Il pourrait être à cinq, 10 ou 15 ans, mais le jour d’un ordinateur quantique pertinent cryptographiquement sera ici avant de le savoir. Les organisations doivent se préparer maintenant à cette journée – et une façon de le faire est d’adopter la crypto-agilité.
La crypto-agilité permet aux organisations de s’adapter aux changements dans le paysage cryptographique en évolution en échangeant dynamiquement des algorithmes, des clés et des certificats sans perturber l’infrastructure informatique sous-jacente.
Greg Wetmore, vice-président du développement de produits chez le vendeur de sécurité d’identité Conrist, a parlé de la mise en œuvre et de l’adoption de la crypto-agilité lors d’une session à la conférence RSAC 2025.
Pourquoi les entreprises devraient adopter la crypto-agilité maintenant
La cryptographie a été largement statique depuis plusieurs décennies, a déclaré Wetmore, c’est pourquoi de nombreuses organisations ne sont pas pratiques pour ce changement.
“RSA est largement utilisé depuis plus de 30 ans. Elliptique [curve cryptography] Depuis plus de 20 “, a-t-il déclaré.” Nous avons fait de petits changements cryptographiques, mais nous n’avons pas dû faire face à une discontinuité que la menace quantique représente. “
C’est là que la crypto-agilité entre en jeu.
La crypto-agilité est plus qu’une simple réponse à l’informatique quantique, selon Wetmore – bien que ce soit souvent la raison pour laquelle les entreprises l’adoptent. D’une manière générale, a-t-il dit, la crypto-agilité concerne la résilience d’une organisation dans un paysage de menace changeant qui nécessite de s’adapter aux nouveaux algorithmes et politiques cryptographiques.
Wetmore a déclaré que la crypto-agilité aide les entreprises à contrer les défis suivants:
- La cryptographie post-quantum (PQC) et “Harvest Now, décryptent plus tard”.
- Certificat raccourci les cycles de vie.
- L’étalement de l’appareil, ce qui complique l’inventaire des actifs cryptographiques et la sécurité des données.
- Complexité opérationnelle qui rend la gestion de la cryptographie difficile.
Pour beaucoup, la chronologie de PQC s’approche. Par exemple, les organisations qui travaillent avec des systèmes de sécurité nationale doivent commencer à utiliser des algorithmes de sécurité quantique pour les logiciels, le micrologiciel et les navigateurs d’ici la fin de 2025. NIST va déprécier les algorithmes asymétriques classiques en 2030, et les algorithmes dépréciés seront remaniés à partir de 2035.
Comment commencer l’adoption de la crypto-agilité
Wetmore a fourni des étapes pour aider les organisations à se rendre quantique.
Pour commencer, assemblez une équipe pour gérer la stratégie et les transitions de la crypto-agilité. Assurez-vous que toutes les parties prenantes pertinentes – des dirigeants de C-suite aux professionnels et développeurs de l’INFOSEC – comprennent l’importance de la crypto-agilité et sont conscients des meilleures pratiques de crypto-agilité. Développer des politiques de sécurité PQC pour gérer les modifications et les mises à jour de la cryptographie.
Ensuite, créez un inventaire de tous les actifs cryptographiques – par exemple, en utilisant des factures cryptographiques de matériaux – pour comprendre ce que la cryptographie est utilisée et où. Document si les algorithmes actuels et futurs respectent les réglementations pertinentes et les politiques de sécurité des données.
Utilisez l’inventaire pour effectuer une évaluation des risques. Cette évaluation et l’appétit des risques de l’entreprise aident à hiérarchiser les modifications et les mises à jour.
Commencez à mettre à jour et à remplacer les actifs cryptographiques en fonction de l’évaluation des risques et de l’appétit des risques.
Testez toutes les instances de cryptographie pour vous assurer que les actifs sont mis à jour. Assurez-vous que l’organisation peut auditer les normes et les processus de conformité. Gérer de manière centralisée les politiques et le contrôle d’accès et automatiser la gestion du cycle de vie des certificats.
Alors qu’une organisation commence ou poursuit son parcours d’adoption de la crypto-agilité, il peut comparer ses progrès avec un modèle de maturité. Cela aide les organisations à comprendre où elles se trouvent et à ce qu’elles doivent faire pour mûrir.
Kyle Johnson est éditeur de technologie pour le site de recherche de SearchSecurity d’Informa TechTarget.
