Harvest Now, Decrypt Later : l’attaque quantique qui a déjà commencé
Vous n’avez pas besoin d’attendre les ordinateurs quantiques pour être concerné. Des acteurs malveillants collectent et stockent dès maintenant vos données chiffrées — pour les déchiffrer plus tard. Cette stratégie est documentée par la NSA, le GCHQ et l’ANSSI.
Qu’est-ce que l’attaque Harvest Now, Decrypt Later ?
Le principe est d’une logique implacable. Les ordinateurs quantiques capables de casser le chiffrement RSA n’existent pas encore. Mais ils existeront — dans 5, 10 ou 15 ans selon les estimations des experts. Et les acteurs malveillants le savent.
Plutôt que d’attendre, certains d’entre eux agissent dès maintenant : ils interceptent et stockent des communications chiffrées, des données transmises sur internet, des emails professionnels, des fichiers échangés via des services cloud. Ces données sont aujourd’hui illisibles. Mais le jour où les ordinateurs quantiques seront suffisamment puissants, elles pourront être déchiffrées rétroactivement.
Cette stratégie n’est pas hypothétique. La NSA américaine, le GCHQ britannique et l’ANSSI française ont publiquement alerté sur l’existence de cette pratique. Des États-nations et des groupes cybercriminels sophistiqués sont identifiés comme acteurs de ces collectes massives.
En 2022, l’ANSSI a explicitement recommandé aux organisations françaises d’anticiper cette menace dans leur stratégie de sécurité.
Comment fonctionne cette attaque concrètement
Pour comprendre pourquoi cette stratégie est efficace, il faut comprendre comment fonctionne le chiffrement actuel.
Quand vous envoyez un email chiffré, une transaction bancaire ou un fichier via un service cloud sécurisé, les données sont protégées par des algorithmes comme RSA ou AES. Ces algorithmes sont sécurisés parce qu’un ordinateur classique mettrait des millions d’années à les casser — il doit tester toutes les combinaisons possibles une par une.
Un ordinateur quantique suffisamment puissant pourrait résoudre ce problème en quelques heures grâce à l’algorithme de Shor. Ce qui était « indéchiffrable pour toujours » devient « indéchiffrable pour l’instant ».
Aujourd’hui — Collecte et stockage
Des acteurs malveillants interceptent des communications chiffrées — trafic réseau, emails, données cloud. Ils les stockent dans des infrastructures de grande capacité. Le coût de stockage est faible et continue de baisser.
Dans 5 à 15 ans — L’attente
Les données stockées restent chiffrées et inaccessibles. Les attaquants attendent que les ordinateurs quantiques atteignent la puissance nécessaire pour casser RSA-2048. Les experts estiment cet horizon entre 2030 et 2035.
Quand les QC sont prêts — Déchiffrement massif
Les données collectées pendant des années sont déchiffrées. Des informations qui semblaient protégées pour toujours — secrets d’affaires, données médicales, communications confidentielles — deviennent lisibles rétroactivement.
Quelles données sont déjà ciblées aujourd’hui
Tous les types de données ne sont pas également concernés. Les attaquants priorisent les données qui auront encore de la valeur dans 5 à 15 ans.
Pour une analyse détaillée par secteur d’activité, consultez notre guide sur les secteurs les plus exposés au risque quantique.
Pourquoi agir maintenant et pas dans 10 ans
C’est la question que posent la plupart des dirigeants de PME. La réponse tient en deux points.
La fenêtre de collecte est ouverte maintenant
Si vos données ont de la valeur dans 10 ans, elles sont déjà une cible aujourd’hui. Les attaquants ne collectent pas les données au moment où ils ont la capacité de les déchiffrer — ils les collectent en continu, en pariant sur l’avenir. Chaque jour qui passe sans protection adéquate est un jour où vos communications peuvent être interceptées et stockées.
La migration de sécurité prend du temps
Migrer vers des chiffrements post-quantiques n’est pas une mise à jour logicielle — c’est une refonte des infrastructures. Les grandes entreprises qui ont commencé en 2024 estiment cette migration à 5-7 ans. Une PME qui attend 2030 ne sera pas prête avant 2035 ou plus.
Imaginez que votre serrure actuelle soit parfaitement sûre — mais qu’un serrurier très habile vous annonce qu’il saura la crocheter dans 10 ans. Est-ce que vous attendez 10 ans pour changer de serrure ? Ou est-ce que vous commencez à planifier le changement maintenant, pendant que vous avez le temps de le faire sereinement ?
Ce que vous pouvez faire pour vous protéger
- Identifiez vos données à haute durée de vie — secrets industriels, dossiers clients pluriannuels, archives médicales. Ce sont elles qui méritent une attention prioritaire.
- Choisissez des fournisseurs cloud avec une feuille de route post-quantique — Google, Microsoft et Apple ont déjà annoncé leurs migrations. Les prestataires sérieux répondent à cette question.
- Réduisez le volume de données sensibles transmises non chiffrées — limiter la surface d’exposition est toujours bénéfique.
- Documentez votre conscience du risque — dans votre politique de sécurité, noter que vous suivez l’évolution de la menace quantique démontre une maturité appréciée par les assureurs et les clients grands comptes.
- Suivez les publications de l’ANSSI sur la migration post-quantique — les guides sont gratuits et adaptés au contexte français.
Pour un plan d’action complet, consultez notre guide sur la migration post-quantique pour les PME.
Comprendre quels algorithmes vont devenir obsolètes et par quoi ils seront remplacés : notre guide sur la cryptographie quantique pour les PME.
Identifier si votre secteur est particulièrement exposé : notre guide sur les secteurs les plus exposés au risque quantique.
Que faire concrètement pour votre PME ?
Inventaire des données, choix des fournisseurs, feuille de route — le guide pratique de la migration post-quantique pour les PME.