Cryptographie post-quantique : qu’est-ce qui freine la transition des entreprises ?

Keyfactor met en avant 6 excuses qu’il faut absolument dépasser.

1. Nous ne savons pas quels algorithmes seront nécessaires

Le NIST a publié les premiers standards PQC en août 2024. Les entreprises disposent désormais d’une base solide pour tester leur interopérabilité et renforcer leur agilité cryptographique.

Conseil : attendre que « tout soit finalisé » reviendrait à retarder inutilement une transition inévitable.

2. Nous attendons de voir ce que font les autres

Temporiser revient à s’exposer et à mettre en danger son activité. Les cybercriminels appliquent déjà la tactique du « Harvest Now, Decrypt Later », en collectant les données pour les déchiffrer demain grâce à la puissance quantique. Pourtant, 24 % des entreprises préfèrent attendre que d’autres ouvrent la voie pour les suivre.

Conseil : chaque jour perdu réduit le temps de migration et augmente l’exposition aux menaces.

3. Ce n’est pas notre priorité absolue

Beaucoup relèguent la transition vers le PQC au second plan. Pourtant :

• 72 % des décideurs reconnaissent qu’il s’agira d’une transition majeure
• 20 % estiment même qu’il s’agira du défi le plus important depuis le passage à l’an 2000,

Mais seuls 28 % des dirigeants ont alloué un budget et des ressources humaines pour mener leur migration vers la PQC. Les entreprises dont l’autorité de certification racine expire dans les 3 prochaines années doivent obligatoirement préparer leur infrastructure PKI de nouvelle génération.

Conseil : ce décalage entre conscience du risque et action concrète pourrait avoir de graves conséquences

4. Nous attendrons que les risques soient imminents

33% n’envisagent d’agir que lorsque la menace sera tangible. C’est ignorer que le PQC n’est pas une simple mise à jour clé en main, c’est un projet qui exige un inventaire des systèmes, une planification et des tests approfondis. 

Conseil : lorsque la menace sera avérée, il sera probablement déjà trop tard pour réagir.

5. Les normes et les délais ne sont toujours pas clairs

Le NIST a officialisé les premiers standards PQC, l’Union Européenne a fixé des stratégies claires d’ici 2026 et impose des mises à jour critiques à réaliser avant 2030.

Conseil : le calendrier est désormais établi et attendre n’a plus de raison d’être.

6. Nous ne disposons pas des ressources nécessaires

40 % font état d’un manque de compétences internes, et 31 % invoquent des contraintes budgétaires. Comme pour toute évolution majeure de cybersécurité, il faut convaincre la direction, constituer des équipes d’experts internes.

Conseil : La cybersécurité post-quantique n’est pas un chantier que l’on peut repousser. Les normes existent, le calendrier est fixé : reporter sa mise en œuvre ne fait qu’accroître les risques.

Source : Etude Wakefield Research pour Keyfactor – 450 professionnels de la cybersécurité en Amérique du Nord et en Europe. Directeur ou plus, au sein d’entreprises de plus de 1 000 employés.