En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.

Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.

L’avenir de la menace : piller dès aujourd’hui pour déchiffrer demain

La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.

Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.

À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.

En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.

Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.

Renforcer la crypto-agilité

La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.

Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.

Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.

À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.

Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.

Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.

Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.

L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.

L’agilité comme avantage stratégique

Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.

Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.

Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.

En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.

*Stanley Nabet est Country Manager France chez Netskope

The post { Tribune Expert } – La crypto-agilité, le futur à envisager dès aujourd’hui appeared first on Silicon.fr.