La préparation quantique est un sujet de gouvernance, pas seulement un projet technique

La migration vers la cryptographie post-quantique (PQC) est souvent présentée comme un défi technique : remplacer les algorithmes, mettre à jour les bibliothèques, tester les performances. Mais les organisations qui réussissent la traitent comme un sujet de gouvernance—qui nécessite responsabilité, gestion des risques et prise de décision stratégique.

Pourquoi la gouvernance compte

Les équipes techniques ne peuvent pas migrer ce qu'elles ne contrôlent pas. La préparation post-quantique couvre :

• Inventaire cryptographique : Où la crypto est-elle utilisée ? Qui possède chaque système ?
• Classification des données : Quels actifs nécessitent une confidentialité à long terme ?
• Dépendances tierces : Que contrôlent les fournisseurs et partenaires ?
• Priorisation : Qu'est-ce qui est migré en premier, et pourquoi ?

Ce sont des questions de gouvernance, pas des tâches d'ingénierie. Sans responsabilité claire, registres des risques et décisions documentées, les efforts de migration stagnent ou se concentrent sur les mauvaises priorités.

Que faire

Assigner un responsable de la préparation post-quantique (souvent RSSI, risque ou architecture). Ajouter la PQC aux registres de risques d'entreprise. Classifier les données selon l'horizon de confidentialité. Documenter les hypothèses et les cycles de revue. Aligner les feuilles de route sur les normes (NIST PQC, guidance ANSSI) et les signaux réglementaires (NIS2, DORA).

L'objectif est une visibilité et une prise de décision structurées, pas seulement un déploiement technique. Une évaluation de maturité (comme le Modèle de Maturité Post-Quantique Qubixor) aide les organisations à voir où elles en sont et où existent les lacunes de gouvernance.