En mai 2026, le groupe de travail sur les technologies quantiques des banques centrales du G7, coprésidé par la Banque de France et la Banque du Canada, a publié Preparing for Quantum Technologies: Key Considerations for Financial Sector Participants. Ce rapport vient enrichir la feuille de route pour la cryptographie post-quantique (PQC) publiée en janvier 2026 par le G7 Cyber Expert Group (CEG) pour éclairer un sujet émergent et stratégique.
Changement d’angle : de la feuille de route à l’analyse stratégique
La feuille de route de janvier 2026 définissait l’horizon de la migration post-quantique : un calendrier, des étapes, et des principes de gouvernance. Elle positionnait la transition cryptographique comme une priorité de gestion du risque systémique et se voulait comme un appel à l’action.
Ce dernier rapport adopte délibérément une autre posture. Élaboré par les banques centrales du G7, il se présente comme un travail analytique collaboratif, dont l’objectif explicite est de « clarifier les impacts, les risques et les arbitrages » plutôt que de proposer un mode d’emploi pour les projets de migration.
Pour les institutions déjà engagées dans la planification de la transition post-quantique, les orientations restent inchangées. Le nouveau document les met en perspective pour aider à structurer la façon dont les conseils d’administration, les comités des risques et les régulateurs appréhendent la préparation au risque quantique.
Les points à retenir du rapport du G7
1. La PQC reste la technologie à prioriser
Le rapport réaffirme que la PQC constitue la seule réponse scalable à la menace quantique, en s’appuyant sur les standards publiés par le NIST en 2024 qui sont progressivement intégrés dans les bibliothèques cryptographiques et les produits de sécurité. D’autres approches, comme la Quantum Key Distribution (QKD) ou la cryptographie symétrique, sont citées pour compléter la PQC dans certains contextes très spécifiques. Mais le document est sans ambiguïté : pour une transition à l’échelle du secteur financier, la PQC reste la solution à privilégier.
Le rapport revient sur certains aspects de cette migration. Les infrastructures financières sont fortement interconnectées, et les mécanismes cryptographiques sont profondément intégrés dans de multiples couches : matérielles, logicielles, protocoles, processus opérationnels. Migrer vers des algorithmes résistants au quantique suppose donc d’inventorier les dépendances cryptographiques sur l’ensemble du système d’information, de tester la compatibilité avec l’existant, et de coordonner les mises à jour avec les fournisseurs et les prestataires. Pendant les périodes de transition, des systèmes fonctionnant avec des standards cryptographiques différents devront coexister, ce qui génère une complexité supplémentaire en termes d’interopérabilité et d’exploitation.
2. La migration PQC est l’occasion de déployer la crypto-agilité
C’est l’un des apports les plus structurants du rapport de mai : la mise en œuvre de la PQC n’est pas « un simple exercice de substitution ». Ce que le document décrit en pratique – sans la nommer – c’est la crypto-agilité, c’est-à-dire la capacité à faire évoluer les mécanismes cryptographiques dans la durée, à mesure que les standards progressent, que de nouvelles vulnérabilités apparaissent ou que les réglementations sont révisées.
Il est aussi souligné que les standards PQC sont récents et continueront d’évoluer. Les organisations devront donc disposer de la souplesse nécessaire au niveau de leur architecture IT pour mettre à jour algorithmes, paramètres et implémentations au fil du temps. Une organisation qui traite la migration PQC comme un projet unique, en remplaçant l’algorithme A par l’algorithme B, se retrouvera très probablement à recommencer quelques années plus tard. En intégrant des mécanismes de crypto-agilité dans son architecture, elle sera en mesure d’absorber les évolutions futures comme de simples mises à jour, et non comme des projets d’ampleur à finaliser dans l’urgence. Les banques centrales du G7 invitent, en substance, les institutions financières à voir la migration PQC comme la première itération d’une pratique de gouvernance continue, et non comme une destination finale.
3. Le déficit de compétences est un challenge à ne pas sous-estimer
Le rapport introduit une dimension que la feuille de route de janvier n’abordait qu’en filigrane : la rareté des expertises interdisciplinaires en cryptographie post-quantique et en gouvernance cryptographique. Les disparités de compétences et de ressources entre organisations influenceront directement le rythme et la portée de l’adoption de la PQC, creusant l’écart entre celles qui avancent et celles qui décrochent.
Pour les institutions financières, cela soulève une question : dispose-t-on en interne des compétences nécessaires pour piloter les exercices d’inventaire cryptographique, évaluer les choix d’algorithmes PQC, suivre les feuilles de route des prestataires et concevoir une architecture de crypto-agilité ? Développer cette compétence, ou s’appuyer sur les bons partenaires, est désormais reconnu par le G7 comme une étape de préparation à part entière.
La feuille de route PQC publiée en janvier reste d’actualité
Le rapport de mai 2026 confirme la feuille de route publiée en janvier, et ses six phases de migration :
Phase 1 — Sensibilisation et préparation : établir une prise de conscience au niveau exécutif et définir les responsabilités de gouvernance. Cette phase devrait déjà être achevée ou en cours pour la plupart des institutions.
Phase 2 — Découverte et inventaire : constituer un inventaire complet des actifs cryptographiques — algorithmes, clés, certificats, protocoles, dépendances tierces — dans les environnements IT et OT. C’est là que se trouvent aujourd’hui la majorité des institutions financières, et c’est le prérequis de toutes les phases suivantes.
Phase 3 — Évaluation des risques et planification : élaborer des plans de migration adaptés à la criticité des systèmes et des fonctions, avec une priorisation claire et des indicateurs de suivi.
Phase 4 — Exécution de la migration : déployer progressivement des solutions résistantes au quantique, en commençant par les systèmes les plus prioritaires, à un rythme adapté à l’évolution des menaces.
Phase 5 — Tests de migration : valider les fonctions migrées et intégrer la résilience post-quantique dans les exercices de tests opérationnels et réglementaires.
Phase 6 — Validation et surveillance : amélioration continue, intégration des nouveaux standards cryptographiques et gouvernance adaptative dans la durée.
Sur les calendriers, les deux points de référence fixés en janvier ne sont pas remis en question : les systèmes critiques doivent avoir migré d’ici 2030-2032, et l’ensemble du secteur financier doit avoir réalisé la transition complète d’ici 2035. Le rapport de mai souligne en revanche les risques posés par la menace Harvest Now, Decrypt Later (HNDL) : les institutions financières échangent des données dont la confidentialité doit être garantie sur des périodes longues, souvent supérieures à 10 ans. Le fait qu’elles soient exposées dès aujourd’hui sans être protégées contre la menace quantique est donc un sujet de préoccupation immédiat, quelle que soit la date à laquelle un ordinateur quantique suffisamment puissant verra le jour.
Trois implications concrètes pour votre programme de migration
Réévaluez le périmètre de votre inventaire.
L’accent mis par ce nouveau rapport sur les dépendances cryptographiques — au niveau hardware, protocolaire et dans les relations avec les prestataires — montre qu’un inventaire solide va bien au-delà du chiffrement applicatif. Sous-estimer l’étendue de ce périmètre est l’une des principales raisons pour lesquelles les programmes de migration prennent du retard dès la Phase 2.
Déployez l’agilité cryptographique dès le départ.
Votre projet de transition post-quantique doit être architecturé pour permettre la permutation d’algorithmes à tout moment, si un standard évolue ou qu’une vulnérabilité apparaît. Remplacer RSA par de la PQC ne suffit pas. Ce qui compte, c’est que votre infrastructure soit capable de changer de cap sans refonte majeure.
Développez les compétences internes en PQC.
Le déficit de compétences dans le domaine de la cryptographie et la PQC, est clairement identifié comme à la fois un risque concurrentiel et un risque de conformité. Les organisations qui auront pris les devants en faisant monter en compétence leurs équipes, ou en s’appuyant sur des partenaires de confiance, auront une longueur d’avance dans l’avancée du projet de migration et la prise de décisions.
Un cadre qui prend forme
Pris ensemble, la feuille de route de janvier et le nouveau rapport des banques centrales de mai 2026 dessinent un message G7 cohérent : prendre la mesure de son exposition, bâtir une architecture agile, et traiter la transition cryptographique comme un engagement de gouvernance dans la durée. Le cap n’a pas changé. Le rapport de mai apporte toutefois une lecture plus précise de certains obstacles majeurs : le manque de compétences spécialisées et la profondeur des dépendances cryptographiques seront les deux facteurs qui sépareront les organisations prêtes de celles qui ne le seront pas.
Chez CryptoNext Security, nous accompagnons les institutions financières sur l’ensemble de ce parcours, de la découverte cryptographique aux tests PQC en passant par la conception d’architectures crypto-agiles. Les organisations qui traverseront cette transition dans les meilleures conditions sont celles qui savent précisément d’où elles partent et vers quoi elles construisent.
Plus de catégories :
