Cryptographie post-quantique : pourquoi une entreprise mauricienne doit commencer l'inventaire

Aucun ordinateur quantique ne sait aujourd'hui casser le chiffrement moderne, et pourtant l'échéance court déjà : des données interceptées maintenant pourront être déchiffrées plus tard. Pour une entreprise mauricienne qui manipule des données à longue durée de vie — dossiers financiers, santé, contrats, données RH — la vraie question n'est pas la date d'arrivée de la machine, mais combien de temps ses secrets doivent le rester. La réponse rationnelle commence par un inventaire cryptographique, pas par l'achat d'une solution.
« Harvest now, decrypt later » : la menace n'attend pas l'ordinateur quantique
Le scénario est simple et déjà documenté : un attaquant capture aujourd'hui du trafic chiffré ou exfiltre des archives chiffrées, les stocke à faible coût, et attend la capacité de calcul nécessaire pour les déchiffrer. C'est le « harvest now, decrypt later » : récolter maintenant, déchiffrer plus tard.
Ce qui est menacé à terme, c'est la cryptographie asymétrique — les algorithmes de la famille RSA et des courbes elliptiques — qui protège l'échange de clés dans TLS, les tunnels VPN, les signatures électroniques et une grande partie de l'authentification. Autrement dit, presque tout ce qui circule entre vos sites, vos clients et vos prestataires.
La conséquence pratique : si une donnée doit rester confidentielle pendant de longues années — un dossier médical, un contrat stratégique, un secret industriel, des données personnelles archivées — alors elle est déjà exposée à ce scénario, même si le déchiffrement n'intervient que bien plus tard. Le risque se prend au moment de l'interception, pas au moment du calcul.
Un calendrier désormais officiel : 2030, puis 2035
Le sujet a quitté le domaine de la prospective. Le NIST, l'agence américaine de normalisation dont les standards cryptographiques font référence mondiale, a finalisé trois standards post-quantiques le 13 août 2024 : un mécanisme d'établissement de clés (ML-KEM) et deux schémas de signature (ML-DSA et SLH-DSA). Les algorithmes de remplacement existent donc, sont publiés et commencent à être intégrés par les éditeurs.
Surtout, le NIST a publié une trajectoire de fin de vie pour la cryptographie actuelle (NIST IR 8547) : dépréciation programmée de RSA-2048 et ECC P-256 en 2030, puis interdiction des algorithmes vulnérables en 2035. Même si ces échéances visent d'abord l'écosystème américain, elles structurent déjà les feuilles de route des fournisseurs de pare-feu, de VPN, de HSM et de logiciels que vous utilisez à Maurice. Nous détaillons ces échéances dans notre article sur le calendrier post-quantique international.
Un repère utile : un équipement ou un logiciel acheté aujourd'hui sera très probablement encore en service en 2030 — ce que vous signez maintenant engage déjà votre exposition post-quantique.
Pourquoi une entreprise mauricienne est concernée
Maurice vit de services exportés : BPO, finance, gestion externalisée, développement logiciel. Trois mécanismes ramènent le sujet sur votre bureau plus vite que prévu :
- La cascade contractuelle. Vos clients européens et internationaux, poussés par leurs propres régulateurs et assureurs, intégreront la cryptographie post-quantique dans leurs questionnaires fournisseurs, comme ils l'ont fait pour la continuité d'activité. Savoir répondre « nous avons un inventaire et une trajectoire » deviendra un critère de sélection.
- Les données à longue durée de vie. Santé, assurance, banque, notariat, RH : la confidentialité exigée dépasse largement l'horizon de dépréciation des algorithmes actuels. Ces données sont la cible naturelle du « harvest now, decrypt later ».
- Les liens chiffrés permanents. VPN site-à-site vers vos clients ou votre siège, interconnexions avec des partenaires, accès distants : ce trafic traverse des infrastructures que vous ne contrôlez pas, et il est interceptable aujourd'hui.
L'inventaire cryptographique : par où commencer concrètement
On ne migre pas ce qu'on ne connaît pas. L'inventaire cryptographique consiste à cartographier où votre organisation utilise de la cryptographie, quels algorithmes, et qui en contrôle le remplacement. Points de départ :
- Certificats : certificats TLS publics et internes, autorités de certification, processus de renouvellement. Un inventaire de certificats existe souvent déjà à moitié — c'est la porte d'entrée la plus simple.
- VPN et tunnels : algorithmes d'échange de clés de vos IPsec, SSL-VPN et accès distants ; versions de SSH ; équipements en fin de support qui ne recevront jamais de mise à jour post-quantique.
- Données au repos et sauvegardes : ce qui est chiffré, avec quoi, et où vivent les clés — les fondamentaux décrits dans notre article sur le chiffrement des données en entreprise restent le prérequis.
- Signatures : signature de code, horodatage, documents signés électroniquement dont la valeur probante doit durer.
- Dépendances fournisseurs : SaaS, hébergeur, éditeurs métier, équipementiers. Pour chacun, une question simple : quelle est votre feuille de route post-quantique ? L'absence de réponse est une information.
Ensuite, croisez cet inventaire avec la durée de vie de confidentialité de vos données : ce qui doit rester secret au-delà de l'horizon de dépréciation passe en priorité haute. Et exigez de la crypto-agilité dans tout nouvel achat : la capacité à changer d'algorithme par configuration, sans remplacer le produit. Un partenaire d'infrastructure comme SOVALYX peut porter cet inventaire dans le cadre d'un audit de sécurité plus large, où la cryptographie rejoint les accès, les sauvegardes et la supervision.
Checklist : lancer l'inventaire ce trimestre
- Un responsable de l'inventaire cryptographique est nommé, avec un mandat écrit.
- La liste des certificats TLS (publics et internes) est extraite et tenue à jour.
- Les VPN, tunnels et accès distants sont recensés avec leurs algorithmes d'échange de clés.
- Les données sont classées par durée de vie de confidentialité exigée.
- Les flux les plus sensibles interceptables (interconnexions, réplication, sauvegardes externalisées) sont identifiés.
- Chaque fournisseur critique a reçu la question : quelle feuille de route post-quantique, quelles échéances ?
- La crypto-agilité figure dans les critères de tout nouvel appel d'offres.
- Une trajectoire de migration avec jalons est esquissée, alignée sur les échéances de dépréciation.
Si la plupart de ces cases sont vides, rien d'anormal : c'est le cas de la majorité des organisations. Mais l'écart se creusera — un état des lieux se mène en quelques jours et donne un point de départ mesurable.
Comment SOVALYX peut vous aider
SOVALYX intègre l'inventaire cryptographique dans ses audits d'infrastructure : certificats, VPN, sauvegardes chiffrées et dépendances fournisseurs sont cartographiés, puis priorisés selon la durée de vie de confidentialité de vos données. Sur son cloud privé à Maurice, la trajectoire de migration se planifie ensuite sans rupture de service. Appelez le +230 5830 3314 pour un premier état des lieux.
Parler sécurité avec un ingénieur🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.
Relu et optimisé par IA.