Selon ABI Research, les ordinateurs quantiques capables de lancer des attaques cyber pourraient devenir une réalité dès 2030, posant d’énormes risques pour la sécurité des données. Le chiffrement étant à la base de la sécurité de l’internet, des communications et des transactions financières, les puissantes capacités quantiques menacent la sécurité des systèmes de chiffrement conventionnels à clé publique.
Cependant, il est essentiel de tempérer ces craintes avec une dose de réalisme. À ce jour, les ordinateurs quantiques sont encore loin d’être accessibles aux hackers, si fortunés soient-ils.
Les prototypes actuels sont non seulement coûteux et fragiles, mais ils nécessitent également des environnements de fonctionnement extrêmement spécifiques, comme des températures proches du zéro absolu, pour maintenir la cohérence des qubits. De plus, les défis techniques liés à l’erreur quantique et à l’échelle de ces machines sont encore des obstacles majeurs qui limitent leur application pratique.
La menace étatique
En raison de ces contraintes, il est peu probable que les ordinateurs quantiques tombent entre les mains de hackers ordinaires dans un avenir proche. Cette technologie reste, pour l’instant, cantonnée au domaine de la recherche avancée et des grands organismes étatiques.Cependant, cela ne signifie pas que la menace peut être ignorée. Les États disposant de ressources pourraient être en mesure de développer des ordinateurs quantiques fonctionnels plus tôt que prévu, et ils pourraient les utiliser pour mener des opérations de déchiffrage à grande échelle contre des cibles stratégiques.
Face à cette menace, le National Institute of Standards and Technology (NIST), l’institut étatsunien de normalisation, vient de publier ses normes fédérales de traitement de l’information (FIPS) pour la cryptographie post-quantique (PQC).
Il a sélectionné trois algorithmes parmi de nombreuses propositions, désormais connus sous les noms de Crystals-Kyber (ML-KEM), Crystals-Dilithium (ML-DSA), et Sphincs+ (SHL-DSA). Ces algorithmes constituent le socle sur lequel les fournisseurs de solutions informatiques peuvent s’appuyer pour développer les outils de protection.
La transition vers la PQC est un processus long
Cependant, l’adoption de ces nouvelles normes ne se fait pas du jour au lendemain. La transition vers la cryptographie post-quantique est un processus de longue haleine, selon le rapport 2024 PKI & Digital Trust de Keyfactor.Cela implique que les entreprises doivent adopter une approche stratégique à long terme, en intégrant la PQC dans leur feuille de route de sécurité dès maintenant. Le rapport de Keyfactor préconise quatre étapes pour entamer ce périple technologique post-quantique.
1 - La transition vers la PQC est un marathon, pas un sprint.
Selon le rapport, la plupart des entreprises estiment qu’il faudra environ quatre ans pour effectuer cette transition. Cependant, les experts prévoient une durée de 8 à 10 ans pour une mise en œuvre correcte et sécurisée. Cela implique que les entreprises doivent adopter une approche stratégique à long terme, en intégrant la PQC dans leur feuille de route de sécurité dès maintenant.2 - Créer un inventaire exhaustif de tous les actifs cryptographiques
Avant de commencer la transition, il est impératif de disposer d’une visibilité complète sur l’ensemble des ressources cryptographiques de l’entreprise. Cela inclut tous les certificats, les clés, et les autres actifs liés à la cryptographie.La création de cet inventaire nécessite la collaboration de plusieurs départements et l’adoption d’outils spécialisés pour centraliser et automatiser la gestion de ces actifs.
3 - Définir une stratégie de mise en œuvre
Une fois l’inventaire des actifs cryptographiques établi, les entreprises doivent définir une stratégie de mise en œuvre détaillée. Cela inclut plusieurs aspects cruciaux :- établir un budget
- identifier les outils et les processus à automatiser
- définir un calendrier
- désigner les personnes en charge
4 - Tester les algorithmes PQC du NIST et évaluer sa « crypto-agilité »
Une fois la stratégie définie et les actifs cryptographiques recensés, il faut tester les algorithmes PQC sélectionnés par le NIST. Ces tests doivent être effectués dans des environnements sécurisés, tels que des bacs à sable, pour s’assurer que les nouvelles technologies fonctionnent sans compromettre la sécurité existante.Parallèlement, les entreprises doivent évaluer leur « crypto-agilité », c’est-à-dire leur capacité à gérer, mettre à jour et sécuriser rapidement les identités machines au sein de leur infrastructure PKI. Cette agilité est cruciale pour garantir une adaptation rapide aux évolutions futures de la cryptographie post-quantique.
En somme, la transition vers une cryptographie résistante aux algorithmes quantiques est un « processus collaboratif et Personnalisé », explique le rapport. « Comme pour la plupart des scénarios de sécurité sont complexes, estiment les rédacteurs du rapport, il n’existe pas de solution unique applicable à toutes les entreprises. Chaque organisation doit adapter ces recommandations à ses besoins spécifiques, en tenant compte de ses ressources, de ses priorités et de son niveau de maturité en matière de sécurité ».