Préparation à l'ère quantique

Temps de lecture : 5 minutes

La préparation à l'informatique quantique est souvent perçue comme un enjeu stratégique ou réglementaire, mais pour les développeurs, elle commence bien plus près de chez eux : au sein même des dépôts qu'ils utilisent quotidiennement. La plupart des applications modernes reposent sur du code cryptographique hérité, des extraits de code copiés ou des bibliothèques anciennes dont les algorithmes ont été conçus il y a des décennies. Si nombre de ces algorithmes fonctionnent encore correctement, le calendrier post-quantique s'accélère et le contrôle réglementaire s'intensifie, ce qui signifie que les développeurs doivent désormais identifier, documenter et justifier la cryptographie intégrée à leurs bases de code.

Les grandes entreprises technologiques ont été claires sur ce point. IBM a toujours considéré la préparation à l'informatique quantique comme un défi de découverte et d'inventaire, bien avant qu'elle ne devienne une simple opération de remplacement.

La logique est simple : aucune organisation ne peut planifier une transition responsable vers la cryptographie post-quantique sans avoir préalablement établi une vision précise, lisible par machine et reproductible de son empreinte cryptographique actuelle. Cette importance accordée à la visibilité reflète fidèlement les réalités auxquelles sont confrontées les équipes de développement travaillant sur des logiciels complexes et évolutifs.

Pour les développeurs, la préparation à l'ère quantique commence donc par la détection. Sans détection fiable, les audits, les rapports de conformité et les feuilles de route futures reposent inévitablement sur des hypothèses plutôt que sur des preuves. Cette préoccupation est désormais explicitement reflétée dans les récentes directives du gouvernement américain, qui avertissent que les organisations retardant l'inventaire et l'évaluation de leurs systèmes cryptographiques risquent de ne pas être préparées aux échéances obligatoires de migration post-quantique, qui pourraient débuter dès 2026.

Pour remédier à ce problème, SCANOSS collabore avec IBM et développe un outil de détection de cryptographie intégré à la plateforme SCANOSS Crypto Insight. Cette plateforme open source vise à aider les organisations à identifier, inventorier et gérer les implémentations cryptographiques dans leurs logiciels en prévision du « Jour Q », moment où l'informatique quantique rendra vulnérables de nombreux algorithmes cryptographiques actuels. L'objectif est résolument pratique : détecter la cryptographie là où elle est présente dans le code source, quelle que soit la manière dont elle a été intégrée au dépôt.

Cette approche repose essentiellement sur l'analyse du code source plutôt que sur la seule lecture des déclarations. En analysant directement le code, les développeurs peuvent détecter les primitives cryptographiques et les identifiants d'algorithmes où qu'ils apparaissent, y compris dans le code réutilisé et les dépendances transitives. Combinée à l' ensemble de données de chiffrement SCANOSS , elle permet aux équipes de mettre en évidence les algorithmes tels que RSA, DSA et les fonctions de hachage obsolètes présentant des risques connus à long terme ou des risques réglementaires. Cette approche est en parfaite adéquation avec les recommandations publiques d'IBM : établir d'abord un inventaire exhaustif, puis prioriser les actions en fonction de données factuelles.

Détection : une première étape seulement

• La détection des algorithmes cryptographiques ne constitue que le début du processus.
• Le cadre Crypto Insight transforme ces résultats en renseignements cryptographiques structurés, cohérents et exploitables automatiquement.

Objectifs de l’analyse cryptographique

• Identifier quels algorithmes sont présents.
• Déterminer où ils sont implémentés dans le code source.
• Comprendre leur rôle cryptographique (signature, chiffrement, hachage, etc.).

Exploitation des informations structurées

• Utilisation dans les revues de sécurité.
• Enrichissement des CBOM (Cryptography Bill of Materials) et SBOM.
• Mise en place de contrôles de conformité automatisés basés sur la cryptographie réelle détectée.

Préparation continue à l’ère quantique

• Processus permanent d’exposition, documentation et surveillance des usages cryptographiques.
• Les développeurs ont un rôle central : rendre les mécanismes cryptographiques visibles, traçables et auditables directement dans le code source.

Du point de vue des développeurs, la préparation à l'ère quantique repose sur la transparence et le contrôle, et non sur le remplacement immédiat des algorithmes. La détection et l'inventaire basés sur des logiciels libres offrent une solution évolutive pour y parvenir. Les équipes qui mettent en place dès aujourd'hui une visibilité cryptographique claire et lisible par machine seront bien mieux préparées aux exigences réglementaires, de sécurité et opérationnelles que le passage à l'ère quantique engendrera. L'évolution du framework SCANOSS Crypto Insight représente une avancée concrète vers une gestion explicite, exploitable et détectable des risques cryptographiques, en vue de l'avènement de l'ère quantique.