Lors de son discours inaugural aux Assises de la cybersécurité à Monaco, mercredi 8 octobre, Vincent Strubel a alerté sur la nécessité d’anticiper la migration vers des algorithmes post-quantiques. Il en a profité pour présenter une feuille de route plus précise pour leur déploiement.
Malgré les 25 bougies des Assises de la cybersécurité, l’heure n’était pas à la fête lors du discours inaugural de Vincent Strubel, directeur général de l’ANSSI. Ce dernier a notamment évoqué sa crainte d’une submersion : « par la multiplicité des attaques, d'en subir tellement à la fois qu'on ne pourra plus rien y faire », et une situation où « tout ce qu'on a construit ensemble ces dernières années ne marche plus, ne permet plus d'agir sur la menace ou sur le risque. »
« Sans cryptographie fiable, il n'y a rien qui marche en cybersécurité »
Parmi ces risques au-dessus de nos têtes : la menace quantique, que Vincent Strubel décrit comme « une vraie rupture technologique dans nos métiers ». Le risque : qu’un jour, d’ici 2030 au plus tôt, des ordinateurs quantiques soient capables de casser la cryptographie actuelle : « à peu près la moitié de toute la cryptographie sur laquelle on a fondamentalement construit tous nos modèles de cybersécurité. Sans cryptographie fiable, il n'y a rien qui marche en cybersécurité », a prévenu Vincent Strubel.
Les algorithmes post-quantiques, eux, existent. « Ils ont été mis au point, sont organisés, mais on sait qu'il faudra beaucoup de temps pour les déployer […] si on ne le prend pas en compte maintenant, on se retrouvera dans une situation où tout s’effondrera », prévient-il. C’est le point de vue dominant, que partage Vincent Strubel : « il faut s’y mettre, alors qu’il est encore temps d’inscrire cela dans le renouvellement naturel des solutions. »
Samsung et Thales certifiés par l’ANSSI
C’est dans ce contexte que l’agence a clarifié sa feuille de route sur le post-quantique. Première annonce : à partir de 2027, l’ANSSI n’acceptera plus de qualifier des produits de sécurité qui n’intègrent pas de cryptographie résistante aux ordinateurs quantiques. Autre engagement : à partir de 2030, l’ANSSI imposera de ne plus acquérir de solutions qui ne seraient pas résistantes à l’informatique quantique, au-delà de ses recommandations actuelles.
Les technologies post-quantiques existent. Vincent Strubel a d’ailleurs félicité, lors de son discours, Thales et Samsung, qui ont été reconnus par un Visa de sécurité de l’ANSSI, suite à des évaluations du Centre d’évaluation CEA-Leti. Le premier, pour son produit MultiApp 5.2 Premium PQC, version 5.2, destiné à héberger et exécuter des applications (applets) dans la terminologie Java Card. Le second, pour son produit « S3SSE2A, S3SSE2A_20250522 », un microcontrôleur pour l’hébergement d’une ou plusieurs applications.
