Ellen Boehm, SVP, IoT Strategy and Operations, Tomas Gustavsson, Chief PKI Officer et Ted Shorter, CTO, experts de Keyfactor, un acteur de l’identité machine et personnes, dressent un état des lieux des menaces présentes et à venir.
Depuis quelques années, l’écosystème technologique de la cryptographie se prépare activement à l’avènement potentiel de l’ordinateur quantique. Même si nul n’est en mesure de prédire à quelle date il sera capable de casser le chiffrement des données qui repose majoritairement sur la factorisation de grands nombres premiers. Néanmoins, le risque majeur de cassage des protocoles de sécurisation a poussé la communauté à renforcer les algorithmes et méthodes de chiffrement existants. Ces évolutions sont connues sous le nom de cryptographie post-quantique (PQC).
En 2025, les entreprises vont continuer ou initier de grands projets en matière d'adoption de la PQC dont le but premier est de garantir la sécurité de l'information face à un attaquant disposant d'un calculateur quantique particulièrement adapté à cette tâche.
Une transition inévitable vers la PQC
En 2025, de nouveaux algorithmes seront publiés par le National Institute of Standards and Technology (NIST), une agence non réglementaire qui encourage l'innovation en édictant des normes, des lignes directrices et des bonnes pratiques. Charge aux entreprises d’évaluer la maturité de leurs postures PQC et l'hygiène de sécurité de leur infrastructure à clé publique (PKI). La date butoir de migration semble lointaine. Elle est fixée à 2035 par le NIST, mais il faut bien noter que les algorithmes et méthodes de chiffrement RSA, ECDSA, EdDSA, DH et ECDH seront, alors, totalement interdits.Cette transition exige, de la part des entreprises, de l’agilité, des améliorations itératives et l'intégration proactive de la PQC pour répondre aux réglementations et protéger leurs écosystèmes IT. Il en va de la confiance qui est la clé de voûte du monde des affaires.
Des mesures préventives à prendre pour protéger l’IoT
L’année qui vient marquera un tournant dans la manière dont les entreprises abordent la sécurité de l'IoT. Avec les progrès encore hypothétiques de l'informatique quantique et le renforcement des exigences réglementaires, les RSSI seront confrontés à une pression croissante pour renforcer leurs cadres de sécurité IoT et la chaîne d’approvisionnement logicielle de l’IoT. Pour l’heure, il n’y a pas de risques massifs de violation de données dus au calcul quantique, mais les organisations doivent d’ores et déjà être prêtes à y faire face.Les experts de Keyfactor alertent sur les récentes attaques de groupes pirates tels que Flax Typhoon et rappellent la responsabilité juridique et technique des RSSI et de leurs équipes. La sécurité des produits doit être effectuée « by design » à savoir, intégrée à chaque étape du cycle de vie du produit, garantissant ainsi l'intégrité du matériel et du logiciel. La loi sur la cyber-résilience (CRA) impose des exigences plus strictes en matière de cybersécurité pour les appareils connectés, obligeant les OEM et les concepteurs IoT à privilégier des mesures de sécurité robustes et en conformité avec la réglementation
pour éviter les pénalités.
