Applications, réseaux et systèmes anciens à l'heure du quantique : Le point de vue d’un RSSI

Comme nous l'avons expliqué dans les premiers articles de cette série, l'informatique quantique capable de casser le cryptage standard actuel — ce qu'on appelle le « Q-Day » — est une question de quand, pas de si. Le calendrier reste incertain, mais les conséquences sont immédiates, notamment à cause des risques dits de « collecte aujourd'hui, décryptage demain » : Les ennemis peuvent aujourd'hui récupérer des données chiffrées pour les déchiffrer dès que la technologie quantique sera opérationnelle.

Vous devez protéger les données sensibles bien au-delà des cadres traditionnels de gestion des risques. Alors que les nouvelles normes cryptographiques post-quantiques sont adoptées et que certains contrôleurs de distribution d’applications (ADC) et réseaux de diffusion de contenu (CDN) intégrent désormais des protections hybrides, le défi reste urgent : La dette technique accumulée sur les systèmes hérités nécessite rapidement votre attention, tandis que la pression exercée par les régulateurs et les parties prenantes s’intensifie.

Selon ce RSSI, il est temps d’agir, sans négliger la gouvernance, les risques et la conformité (GRC). Préparez-vous à des audits, un contrôle renforcé et un nouvel écosystème qui validera la préparation au quantique dès 2026. Les équipes de sécurité et de GRC confrontent déjà une grande complexité pour évaluer les fournisseurs, surtout sur les appareils anciens ou non évolutifs. Communiquer un message clair, un état précis et un reporting rigoureux bénéficiera à votre organisation ces prochaines années.

Bien que les risques liés au quantique soient souvent perçus comme un enjeu futur, la ratification officielle des normes PQC ouvre une nouvelle ère. Gartner prévoit que les méthodes cryptographiques asymétriques utilisées couramment pourraient être compromises dès 2029, puis totalement dépassées d’ici 2034.*

Nous sommes déjà plus proches de 2029 que de 2020 — ce qui laisse peu de temps pour un projet pluriannuel, surtout s’il n’a pas encore été défini, priorisé, budgété ni engagé. Vous verrez que le périmètre des technologies héritées et des appareils non évolutifs sera plus important que prévu.

Pour les RSSI, DSI et directeurs techniques, ne pas anticiper le PQC représente un risque majeur pour la résilience de votre entreprise, un risque pourtant évident depuis plus de dix ans. Reportez l’action et vous exposez votre organisation à des compromissions prévisibles, à des manquements réglementaires, notamment au RGPD, et à un risque pour votre réputation. 

Il n’est pas encore temps de paniquer, mais il est essentiel d’agir avec urgence et de planifier de façon coordonnée au sein des organisations et des chaînes d’approvisionnement. En préparant 2026, vous devrez investir stratégiquement et élaborer des plans d’action concrets pour la PQC afin d’incarner un leadership responsable en matière de sécurité à l’ère de l’IA et du quantique. 

Les États-Unis Le National Institute of Standards and Technology (NIST) a défini une voie claire, en validant les algorithmes PQC comme ML-KEM (FIPS 203) pour l’échange de clés, ML-DSA (FIPS 204) pour les signatures numériques, et SLH-DSA (FIPS 205) pour les signatures de secours. Ces normes éprouvées établissent une base technique solide, faisant passer le PQC de la théorie à l’action. Les recommandations du NIST sont précises : les normes sont ratifiées, c’est le moment de déployer le premier ensemble.

Et puisque les ordinateurs contre lesquels vous devez vous protéger ne sont pas encore construits (à notre connaissance), voici la PREMIÈRE migration vers un nouveau chiffrement. Votre objectif n’est pas une mise à jour ponctuelle, mais d’intégrer la « crypto-agilité » comme compétence clé de votre service informatique et de votre chaîne d’approvisionnement, car il faudra recommencer à chaque nouvelle menace quantique. Encore une fois. Et de nouveau.

La première mise en œuvre des normes PQC sera surtout une mise à jour logicielle. Pour atteindre la crypto-agilité—c’est-à-dire la capacité à actualiser rapidement la cryptographie au fil des évolutions des normes—vous devez revoir profondément la gestion des actifs, la gouvernance et les opérations informatiques. Les équipes GRC doivent se préparer à gérer un large éventail de tâches : inventaire, gestion des versions, tests de compatibilité et registres des risques.

Nous prenons en charge des transitions bien gérées pour réduire les risques de pannes, de perturbations opérationnelles et de non-conformité, notamment dans les environnements cloud hybrides, multicloud et hérités. 

Le PQC impacte directement les applications, pas seulement l’infrastructure. Adopter une cryptographie résistante au quantique va bien au-delà d’un simple changement de bibliothèque : cela exige souvent des révisions majeures du code dans des composants cryptographiques profondément intégrés. Face à cet effort qui s’étale sur plusieurs années, vous devez anticiper des réticences, des plaintes sur le manque de ressources, des coûts de conseil élevés nécessitant des compétences spécialisées, une résistance interne et une évolution constante des justifications commerciales, souvent compliquées par une documentation limitée sur des systèmes anciens. 

Agir rapidement évite des crises à venir et vous permet d’opérer des changements réfléchis et moins perturbants. Vous ignorez souvent ce que vous ne savez pas encore, et gérer les parties prenantes à ce sujet sera crucial pour réussir et mener à bien vos projets. 

Les algorithmes PQC exigent souvent des clés plus volumineuses et une puissance de calcul accrue, ce qui peut ralentir vos applications et réduire leur débit, surtout pour les tâches sensibles au temps.

La modernisation pour intégrer le PQC révèle souvent une dette technique cachée, engendrant des dépassements budgétaires, mais vous assure finalement une résilience et des performances accrues pour l’avenir.

Vous devez bien gérer les attentes : tous les systèmes ne peuvent pas être mis à niveau, et cela ne se résume pas à une opération unique à oublier par la suite. Communiquez clairement avec les parties prenantes que la découverte et l’adaptation constantes deviennent la norme, et que cette transition révélera progressivement de nouveaux défis.

Le PQC transformera les équipements réseau, serveurs et services cloud – notamment ceux responsables de la terminaison TLS et du chiffrement. Même si beaucoup de navigateurs et de serveurs s’adapteront, vous devrez mettre à niveau ou remplacer plusieurs systèmes anciens en raison de la hausse des besoins en bande passante et en puissance de traitement.

Pour préparer votre stratégie de sécurité, il est essentiel de distinguer l’impact du PQC sur les mécanismes d’échange de clés (KEM) et sur les signatures numériques dans des protocoles tels que TLS. Votre priorité absolue doit être de déployer les KEM PQC (comme ML-KEM) pour prévenir les attaques « récolter aujourd’hui, décrypter demain », car ils protègent les données à long terme que les adversaires collectent actuellement.

Vous pouvez étaler le déploiement de la signature numérique selon un calendrier plus prudent et fondé sur les risques, car la falsification n’est possible qu’au cours des sessions actives.

Les HSM jouent un rôle crucial dans la gestion des clés cryptographiques mais rencontrent des contraintes en environnement PQC. Les clés plus volumineuses et la demande accrue en calcul des algorithmes quantiques surpassent souvent les capacités des équipements matériels actuels et limités. La génération de clés à partir de graines aide à résoudre les problèmes de stockage, tout en engendrant une charge de calcul supplémentaire. Nous devons souvent accepter coûts, complexité et délais pour passer aux HSM compatibles PQC, indispensables pour préserver l’intégrité cryptographique.

Le défi majeur du PQC réside dans son intégration aux technologies opérationnelles (OT), à l’IoT et aux systèmes embarqués, qui n’ont pas été conçus pour une agilité cryptographique. Ces dispositifs manquent souvent de la mémoire, du stockage ou de la puissance de calcul nécessaires pour supporter les clés PQC plus longues et les charges de traitement accrues. Nous devons donc favoriser une collaboration interdisciplinaire entre cybersécurité, infrastructure et gestion des données, malgré des délais de plus en plus serrés. Pour gagner du temps, ces appareils peuvent nécessiter une segmentation du réseau en attendant un remplacement ou une mise à jour.

F5, fort de sa solide expertise en gestion et sécurité d’applications, vous accompagne efficacement dans cette transition. La plateforme de gestion et de sécurité des applications F5 (ADSP) intègre déjà parfaitement les solutions de préparation PQC, facilitant la gestion et la sécurité des applications dans des environnements hybrides, multicloud et traditionnels.

Comme le soulignait récemment le cabinet d’analystes leader du secteur EMA dans sa Vendor Vision 2025 : Édition Black Hat : « La plateforme de sécurité et de distribution applicative F5 (ADSP) n’est pas simplement un outil pour sécuriser les applications ; c’est une solution visionnaire pensée pour protéger les actifs stratégiques contre les menaces émergentes, y compris le défi imminent de l’informatique quantique... L’intégration rapide et décisive par F5 de la préparation à la cryptographie post-quantique (PQC) le différencie nettement de concurrents encore en phase expérimentale. »

Les outils unifiés de visibilité, gestion et évaluation des menaces de F5 rendent la transition vers la cryptographie quantique plus accessible et préservent votre agilité opérationnelle. En tant qu’acteur intermédiaire, nous centralisons et automatisons vos transitions cryptographiques à la frontière du réseau et à l’entrée des applications, tout en fournissant une télémétrie et des analyses pilotées par l’IA pour gérer les menaces en continu. Nous relevons le défi de « changer un moteur en plein vol » en dissociant la migration PQC du cycle de développement principal, ce qui allège considérablement votre charge opérationnelle immédiate et limite les risques d’interruption.

Le parcours PQC s’inscrit dans une transformation à long terme. Vous devez clarifier les enjeux, définir des attentes précises et ajuster vos plans face à l’évolution des menaces ou aux complications héritées. Anticiper proactivement vous permet de transformer le mandat du PQC en une opportunité stratégique, pour enfin régler la dette technique accumulée, car cette démarche ne sera pas unique. Profitez-en pour obtenir une visibilité complète, moderniser vos opérations et affirmer un leadership clair en matière de résilience numérique.

Les organisations qui réussiront considèrent le PQC comme une transformation continue à l’échelle de l’entreprise, pas comme une simple mise à jour ponctuelle. Adoptez une vision globale, diffusez clairement vos messages dans toute votre entreprise et votre chaîne d’approvisionnement, et engagez les efforts nécessaires dès aujourd’hui. C’est votre opportunité pour renforcer votre organisation en la rendant plus sûre, agile et résiliente à l’avenir. Votre capacité à diriger dans cette période déterminera la continuité, la conformité et la réputation de votre organisation sur le long terme, et F5 vous accompagne à chaque étape. 

Pour en savoir plus, inscrivez-vous à notre prochain webinaire, « Assurer l'avenir de la cybersécurité : Maîtriser la cryptographie post-quantique. » 

Pensez également à consulter nos articles précédents de la série :

Un regard sur l’engouement pour la cryptographie post-quantique

Préparons le terrain : Pourquoi le PQC est-il essentiel ?

Comprendre les standards et les échéances du PQC

* Gartner, « Initiez dès aujourd’hui la transition vers la cryptographie post-quantique », par Mark Horvath, 30 septembre 2024