Les ordinateurs quantiques devraient enfreindre bon nombre des normes cryptographiques qui protègent adéquatement les données depuis des décennies – une idée effrayante pour les professionnels de la sécurité et les organisations.
Même si les entreprises n’ont pas encore besoin d’appuyer sur le bouton de panique concernant le quantum – il faudra probablement cinq à dix ans avant que la technologie ne soit prête – cela ne signifie pas qu’elles peuvent l’ignorer.
Le président Joe Biden a signé deux directives présidentielles sur l’informatique quantique en 2022, signalant qu’il était temps de déterminer comment gérer la technologie émergente. Les directives appelaient à la création de normes cryptographiques résistantes aux quantiques – une tâche dont le NIST a révélé les résultats en 2024 après plus d’une demi-décennie d’efforts – et à la préparation des agences fédérales à adopter ces futures normes.
“Le point culminant du travail effectué par le NIST est le point de départ de la mise à niveau vers la cryptographie post-quantique”, a déclaré Colin Soutar, directeur général de Deloitte.
Avec le coup d’envoi, les entreprises doivent comprendre comment l’informatique quantique les affectera une fois qu’elle sera disponible, ce qui pourrait nécessiter une meilleure protection des données dès maintenant et une préparation à la cryptographie post-quantique (PQC).
Le souci de la sécurité quantique
La principale préoccupation de l’informatique quantique est la facilité avec laquelle elle pourrait déchiffrer les algorithmes de cryptographie de transmission de données. L’algorithme asymétrique RSA, par exemple, basé sur la factorisation entière et offrant une sécurité suffisante sur les ordinateurs classiques, sera cassable par les ordinateurs quantiques.
Les attaquants sont conscients de ce problème et ont commencé à faire ce qu’on appelle grattage de données — collecter des données cryptées dans l’espoir qu’elles soient utiles plus tard. Le stockage étant bon marché, les attaquants récoltent désormais des données chiffrées pour les pirater une fois que l’informatique quantique aura atteint sa maturité.
L’informatique post-quantique met également en lumière le problème persistant des systèmes et appareils existants, a déclaré Jon France, RSSI chez ISC2. “L’histoire nous montre que nous sommes vraiment mauvais dans la gestion de l’héritage.”
La solution classique pour protéger les systèmes existants consiste généralement à envelopper la sécurité autour de ces systèmes – une approche temporaire qui ne fonctionnera pas dans un monde post-quantique. “Le quantique va être ce point d’inflexion qui détruira rapidement l’idée que nous pouvons protéger les systèmes et appareils classiques”, a déclaré la France.
Comment se préparer à la sécurité PQC
Les organisations doivent s’attendre à ce qu’une migration complète de PQC soit un effort sur plusieurs années, a déclaré Soutar, en raison du nombre de services qui nécessitent une mise à jour pour PQC et de la difficulté de chacun, ainsi que de la dépendance à l’égard de tiers mettant en œuvre PQC sur leurs systèmes pour sécuriser l’intégralité de l’approvisionnement. chaîne.
Pour préparer la migration maintenant que le PQC est standardisé, les entreprises doivent envisager les étapes suivantes.
1. Inventorier et classer les données
Examinez les données et décidez ce qui est jugé sensible. Réalisez un inventaire des données pour comprendre les données dont dispose l’entreprise et leur classification afin de comprendre quelles données nécessitent quelles protections cryptographiques.
Réfléchissez aux données qui nécessitent désormais une protection plus renforcée en termes de menace de grattage de données. Toutes les données qu’une entreprise stocke actuellement n’auront pas d’importance au-delà des cinq à dix prochaines années.
“Quelles données seront correctes dans quatre ans et que je ne crains pas que quelqu’un les récupère?” a déclaré Christopher Savoie, PDG du fournisseur d’IA Zapata. “D’un autre côté, de quoi m’inquiéterais-je pendant des années ?” Les données auxquelles il faut prêter attention comprennent les secrets d’entreprise ou commerciaux et d’autres informations critiques pour l’entreprise. Prenez les mesures appropriées pour garantir la sécurité des données, maintenant et à l’avenir.
2. Comprendre l’exposition future
Une fois les données inventoriées et classées, il est temps de procéder à des évaluations des risques pour comprendre comment les données sont protégées contre les risques futurs.
“Les organisations devraient commencer à examiner leur exposition potentielle pour comprendre pourquoi elles dépendent de la cryptographie”, a déclaré Soutar. “Il peut s’agir d’outils tiers profondément intégrés ; il peut s’agir de capacités transactionnelles propriétaires. Vous avez besoin de savoir où la cryptographie est intégrée dans vos systèmes et comment les données sont protégées.”
Comprendre l’exposition actuelle et future permet aux organisations de déterminer l’urgence de l’adoption du PQC et de commencer à élaborer leur feuille de route.
Considérez PQC du point de vue de l’impact commercial, et pas seulement des aspects techniques de la mise en œuvre de nouveaux algorithmes cryptographiques. Sélectionnez une personne pour diriger l’effort de migration PQC qui peut expliquer aux dirigeants l’importance de PQC et comment il peut atténuer les incidents et les violations de sécurité.
Tenez également compte des besoins de chiffrement de l’IoT et d’autres appareils intégrés, dont beaucoup sont incapables de gérer l’augmentation de la mémoire et du calcul requis pour les algorithmes PQC, a déclaré Chris Hickman, CSO du fournisseur de gestion des identités et des accès Keyfactor. Les organisations devraient examiner les algorithmes PQC, tels que Falcon et Kyber, qui pourraient répondre aux exigences PQC sur des appareils plus petits dotés de RAM limitée.
3. Créer une stratégie d’atténuation
Une fois les données inventoriées et l’exposition potentielle comprise, l’étape suivante consiste à créer des stratégies d’atténuation et une équipe d’employés pour diriger ces efforts.
« En faisant appel à un groupe d’atténuation, commencez à examiner quelles politiques et procédures doivent être mises en place lorsque l’inévitable se produit », a déclaré Savoie.
Cela devrait inclure au minimum une politique de sécurité des données, un plan de réponse aux incidents et un plan de reprise de l’activité. Évaluez également quelles données de l’entreprise pourraient déjà être exposées et stockées par des attaquants, et déterminez comment gérer ces situations. Ensuite, examinez les données critiques stockées actuellement et décidez si elles nécessitent des couches de cryptage supplémentaires pour les protéger.
Le chiffrement symétrique, couramment utilisé par les organisations pour assurer la sécurité des données stockées, ne sera pas largement affecté par l’informatique quantique. L’algorithme de Grover, qui démontre comment l’informatique quantique accélère quadratiquement les recherches dans les bases de données, a montré qu’il réduit de moitié le temps nécessaire pour briser le cryptage symétrique. Le NIST recommande donc aux organisations d’utiliser au moins AES-192 ou AES-256 pour crypter les données stockées.
Les données en transit risquent toutefois d’être brisées par l’informatique quantique. Pour contrer cela, remplacez les algorithmes asymétriques par les normes de chiffrement PQC. Cette tâche joue un rôle dans le dernier aspect de l’atténuation, a ajouté Savoie : les organisations doivent commencer à réfléchir à la manière de devenir et de rester crypto-agiles.
« À mesure que les normes évoluent, nous devons nous assurer que l’infrastructure est dans un endroit où nous pouvons nous adapter aux nouvelles menaces et aux nouvelles technologies pour atténuer ces menaces », a déclaré M. Savoie. “Rendre vos systèmes crypto-agiles et compatibles avec les nouvelles normes prend du temps et c’est quelque chose sur lequel vous devez commencer à travailler maintenant.”
Options de mise en œuvre du PQC
En août 2024, le NIST a annoncé avoir sélectionné les trois algorithmes PQC suivants, conçus pour résister aux efforts de piratage informatique classique et quantique :
- Kyberencapsulation de clé publique.
- Dilithiumun système de signature numérique basé sur un treillis.
- SPHINCS+un système de signature apatride basé sur le hachage.
Le NIST continue d’évaluer d’autres algorithmes, notamment Falcon, qui devrait être standardisé plus tard en 2024. Une évaluation plus approfondie d’autres algorithmes aide le NIST à garantir que, si un algorithme actuel ne fonctionne pas comme prévu, les organisations disposent d’autres options à utiliser.
La France recommande aux organisations de sélectionner plusieurs algorithmes, et ceux qui ne s’appuient pas sur les mêmes mathématiques. “Cela offre une certaine protection contre un échec futur”, a-t-il déclaré.
Au-delà des algorithmes PQC, les organisations peuvent également envisager la distribution de clés quantiques (QKD), qui utilise la mécanique quantique pour échanger en toute sécurité des clés de chiffrement. Les données cryptées via QKD créent un état quantique aléatoire difficile à copier. De nombreux protocoles QKD peuvent également détecter les écoutes indiscrètes. L’Agence nationale de sécurité a toutefois déclaré que cette option n’était pas viable à elle seule dans l’état actuel des choses.
Les organisations pourraient donc combiner les normes de chiffrement PQC et QKD, a suggéré Rik Turner, analyste chez Omdia. Cela rendrait la tâche plus difficile aux attaquants, a-t-il noté, car ils devraient percer à la fois le cryptage et le QKD pour accéder aux données en transit.
Les organisations ne se préparent pas seules à un monde de sécurité post-quantique. Turner a conseillé de contacter les fournisseurs pour savoir si et comment ils ajoutent PQC à leurs outils et services. Cela pourrait réduire les coûts d’une migration, d’autant plus que QKD peut être coûteux à mettre en œuvre.
Kyle Johnson est rédacteur technologique pour TechTarget Security.
