
