Longtemps considérée comme une question reléguée à un futur lointain, la cryptographie post-quantique (PQC, Post Quantic Cryptography) est aujourd’hui une réalité. La publication des premiers standards, l’entrée en vigueur du Cyber Resilience Act émis par la commission européenne et la progression rapide des cybermenaces obligent les entreprises à se mobiliser.

Pourtant, selon l’étude intitulée “Digital Trust Digest : The Quantum Readiness Edition", menée par Wakefield Research pour la société américaine Keyfactor, spécialiste de la cybersécurité, de l’identité numérique et des infrastructures à clés publiques (*), près d’un tiers (31 %) des entreprises pensent encore qu’il est "trop tôt" pour agir bien qu’attendre revienne à prendre du retard.

Dans ce contexte, Keyfactor a relevé les six excuses les plus courantes rencontrées sur le terrain,  et explique ici pourquoi il est urgent de les dépasser.

1 - "Nous ne savons pas quels algorithmes seront nécessaires". Cet argument ne tient plus puisque le NIST a publié les premiers standards PQC en août 2024. Les entreprises disposent désormais d’une base solide pour tester leur interopérabilité et renforcer leur agilité cryptographique. Attendre que "tout soit finalisé" reviendrait à retarder inutilement une transition inévitable.

2 - "Nous attendons de voir ce que font les autres". A l’ère quantique, temporiser revient à s'exposer et à mettre en danger son activité. Les cybercriminels appliquent déjà la tactique du Harvest Now, Decrypt Later, i.e  en collectant aujourd’hui les données pour les déchiffrer demain grâce à la puissance quantique. Pourtant, 24 % des entreprises préfèrent attendre que d’autres ouvrent la voie pour les suivre. Un pari risqué : chaque jour perdu réduit le temps de migration et augmente l’exposition aux menaces.

3 - "Ce n’est pas notre priorité absolue". De nombreuses entreprises continent de reléguer la transition vers le PQC au second plan, alors même que cette étude révèle que 72 % des décideurs reconnaissent qu’il s’agira d’une transition majeure, et que 20 % estiment même qu’il s’agira du défi le plus important depuis le passage à l’an 2000. Malgré cette prise de conscience, seuls 28 % des dirigeants ont alloué un budget et des ressources humaines pour mener leur migration vers la PQC. Ce décalage entre conscience du risque et action concrète pourrait avoir de graves conséquences. Par ailleurs, les entreprises dont l’autorité de certification racine expire dans les trois prochaines années doivent obligatoirement préparer leur infrastructure PKI de nouvelle génération.

4 - "Nous attendrons que les risques soient imminents". Un tiers des entreprises (33%) n’envisagent d’agir, dans cette étude, que lorsque la menace sera tangible. C’est ignorer que le PQC n’est pas une simple mise à jour "clé en main" : il s’agit d’un projet qui exige un inventaire des systèmes, une planification et des tests approfondis. Ce processus prendra plusieurs années. Lorsque la menace sera avérée, il sera probablement déjà trop tard pour réagir.

5 - "Les normes et les délais ne sont toujours pas clairs". C’était peut-être le cas hier mais aujourd’hui le NIST a officialisé les premiers standards PQC et l’Union Européenne a fixé des stratégies claires d’ici 2026 et impose des mises à jour critiques à réaliser avant 2030. Autrement dit, le calendrier est désormais établi et attendre n’a plus de raison d’être.

6 - "Nous ne disposons pas des ressources nécessaires". C’est l’un des arguments les plus fréquents : 40 % des entreprises font état d’un manque de compétences internes, et 31 % invoquent des contraintes budgétaires. Bien que réels, ces freins ne sont pas insurmontables. Comme pour toute évolution majeure de cybersécurité, la clé est de convaincre la direction (avec des arguments solides) et de constituer des équipes d’experts internes sont sécuriser le budget et les talents nécessaires.

Le mantra "Trop tôt ? Non, déjà urgent" résume parfaitement la situation, selon Keyfactor. La cybersécurité post-quantique n’est pas un chantier que l’on peut repousser. Les normes existent, le calendrier est fixé, et la migration nécessitera plusieurs années mais reporter sa mise en œuvre ne fait qu’accroître les risques, toujhours selon Keyfactor.

(*) Etude réalisée auprès de 450 professionnels de la cybersécurité en Amérique du Nord et en Europe. Tous les répondants occupent un poste de directeur ou plus, au sein d’entreprises de plus de 1 000 employés. Le rapport complet inclut des recommandations concrètes formulées par les experts de Keyfactor en cryptographie, gestion des identités et des risques.