Les dirigeants de la sécurité du secteur bancaire mettent en lumière ce qu’il faut aux CISO pour préparer leurs organisations à la cryptographie post-quantum.
Les entreprises doivent agir maintenant pour répondre aux menaces que les futures progrès de l’informatique quantique pose aux normes de cryptage actuelles.
Mais la transition vers la cryptographie post-quantum ne peut être réalisée que par une migration progressive plutôt que par une mise à niveau du chariot élévateur, conseille les dirigeants des services financiers à l’avant-garde de l’établissement de la résilience quantique dans leurs organisations.
Les ordinateurs quantiques actuels sont encore limités par des taux d’erreur élevés, mais les progrès récents suggèrent que la plupart des algorithmes de cryptographie publics de clé publique (PKC) traditionnels pourraient bientôt être vulnérables aux attaques, peut-être dans les cinq ans. Cela comprend RSA, Diffie-Hellman et d’autres méthodes PKC qui s’appuient sur des problèmes mathématiques tels que le fait de prendre en compte de grands nombres ou le calcul des logarithmes discrets pour crypter les données.
Les données sensibles et à longue durée de vie (financière, juridique, santé, découverte de médicaments, etc.) sont particulièrement vulnérables parce que les attaquants peuvent déjà collecter des données cryptées pour fissurer une fois que la technologie informatique quantique mûrit, grâce à la soi-disant récolte maintenant, décrypte les attaques ultérieures.
Migration progressive vers PQC
Pour se défendre contre de telles attaques, les entreprises doivent passer à la cryptographie post-Quantum (PQC) dès qu’ils le peuvent.
En août 2024, l’Institut national américain des normes et de la technologie (NIST) a publié ses trois premières normes de PQC finalisées après un vaste processus d’évaluation pluriannuel. Le NIST et d’autres agences telles que le National Cyber Security Center britannique ont publié des feuilles de route pour une migration progressive vers des systèmes quantum-sécurisation d’ici 2035.
Investir dans la préparation PQC est à la fois une nécessité de sécurité et, de plus en plus, une exigence de conformité.
Sudha E iyer, architecte en chef de la cybersécurité pour la sécurité des données et la gestion des données du CISO chez Citi, a déclaré que la résilience financière est une priorité de premier ordre pour la banque, qui a lancé son projet de migration PQC en 2021.
« Maintenant que le NIST a donné des normes (ratifiées), il est beaucoup plus facile de mettre en œuvre les mathématiques », a déclaré Iyer lors d’un récent webinaire pour les organisations passant à PQC, intitulée « Vos données ne sont pas sûres! La préparation quantique est urgente. » «Mais il existe ensuite d’autres aspects comme les protocoles de mise en œuvre, comment le PCI DSS et les autres normes de l’industrie du secteur de la santé ou des normes de bas niveau sont disponibles.»
Elle a poursuivi: «Nous attendons donc avec impatience ces normes qui sortent et référennent les architectures qui sortent. Et une fois qu’ils seront absents, il serait plus facile de les mettre en œuvre.»
Richard Searle, chef de l’IA à Fortanix, a mis en garde les CISO contre le retard des stratégies PQC.
« Vous ne pourrez pas faire cela en tant qu’approche Big Bang unique », » Il a dit. «S’il vous faut jusqu’en 2028 pour déterminer quels systèmes hérités ne pourront pas soutenir cette cryptographie ou où l’impact sera, il sera très difficile de faire la transition vers les algorithmes de PQC-SAFE par les dates d’effort de notre effort mondial.»
Pièces manquantes
Michael Smith, CTO sur le terrain chez Digicert, a noté que l’industrie n’a pas encore développé un protocole TLS entièrement envers PQC-SAFE. «
« Nous avons les algorithmes de chiffrement et de signatures, mais TLS en tant que protocole n’a pas d’échange de clés de session quantique et nous utilisons toujours des variantes Diffie-Hellman », a expliqué Smith. «C’est pourquoi le gouvernement américain dans son dernier décret de cybersécurité a exigé que les agences gouvernementales se dirigent vers TLS1.3 en tant que mesure de l’agilité cryptographique pour se préparer à une mise à niveau du protocole qui rendrait le PQC-SAFE.»
David Chapman, directeur de la gestion de l’accès à l’identité chez Penfed Credit Union, a conseillé à d’autres entreprises de planifier un monde PQC malgré les lacunes actuelles du développement technologique.
« Ce n’est pas quelque chose qui peut simplement être lancé sur la route jusqu’à ce que tout soit en place dans l’industrie et que tous les chiffres soient sortis et que tout le monde le soutient pleinement », a conseillé Chapman sur le webinaire.
La mise à niveau vers la cryptographie quantique doit être procédée par un inventaire de tous les actifs cryptographiques – connu sous le nom de jet de matériel cryptographique (CBOM) – pour déterminer lesquels sont les plus vulnérables aux attaques quantiques.
Les entreprises devraient hiérarchiser la mise à niveau des actifs critiques vers des algorithmes résistants quantiques, testant des systèmes mis à jour dans des environnements contrôlés avant de les mettre en production. La combinaison de solutions de courant et de PQC permet les déploiements progressifs et réduit le risque opérationnel.
« Même si vous ne faites pas de calcul post-quantal, vous avez besoin d’un bon inventaire (cryptographique) car le CAB (Certification Authority Browser Forum) a récemment publié le fait que votre durée de vie de certificat va maintenant rétrécir (progressivement) de 397 jours à 47 jours en mars 2029 », a noté Chapman de Penfed.
Atteindre l’agilité de la cryptographie
En l’état que les choses, le processus de découverte cryptographique est toujours difficile.
« Il y a une poignée d’outils commerciaux, qui sont très chers, puis seulement une poignée d’outils open source dont moi-même et Mark Carney ont open source du point de vue de Santander », a expliqué Cuthbert. «Jusqu’à ce que nous rendions ces outils aussi faciles à utiliser et à la disposition de tous, c’est là qu’une partie de la lutte se produit dans les organisations.»
Le Dr Ali El Kaafarani, PDG et co-fondateur du fournisseur de cryptographie post-Quantum PQhield, et l’un des architectes des normes NIST, ont convenu que la mise à niveau de l’héritage aux systèmes basée sur PQC est loin d’être triviale.
Les CISO de l’entreprise doivent également pousser leurs vendeurs sur leurs feuilles de route PQC.
«Je crois que l’écrasante majorité des entreprises constateront que 80% de leur cryptographie est dans leur chaîne d’approvisionnement, ce qui signifie qu’une grande partie de la modernisation peut avoir lieu grâce à des conversations avec les vendeurs», a ajouté le Dr Kaafarani.
Chapman de Penfed a convenu: « Questionnez vos fournisseurs matériels et logiciels: êtes-vous prêt pour PQC? »
Nigel Edwards, vice-présidente de Hewlett Packard Enterprise (HPE) Labs, a déclaré que davantage de clients demandaient des plans de lecture PQC pour ses produits.
« Nous devons trier (mise à niveau) les processeurs, les GPU, les contrôleurs de stockage, les contrôleurs de réseau », a déclaré Edwards. « Tout ce qui charge le firmware doit être migré vers l’utilisation d’algorithmes PQC pour authentifier le micrologiciel et le logiciel qu’il charge. Cela ne peut pas être fait après son expédition. »
