
Route des Lucioles, à Valbonne-Sophia Antipolis, l’ETSI travaille sur une transition qui n’a pas encore touché les systèmes informatiques, mais qui modifie déjà leurs cahiers des charges. L’organisme européen de normalisation remet en avant la cryptographie post-quantique, après une conférence ETSI/IQC organisée en juin à Ottawa et consacrée à des mécanismes de chiffrement résistants aux futures attaques quantiques.
Le sujet peut sembler lointain. Il ne l’est pas pour les organisations qui gardent longtemps des données sensibles: établissements de santé, éditeurs logiciels, opérateurs, industriels, collectivités, services juridiques. Une partie du chiffrement actuel repose sur RSA, Diffie-Hellman ou les courbes elliptiques. Ces mécanismes restent solides contre les ordinateurs classiques, mais pourraient être cassés par des machines quantiques assez puissantes.
Le risque le plus gênant commence avant l’arrivée de ces machines. Des communications interceptées aujourd’hui peuvent être conservées et déchiffrées plus tard. Pour des données qui n’ont de valeur que quelques jours, l’urgence est limitée. Pour des secrets industriels, des dossiers médicaux ou des archives stratégiques, le calendrier change.
Ce que l’ETSI met en forme depuis Sophia Antipolis n’est donc pas une promesse de laboratoire. C’est une migration d’infrastructure. Où l’entreprise utilise-t-elle du chiffrement? Dans quels certificats, VPN, logiciels embarqués, connexions TLS, signatures numériques, échanges avec ses prestataires? Quels équipements seront encore actifs dans dix ans? Quels fournisseurs savent déjà intégrer les nouveaux mécanismes?
Les premières briques existent. Le NIST américain a finalisé en 2024 trois standards post-quantiques: ML-KEM pour l’établissement de clés, ML-DSA et SLH-DSA pour les signatures. Mais un algorithme publié ne suffit pas à sécuriser un système. Il faut l’insérer dans des protocoles existants, éviter les implémentations fragiles, préserver l’interopérabilité et garder une capacité de remplacement si une méthode se révélait moins robuste que prévu.
La normalisation devient alors une compétence industrielle. Dans une spécification publiée en 2025, l’ETSI décrit des mécanismes hybrides qui combinent un échange classique, comme ECDH, avec un mécanisme post-quantique comme ML-KEM. L’idée est simple dans son principe: produire une clé de session qui reste protégée tant qu’au moins une des deux composantes tient. Pour les équipes cyber, cela transforme un risque théorique en architecture testable.
L’ANSSI demande déjà aux organisations publiques et privées d’inclure la menace quantique dans leur analyse de risque et de commencer l’inventaire de leurs usages cryptographiques. L’agence estime aussi qu’après 2030, il ne sera plus raisonnable d’acheter des produits qui n’intègrent pas de cryptographie post-quantique.
Pour les Alpes-Maritimes, l’intérêt n’est pas de revendiquer une invention locale. Il est plus précis: Sophia Antipolis héberge l’un des lieux où cette bascule mondiale se traduit en règles communes. Dans une technopole peuplée d’éditeurs, d’ingénieurs et de chercheurs, l’après-quantique ne ressemble pas à de la science-fiction. Il commence par des inventaires, des certificats, des VPN et des standards discutés à Valbonne.