07-18-2023

Planifiez votre transition vers la cryptographie post-quantique

Timothy Hollebeek
It’s Time to Start Mapping Out Your Post-Quantum Cryptography Transition Strategy

Si l’on ignore encore quand exactement lesordinateurs quantiques entreront en scène, leur arrivée est on ne peut plus certaine. En 2022, le  National Institute of Standards and Technology (NIST)  a annoncé le développement de quatre algorithmes post-quantiques de normalisation, les standards finaux étant attendus pour la fin de cette année ou le début de l’année prochaine. À cet effet, plusieurs groupes de travail planchent ensemble sur les meilleures méthodes d’intégration de ces algorithmes dans les protocoles et les certificats numériques de l’IETF (Internet Engineering Task Force).

Bien qu’aucune décision finale n’ait encore été prise concernant les algorithmes, il n’est pas trop tôt pour les entreprises de commencer à se préparer à un avenir post-quantique. Pour certaines organisations, en particulier celles dans la finance et la santé, l’urgence de migrer vers la cryptographie post-quantique (PQC) se fera plus ressentir que pour d’autres. Néanmoins, les directives sont les mêmes pour tous les secteurs et toute structure ayant des données à sécuriser devra s’y conformer (ce qui concerne à peu près tout le monde).

Pour préparer votre avenir post-quantique, vous devez vous focaliser sur trois éléments :

  • La durée de vie des ressources
  • Le timing et les cas d’usage
  • Les ressources à prioriser

Déterminez la durée de vie de vos ressources

« Quand est-ce qu’un ordinateur quantique dit cryptographiquement pertinent pourra avoir un impact sur ma sécurité ? », « Combien de temps ai-je pour migrer mes systèmes ? »… Il n’existe pas de réponse toute faite à ces questions. À vous d’évaluer vos besoins en sécurité et de déterminer le niveau de risque que votre organisation peut tolérer.

Généralement, la date à laquelle vous devez terminer votre transition vers la PQC dépend de l’importance, de la sensibilité et de la durée de vie prévue des données que vous souhaitez protéger. Par exemple, une chaîne hospitalière à but non lucratif chargée de gérer le dossier médical de ses patients protégé par la loi HIPAA (Health Insurance Portability and Accountability Act) exige un niveau de sécurité globale plus élevé qu’une petite entreprise de restauration dont les données ne se limitent peut-être qu’aux informations de carte de paiement. Mais les risques que court cette chaîne d’hôpitaux ne relèvent pas uniquement des exigences réglementaires. Elle doit également tenir compte de la durée de vie potentielle de ces dossiers. En effet, un dossier patient informatisé (DPI) suit le patient tout au long de sa vie. Ainsi, dans le cas d’une personne de 40 ans en bonne santé, son dossier peut s’étendre sur des décennies tant dans le passé que dans le futur, bien au-delà de l’arrivée prévue de l’informatique quantique grand public.

Analysez vos cas d’usage 

Le timing pour la mise à jour de vos algorithmes dépend également de vos cas d’usage. Ainsi, l’authentification TLS/SSL n’est pas menacée tant que les ordinateurs quantiques ne sont pas disponibles sur le marché. En revanche, le scénario est tout autre pour les signatures et les mécanismes d’échange de clés. Les signatures appliquées actuellement et le trafic engendré aujourd’hui par les échanges de clés pourront être vulnérables aux attaques des ordinateurs de demain. Pour les informations de haute sécurité impliquées dans ces cas d’usage, la mise à jour vers des algorithmes post-quantiques doit donc être terminée bien avant l’arrivée des ordinateurs quantiques.

Prenons l’exemple du vote électronique : ses systèmes dépendent des signatures pour déterminer la véracité des registres électoraux sur plusieurs années. Par conséquent, il est vital d’achever la mise à jour des algorithmes de cryptographie post-quantique longtemps avant que les ordinateurs quantiques ne deviennent une menace. Cette urgence à sécuriser vaut également pour les appareils IoT qui peuvent être actifs dans un environnement pendant plusieurs décennies.

Priorisez vos ressources les plus stratégiques

Les organismes de normalisation travaillent activement à la mise à jour des standards de chiffrement pour les algorithmes courants comme PQC et S/MIME. Les versions définitives des standards PQC devraient être publiées en 2024. Les protocoles suivront peu après. Si vous êtes comme la plupart des organisations, vous attendrez probablement que ces standards soient définis avant de vous pencher sur cet aspect de votre stratégie.

Cela dit, il vous faut tout de même déterminer les données et les systèmes à protéger en priorité. D’où la nécessité de dresser un inventaire complet de vos ressources potentiellement vulnérables pour choisir l’ordre dans lequel les traiter afin d’assurer leur sécurité dans un monde post-quantique. Une fois cet aspect réglé, vous devez savoir comment ces ressources sont actuellement protégées et quoi faire pour qu’elles le restent.

Vous devez également disposer d’une stratégie de crypto-agilité pour automatiser les processus d’échange de clés et de certificats incapables de résister à l’informatique quantique avec ceux qui le peuvent. DigiCert® Trust Lifecycle Manager intègre déjà des fonctionnalités d’automatisation permettant de remplacer des certificats en masse. Il pourra donc être utile de l’implémenter dans votre stratégie PKI/CLM bien avant que la nécessité ne l’impose.

N’attendez pas la mise en place des standards. Commencez à vous préparer dès maintenant.

En somme, la transition vers la cryptographie post-quantique est loin d’être une formalité. Les décisions de mise à jour de la cryptographie dépendront de divers facteurs, notamment le niveau de sécurité, la tolérance au risque et les cas d’usage. Pour déterminer le plan de transition approprié, les organisations doivent d’ores et déjà réfléchir à la durée de vie des données qu’elles protègent. Les enjeux sont élevés, certes, mais avec une bonne planification et une coordination solide, nous pouvons garantir la protection de notre infrastructure numérique dans l’ère post-quantique.

L’informatique quantique vous intéresse ? Consultez notre série d’articles consacrés à son impact sur divers appareils et cas d’usage. Rendez-vous sur le blog DigiCert : https://www.digicert.com/blog/category/post-quantum-cryptography. 

UP NEXT
Infrastructure PKI

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min