L’informatique quantique menace la cryptographie asymétrique actuelle et rendra obsolètes les algorithmes aujourd’hui déployés, tels que RSA et ECC. En revanche, dans le cas de la cryptographie symétrique (comme AES) et des fonctions de hachage, doubler la taille des clés ou des paramètres de sécurité permet de maintenir le niveau de protection attendu. Face à cette menace, le NIST a standardisé, depuis août 2024, quatre algorithmes asymétriques post-quantiques, conçus pour résister aux attaques des ordinateurs quantiques. 

Heureusement, les ordinateurs quantiques ne sont pas encore suffisamment performants pour mener de telles attaques. Les estimations varient quant à la date à laquelle cela deviendra une réalité, mais beaucoup prévoient une échéance entre 2033 et 2037.  

Cependant, la menace « Harvest Now, Decrypt Later » (HNDL), où des attaquants stockent aujourd’hui des données chiffrées pour les déchiffrer demain avec un ordinateur quantique – rend urgente la protection des données sensibles à long terme, même avant l’émergence de ces machines. 

2025 : l’accélération réglementaire 

Si l’année 2024 a marqué la finalisation des standards techniques avec la publication du NIST, 2025 se distingue par une accélération des feuilles de route institutionnelles. Récemment, plusieurs acteurs majeurs ont publié leurs recommandations : 

• L’Union européenne a défini une feuille de route à destination des états membres et des entités concernées par NIS 2. 
• Le G7 Finance a intégré la transition PQC dans ses préoccupations 
• La BIS (Bank for International Settlements) a alerté le secteur bancaire 
• Le gouvernement britannique a publié sa feuille de route nationale 

Ces annonces s’ajoutent aux échéanciers déjà communiqués : le NIST a publié un draft avec pour échéance 2035, tandis que l’ASD australien a fixé 2030 comme date limite. Nous anticipons que d’autres nations publieront des annonces similaires dans les mois à venir. 

Avec ces annonces la transition post-quantique n’est plus uniquement un sujet technologique. Elle devient un impératif réglementaire et institutionnel, comparable aux grandes transitions numériques du passé. Quelle que soit la date précise d’émergence des ordinateurs quantiques capables de briser les algorithmes cryptographiques actuels, une transition sera incontournable. 

Migrer une infrastructure informatique complexe n’est pas une tâche triviale : selon un mémorandum de 2022, l’administration Biden estimait le coût de la migration de toutes les agences fédérales américaines à plus de 7 milliards de dollars. Un tel projet implique de nombreux aspects, depuis l’évaluation des risques jusqu’à l’exécution technique de la migration, avec de nombreuses étapes intermédiaires. Des solutions existent pour accompagner ou accélérer ces étapes. 

Le radar Wavestone : un panorama des solutions 

Le radar 2026 des solutions de migration post-quantique de Wavestone offre un panorama visuel des solutions leaders du marché pour cette migration. Il a été et continuera à être mis à jour et enrichi dans les mois à venir. Toute entreprise qui pense devoir y figurer est encouragée à nous contacter. 

Le but de ce radar n’est pas de recenser toutes les solutions ayant complété leur transition PQC, mais bien les solutions qui aident et accélèrent cette migration. 

Catégories du radar 

La distribution de clés quantiques (QKD) a été envisagée mais rejetée comme catégorie. Bien que résistante aux ordinateurs quantiques, la QKD n’est pas techniquement une technologie de cryptographie post-quantique ni une solution recommandée par les différents régulateurs. 

• Inventaire : Automatisation de l’inventaire du type et de l’emplacement de toute cryptographie utilisée 
• Analyse de réseau : Détection des flux réseau utilisant une cryptographie obsolète via des sondes 
• Gestion de la migration : Fournir une vue d’ensemble de la transition post-quantique, souvent basée sur les résultats d’inventaire ou d’analyse de réseau 
• HSM/PKI/CLM conformes PQC : Fournir des composants de confiance numérique essentiels pour la plupart des services et résistants aux ordinateurs quantiques 
• Bibliothèques/Embedded services : Chiffrer et signer des données avec des bibliothèques polyvalentes ou des solutions intégrées au cloud 
• Protection périmétrique : Ajouter une couche de sécurité supplémentaire contre les attaques quantiques, notamment via l’encapsulation du trafic et des wrappers pour les applications critiques 

L’inventaire : pierre angulaire de toute migration 

Nos premiers retours d’expérience en accompagnement de migrations post-quantiques révèlent une évidence : impossible de planifier et budgétiser une migration sans visibilité sur l’existant. Concrètement, les organisations doivent savoir : 

• Pour quels usages et quelles données ? 
• Où est utilisée la cryptographie ? 
• Quels algorithmes sont déployés ? 

L’inventaire exhaustif d’une infrastructure IT complexe représente un investissement considérable. Il est donc crucial de prioriser les secteurs sur lesquels les outils d’inventaire seront déployés en priorité, en fonction de trois critères principaux : l’exposition de la donnée (données accessibles via internet, échangées avec des partenaires, etc.), la sensibilité de la donnée sur le long terme et sa vulnérabilité aux attaques HNDL, ainsi que les briques techniques associées à la sécurisation de ces données. Sans cette visibilité préalable sur l’utilisation de la cryptographie : quels algorithmes, pour quels usages, protégeant quelles données, il devient impossible de planifier efficacement une migration. 

L’inventaire cryptographique ne peut toutefois pas se reposer sur une source unique. Les organisations doivent nécessairement combiner plusieurs approches complémentaires : les sondes réseau permettent d’observer les flux en temps réel, l’analyse de code identifie l’usage cryptographique au sein des applications et développements internes, les outils spécifiques SaaS et les interfaces avec les fournisseurs externes révèlent les dépendances externes, tandis que les CMDB et référentiels existants cartographient l’infrastructure globale. Cette multiplicité des sources crée un nouveau besoin stratégique : celui d’outils capables de centraliser l’ensemble de ces informations hétérogènes et de fournir une vue globale exploitable pour piloter efficacement la migration. Une tendance se dessine autour du format CBOM (Cryptography Bill of Materials) pour standardiser ces inventaires, bien qu’il soit encore trop tôt pour évaluer son adoption réelle par le marché. 

L’inventaire devient le socle du pilotage de la migration PQC. Sans lui, les organisations naviguent à l’aveugle. 

Depuis 2024, le marché de l’inventaire des actifs numériques connaît une forte croissance, marquée par l’émergence d’acteurs ultra-spécialisés dans ce domaine. Ces entreprises, focalisées exclusivement sur la détection, la cartographie et la gestion des ressources informatiques (matériels, logiciels, certificats cryptographiques, etc.), se distinguent par leur expertise pointue et leur capacité à répondre à des besoins complexes. 

Parallèlement, des acteurs historiques du secteur des équipements réseaux et des infrastructures (comme IBM, Samsung, Cisco ou encore Microsoft) capitalisent sur leur connaissance approfondie des environnements IT pour proposer des solutions performantes. Ces dernières intègrent des sondes réseaux avancées et des outils d’inventaire cryptographique, avec une attention croissante portée aux enjeux de la cryptographie post-quantique.  

La cryptoagilité : objectif long terme de la transition postquantique 

La cryptoagilité n’est pas une simple fonctionnalité technique, mais une capacité stratégique permettant aux organisations de s’adapter aux évolutions cryptographiques sans rupture opérationnelle. Dans un contexte où les algorithmes post-quantiques (PQC) deviennent une norme réglementaire, la cryptoagilité permet de découpler la logique métier de la cryptographie sous-jacente, facilitant ainsi les mises à jour sans refonte complète des infrastructures. 

Pour adopter une approche crypto agile, une organisation doit intégrer dès la conception des mécanismes flexibles et évolutifs, capables de s’adapter aux avancées cryptographiques, notamment face à la menace quantique ou même à la dépréciation rapide d’algorithmes. 

Côté bibliothèques des solutions proposant une approche modulaire sont légion, des solutions comme Open Quantum Safe (OQS) compatible avec OpenSSL et BoringSSL ou Liboqs (Intel), optimisée pour les architectures x86, permettent d’intégrer les algorithmes post-quantiques (PQC) standardisés par le NIST (Kyber, Dilithium, SPHINCS+). Bouncy Castle, quant à elle, offre une API unifiée pour Java et C#, facilitant la transition entre cryptographie classique et post-quantique. 

L’approche modulaire offerte par ces bibliothèques doit s’intégrer dans un écosystème complet d’outils spécialisés. En complément, les solutions d’inventaire et de gestion des cycles de vie des certificats et clés cryptographiques jouent un rôle essentiel. Ces outils permettent d’établir une cartographie exhaustive de l’environnement cryptographique, offrant ainsi une visibilité complète sur l’ensemble des actifs à protéger. Cette vision globale constitue un socle indispensable pour garantir la sécurité des données et mettre en place une gestion des risques véritablement efficace. 

En définitive, la cryptoagilité dépasse le simple cadre technique. C’est une capacité stratégique qui permet aux organisations de sécuriser durablement leurs données, de réduire les risques liés au quantique et d’aborder l’avenir avec plus de sérénité. Les briques technologiques sont déjà là : il ne reste plus qu’à les intégrer dès aujourd’hui dans les stratégies de cybersécurité. 

Protection périmétrique : une stratégie de mitigation rapide 

Face à l’ampleur des chantiers de migration, les solutions de protection périmétrique (edge protection) offrent une réponse pragmatique et rapide pour réduire l’exposition sur les flux critiques.  

Ces solutions permettent de sécuriser rapidement les canaux de communication sensibles : VPN, messagerie, transferts de fichiers, en encapsulant le trafic dans une couche post-quantique sans modifier les applications sous-jacentes. Le déploiement de wrappers autour d’applications critiques devient ainsi possible sans attendre leur refonte complète. L’avantage principal de cette approche réside dans le gain de temps considérable qu’elle procure : alors que la migration applicative exhaustive reste nécessaire à moyen terme et peut s’étaler sur plusieurs années, la protection périmétrique offre une sécurisation immédiate des actifs les plus exposés. Cette stratégie permet aux organisations de prioriser intelligemment la protection de leurs données les plus sensibles tout en préparant méthodiquement la migration globale de leur infrastructure. 

HSM et certifications : un tournant en 2025 

Dans la version 1 de notre radar, nous soulignions le manque de certifications pour les HSM (Hardware Security Modules) post-quantiques, un frein majeur à leur déploiement en production. 

Bonne nouvelle : depuis, l’ANSSI et le BSI ont délivré trois certifications Critères Communs pour des HSM compatibles PQC (Samsung, Thales et Infineon). Ces certifications marquent un tournant significatif et ouvrent la voie à des déploiements en conditions réelles. 

Les HSM jouent un rôle crucial dans la chaîne de confiance numérique, notamment pour : 

• La génération et le stockage sécurisé des clés PQC (qui sont significativement plus volumineuses) 
• Les opérations de signature dans les PKI 
• Gestion du cycle de vie complet des clés (rotation, révocation, archivage) avec garanties d’intégrité et traçabilité pour maintenir la chaîne de confiance 

Cependant, même certifiés, ces HSM devront faire face aux défis liés aux attaques par canaux auxiliaire, en raison de la maturité encore limitée des implémentations actuelles de ces nouveaux algorithmes. La communauté scientifique continue d’analyser ces risques. 

IoT et embarqué : le maillon faible 

Si le marché des solutions PQC progresse rapidement pour l’IT traditionnelle, un décalage préoccupant se creuse pour l’IoT et les systèmes embarqués. Ces dispositifs fonctionnent sous des contraintes sévères : puissance limitée, capacité de calcul réduite, espace de stockage restreint qui entrent en tension directe avec les exigences des algorithmes post-quantiques, naturellement plus gourmands en ressources que leurs équivalents classiques. Ils nécessitent des processeurs dédiés avec des instructions optimisées, or l’écosystème matériel demeure aujourd’hui insuffisant : peu d’accélérateur hardware PQC dédié sont disponibles sur le marché, et les cycles de développement matériel s’étalent sur plusieurs années. À cette complexité technique s’ajoute le défi de la mise à niveau d’un parc décentralisé et hétérogène : objets connectés déployés en masse et difficiles d’accès, systèmes industriels critiques dont l’arrêt est coûteux, smart cards aux cycles de renouvellement longs, équipements hérités sans capacité de mise à jour.  

Le risque identifié est clair : un décalage durable pourrait se créer entre l’IT classique, qui migrera progressivement vers PQC, et l’IoT embarqué, qui restera vulnérable plus longtemps. Les organisations doivent anticiper dès maintenant cette difficulté en intégrant la compatibilité PQC dans leurs cahiers des charges pour tout nouveau déploiement d’équipements embarqués. 

À date, le constat est nuancé.  

Le marché a désormais intégré que la transition post-quantique s’amorcera nécessairement par une phase d’inventaire systématique et d’évaluation des risques, ce qui a impacté la structuration des acteurs du secteur. Cette prise de conscience se manifeste par plusieurs développements encourageants : des solutions spécialisées dans la cartographie des actifs cryptographiques se multiplient, tandis que les premières certifications officielles pour les modules de sécurité compatibles PQC confirment leur aptitude à des déploiements opérationnels. Les bibliothèques open source, désormais matures et soutenues par l’industrie, ainsi que les outils d’accompagnement à la migration, complètent cette offre. Parallèlement, des approches de sécurisation périmétrique permettent d’ores et déjà de protéger les flux sensibles sans attendre une refonte complète des systèmes. 

Pourtant, cette dynamique se heurte à des obstacles persistants. Le retard accumulé dans le développement de matériel adapté, notamment pour l’IoT et les systèmes embarqués, constitue un frein majeur, avec une offre encore trop restreinte de processeurs basse consommation compatibles. Les certifications, bien que prometteuses, restent en nombre limité et ne couvrent qu’une partie du spectre technologique disponible. Enfin, les outils d’inventaire, bien que de plus en plus sophistiqués, doivent encore démontrer leur capacité à traiter efficacement la complexité et l’hétérogénéité des environnements informatiques d’entreprise. 

Ainsi, si le marché a clairement orienté ses efforts vers l’inventaire et l’analyse de risques comme préalable indispensable à la migration, des défis technologiques et industriels continuent de ralentir son adoption à grande échelle. 

Cet article Radar 2026 des solutions de migration post-quantique est apparu en premier sur RiskInsight.

Heureusement, les ordinateurs quantiques ne sont pas encore suffisamment performants pour mener de telles attaques. Les estimations varient quant à la date à laquelle cela deviendra une réalité, mais beaucoup prévoient une échéance entre 2033 et 2037. Par ailleurs, les régulateurs ont commencé à définir des échéanciers pour la fin de vie des algorithmes existants : le NIST a publié un draft avec pour échéance 2035, tandis que l’ASD australien a annoncé 2030 comme date limite. Nous anticipons que d’autres nations publieront des annonces similaires dans les mois à venir. 

Ainsi, quelle que soit la date précise d’émergence des ordinateurs quantiques capables de briser les algorithmes cryptographiques actuels, une transition sera incontournable pour des raisons régulatoires. 

Migrer une infrastructure informatique complexe n’est pas une tâche triviale : selon un mémorandum de 2022, l’administration Biden estimait le coût de la migration de toutes les agences fédérales américaines à plus de 7 milliards de dollars. Un tel projet implique de nombreux aspects, depuis l’évaluation des risques jusqu’à l’exécution technique de la migration, avec de nombreuses étapes intermédiaires. Des solutions existent pour accompagner ou accélérer ces étapes. 

Le radar 2025 des solutions de migration post-quantique de Wavestone offre un premier panorama visuel des solutions leaders du marché pour cette migration et a été et continuera à être mis à jour et enrichi dans les mois à venir. Toute entreprise qui pense devoir y figurer est encouragée à nous contacter.

Le but de ce radar n’est pas de recenser toutes les solutions ayant complété leur transition PQC, mais bien des solutions qui aident et accélèrent cette migration.

Catégories 

La distribution de clés quantiques (QKD) a été envisagée mais rejetée comme catégorie. Bien que résistante aux ordinateurs quantiques, la QKD n’est pas techniquement une technologie de cryptographie post-quantique ni une solution recommandée par les différents régulateurs. 

• Inventaire : Automatisation de l’inventaire le type et l’emplacement de toute cryptographie utilisée. 
• Gestion de la migration : Fournir une vue d’ensemble de la transition post-quantique, souvent basée sur les résultats d’inventaire. 
• HSM/PKI/CLM conformes PQC : Fournir des composants de confiance numérique essentiels la plupart des services et résistants aux ordinateurs quantiques. 
• Bibliothèques/Embedded services : Chiffrer et signer des données avec des bibliothèques polyvalentes ou des solutions intégrées au cloud. 
• Protection périmétrique : Ajouter une couche de sécurité supplémentaire contre les attaques quantiques, notamment via l’encapsulation du trafic et des wrappers pour les applications critiques (e-mails, messagerie instantanée, etc…). 
• Analyse de réseau : Détection des flux réseau utilisant une cryptographie obsolète via des sondes.

Tendances clés du marché 

Une disparité de tailles 

La structure du marché des solutions de sécurité post-quantiques présente des disparités significatives en termes de taille et de maturité des acteurs. À une extrémité du spectre, les géants technologiques et les entreprises de cybersécurité établies s’appuient sur des ressources considérables pour développer et promouvoir des solutions robustes. À l’autre extrémité, des startups de niche et des pure players impulsent des avancées rapides dans des domaines spécialisés. Nous prévoyons que cette diversité favorisera : 

• L’innovation : La diversité du marché, entre géants technologiques et acteurs de niche, accélère le rythme et la qualité des innovations. 
• La fragmentation : Les petits acteurs peuvent avoir du mal à atteindre une échelle suffisante pour déployer leurs solutions largement. 
• Les partenariats : Des collaborations comme celles de Thales et IBM montrent comment les grandes entreprises peuvent profiter des innovations de pure players dans leur segment spécifique en les combinant avec leurs ressources et leur expertise.

Au fur et à mesure que le marché mûrit, il sera passionnant de découvrir comment il se structure.

Des bibliothèques open-source avec le soutien des géants de la tech 

Plusieurs bibliothèques open source proposent déjà de la cryptographie post-quantique. Les bibliothèques les plus connues, comme OpenSSL, ne sont pas les plus avancées sur ce point, leurs propres implémentations étant en cours, alors que des bibliothèques comme liboq éditée par Open Quantum Safe sont déjà prête à être utilisée. Néanmoins, il est encourageant pour l’écosystème de la cybersécurité qu’un sujet aussi crucial que la sécurité post-quantique repose sur des solutions profondément ancrées dans les principes de l’open source.

Cependant, les grandes entreprises de la tech jouent un rôle central en soutenant ces bibliothèques open source, reconnaissant leur potentiel pour accélérer l’adoption et l’innovation. Des initiatives telles que liboq d’Open Quantum Safe bénéficient du soutien de Microsoft, Amazon et IBM ; les fonction PQC de Bouncy Castle ont été développées avec la participation significative de Keyfactor, et Tink, la bibliothèque open source de Google, intègre également des solutions de cryptographie post-quantique. Néanmoins, la plupart de ces implémentations n’ont pas encore été pleinement vérifiées formellement, bien que le processus soit en cours.

Un manque de certification pour les HSMs… 

Les Hardware Security Modules (HSMs) jouent un rôle crucial dans la chaîne de confiance numérique, mais le marché pour ces solutions matérielles n’est pas encore prêt à date. Les fournisseurs ont initialement recouru à des implémentations logicielles à des fins d’expérimentation en attendant la publication du nouveau standard par le NIST. Cependant, les implémentations matérielles ont progressé depuis, quand bien même leur certification n’est pas attendue avant T3 ou T4 2025.

En outre, bien que les HSMs soient conçus pour résister aux altérations et réduire les risques d’exposition des clés, ils devront faire face aux défis liés aux attaques par side-channel, en raison de la maturité encore limitée des implémentations actuelles de ces nouveaux algorithmes.

Et un manque de hardware pour l’IoT, les dispositifs embarqués et les smart cards 

Le manque de matériel est particulièrement problématique pour les objets connectés (IoT), les dispositifs embarqués et les smart cards, qui fonctionnent sous des contraintes sévères – puissance limitée, capacité de calcul réduite et espace de stockage restreint – nécessitant ainsi des algorithmes efficaces et un matériel spécialisé dédié pour les opérations cryptographiques. Malheureusement, l’absence actuelle de processeurs dédiés reste un obstacle majeur.

De plus, la nature décentralisée des dispositifs embarqués représentera un défi considérable à surmonter, car la mise à niveau des équipements hérités sera complexe et coûteuse.

Fort dynamisme du Marché 

La sécurité post-quantique est un sujet encore émergent. Cependant, le marché actuel des solutions dans ce domaine est extrêmement dynamique ; les entreprises, les gouvernements et les institutions se mobilisent pour faire face aux risques émergents, alimentant ainsi une vague d’innovations et d’offres technologiques spécialisées. Cette dynamique sera encore renforcée par les pressions réglementaires attendues, telles que celles exercées par le NIST et l’ASD, qui obligeront les organisations à adopter des solutions robustes et conformes.

Un marché international et souverain 

Le marché de l’informatique quantique est à la fois mondial et étroitement lié aux questions de souveraineté nationale. Les grandes nations considèrent l’informatique quantique comme une priorité stratégique, investissant des centaines de milliards de dollars pour assurer leur souveraineté dans ce domaine émergent.

En revanche, le marché de la sécurité post-quantique adopte une perspective beaucoup plus internationale. Les entreprises actives dans ce secteur proviennent de divers pays, bien que les États-Unis demeurent le leader incontesté. De plus, des partenariats internationaux se distinguent dans ce domaine. Par exemple, Thales collabore avec IBM, CryptoNext et bien d’autres, combinant leurs expertises respectives pour offrir des solutions avancées à leurs clients.

Un marché des solutions post-quantiques prometteur mais encore incomplet  

Comme évoqué, le marché est extrêmement dynamique. La question reste de savoir si les besoins de l’écosystème pour une transition post-quantique sont actuellement satisfaits. À date, l’écosystème matériel n’est pas encore prêt, notamment avec des HSMs qui manquent de certifications et des dispositifs IoT qui ne disposent pas de puces dédiées. Néanmoins, notre analyse du marché indique qu’il est en pleine évolution. D’après la manière dont nous conseillons nos clients dans la planification et la mise en œuvre de leur migration, les solutions du marché répondent ou répondront prochainement à la plupart des besoins de nos clients.

Notre radar constitue la première édition dans ce domaine. En ce sens, nous encourageons vivement toute entreprise absente de cette édition à nous contacter pour remédier à la situation.

Cet article Radar 2025 des solutions de sécurité post-quantique est apparu en premier sur RiskInsight.