Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Menace du chiffrement quantique : l’avertissement urgent de Google sur les attaques SNDL

Menace du chiffrement quantique : l’avertissement urgent de Google sur les attaques SNDL

par Patrick Spencer updated février 10, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Google a lancé ce qui pourrait être l’alerte cybersécurité la plus importante de l’année. Kent Walker, President of Global Affairs chez Alphabet et Google, n’a pas mâché ses mots : les systèmes de chiffrement actuels sont vulnérables à l’informatique quantique, et des acteurs malveillants exploitent déjà cette faille — mais pas forcément comme on pourrait l’imaginer.

Le message clé ? Il ne faut plus considérer les menaces quantiques comme un problème futur. Elles sont déjà là.

Résumé des points clés

  1. Les attaques « Store Now, Decrypt Later » sont déjà en cours. Google a confirmé que des acteurs malveillants collectent activement des données chiffrées — dossiers financiers, secrets commerciaux, communications classifiées — en pariant que les futurs ordinateurs quantiques viendront casser les systèmes de chiffrement actuels. Ce risque n’est plus théorique ; il s’agit d’une véritable campagne de collecte de renseignements qui cible les organisations dès aujourd’hui.
  2. Google a déjà achevé sa migration post-quantique. Google a migré les échanges de clés pour son trafic interne vers ML-KEM, la norme post-quantique finalisée par le NIST en août 2024, et tous les services Google utilisent désormais par défaut un échange de clés résistant au quantique. Cette migration réalisée enlève l’argument du « ce n’est pas encore faisable » et met la pression sur toutes les autres entreprises pour qu’elles suivent le mouvement.
  3. L’Executive Order quantique de la Maison-Blanche présente une faille majeure. Le projet d’executive order sur la technologie quantique demande aux agences fédérales de mettre à jour la stratégie nationale quantique, mais il ometrait des dispositions sur la cryptographie post-quantique. Les recommandations de Google visent à combler ce manque, en appelant à l’adoption du PQC pour les infrastructures critiques, à la modernisation cloud-first et à l’harmonisation des standards à l’échelle mondiale.
  4. 91 % des organisations n’ont aucune feuille de route post-quantique. Selon une étude citée par Google Cloud, seules 9 % des organisations disposent d’un plan pour passer au chiffrement résistant au quantique. Les contrats gouvernementaux devraient imposer la conformité PQC dès 2026, et les analystes estiment qu’il faut entre 12 et 24 mois rien que pour entamer la migration. L’écart de préparation est donc colossal.
  5. Les cadres de conformité existants imposeront le PQC sans nouvelles règles. Des réglementations comme HIPAA, PCI DSS et SOX exigent déjà des mesures de sécurité « raisonnables », et la définition de ce qui est raisonnable va évoluer à mesure que les standards post-quantiques se généralisent. Les organisations qui continuent de s’appuyer uniquement sur le chiffrement classique risquent d’être non conformes — comme ce fut le cas lors de l’abandon de TLS 1.0 et 1.1.

Les attaques « Store Now, Decrypt Later » sont déjà une réalité

Commençons par l’aspect le plus inquiétant de l’annonce de Google, car il mérite d’être mis en avant. Des acteurs malveillants collectent dès à présent des données chiffrées. Dossiers financiers, secrets commerciaux, communications gouvernementales classifiées — tout est aspiré et stocké, dans l’attente que des ordinateurs quantiques capables de casser les systèmes de chiffrement actuels voient le jour.

Ce vecteur d’attaque porte un nom dans la communauté cybersécurité : « store now, decrypt later » (SNDL). Et ce n’est pas une hypothèse. Google a confirmé que ces campagnes sont déjà en cours.

Réfléchissez-y un instant. Chaque donnée sensible que votre organisation transmet aujourd’hui, chiffrée selon les standards actuels, pourrait déjà être stockée quelque part par un adversaire. Le chiffrement n’a pas encore été cassé — mais le pari, c’est qu’il le sera, et peut-être plus tôt qu’on ne le pense.

Walker a été clair : « Un ordinateur quantique pertinent pour la cryptographie n’est pas éternellement à dix ans d’ici. » Ce choix de mots est délibéré. Pendant des années, l’échéance de la menace quantique a été repoussée, toujours assez loin pour justifier l’inaction. Google affirme que ce raisonnement n’est plus acceptable.

C’est un changement de ton majeur de la part d’un des plus grands acteurs technologiques mondiaux. Et cela doit modifier la façon dont chaque RSSI et responsable conformité aborde sa feuille de route en matière de chiffrement.

Ce que Google a concrètement réalisé

Il est important de noter que Google ne se contente pas de tirer la sonnette d’alarme — l’entreprise agit. Elle a annoncé être en passe d’achever sa migration vers la cryptographie post-quantique (PQC) dans le respect des recommandations du NIST. Plus précisément, Google a déjà migré les échanges de clés pour son trafic interne vers ML-KEM, la norme post-quantique principale finalisée par le NIST en août 2024.

Tous les services Google et certains services Google Cloud natifs utilisent désormais par défaut un échange de clés résistant au quantique. C’est un changement d’infrastructure massif, et le fait que Google l’ait réalisé donne encore plus de poids à son alerte. Lorsqu’une entreprise qui traite une part colossale du trafic Internet mondial déclare « nous l’avons fait, à vous de jouer », cela a une toute autre portée qu’un simple discours commercial.

ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), pour ceux qui ne sont pas experts en cryptographie, fait partie des algorithmes retenus par le NIST après des années de travaux sur la standardisation post-quantique. Il est conçu pour résister aux attaques des ordinateurs classiques et quantiques, et peut remplacer les mécanismes d’échange de clés actuels — du moins en théorie. En pratique, migrer l’infrastructure d’une entreprise vers de nouveaux standards cryptographiques est rarement simple, ce qui explique pourquoi Google recommande d’agir vite.

La faille réglementaire dont personne ne parle

Voici un point particulièrement intéressant du point de vue de la conformité réglementaire. La Maison-Blanche prépare actuellement un executive order sur la technologie quantique intitulé « Ushering In The Next Frontier Of Quantum Innovation ». Sur le papier, cela semble complet. Le projet charge plusieurs agences fédérales de mettre à jour la stratégie nationale quantique et de développer de nouvelles capacités de calcul quantique pour la recherche scientifique.

Mais il y a une omission notable : le projet n’inclurait pas de dispositions spécifiques sur la cryptographie post-quantique. C’est une faille importante. On pourrait penser qu’un executive order axé sur l’innovation quantique traiterait d’abord l’enjeu de sécurité le plus urgent lié à cette technologie, mais ce n’est apparemment pas le cas — du moins pour l’instant.

La démarche de Google vise justement à combler ce vide. Walker a formulé cinq recommandations à l’intention des décideurs, qui ressemblent davantage à un plan d’action qu’à de simples suggestions. Parmi elles : impulser une dynamique collective autour de l’adoption du PQC (notamment pour les infrastructures critiques comme l’énergie et la santé), promouvoir la modernisation cloud-first pour accélérer les mises à jour cryptographiques, concevoir les systèmes d’IA avec la cryptographie post-quantique dès le départ, et éviter la fragmentation des standards à l’échelle mondiale.

Ce dernier point sur la fragmentation mérite qu’on s’y attarde. Si chaque pays adopte des standards post-quantiques incompatibles, cela créera d’énormes obstacles pour le commerce mondial et le partage de données. On l’a déjà vu avec les réglementations sur la protection des données personnelles — RGPD, CCPA, PIPL en Chine, et bien d’autres, qui forment un patchwork complexe et coûteux à gérer. Répéter ce schéma avec les standards cryptographiques serait encore pire, car le chiffrement est encore plus fondamental au fonctionnement des systèmes numériques.

Seulement 9 % ont un plan

Peut-être le chiffre le plus alarmant de l’annonce de Google : selon une étude citée par Google Cloud, seules 9 % des organisations disposent actuellement d’une feuille de route post-quantique.

Neuf pour cent.

Ce chiffre devrait inquiéter toute personne responsable de la sécurité ou de la conformité réglementaire d’une entreprise. Les analystes estiment que la fenêtre de migration est d’environ 12 à 24 mois pour commencer la transition. Pas pour la terminer — pour la commencer. Or, la grande majorité des organisations n’a même pas encore commencé à planifier.

Jennifer Fernick, Senior Staff Security Engineer chez Google Cloud, a souligné l’urgence concernant les signatures numériques : « Plus vite nous pourrons sécuriser ces signatures, plus la confiance dans le monde numérique sera solide. » Elle a raison. Les signatures numériques sont au cœur des mises à jour logicielles, des transactions financières et de la vérification d’identité. Si un adversaire doté d’un ordinateur quantique peut les falsifier, toute la chaîne de confiance numérique s’effondre.

Du point de vue de la conformité, cela crée une dynamique complexe. La CISA a déjà publié des recommandations fédérales identifiant les catégories de produits technologiques où la cryptographie post-quantique est disponible, et les contrats gouvernementaux devraient imposer la conformité PQC dès 2026. Si votre organisation travaille avec le gouvernement fédéral — ou relève de cadres comme FedRAMP, CMMC ou ITAR — le message est clair. Les exigences PQC arrivent, et probablement plus vite que la plupart des équipes achats et IT ne l’imaginent.

Pourquoi l’enjeu dépasse les contrats gouvernementaux

Mais les implications en matière de conformité vont bien au-delà des marchés publics. Pensez aux cadres réglementaires qui exigent déjà des mesures de sécurité « raisonnables » ou « appropriées » — HIPAA, PCI DSS, SOX, diverses lois étatiques sur la vie privée. La définition de ce qui constitue une sécurité « raisonnable » va évoluer à mesure que les standards post-quantiques seront disponibles et adoptés.

Voici la logique : dès lors que le NIST a publié des standards PQC finalisés (c’est fait), et que les principaux fournisseurs technologiques les ont mis en œuvre (ce que Google a fait), il devient de plus en plus difficile de justifier le recours exclusif au chiffrement classique comme posture de sécurité raisonnable. Les régulateurs n’auront pas besoin de rédiger de nouvelles règles. Ils interpréteront simplement les règles existantes différemment.

C’est exactement ainsi que les exigences en matière de chiffrement ont évolué par le passé. Lorsque TLS 1.0 et 1.1 ont été abandonnés, les organisations qui continuaient à les utiliser se sont retrouvées non conformes à PCI DSS — non pas parce qu’une nouvelle règle avait été écrite, mais parce que la notion de « chiffrement fort » avait évolué. Attendez-vous à la même évolution avec la cryptographie post-quantique.

Pour les organisations qui gèrent des données sensibles soumises à de longues durées de conservation — dossiers médicaux, données financières, propriété intellectuelle, documents juridiques — la menace SNDL ajoute une nouvelle dimension. Les données chiffrées aujourd’hui devront peut-être rester confidentielles pendant 10, 20 ou 30 ans. Si un ordinateur quantique capable de casser le chiffrement actuel apparaît dans cet intervalle, vous subirez une violation de données rétroactive. Les données auront déjà été volées ; vous ne saviez tout simplement pas qu’elles étaient exposées.

Que doivent faire les organisations dès maintenant ?

Les recommandations concrètes ne sont pas compliquées, même si leur mise en œuvre l’est. Première étape : réaliser un inventaire cryptographique. Il faut savoir quels algorithmes de chiffrement sont utilisés dans vos systèmes, où ils sont déployés, et à quel point ils sont intégrés. C’est plus difficile qu’il n’y paraît — la plupart des organisations ont du chiffrement dispersé dans les applications, bases de données, API, tunnels VPN, systèmes de messagerie et couches de stockage, sans visibilité centralisée.

Deuxième étape : évaluer les solutions post-quantiques proposées par vos fournisseurs actuels. De nombreux acteurs du cloud et de la sécurité proposent déjà le support du PQC ou l’intègrent à leur feuille de route à court terme. Si votre infrastructure repose fortement sur le cloud, vous pourriez bénéficier des mises à jour réalisées par vos prestataires — mais il faut le vérifier, pas le supposer.

Troisième étape : prioriser les données les plus sensibles et à la durée de vie la plus longue. Tout ne doit pas migrer au même rythme. Les données devant rester confidentielles pendant des décennies (dossiers patients, informations liées à la défense, secrets commerciaux) doivent passer en priorité, précisément à cause de la menace SNDL.

Quatrième étape : mobiliser dès maintenant vos équipes conformité et juridiques. N’attendez pas un mandat réglementaire explicite. Les organisations qui anticipent la migration PQC seront bien mieux armées que celles qui devront rattraper leur retard après l’entrée en vigueur d’une nouvelle obligation.

La vision d’ensemble

L’alerte de Google s’inscrit dans un mouvement de fond amorcé depuis deux ans. Le NIST a finalisé ses premiers standards post-quantiques en août 2024. La NSA a publié ses propres échéances pour la migration des systèmes de sécurité nationale vers la cryptographie résistante au quantique. La CISA publie des recommandations. Et désormais, le plus grand acteur technologique mondial affirme publiquement que la menace est imminente, et non plus théorique.

La question de la sécurité face à l’informatique quantique est passée des conférences académiques et groupes de travail spécialisés aux conseils d’administration et aux agences réglementaires. Cette transition a été plus rapide que prévu, et l’écart entre la prise de conscience et l’action reste immense.

Que vous soyez RSSI cherchant à justifier un investissement PQC, responsable conformité évaluant les risques réglementaires futurs, ou DSI analysant votre infrastructure cryptographique — il n’est plus temps d’attendre. Google vient de le rappeler. Et avec seulement 9 % des organisations dotées d’une feuille de route, l’avantage concurrentiel et réglementaire des premiers à agir sera considérable.

L’horloge quantique tourne. La question, c’est de savoir si votre organisation sera prête quand elle arrivera à son terme.

Foire aux questions

Le 7 février 2026, Google a lancé une alerte urgente : les systèmes de chiffrement actuels sont vulnérables aux menaces liées à l’informatique quantique, et des acteurs malveillants collectent déjà des données chiffrées dans le cadre d’attaques « store now, decrypt later ». Kent Walker, President of Global Affairs chez Alphabet et Google, a appelé les gouvernements et l’industrie à accélérer l’adoption de la cryptographie post-quantique, affirmant qu’un ordinateur quantique pertinent pour la cryptographie n’est plus éternellement à dix ans d’ici. Google a également révélé avoir déjà migré ses propres services vers un échange de clés résistant au quantique avec ML-KEM, la norme post-quantique finalisée par le NIST en août 2024.

Une attaque « store now, decrypt later » consiste pour des adversaires à collecter et stocker aujourd’hui des données chiffrées dans le but de les déchiffrer une fois que les ordinateurs quantiques seront suffisamment puissants pour casser les algorithmes de chiffrement actuels. Google a confirmé que ces attaques sont déjà en cours, avec des acteurs malveillants qui récoltent des dossiers financiers chiffrés, des secrets commerciaux et des communications classifiées. Le risque est particulièrement élevé pour les données devant rester confidentielles pendant des années ou des décennies, comme les dossiers médicaux, la propriété intellectuelle liée à la défense et les données financières, car une percée quantique durant cette période de confidentialité exposerait rétroactivement toutes les données collectées.

La cryptographie post-quantique désigne des algorithmes cryptographiques conçus pour résister aux attaques d’ordinateurs classiques comme quantiques. En août 2024, le National Institute of Standards and Technology (NIST) a finalisé son premier ensemble de standards cryptographiques post-quantiques, dont ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) pour l’échange de clés et ML-DSA pour les signatures numériques. Ces standards visent à remplacer les méthodes de chiffrement actuelles vulnérables au quantique et servent de base à la transition mondiale vers une sécurité résistante au quantique.

Les contrats gouvernementaux devraient imposer la conformité PQC dès 2026, et la CISA a déjà publié des recommandations fédérales identifiant les catégories de produits où la cryptographie post-quantique est largement disponible. Les organisations soumises à des cadres comme FedRAMP, CMMC et ITAR doivent s’attendre à des exigences explicites à court terme. Au-delà des marchés publics, les cadres réglementaires existants tels que HIPAA, PCI DSS et SOX, qui exigent des mesures de sécurité « raisonnables » ou « appropriées », seront probablement réinterprétés pour inclure la protection post-quantique à mesure que le PQC deviendra accessible — comme ce fut le cas lors de l’évolution de la conformité PCI DSS avec l’abandon de TLS 1.0 et 1.1.

Google a migré les échanges de clés pour tout son trafic interne vers ML-KEM et indique que tous ses services, ainsi que certains services Google Cloud natifs, sont désormais protégés par un échange de clés résistant au quantique par défaut. L’entreprise affirme être en passe d’achever la migration complète vers la cryptographie post-quantique dans le respect des recommandations du NIST. Cette migration est significative car elle prouve que le déploiement du PQC à grande échelle est techniquement possible et enlève l’argument selon lequel les standards seraient trop récents ou non éprouvés pour une adoption en entreprise.

Les organisations doivent commencer par réaliser un inventaire cryptographique afin d’identifier tous les algorithmes de chiffrement utilisés dans les applications, bases de données, API, tunnels VPN, systèmes de messagerie et infrastructures de stockage. Ensuite, elles doivent évaluer le support PQC proposé par leurs fournisseurs cloud et sécurité, prioriser la migration pour les données les plus sensibles et à la durée de vie la plus longue (celles qui présentent le plus grand risque SNDL), et associer immédiatement les équipes conformité et juridiques, sans attendre de mandat réglementaire explicite. Les analystes estiment qu’il faut entre 12 et 24 mois pour commencer la transition, et avec seulement 9 % des organisations dotées d’une feuille de route post-quantique, les premiers à agir bénéficieront d’un avantage réglementaire et concurrentiel certain.

Les recommandations politiques de Google semblent combler une lacune notable dans le projet d’executive order de la Maison-Blanche sur la technologie quantique, qui se concentre sur la mise à jour de la stratégie nationale quantique et le développement des capacités de calcul quantique, mais omettrait les dispositions relatives à la cryptographie post-quantique. Walker a formulé cinq recommandations à l’intention des décideurs, notamment l’adoption du PQC pour les infrastructures critiques comme les réseaux énergétiques et les systèmes de santé, la modernisation cloud-first pour plus d’agilité cryptographique, la conception des systèmes d’IA avec des protections post-quantiques, et la prévention de la fragmentation mondiale des standards PQC. Même si Google n’a pas explicitement critiqué l’executive order, le contenu et le timing de ses recommandations montrent clairement que l’entreprise considère la politique actuelle comme incomplète.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks