Cybersécurité : la course aux armements quantiques a commencé
Récemment, le US National Institute of Standards and Technology (NIST) a annoncé les quatre finalistes des algorithmes de chiffrement résistants aux quantiques, afin de contrer l'évolution des cybermenaces basée sur l'informatique quantique qui présentent un risque pour les normes actuelles de chiffrement.
Dans un monde où la technologie dépasse parfois l'entendement, il est important d'intégrer ces outils révolutionnaires, ainsi que de se former, pour apprendre à les utiliser.
Les ordinateurs quantiques ont des capacités de déchiffrement sans équivalent. Ces machines sont à l'heure actuelle placés dans des laboratoires et des centres de recherche, mais ils pourraient être disponibles au grand public dans les années à venir. Or, si ces outils tombent entre de mauvaises mains, les cybercriminels disposeraient d'une arme sans égale.
Un outil dangereux mais une opportunité de sécurité novatrice
Ces technologies constituent d'ores et déjà une menace. En effet, de nombreux cybercriminels soutenus par certains Etats, déjà à l'origine de la majorité des cyberattaques grâce à des fonds conséquents, les convoitent et agissent en conséquence. Des hackers ont en effet adopté la stratégie « hack now, crack later » (« pirater maintenant et déchiffrer plus tard »), qui consiste à voler des données qu'ils ne peuvent déchiffrer que plus tardivement, en attendant que les ordinateurs quantiques soit accessibles.
De nombreux pays ont déclaré publiquement vouloir se doter du chiffrement quantique. Il présenterait en effet un avantage non-négligeable en matière de sécurité nationale et économique. Planifier et mettre en place cette technologie à l'échelle d'un pays, ou même d'une organisation, requérait néanmoins des changements de grande ampleur ainsi que des perturbations immédiates ; un mal pour un bien compte tenu des conséquences potentiellement dramatiques d'une campagne malveillante usant du quantique.
Limiter les usages malveillants
Les organisations se doivent de planifier dès aujourd'hui un processus clair pour préparer le passage aux normes de chiffrement. Cette stratégie nécessitera de prendre en compte toutes les plateformes et tous les produits qui font déjà partie de la pile de sécurité et de l'architecture du réseau. Ainsi, les équipes de sécurité auront la charge de communiquer avec leurs fournisseurs afin d'échanger sur la manière dont ils prévoient de migrer vers cette nouvelle forme de chiffrement.
Toutefois, la mise en place d'un chiffrement résistant au quantique ne sera pas applicable pour la majorité des données des entreprises. En effet, sa mise en place de manière généralisée, sur des informations utilisées régulièrement, pourrait créer d'énormes problèmes de performance.
Les ordinateurs quantiques sont puissants, mais il faudra du temps avant que leur capacité de traitement permette le déchiffrement dynamique en ligne actuel, auquel nous sommes tous habitués. Ainsi, les principes de « zero trust » et les architectures de sécurité modernes peuvent fournir une première base solide, pour se voir ensuite ajouter des changements de chiffrement dans le temps.
Se préparer
Choisir de migrer vers une nouvelle forme de chiffrement nécessite de faire un audit. De cette façon, les organisations pourront identifier leurs données, analyser leur emplacement et définir comment leur accès est sécurisé.
Dans un premier temps, les entreprises peuvent se concentrer sur les informations qui ont une valeur à long terme, et ainsi définir si ces dernières sont sensibles et méritent d'être conservées et protégées sur plusieurs années.
Ces données devront alors être une priorité dès que les normes quantiques seront ouvertes au grand public. En réalité, la plupart des informations sécurisées par les entreprises actuellement n'auront jamais besoin d'être chiffrées à l'aide de méthodes résistantes aux technologies quantiques, car elles perdront leur valeur avant que de telles attaques ne deviennent une réalité.
Dans un deuxième temps, il est conseillé que les entreprises effectuent un audit des informations archivées. Il est essentiel d'avoir une visibilité totale sur quelles données sont stockées, où, depuis combien de temps, et le niveau de protection dont elles bénéficient.
Bien que ces ordinateurs quantiques arriveront sur le marché à un moment aujourd'hui inconnu, les échéances gouvernementales donnent une indication des attentes et de la vitesse à laquelle son intégration se fera. Le gouvernement français a par exemple lancé son plan Quantique en janvier 2021 dans le but de coopérer sur les enjeux stratégiques de développement des industries quantiques et des solutions de chiffrement post-quantique.
L'intégration d'une nouvelle forme de chiffrement est susceptible de concerner plusieurs parties prenantes - des ressources allouées, au budget, en passant par les organismes de réglementation - et au niveau d'une entreprise, d'un pays ou encore d'un secteur.
Une collaboration solide et fluide entre ces acteurs permettra d'anticiper les problèmes de conformité sous-jacents. Les entreprises se doivent de prendre conscience des évolutions technologiques, afin d'être en mesure de pouvoir protéger l'intégralité de leurs données de manière viable et durable.
Les nouvelles formes de chiffrement, malgré leur attrait, sont cependant à étudier de près en suivant un processus rigoureux pour ne pas fragiliser la sécurité des organisations
Sur le même thème
Voir tous les articles Cybersécurité