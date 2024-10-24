Les ordinateurs quantiques émergent petit à petit de la phase d’étude pour se transformer en outils utiles. Ils sont utilisés dans toutes les secteurs et organisations pour mettre en lumière les défis dans les domaines des soins de santé et des sciences de la vie, de la physique des hautes énergies, du développement des matériaux, de l’optimisation et de la durabilité. Cependant, à mesure qu’ils se développent, ils vont également pouvoir résoudre certains problèmes mathématiques difficiles sur lesquels repose la cryptographie à clé publique d’aujourd’hui. Un futur ordinateur quantique cryptographiquement pertinent (CRQC) pourrait briser les algorithmes de cryptographie asymétrique utilisés mondialement qui contribuent actuellement à garantir la confidentialité et l’intégrité des données ainsi que l’authenticité de l’accès aux systèmes.
Les risques imposés par un CRQC sont considérables : possibles violations de données, perturbations de l’infrastructure numérique et même manipulation mondiale à grande échelle. Ces futurs ordinateurs constitueront l’un des plus grands risques pour l’économie numérique et représenteront un risque cybernétique important pour les entreprises.
Il existe déjà un risque aujourd’hui. Les cybercriminels collectent aujourd’hui des données chiffrées dans le but de les déchiffrer plus tard, lorsqu’un CRQC est à leur disposition, une menace connue sous le nom de « récolter maintenant, décrypter plus tard ». S’ils ont accès à un CRQC, ils peuvent décrypter les données a posteriori, obtenant ainsi un accès non autorisé à des informations hautement sensibles.
Heureusement, les algorithmes de cryptographie post-quantique (PQC), capables de protéger les systèmes et données actuels, ont été standardisés. The National Institute of Standards and Technology (NIST) a récemment publié le premier ensemble de trois normes :
Deux des standards (ML-KEM et ML-DSA) ont été développés par IBM avec des collaborateurs externes, et le troisième (SLH-DSA) a été co-développé par un scientifique qui a depuis rejoint IBM.
Ces algorithmes seront adoptés par les gouvernements et les secteurs du monde entier dans le cadre de protocoles de sécurité tels que le « Transport Layer Security » (TLS) et bien d’autres.
La bonne nouvelle est que ces algorithmes sont à notre disposition pour nous protéger contre le risque quantique. La mauvaise nouvelle, c’est que les entreprises doivent migrer leurs actifs pour adopter ces nouvelles normes PQC.
Les précédents programmes de migration d’algorithmes de cryptographie ont pris des années. Posez-vous la question suivante en tant qu’entreprise : quelle a été la durée de votre programme de migration de SHA1 à SHA2 ? Qu’en est-il de votre programme de mise à niveau de l’infrastructure à clés publiques (PKI) dans lequel vous avez augmenté la taille de la clé de la chaîne de confiance PKI de 1024 bits à des clés de 2048, 3072 ou 4096 bits ? Combien de temps a-t-il fallu pour déployer tout cela dans votre environnement d’entreprise complexe ? Plusieurs années ?
L’impact de l’informatique quantique et de la mise en œuvre des normes PQC est considérable et couvre l’ensemble de votre organisation. Le risque d’informatique quantique affecte de nombreux autres systèmes, outils et services de sécurité, applications et infrastructures réseau. Votre organisation doit immédiatement passer aux normes PQC pour protéger ses actifs et ses données.
Pour protéger votre organisation contre les risques « Récoltez maintenant, déchiffrez plus tard », nous vous conseillons de mettre en place un programme de transformation quantique. Commencez à adopter des outils et à utiliser des services qui vous permettront de déployer les normes de chiffrement PQC récemment annoncées.
IBM a développé une méthodologie complète de programme quantum-safe, actuellement en service auprès de dizaines de clients répartis dans des secteurs clés et des dizaines de pays, y compris des gouvernements.
Nous conseillons à nos clients d’adopter un programme comportant les phases clés suivantes :
Au cours de la phase 1 du programme, concentrez-vous sur des domaines clés, tels que la création d’une campagne de sensibilisation à l’échelle de l’organisation pour informer les parties prenantes et les experts en sécurité (SME) sur le risque quantique. Déployez des « ambassadeurs » ou « champions » qui se tiennent au courant des risques et de l’évolution du domaine quantique, et qui agissent comme un contact central pour le programme et contribuent à façonner la stratégie de l’entreprise.
Procédez ensuite à l’évaluation du risque quantique pour les actifs de votre organisation liés à la cryptographie, c’est-à-dire tout actif qui utilise ou repose sur la cryptographie en général*. Par exemple, votre évaluation du risque et de l’impact doit porter sur la pertinence commerciale de l’actif, la complexité de son environnement et la difficulté de la migration, entre autres domaines d’évaluation. Identifier les vulnérabilités des actifs de l’entreprise, y compris les actions urgentes, et produire un rapport soulignant les résultats pour les parties prenantes clés, en les aidant à comprendre la position de l’organisation en matière de risque quantum. Cela peut également servir de base de référence pour développer le stock cryptographique de votre entreprise.
Lors de la phase 2, guidez vos parties prenantes sur la manière de gérer les domaines prioritaires identifiés, les faiblesses cryptographiques potentielles et les risques quantiques. Ensuite, détaillez les actions de résolution, par exemple en mettant en évidence les systèmes qui pourraient ne pas être en mesure de prendre en charge les algorithmes PQC. Enfin, exposez les objectifs du programme de migration.
À ce stade, IBM aide ses clients à définir une feuille de route de migration quantique, détaillant les initiatives quantiques nécessaires à la réalisation des objectifs de leur organisation.
Comme nous le conseillons à nos clients : considérez les initiatives critique dans vos feuille de route, telles que le développement d’un framework pour la cryptographie, la hiérarchisation des systèmes et des données pour la migration PQC. Mettez à jour vos pratiques et lignes directrices en matière de développement de logiciels sécurisés afin d’utiliser la PQC dès la conception et de produire des nomenclatures de cryptographie (CBOM). Travaillez avec vos fournisseurs pour comprendre les dépendances des tiers et les artefacts de cryptographie. Mettez à jour vos processus d’approvisionnement pour vous concentrer sur les solutions et les services qui soutiennent la PQC, afin d’éviter la création d’une nouvelle dette cryptographique ou d’un nouvel héritage.
L’une des principales capacités requises est l’observabilité cryptographique, un stock cryptographique qui permet aux parties prenantes de suivre l’évolution de l’adoption de la PQC tout au long de votre parcours de sécurité quantique. Un tel stock devrait être soutenu par la collecte automatique de données, l’analyse des données et la gestion des risques et de la conformité.
Au moment de la phase 3, votre organisation met en œuvre le programme de migration quantique en déployant des initiatives basées sur les systèmes prioritaires, les risques, les coûts, les objectifs stratégiques, la capacité de livraison, etc. Élaborez une stratégie quantique appliquée par le biais des normes et politiques de sécurité de l’information de votre organisation.
Exécutez la migration technologique en utilisant des architectures de référence, des modèles de migration et des schémas directeurs standardisés, testés et éprouvés.
Intégrez la flexibilité cryptographique dans les solutions de développement et de migration, et mettez en œuvre le découplage cryptographique en transférant le traitement cryptographique local vers des services centralisés, contrôlés et facilement adaptables.
Incluez dans votre programme une boucle de commentaires reprenant les leçons apprises. Autorisez l’innovation et le test rapide de nouvelles approches et solutions pour soutenir le programme migratoire dans les années à venir.
De nombreux éléments sont difficiles à migrer. Par exemple, les composants fondamentaux de l’infrastructure internet, tels que les réseaux étendus (WAN), les réseaux locaux (LAN), les concentrateurs VPN et les liens Site-2-Site, seront plus complexes à migrer. Par conséquent, ces éléments requièrent plus d’attention que ceux dont l’utilisation est limitée au sein de l’organisation. Les services de cryptographie de base tels que la PKI (infrastructure à clé publique), la gestion des clés, les systèmes de paiement sécurisés, les applications de cryptographie ou les backends tels que les HSM, les chiffreurs de liens et les mainframe sont tous complexes à migrer. Vous devez prendre en compte les dépendances entre les différentes applications et le matériel, y compris les problèmes d’interopérabilité des technologies.
Vous devrez également envisager de tester la performance des normes PQC par rapport à vos systèmes internes et à vos workflow afin de garantir la compatibilité et l’acceptabilité des performances et d’identifier tout problème éventuel. Par exemple, la PQC nécessite parfois des tailles de clé, des textes chiffrés ou des signatures plus longs que les algorithmes actuellement utilisés, ce qui devra être pris en compte lors des tests d’intégration et de performance. Certaines technologies critiques pour l’organisation s’appuient toujours sur la cryptographie héritée et il pourrait être difficile, voire impossible, de migrer vers les normes PQC. Une restructuration et une refonte d’applications peuvent être nécessaires.
Parmi les autres difficultés, citons le manque de compétences ou le manque de documentation, qui a créé des lacunes en matière de connaissances au sein de votre entreprise. Les informations codées en dur dans les systèmes, les fichiers de configuration, les scripts, etc. rendront la migration encore plus complexe.
Assurez-vous que vos clés de chiffrement et certificats numériques sont suivis et gérés avec précision. Une mauvaise gestion compliquera encore davantage la migration.
Tous les cas d’utilisation ne seront pas testés par les groupes de travail internationaux PQC. Il existera de nombreuses combinaisons ou configurations de technologies propres à vos entreprises, et vous devez tester minutieusement vos systèmes dans une perspective de workflow de bout en bout.
Maintenant que le NIST a publié un premier ensemble de normes PQC, il faut s’attendre à ce que la réglementation hors des États-Unis suive rapidement. Exemples dans le contexte de l’industrie financière :
Par conséquent, nous vous conseillons de vous concentrer sur l’élaboration de votre framework de cryptographie, qui comprend l’élaboration d’une stratégie quantique pour votre organisation. Il doit être aligné sur les objectifs stratégiques et la vision de votre entreprise, ainsi que sur les délais prévus. Un centre d’excellence doit soutenir et conseiller dans le cadre du programme de transformation. Le framework doit se concentrer sur des piliers fondamentaux tels que la surveillance réglementaire de votre organisation, l’assurance cryptographique et la gestion des risques, le renforcement des capacités de distribution et la formation PQC. Il doit favoriser l’adoption des bonnes pratiques dans le développement de vos applications et fournir des modèles d’architecture de sécurité et des comités d’examen de la conception technique.
Le programme de transformation sera long et complexe. Il nécessite de nombreux engagements entre les services et un large éventail de compétences. Veillez à gérer et à observer le moral de l’équipe et tenez compte de la culture de travail et des pratiques de gestion du changement de votre Entreprise afin de garantir la cohérence du programme tout au long de ses nombreuses années de mise en œuvre.
Pensez également à développer des partenariats, car de nombreuses organisations dépendent de nombreux fournisseurs spécifiques à leur secteur et à leur écosystème. Collaborer avec d’autres acteurs de votre secteur pour apprendre et partager des idées afin de gérer le risque quantique et la migration vers la PQC par le biais de groupes de travail et de groupes d’utilisateurs.
D’un point de vue opérationnel, assurez-vous de disposer d’un catalogue de traçabilité des principaux services d’entreprise et commerciaux correspondant aux réglementations et aux lois, et commencez à planifier un calendrier de transition autour de chacun d’entre eux.
* Remarque : dans de nombreux cas, même l’utilisation de la cryptographie symétrique repose sur une certaine forme de cryptographie à clé publique, par exemple l’échange de clés.
