Quantum

DORA et votre migration vers une cryptographie quantique

Analyste boursier/financier recherchant sur ordinateur les données relatives au cours de l'action d'une société

Auteurs

Dinesh Nagarajan

Global Partner - Cybersecurity

IBM Consulting

Joachim Schäfer

Managing Security Consultant

IBM

L’informatique quantique est un nouveau paradigme avec le potentiel de résoudre des problèmes que les ordinateurs classiques ne peuvent pas résoudre aujourd’hui. Malheureusement, cela représente également une menace pour l’économie numérique et en particulier pour le secteur financier.

Le Règlement sur la résilience opérationnelle numérique (DORA) est un cadre qui instaure des exigences uniformes à travers l’Union européenne (UE) afin d’atteindre un « haut niveau de résilience opérationnelle » dans le secteur des services financiers. Les entités couvertes par DORA, telles que les institutions de crédit, les institutions de paiement, les compagnies d’assurance, les fournisseurs de services de technologies de l’information et de la communication (TIC), etc., doivent s’y conformer d’ici le 17 janvier 2025.

Nouvelles exigences pour les entités financières dans l’UE

DORA définit un ensemble d’exigences couvrant la gestion des risques TIC, le rapport d’incidents, les tests de résilience opérationnelle, le partage d’informations sur les cybermenaces et vulnérabilités, ainsi que la gestion des risques par des tiers. Dans le cadre de ces exigences et dans le contexte de la protection des données et de la cryptographie, l’article 9 (« Protection et prévention ») stipule que les entités financières « doivent utiliser des solutions et des processus TIC » qui « a) assurent la sécurité des moyens de transfert des données » ou « c) empêchent […] l’atteinte à l’authenticité et à l’intégrité, les violations de la confidentialité et la perte de données ».

D’autres éléments à considérer dans le contexte de l’article 9 sont mentionnés à l’article 15 et exposés dans les normes techniques réglementaires connexes (provisoires), que l’ESA a publiées le 17 janvier 2024. En particulier, JC 2023 86 fournit des exigences détaillées en matière de directives cryptographiques. De plus, dans ses préambules, ce qui suit est indiqué :

« Compte tenu de l’évolution technologique rapide dans le domaine des techniques cryptographiques, les entités financières […] doivent se tenir au courant des développements pertinents en matière de cryptanalyse et prendre en compte les meilleures pratiques et normes, et doivent donc adopter une approche flexible basée sur l’atténuation et la surveillance pour faire face à l’environnement dynamique des menaces cryptographiques, y compris celles issues des progrès quantiques. »

Nous développerons ci-dessous les « menaces cryptographiques » mentionnées et les implications qu’elles pourraient avoir sur les institutions financières dans le contexte de l’informatique quantique.

Newsletter sectorielle

Les dernières actualités technologiques, étayées par des avis d’experts

Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.

Merci ! Vous êtes abonné(e).

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

Menaces quantiques et cryptographie quantique

Alors que les ordinateurs quantiques actuels sont toujours confrontés au bruit et ne sont pas encore « tolérants aux pannes », des étapes impressionnantes ontdéjà été franchies pour prouver leur utilité. Compte tenu du nombre d’investissements réalisés à la fois dans le secteur privé et dans le monde universitaire, cette technologie devrait évoluer et s’améliorer radicalement au fil du temps. La menace potentielle qui pèse sur l’économie numérique va donc s’accroître.

En 1994, le physicien Peter Shor a introduit un algorithme qui, exécuté sur un ordinateur quantique à grande échelle, pouvait casser des algorithmes de cryptographie à clé publique tels que Rivest-Shamir-Adleman (RSA), Diffie-Hellman et la cryptographie à courbes elliptiques (ECC). Le secteur financier s’appuie sur ces algorithmes pour garantir la confidentialité et l’intégrité des transactions bancaires, l’authenticité de ses clients, la validité des documents signés numériquement et la confidentialité des données financières des clients. Si la cryptographie sous-jacente n’est plus fiable, c’est l’ensemble du secteur financier qui est en danger.

Les menaces quantiques qui pèsent sur la cryptographie

Les menaces quantiques qui pèsent sur la cryptographie

Pour briser la cryptographie actuelle, il faudrait réaliser un ordinateur quantique cryptographiquement pertinent (CRQC) (certains experts estiment que cela pourrait se produire au début des années 2030). Cependant, même si l’impact se fera sentir dans le futur, nous sommes déjà en danger. On peut imaginer qu’un attaquant recueille aujourd’hui des données confidentielles cryptées pour les décrypter plus tard.

Accélérer la mise en œuvre d’une cryptographie résistante aux attaques quantiques

Heureusement, une nouvelle cryptographie résistante aux attaques quantiques est en cours de normalisation, l’effort le plus remarquable étant mené par le National Institute of Standards and Technology (NIST). En 2016, le NIST a lancé un concours avec plus de 80 candidatures pour normaliser une nouvelle forme de cryptographie qui fonctionnera sur des systèmes ordinaires (par exemple, ordinateurs portables, cloud, etc.) mais qui sera résistante à une attaque quantique car elle repose sur des problèmes mathématiques difficiles à résoudre par un ordinateur quantique (et classique).

Les quatre premiers algorithmes de normalisation ont été sélectionnés par le NIST en juillet 2022 (dont trois élaborés en collaboration avec IBM). Alors que la publication des normes était prévue pour 2024, d’autres candidats potentiels sont encore à l’étude.

Chronologie de normalisation du NIST pour la cryptographie résistante aux attaques quantiques (également appelée « post-quantique »)

Chronologie de normalisation du NIST pour la cryptographie résistante aux attaques quantiques (également appelée « post-quantique »)

Une norme de cryptographie quantique est en vue. Malheureusement, en raison de la complexité du secteur financier en particulier, un long chemin nous attend. Le NIST suppose que « cinq à quinze ans ou plus s’écouleront [...] avant qu’une mise en œuvre complète de ces normes ne soit achevée. » Si l’on ajoute à cela les délais d’élaboration d’un CRQC, on se rend compte que les entités doivent entamer ce parcours dès aujourd'hui.

Pourquoi l'informatique quantique a un impact sur DORA

Les menaces quantiques, lorsqu’elles se concrétisent, peuvent avoir un impact considérable sur la résilience opérationnelle des entités financières et perturber l’économie au niveau mondial. Heureusement, de nouveaux algorithmes de cryptographie quantique sont disponibles (et des normes seront publiées très prochainement), qui seront nécessaires pour atténuer ces menaces.

Si nous faisons le lien avec les exigences de DORA, nous pouvons établir plusieurs liens directs. Pour satisfaire à l’article 9, les entités financières devront adopter des moyens de transfert de données quantiques, ainsi que des mécanismes de sécurité quantique pour « empêcher [...] l’altération de l’authenticité et de l’intégrité, les violations de la confidentialité et la perte de données ».

Cela implique la nécessité d’adopter de futurs protocoles de données en transit quantiques, tels que la sécurité de la couche de transport quantique (TLS) ou les réseaux privés virtuels quantiques (VPN), ainsi que des mécanismes quantiques pour signer des documents (légalement contraignants) ou des transactions bancaires. En conséquence, les entités financières devront mettre en place des infrastructures de soutien telles que l’infrastructure à clé publique quantique (PKI) et des systèmes de gestion des clés.

De plus, les mises en œuvre sont aujourd’hui souvent confiées à des fournisseurs tiers. Pour ajouter à la complexité, dans de nombreux cas, les programmes existants, tels que la mise en œuvre de la « sécurité Zero Trust » ou de la « migration vers le cloud », auront un impact sur plusieurs des éléments mentionnés ci-dessus.

Mixture of Experts | 12 décembre, épisode 85

Décryptage de l’IA : Tour d’horizon hebdomadaire

Rejoignez notre panel d’ingénieurs, de chercheurs, de chefs de produits et autres spécialistes de premier plan pour connaître l’essentiel de l’actualité et des dernières tendances dans le domaine de l’IA.
Regardez tous les épisodes de Mixture of Experts

Les menaces quantiques peuvent avoir de graves conséquences

Dans le pire des cas, si les entreprises de services financiers ne remédient pas aux menaces quantiques dans leur écosystème, cela peut impacter la résilience de leur entreprise en :

  • L’incapacité à vérifier les utilisateurs autorisés sur leur réseau entraîne de la confusion et un manque total de confiance dans leur écosystème numérique.
  • L’impossibilité de respecter les réglementations en matière de confidentialité des données en raison d’un manque de confiance dans les mécanismes (par exemple, le chiffrement) utilisés pour protéger ces données.
  • Risque accru d’exposition à des menaces externes en raison de la présence de protocoles et d’algorithmes de cryptographie vulnérables sur les réseaux interentreprises et les réseaux de la chaîne d’approvisionnement.
  • La perturbation des activités quotidiennes en raison des temps d’arrêt nécessaires pour remédier aux services et applications numériques.

Compte tenu des projets d’exigences actuels selon le JC 2023 86, on peut s’attendre à ce que la cryptographie quantique soit considérée comme une pratique exemplaire peu après sa normalisation. Par conséquent, quelle que soit la date à laquelle les menaces quantiques se matérialiseront, les exigences réglementaires, telles que DORA, imposeront bientôt implicitement l’adoption de la cryptographie quantique dans le secteur financier.

Dans le même temps, les entreprises devraient saisir l’occasion d’améliorer leur agilité cryptographique globale en modernisant la façon dont la cryptographie est mise en œuvre aujourd’hui et en rendant les changements futurs beaucoup plus opportuns et rentables.

Mettre en œuvre votre migration quantique

Il est clair que la mise en œuvre d’une cryptographie quantique ne sera pas une mince affaire. Un tel programme de migration demandera de l’agilité et offrira également la possibilité d’exploiter l’avantage d’être un acteur précoce. Elle nécessitera une approche à plusieurs volets, comprenant les priorités métier descendantes ainsi que les capacités techniques ascendantes.

Nous recommandons aux entreprises touchées par DORA de prendre au minimum les mesures suivantes :

  • Évaluez et examinez la posture cryptographique de votre entreprise et identifiez les éléments (applications, réseaux, projets stratégiques, etc.) potentiellement impactés par les menaces quantiques.
  • Élaborez un plan basé sur les priorités de l’entreprise et prenez en compte les synergies avec les programmes de transformation existants, en définissant une approche de résolution pour les services numériques impactés et les systèmes correspondants.
  • Améliorez votre posture cryptographique en introduisant des capacités de découverte et d’inventaire cryptographiques. Introduisez l’observabilité cryptographique pour valider la conformité cryptographique sur une base continue, notamment en tirant parti des « nomenclatures de cryptographie ». Ces éléments augmenteront l’agilité cryptographique de votre entreprise.
  • Veillez à ce que les processus de changement et les projets stratégiques actuels tiennent compte de l’impact de la cryptographie et à ce que des dispositions soient prises pour mettre en œuvre la résolution de la manière la moins perturbatrice possible.
  • Parrainez un programme pour continuer les étapes ci-dessus.

Surtout, n’attendez pas pour commencer à suivre ces étapes. Nous recommandons vivement aux entreprises de définir dès aujourd’hui un programme de migration quantique.