Tester la PQC avant de migrer : une étape incontournable

La transition vers une cybersécurité résiliente face à la menace d’attaques par des ordinateurs quantiques est plus que jamais d’actualité pour les organisations. Les experts et les autorités convergent : d’ici 2030 à 2035, les systèmes critiques devront avoir migré vers des solutions de cryptographie post-quantique (PQC).

Mais cette transition n’a rien d’anodin. Elle engage une transformation profonde des infrastructures, des processus et de la gouvernance. Il serait dangereux d’aborder un tel projet sans phase d’exploration préalable.

C’est là tout le rôle des projets pilotes : ils agissent comme des éclaireurs. En testant la PQC sur un périmètre restreint, ils permettent de mesurer les impacts techniques, d’évaluer les contraintes opérationnelles, de faire les bons choix d’algorithmes et d’architectures, et surtout, de mobiliser les équipes concernées bien au-delà du seul service cybersécurité. Cette phase de test est essentielle à la préparation de la migration vers la PQC pour en anticiper les impacts à l’échelle de l’organisation.

1. Comprendre les impacts sur la performance

Avant tout déploiement à grande échelle, il est essentiel de mesurer les effets concrets de la PQC sur vos systèmes. Les caractéristiques des nouveaux algorithmes PQC validés par le NIST (comme ML-KEM, ML-DSA ou SLH-DSA) sont très différentes de celles des algorithmes dits “classiques” (RSA, ECC) : tailles de clés, longueur des signatures, nouveaux paradigmes cryptographiques (lattices, hash-based, code-based). Ces évolutions ne sont pas neutres : elles peuvent affecter en profondeur le foncntionnement de vos cas d’usage. C’est pourquoi une phase de test ciblée est essentielle pour anticiper les ajustements nécessaires.

Latence, mémoire, bande passante : tout est impacté par la PQC

L’introduction d’algorithmes post-quantiques aura un impact direct sur les paramètres techniques de vos systèmes :

• Taille des clés et des certificats : une clé classique RSA-2048 pèse 256 octets, quand une clé PQC peut atteindre plusieurs milliers voire dizaine de milliers d’octets. Idem pour les signatures.
• Impact sur le réseau : les clés, les signatures ou les certificats transportés lors des négociations protocolaires (TLS, SSH, IPSec…) deviennent plus volumineux, induisant une fragmentation accrue des trames réseau, ce qui peut augmenter la latence et solliciter davantage les canaux de communication.
• Effet mémoire : les systèmes embarqués ou les environnements legacy, souvent contraints en ressources, peuvent se retrouver incapables de traiter ces objets plus lourds sans adaptation.
• Performance applicative : certaines opérations cryptographiques post-quantiques (signature, vérification) peuvent ralentir les traitements critiques si elles ne sont pas intégrées ou optimisées correctement.

Seuls des tests conduits dans un environnement réel ou représentatif de vos infrastructures permettent de tirer des enseignements fiables :

• quantifier précisément les écarts de performance introduits par les algorithmes post-quantiques,
• identifier les situations où l’impact est acceptable, et celles où il risque de devenir un frein opérationnel,
• orienter les choix algorithmiques en tenant compte des contraintes métiers, des exigences de sécurité et des limites techniques propres à chaque environnement.

Tous les algorithmes post-quantiques ne se valent pas en matière de performance. Certains sont très rapides à exécuter, mais exigent une mémoire importante. D’autres sont plus sobres en ressources, mais aussi plus lents, car conçus pour offrir un niveau de sécurité maximal.

Il n’existe donc aucune solution unique adaptée à tous les contextes. C’est précisément l’intérêt des projets pilotes : évaluer les compromis possibles en fonction de vos cas d’usage, et orienter les choix technologiques en connaissance de cause.

2. Anticiper les obstacles au déploiement

Les Systèmes d’Information (SI) actuels forment un écosystème dense, hétérogène et interconnecté : applications métiers, bases de données, protocoles de communication, certificats, bibliothèques logicielles, équipements réseau… La cryptographie irrigue l’ensemble, souvent de manière invisible, dispersée, et peu documentée.

Dans ce contexte, l’introduction d’algorithmes post-quantiques peut facilement perturber des équilibres fonctionnels établis. Des imprévus surgiront inévitablement. Les avoir identifiés en amont permet d’éviter des blocages lors du déploiement à grande échelle, et de limiter les surcoûts liés aux ajustements de dernière minute.

3 types d’écueils à identifier avant de déployer

1. Les problèmes de compatibilité

Tous les équipements, bibliothèques ou logiciels ne sont pas encore prêts à gérer les nouveaux formats introduits par la PQC.

• Certains équipements ou logiciels ne supportent pas encore les nouveaux formats de clés ou de certificats.
• Des protocoles comme TLS ou IKE peuvent échouer en négociation si les versions, extensions ou configurations ne sont pas compatibles.

2. Les interdépendances systèmes

Une modification locale peut avoir des répercussions globales.

• Changer un composant cryptographique peut rendre des signatures invalides ou provoquer des échecs d’authentification.
• Des chaînes automatisées (signature de code, déploiement, CI/CD) peuvent être perturbées par des formats inconnus.

3. Les ruptures de processus métier

Certaines fonctions critiques reposent sur des mécanismes cryptographiques invisibles mais au cœur des interactions quotidiennes.

• Un certificat non reconnu, une clé mal interprétée, et c’est une facturation qui échoue, un accès bloqué à un outil RH, ou un support client indisponible.
• Sans une phase de test préalable, ces interruptions pourraient passer inaperçues… jusqu’à la mise en production.

Le test sert de révélateur

Il permet de lever les incertitudes et de mettre en lumière les risques listés plus haut, souvent invisibles dans un audit classique :

• Détection des points de blocage sans perturber l’environnement de production,
• Test de différents scénarios de migration, en fonction des cas d’usage, des systèmes ou des choix d’algorithmes,
• Documentation des prérequis techniques, les dépendances critiques et les séquences d’actions à respecter,
• Anticipation des régressions et les interruptions de service imprévues, sources de pertes opérationnelles.

3. Acquérir de l’expertise sur la PQC

Les projets pilotes sont essentiels pour développer une expertise interne solide sur la cryptographie post-quantique et embarquer, progressivement mais durablement, toutes les parties prenantes de l’organisation.

Car migrer vers la PQC ne se résume pas à un simple remplacement d’algorithmes : c’est un chantier de transformation qui touche à la fois la technique, la gouvernance, la stratégie IT et les modes de collaboration internes. Tester en amont permet de créer les conditions pour structurer cette transition de manière durable et alignée.

Des compétences nouvelles à acquérir

Les nouvelles normes cryptographiques s’appuient sur mathématiques différentes : réseaux euclidiens, codes correcteurs, fonctions de hachage avec ou sans état… Leur intégration implique une montée en compétence progressive des équipes. Avec la fin de l’approche “clé unique” comme RSA, chaque fonction cryptographique (échange de clés, signature, chiffrement…) doit désormais reposer sur des algorithmes distincts, choisis selon le contexte d’usage. Cette complexité technique nécessite une appropriation par les équipes concernées : cybersécurité bien sûr, mais aussi IT, architecture, développement, conformité, et opérations.

Impliquer une équipe pluridisciplinaire

Contrairement à une idée reçue, la migration vers la PQC ne concerne pas uniquement le département Cybersécurité. Elle doit mobiliser de nombreuses expertises :

• Les équipes d’architecture IT : pour anticiper les impacts sur l’infrastructure.
• Les développeurs : pour adapter les applications aux nouvelles primitives.
• Les opérations / DevOps : pour intégrer la nouvelle cryptographie dans les chaînes CI/CD.
• La conformité / RSSI : pour assurer la conformité aux futures exigences réglementaires.
• La direction : pour comprendre les enjeux, budgéter le projet, et soutenir les arbitrages.

Le projet pilote agit comme un déclencheur et un catalyseur au sein de l’organisation. Il permet à chaque acteur de prendre la mesure de ses responsabilités, de se confronter à la réalité technique, et de monter en compétence dans un cadre maîtrisé. Il révèle aussi souvent un besoin jusqu’alors ignoré : celui d’un rôle de coordination transversal, dédié à la gestion des actifs cryptographiques. Ce rôle de “cryptography manager“, encore absent de nombreux organigrammes, devient pourtant essentiel pour orchestrer la transition vers une gouvernance crypto-agile, cohérente, et pilotée dans la durée.

Le test comme levier d’acculturation

Tester la PQC, c’est aussi amorcer une dynamique d’acculturation. À travers les retours d’expérience, la documentation produite, les échanges entre équipes et les problématiques identifiées, un projet pilote permet de faire émerger une culture commune autour de la cryptographie. Il crée un langage partagé, fait évoluer les pratiques, et renforce la transversalité. C’est un levier de changement structurant, qui prépare l’organisation à piloter un domaine de plus en plus stratégique, longtemps resté en arrière-plan.

Le projet pilote : se donner les moyens d’une migration maîtrisée

La transition vers la cryptographie post-quantique ne s’apparente en rien à une simple mise à jour. Il s’agit d’une refonte en profondeur des fondations cryptographiques sur lesquelles repose la sécurité numérique des organisations.

S’engager dans cette migration sans phase de test préalable revient à avancer à l’aveugle et à prendre de risque de s’exposer à un projet mal calibré, coûteux, ralenti par des imprévus techniques, voire compromis dès les premières phases de déploiement.

À l’inverse, un projet pilote bien conçu permet de pallier les incertitudes. Il éclaire les choix technologiques, révèle les contraintes organisationnelles, et trace une trajectoire pour une migration progressive, structurée et réussie. C’est la première étape, et une condition indispensable, pour construire une cybersécurité post-quantique robuste, agile et pérenne.