“Nous exhortons l’administration publique, les fournisseurs d’infrastructures critiques, les fournisseurs informatiques ainsi que l’ensemble de l’industrie à faire de la transition vers la cryptographie post-quantique une priorité absolue“, alertent dans une déclaration commune les Centres de sécurité de 18 États membres de l’UE, dont l’ANSSI.
La cryptographie à clé publique est au cœur de nos usages quotidiens de tous secteurs. “Il s’agit, par exemple, du transfert d’argent depuis un compte bancaire, de la signature d’un contrat numérique, du contrôle des appareils domestiques intelligents ou des services de communication tels que les applications de messagerie“, explique la déclaration.
“Si les schémas de clés publiques actuellement déployés devaient être brisés, les conséquences sur notre infrastructure numérique publique seraient dévastatrices.” On ne peut pas être plus clair.
Bien qu’il n’existe actuellement aucun ordinateur quantique opérationnel sur le plan cryptographique, son développement progresse très rapidement. Il pourrait apparaître d’ici à 10 ans selon les experts. Par conséquent, la préparation à la menace quantique doit être considérée comme un aspect intégral de la gestion des risques de cybersécurité.
Les menaces
Les agences redoutent deux scénarios :
Stocker maintenant, décrypter plus tard : Les attaquants stockent les données chiffrées pour les décrypter lorsque les ordinateurs quantiques seront disponibles. Ce scénario met en danger les données nécessitant une protection à long terme (par exemple, les données personnelles ou les secrets d’affaires).
Les longues périodes de migration : Les systèmes complexes, tels que les infrastructures et les appareils à disposant d’une longue durée de vie, nécessitent des années pour adopter de nouvelles technologies. Une transition tardive pourrait exposer les communications sensibles à des attaques. Les infrastructures complexes ont besoin de temps pour adopter des solutions hybrides (combinaison des schémas actuels et post-quantiques), qui sont d’ailleurs conseillées par les agences avant de migrer totalement vers le post quantique.
Les agences conseillent quatre mesures :
– Effectuer une analyse des menaces quantiques consistant en un inventaire des actifs à protéger ainsi que des applications utilisant la cryptographie.
– Élaborer une feuille de route axée sur les risques pour exécuter la transition, en tenant compte de la sensibilité et de la période de protection des informations.
– Planifier la migration, ce qui comprend une priorisation, l’implication de tous les processus commerciaux nécessaires ainsi que la budgétisation de la migration.
– Promouvoir la poursuite des vastes recherches sur la cryptographie post-quantique et les efforts de normalisation.
“Nous recommandons que les systèmes soient protégés contre les attaques de type « stocker maintenant, décrypter plus tard » dès que possible, au plus tard d’ici la fin de 2030.”
Par ailleurs, un groupe de travail sur la cryptographie post-quantique, coprésidé par la France, l’Allemagne et les Pays-Bas, a été créé dans le cadre du groupe de coopération NIS, suite à une recommandation de la Commission européenne.