Le National Institute of Standards and Technology (NIST) s’apprête à publier un ensemble normalisé d’algorithmes de chiffrement capables de résister à la puissance de l’informatique quantique. Les entreprises doivent rapidement se préparer à cette rupture.
Le déploiement des ordinateurs quantiques permettra casser les dispositifs de sécurité actuel pour libérer toutes données, communications sécurisées ou secrets. Aucun chiffrement actuel ne résistera. « N’attendez pas que la tempête quantique frappe« , alerte Sharon Ginga, Directrice du marketing produit chez Thales.
Comment les entreprises peuvent-elles se préparer à l’implémentation de nouveaux algorithmes conçus pour résister aux cyberattaques des ordinateurs quantiques ?
« Identifiez les systèmes et les données les plus vulnérables au décryptage par un futur ordinateur quantique« , conseille Sharon Ginga. Cet état des lieux permettra de classifier vos actifs selon leur criticité, durée de conservation et diffusion autorisée, mais aussi le niveau de chiffrement.
« Utilisez une méthodologie de risque pour prioriser les composants les plus importants. Travaillez avec des experts internes et externes pour mettre en œuvre des algorithmes émergents résistants aux attaques quantiques. Commencez à expérimenter des solutions PQC dans des environnements non critiques pour comprendre les performances et la compatibilité« , affirme Sharon Ginga.
Le remplacement du matériel, des logiciels et des services qui utilisent des algorithmes à clé publique afin de protéger les informations contre les attaques futures est également à engager. Par ailleurs, il est nécessaire de sensibiliser l’ensemble des parties prenantes aux nouvelles solutions post-quantiques dès à présent.
« L’urgence est de taille« , selon Sharon Ginga. « Ne pas tenir compte de la cryptographie post-quantique (PQC) met en danger votre réseau. Actuellement, un risque de violation de données peut entraîner des pertes financières et une atteinte à la réputation en raison de l’exposition d’informations sensibles. Cependant, ce risque pourrait augmenter considérablement avec l’avènement de l’informatique quantique. À mesure que les réglementations de conformité progressent, l’adoption de la PQC peut devenir obligatoire, soumettant les organisations non conformes à des sanctions et les plaçant dans une position concurrentielle désavantageuse par rapport aux fournisseurs prêts à adopter la PQC. »
La formation, la réalisation d’expérimentations et de tests sont essentiels à la compréhension pour mettre en œuvre trois nouveaux algorithmes résistants aux attaques quantiques : ML-KEM, CRYSTALS-Dilithium et Sphinx Plus. L’un des enjeux que les entreprises doivent relever est la gestion des codes de cryptage interne et ceux des fournisseurs. D’autant plus que d’autres algorithmes tels que Falcon et bien d’autres vont apparaître.
L’hybridation est à ce jour la meilleure démarche
L’ANSSI « encourage toutes les industries à inclure la menace quantique dans leur analyse de risque et à envisager d’inclure des mesures de protection quantique dans les produits cryptographiques concernés« . L’Agence incite également les entreprises à définir une stratégie de transition progressive vers une cryptographie résistante aux attaques quantiques pour les produits cryptographiques concernés. « L’utilisation d’une protection hybride post-quantique est recommandée, en particulier pour les produits de sécurité destinés à offrir une protection durable des informations (jusqu’à après 2030) ou qui seront potentiellement utilisés après 2030 sans mise à jour« .
L’ANSSI insiste fortement sur la nécessité de l’hybridation partout où une protection post-quantique est nécessaire, à la fois à court et à moyen terme. « Même si les algorithmes post-quantiques ont fait l’objet d’une grande attention, ils ne sont pas encore suffisamment matures pour garantir à eux seuls la sécurité. Par exemple, plusieurs algorithmes post-quantiques ont subi des attaques classiques au cours des dernières années. Cette position est alignée sur celle d’autres agences européennes de cybersécurité comme le BSI en Allemagne. Le BSI a ainsi réaffirmé la nécessité de l’hybridation dans sa récente mise à jour des lignes directrices techniques sur les mécanismes cryptographiques. »
La prochaine normalisation du NIST sera le lancement d’une nouvelle ère de cybersécurité. Thalès qui s’est associé sur le sujet avec IBM Consulting… proposent des kits pour démarrer des solutions de cryptage de réseau crypto-agiles qui simplifient la création de réseaux à sécurité quantique.
« Le kit de démarrage HSE PQC pour le cryptage réseau permet aux utilisateurs d’explorer différentes approches des infrastructures sécurisées par Quantum, notamment : l’utilisation de la cryptographie à clé publique post-quantique, l’élimination de la surface d’attaque quantique, la mise en œuvre de la distribution de clés quantiques et le test de la génération de nombres aléatoires quantiques« , explique Sharon Ginga.
Cette nouvelle étape dans la cybersécurité est essentielle pour prévenir les menaces potentielles futures des ordinateurs quantiques.
Patrice Remeur
