« Récolter maintenant, déchiffrer plus tard » : un problème de bilan
La migration post-quantique est généralement présentée comme un événement cryptographique lointain. Pour toute organisation détenant des données dont l'horizon de confidentialité se compte en décennies, il s'agit d'un passif qui s'accumule dès aujourd'hui. Nous expliquons comment penser cette migration non comme une échéance de conformité mais comme un problème d'actualisation, pourquoi la crypto-agilité est le véritable actif, et où nous voyons se constituer des entreprises durables autour de la découverte, de l'inventaire et de la transition plutôt qu'autour de nouvelles primitives.
La plupart des discussions sur la cryptographie post-quantique s'ancrent sur une date — le moment où existera un ordinateur quantique cryptographiquement pertinent. Ce cadrage invite à la procrastination, car cette date est incertaine et probablement lointaine de plusieurs années. Mais il fait une mauvaise lecture du risque. Un adversaire n'a pas besoin d'un ordinateur quantique aujourd'hui pour vous nuire aujourd'hui ; il lui suffit de capter votre trafic chiffré dès maintenant et de le stocker jusqu'à ce qu'un tel ordinateur existe. L'exposition se crée dès à présent.
Vu sous cet angle, le problème est un problème d'actualisation, non d'échéance. Si vous détenez des données dont la confidentialité doit être préservée dix ou vingt ans — dossiers médicaux, secrets d'État, identités financières, secrets d'authentification à longue durée de vie —, alors la valeur actuelle d'un déchiffrement futur est déjà significative. Le passif s'accumule à chaque session que vous chiffrez au moyen d'un schéma dont vous anticipez la compromission. La bonne question n'est pas « quand tombe l'échéance » mais « quel est l'horizon de confidentialité des données que je transmets, et dépasse-t-il le délai au terme duquel ce chiffrement cédera ».
L'actif rare de cette transition n'est pas une nouvelle primitive. Le NIST a normalisé les algorithmes ; les mathématiques ne sont pas le goulot d'étranglement. Le goulot d'étranglement, c'est de savoir ce que l'on possède. La plupart des grandes organisations sont incapables de produire un inventaire précis des endroits où la cryptographie réside dans leur pile technique — quels services, quelles bibliothèques, quelles hypothèses codées en dur, quelles dépendances fournisseurs. La crypto-agilité, c'est-à-dire la capacité à substituer les algorithmes sans refondre l'architecture, est la véritable compétence, et presque personne ne la possède.
C'est là que nous voyons se constituer des entreprises durables : dans la découverte et l'inventaire des actifs cryptographiques, dans l'outillage de migration qui rend l'agilité concrète, et dans la couche de transition qui permet à une entreprise d'évoluer sans refonte intégrale. Les nouvelles primitives deviendront des produits banalisés. La capacité à identifier, prioriser et remplacer à grande échelle, sur un parc hétérogène, voilà l'activité pérenne.
Les opinions exprimées ci-dessus sont celles de Sentinel Ventures et sont fournies à titre purement informatif — elles ne constituent pas un conseil en investissement, juridique ou fiscal.