Phases de préparation à la technologie quantique et calendrier de mise en œuvre
Date: Mars 2026
Introduction
Les progrès réalisés dans le domaine des ordinateurs quantiques cryptographiquement pertinents (OQCP) représentent une menace crédible pour le chiffrement qui protège les dossiers financiers, les données clients et les actifs essentiels. La cryptographie étant profondément intégrée dans l'infrastructure numérique, dans les applications et dans les services tiers, les OQCP créent un risque systémique pour le secteur financier.
Au cours de la dernière année, les progrès rapides réalisés dans le domaine des processeurs quantiques tolérants aux erreurs et l'intensification de la concurrence entre les principaux développeurs de technologies supraconductrices ont amplifié le risque. Par conséquent, les experts continuent de souligner que la préparation précoce est essentielle afin d'être prêt pour la cryptographie post-quantique (CPQ).
En 2024, nous avons sensibilisé les institutions aux risques liés à la technologie quantique en publiant un bulletin d'information. Ce bulletin fournit des pratiques exemplaires supplémentaires et un calendrier relatifs à la migration vers la CPQ pour aider les institutions à se préparer.
Phases de migration vers la CPQ
Notre bulletin de 2024 présentait des pratiques exemplaires liées à l'inventaire cryptographique, à l'évaluation des risques et des contrôles, à la mobilisation des fournisseurs et à l'agilité cryptographique. Ce bulletin s'appuie sur cette base en organisant ces pratiques en phases de migration logiques qui peuvent aider à orienter la planification par les institutions.
Acquérir les compétences et accroître la sensibilisation
L'informatique quantique et la cryptographie sont des domaines spécialisés et en pleine évolution. Pour favoriser une prise de décision efficace, les institutions peuvent envisager d'adopter certaines des mesures suivantes :
- mettre à jour leurs politiques, leurs normes et leurs procédures afin de tenir compte des risques émergents liés à la technologie quantique;
- définir les rôles de gouvernance et les responsabilités relatives à la migration vers la CPQ;
- conscientiser et former les cadres et les équipes techniques sur les menaces quantiques et les solutions quantiques sécurisées.
Dresser un inventaire des actifs cryptographiques
Un inventaire complet et à jour des actifs cryptographiques peut faciliter l'évaluation des risques et la hiérarchisation des priorités. Pour dresser un inventaire complet des actifs cryptographiques, les institutions peuvent :
- tenir à jour un inventaire centralisé des actifs cryptographiques, y compris des algorithmes, des protocoles, des clés, des certificats, des secrets et des dépendances tierces pertinentes;
- schématiser le flux de données sensibles et les communications entre les systèmes.
Évaluer les risques et dresser un plan de migration vers la CPQ
Des plans fondés sur le risque et modulables peuvent s'avérer utiles pour gérer l'incertitude entourant les calendriers de mise en place des capacités des OQCP. Les institutions peuvent envisager d'adopter les mesures suivantes :
- étudier les effets possibles sur les fonctions technologiques et de cybersécurité, y compris l'exposition au risque « récolter maintenant, décrypter plus tard »;
- évaluer les dépendances à l'égard des fournisseurs et des tiers clés qui assurent la prestation des fonctionnalités ou des services cryptographiques;
- établir une feuille de route organisationnelle avec des jalons mesurables qui accorde la priorité aux systèmes, aux données et aux tiers essentiels.
Exécuter la transition
Au fil des initiatives de la migration, les institutions peuvent opter pour une exécution progressive qui tient compte de la criticité et du risque. En pratique, elles peuvent faire les choix suivants :
- déployer des solutions sécurisées contre les attaques quantiques, en donnant la priorité aux systèmes essentiels et aux données de nature délicate qui doivent rester protégés pendant des années;
- intégrer l'agilité cryptographique pour assurer des mises à niveau rapides, maintenir l'interopérabilité et réagir rapidement aux vulnérabilités futures.
Tester, valider et anticiper
La migration vers la CPQ peut entraîner des effets opérationnels inattendus. Durant la transition des systèmes, les institutions peuvent prendre les décisions suivantes :
- tester et valider que les fonctions migrées fonctionnent comme prévu;
- planifier et répéter les mesures à prendre dans l'éventualité où les OQCP arriveraient plus tôt que prévu, y compris la reprise après sinistre et l'intervention en cas d'incident.
Calendriers de migration vers la CPQ
Dans le secteur financier, la complexité des plateformes et la dépendance importante vis-à-vis de tiers font augmenter l'exposition au risque cryptographique. Tout retard dans la prise de mesures accroît le risque d'une hausse des coûts, de perturbations opérationnelles et d'une perte de confiance.
Pour ces raisons, les experts des différents pays ou territoires de compétence, les organismes d'établissement des normes et les consortiums professionnels insistent tous sur l'importance d'une préparation précoce et d'une mise en œuvre progressive. Ils ont publié des feuilles de route et des calendriers pour la migration vers la CPQ, ainsi que des orientations tactiques. Ces lignes directrices recommandent généralement d'atteindre la maturité quantique dans tous les systèmes d'ici 2035.
Conclusion
Les OQCP ne sont pas encore opérationnels, mais leur mise en place nécessite des années de préparation, car les institutions doivent composer avec des systèmes interconnectés et des calendriers de mise en œuvre et des normes en constante évolution.
Une stratégie de migration progressive et fondée sur les risques, conforme aux consignes d'autorités reconnues telles que le Centre canadien pour la cybersécurité, le National Institute of Standards and Technology, et le Groupe d'experts en cybersécurité du G-7, peut contribuer à l'état de préparation.
Liens utiles
- Quantum Briefing Note: Update on Recent Developments in Quantum Research and Commercialization (en anglais seulement)
- Status of quantum computer developmen (PDF) (en anglais seulement)
- Planning for post-quantum cryptography (en anglais seulement)
- Quantum-readiness for the financial system: a roadmap (en anglais seulement)
- Feuille de route pour la migration vers la cryptographie post-quantique au sein du gouvernement du Canada
- Une feuille de route de mise en œuvre coordonnée pour la transition vers la cryptographie post-quantique
- Timelines for migration to post-quantum cryptography (en anglais seulement)
- Preparing for Post-Quantum Cryptography: Infographic (en anglais seulement)
- Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector (PDF) (en anglais seulement)
- Transition to Post-Quantum Cryptography Standards (en anglais seulement)
- FS-ISAC Urges Global Coordination for Migration to Post-Quantum Cryptography in Financial Services (en anglais seulement)
- Gestion du risque lié aux technologies et du cyberrisque