Harvest Now, Decrypt Later : vos données chiffrées ont une date d'expiration

Qu'est-ce que ça signifie concrètement ?

C'est d'une simplicité trompeuse. Des acteurs étatiques et des groupes de menaces sophistiqués interceptent et stockent des communications chiffrées aujourd'hui — transactions bancaires, données gouvernementales, dossiers médicaux, secrets commerciaux — avec l'intention de les déchiffrer plus tard, quand les ordinateurs quantiques seront assez puissants pour casser le chiffrement actuel.

Ce n'est pas de la science-fiction. Les agences de renseignement le font depuis des années. La NSA, le MSS chinois et d'autres maintiennent d'immenses installations de stockage précisément dans ce but. Les données qu'ils collectent aujourd'hui seront encore sensibles dans 5, 10 ou 20 ans.

Et voici la partie inconfortable : RSA et ECC — les algorithmes qui protègent la majeure partie d'internet aujourd'hui — sont mathématiquement vulnérables aux ordinateurs quantiques. Ce n'est pas une question de « si ». C'est une question de « quand ».

« Mais les ordinateurs quantiques sont encore loin... »

C'est ce qu'on disait de l'IA en 2020.

La réalité, c'est que personne ne sait exactement quand un ordinateur quantique cryptographiquement pertinent existera. Les estimations vont de 2029 à 2035. Mais réfléchissez à ceci :

• Les données de vos clients d'aujourd'hui seront encore sensibles en 2035
• Les dossiers médicaux sont légalement protégés pendant des décennies
• Les secrets commerciaux n'ont pas de date d'expiration
• Les données classifiées gouvernementales restent classifiées pendant 25 à 50 ans

Si vos données ont une durée de vie plus longue que le temps avant l'arrivée des ordinateurs quantiques, vous êtes déjà exposé. Le compte à rebours a commencé il y a un moment.

L'UE le sait

L'Union européenne a publié sa Feuille de Route pour la Cryptographie Post-Quantique en juin 2025, traçant un chemin clair pour que les infrastructures critiques migrent vers un chiffrement quantique-sûr d'ici 2030. Les réglementations NIS2 et DORA exigent déjà des organisations des services financiers, de l'énergie et de la santé qu'elles traitent la menace quantique.

Ce n'est pas une recommandation. C'est une réglementation. Et l'échéance est plus proche que vous ne le pensez.

Alors, que faire concrètement ?

La bonne nouvelle : le NIST a finalisé trois standards de cryptographie post-quantique en 2024 — FIPS 203, 204 et 205. Ces algorithmes (ML-KEM pour l'échange de clés, ML-DSA pour les signatures numériques) sont conçus pour résister aux attaques classiques et quantiques.

Le chemin de migration est clair :

1. Auditez le chiffrement que vous utilisez aujourd'hui. Indice : c'est probablement RSA ou ECC partout.
2. Priorisez les données ayant la plus longue durée de sensibilité.
3. Commencez à migrer vers des algorithmes post-quantiques maintenant, avant que les échéances réglementaires ne vous y obligent.
4. Ne faites pas cavalier seul — implémenter correctement la PQC nécessite une expertise en ingénierie cryptographique, pas juste changer une bibliothèque.

C'est pour ça que nous avons construit QuantumAPI

Chez Kovimatic, nous avons passé des années à construire une plateforme qui rend la cryptographie post-quantique accessible. Pas comme un projet de recherche, mais comme une infrastructure de production que vous pouvez intégrer dès aujourd'hui :

QuantumKeys pour le chiffrement en tant que service avec ML-KEM et ML-DSA. QuantumVault pour la gestion quantique-sûre des secrets. QuantumID pour la gestion des identités et des accès avec MFA post-quantique.

Le tout déployé sur une infrastructure européenne, sous juridiction de l'UE.

Parce que le meilleur moment pour protéger vos données des ordinateurs quantiques, c'était hier. Le deuxième meilleur moment, c'est maintenant.