Une enquête menée par l’Anssi fait ressortir que de nombreuses entreprises françaises n’ont pas encore pris la mesure de tous les risques potentiels liés au chiffrement post-quantique. Mauvaise compréhension des enjeux et manque de moyens financiers et humains expliquent en partie cette situation.
Fin 2024 l’Anssi publiait deux études sur les solutions et prestations de services dans le domaine du chiffrement post quantique. Six mois plus tard, l’agence nationale de la sécurité des systèmes d’information a mis en ligne un troisième rapport portant sur l’état de la prise en compte de la cryptographie post-quantique. Et ce en s’intéressant autant à la connaissance des entreprises françaises sur le sujet, que des contre-mesures prises en compte, des attentes et des plans de transition associés. Pour cette enquête, l’ANSSI indique que plus de la moitié des sondés – leur nombre n’est pas communiqué – sont exposés à des risques et menaces émanant de systèmes quantiques.
« La grande majorité des bénéficiaires a connaissance de cette menace quantique d’un point de vue théorique mais l’impact concret de celle-ci sur leurs systèmes d’information ne leur est pas connu », explique l’agence dans son enquête. « Ceci explique que les travaux d’analyse des risques liés à la menace quantique ne sont ni engagés, ni planifiés, ni budgétés pour la quasi-totalité des bénéficiaires. Aucun plan de transition post-quantique n’existe. Les RSSI consultés n’ont pas une idée précise de la date à laquelle leurs systèmes d’information devront avoir migré ni le temps qu’une telle transition pourrait prendre. »
Des absences de prise de conscience
Plusieurs raisons expliquent l’absence de prise en compte des menaces post-quantique, à commencer par une mauvaise compréhension des enjeux et la carence d’une quelconque feuille de route pour contraindre ou inciter les entreprises à les considérer. « Les sondés ne se sont pas encore emparés du sujet post-quantique car ils n’ont pas clairement identifié ses enjeux », indique l’Anssi. Deuxième raison avancée : un manque de moyens financiers et humains, eu égard à un niveau « très bas » de priorité accordée à cet enjeu. L’agence soulève également la faiblesse des offres de services d’accompagnement à la transition post-quantique et l’inexistence d’obligation réglementaire – pour les entités régulées. « Au-delà de l’aspect coercitif, l’existence d’une réglementation rend concrète une menace et priorise sa prise en compte par les entités régulées concernées. Par ailleurs, l’effet d’entrainement sur le reste de l’écosystème n’est pas à négliger », poursuit l’agence.
Dans ce contexte, l’Anssi enjoint les organisations à démarrer sans tarder les actions préparatoires à la transition post-quantique, évaluer leur niveau de risque réel vis-à-vis de la menace quantique, et élaborer leur plan de transition.