Contrairement à une idée reçue tenace, le risque quantique n’est pas une préoccupation pour l’horizon 2040… Il est immédiat. La stratégie offensive dite “Harvest Now, Decrypt Later” est déjà à l’œuvre : des acteurs étatiques et criminels interceptent aujourd’hui des volumes massifs de données chiffrées, attendant l’avènement d’un ordinateur quantique suffisamment puissant pour briser les clés RSA et ECC qui sécurisent nos échanges.

Pour une banque, cette asymétrie temporelle est un piège mortel. Si l’on estime l’arrivée d’un ordinateur quantique capable de casser le chiffrement actuel (CRQC) aux alentours de 2030–2035, toute donnée possédant une sensibilité supérieure à dix ans est déjà compromise. Crédits immobiliers sur 25 ans, secrets de fusions-acquisitions ou données d’identité : la durée de vie de la donnée financière excède largement le temps qu’il nous reste avant leur rupture cryptographique. Cette menace existentielle transforme la passivité actuelle en risque systémique, exacerbé par une dette technique bancaire massive où la cryptographie est souvent enfouie dans des couches de code obsolètes.

Il est par ailleurs à noter qu’au-delà de la sécurité, c’est le modèle économique même de l’accès à la puissance de calcul qui inquiète. Les processeurs quantiques (QPU), nécessitant des environnements cryogéniques ou photoniques complexes, ne seront pas installés dans les sous-sols des banques. Ils seront consommés via le Cloud, sous forme de “Quantum-as-a-Service” (QaaS).

Le risque est clair : en nouant des partenariats exclusifs avec les géants américains pour accéder à leur hardware, les banques européennes s’enferment dans des écosystèmes propriétaires. Si le moteur technologique de la finance de demain (pricing, gestion des risques) est entièrement contrôlé outre-Atlantique, le secteur bancaire européen ne sera plus qu’un utilisateur passif, soumis aux tarifs étrangers et à l’extraterritorialité du droit américain. Le CLOUD Act a déjà démontré la vulnérabilité juridique des données ; le quantique risque d’étendre cette vulnérabilité à l’intelligence même du calcul financier.

Face à ce défi, l’Europe transforme la contrainte en moteur. Le règlement DORA (Digital Operational Resilience Act), pleinement applicable depuis janvier 2025, impose désormais une gestion proactive des risques liés aux tiers et à la sécurité des données, incluant de facto la préparation au risque quantique.

L’impératif de “crypto-agilité” n’est plus une option théorique mais une exigence de conformité. De plus, l’approche européenne se distingue par sa prudence stratégique. Alors que le NIST américain a finalisé fin 2024 ses premiers standards de cryptographie post-quantique (FIPS 203, 204, 205), les agences comme l’ANSSI recommandent une “hybridation”. Cette stratégie consiste à combiner les nouveaux algorithmes avec les standards classiques éprouvés, refusant la confiance aveugle en un standard unique et garantissant une souveraineté numérique indispensable.

En l’état, si la menace de l’informatique quantique est réelle, l’opportunité qui en résulte est, elle, disruptive. L’accélération des simulations de Monte Carlo promet de réduire drastiquement les temps de calcul pour le pricing de dérivés complexes, tandis que les algorithmes d’optimisation (QAOA) visent à capter des points de base de rendement supplémentaires là où les modèles classiques plafonnent.

Les stratégies divergent. Si certains, comme le Crédit Mutuel Alliance Fédérale, ont choisi l’alliance technologique avec IBM, d’autres parient sur l’avenir industriel du continent. Crédit Agricole CIB fait figure de pionnier en collaborant étroitement avec les pépites françaises Pasqal et Quandela, ainsi qu’avec l’espagnole Multiverse Computing. Ces expérimentations, notamment sur la prédiction de la dégradation des notes de crédit, démontrent que la technologie européenne est au niveau des géants de la Silicon Valley.

Le tableau n’est donc pas sombre ; il est exigeant. L’Europe possède un atout majeur : son excellence scientifique. Le continent forme l’élite mondiale des physiciens. Des initiatives comme le Pacte Quantique Européen et le Quantum Act (dont l’adoption finale est attendue pour le premier semestre 2026) visent à transformer cette avance académique en un levier de puissance industrielle. La reprise par l’État français des activités souveraines d’Eviden en 2025 a d’ailleurs envoyé un signal fort : le calcul haute performance et la sécurité quantique sont enjeux de souveraineté et des actifs non négociables.

La finance européenne a l’opportunité unique de ne pas être un vassal technologique du XXIe siècle. En soutenant l’écosystème local, en adoptant l’hybridation et en investissant massivement dans la crypto-agilité, nos institutions financières peuvent transformer la menace quantique en un levier de reconquête. La fenêtre de tir est étroite, mais elle est ouverte. Contrairement à l’ère du Cloud, dans le domaine quantique, la partie n’est pas encore jouée.

Par Adrien Caiazzo, Principal Regulatory & Compliance chez Square Management