Le «D-Day» imminent devrait également être utilisé comme bâton pour obtenir l’approbation pour réaliser un inventaire cryptographique et déployer des projets qui favorisent l’agilité cryptographique plus généralement.
Les CISO ont été invitées à exiger des feuilles de route claires de la cryptographie post-quantum (PQC) des vendeurs et des partenaires pour lutter contre la menace imminente des ordinateurs quantiques pertinents cryptographiquement.
Les ordinateurs quantiques capables d’attaques cryptographiques à grande échelle ne sont pas encore développés, mais les avancées récentes signifient que la menace passe de la réalité théorique à à court terme, peut-être dans les cinq ans.
Lors d’un panel lors de la conférence Infoscurity Europe de cette semaine, les experts ont exhorté les professionnels de la sécurité à commencer à passer à PQC le plus tôt possible, parallèlement aux appels pour se concentrer sur la préparation de la chaîne d’approvisionnement.
Les ordinateurs quantiques suffisamment puissants seraient capables de briser le chiffrement asymétrique actuel, sapant les protections de sécurité qui sous-tendent la sécurité des transactions financières, des données sensibles et des communications sécurisées. Même avant l’arrivée d’un ordinateur quantique suffisamment capable (un événement parfois décrit comme Q-Day), les adversaires pourraient effectuer la récolte maintenant, décrypter les attaques ultérieures.
Préparation pour Q-Day
Les organisations, en particulier celles qui gèrent les secrets de longue durée, et les secteurs tels que la finance, les infrastructures critiques, les soins de santé et les télécommunications sont les plus à risque, le panel Infoscurity Europe a accepté.
Karl Holmqvist, fondateur et chef de la direction de Lastwall, un fournisseur de produits de cybersécurité quantique, a déclaré aux délégués que Q-Day ne sera pas annoncé et que les entreprises devaient agir maintenant face à une menace croissante.
« Une transition ordonnée coûtera moins cher que la planification d’urgence », a déclaré Holmqvist. « C’est comme Y2K mais sans une date réelle. »
Les méthodes de chiffrement telles que RSA et ECC sont considérées comme incassables par les ordinateurs classiques, car les casser s’appuie sur l’affacturage des produits de grands nombres premiers ou de tâches comparables. Sur la base d’une architecture informatique fondamentalement différente de celle des ordinateurs classiques, les ordinateurs quantiques sont cependant capables de résoudre des problèmes intraitables aux supercalculateurs les plus puissants, tels que la rupture des méthodes de chiffrement largement utilisées.
La menace a motivé le développement d’algorithmes de cryptographie résistants aux quantiques. L’année dernière, le National Institute of Standards and Technology (NIST) a approuvé trois normes de cryptographie post-quantal (PQC) pour des applications, notamment des signatures numériques et des échanges de clés.
Les organisations doivent mettre à jour leurs systèmes cryptographiques, leurs bibliothèques et leur matériel (tels que les modules de sécurité matérielle) pour prendre en charge les nouvelles normes.
Le National Cyber Security Center (NCSC) du Royaume-Uni a publié des conseils pour la migration progressive vers les systèmes quantiques d’ici 2035.
Des exemples d’adoption précoce comprennent les signatures numériques de Google en matière de sécurité dans les KMS Cloud (Services de gestion des clés) et l’engagement de CloudFlare à intégrer les nouvelles normes PQC dans leurs services, mais il reste beaucoup de travail en cours.
L’IETF travaille sur la révision et la normalisation des protocoles Internet clés – tels que TLS, SSH et VPNS – pour prendre en charge les algorithmes PQC, qui ont généralement des tailles de clés plus longues et des caractéristiques de performances plus strictes.
Certains fournisseurs introduisent des solutions PKI hybrides pour assurer la compatibilité vers l’arrière et la migration en douceur vers PQC.
«Les CISO doivent commencer à demander aux vendeurs s’ils sont prêts pour PQC», a conseillé Holmqvist.
Daniel Cuthbert, chef mondial de la recherche en cybersécurité à Santander, a soutenu que les avancées quantiques obligent les organisations à poser des questions critiques sur où et comment la cryptographie est utilisée, une tâche souvent négligée.
Quantum peut être utilisé comme bâton qui permettra aux professionnels de la sécurité d’obtenir l’approbation pour effectuer un inventaire cryptographique dans leur organisation, aux côtés de projets qui leur permettront d’améliorer leur agilité cryptographique plus généralement, a indiqué Cuthbert.
En tant que première étape, les organisations peuvent préparer une note de matériel cryptographique pour auditer l’utilisation des technologies de cryptage par leur organisation.
Aucun « mise à niveau du chariot élévateur »
Il y a une idée fausse selon laquelle le changement est difficile, mais la tâche de modernisation des systèmes pour les rendre prêts pour les PQC peut être décomposée en morceaux, a conseillé Anne Leslie, le risque de cloud et contrôle le leader de l’EMEA chez IBM.
«Les entreprises ne peuvent aller aussi vite que les partenaires et les fournisseurs», a averti Leslie.
Van der Hout a reconnu que les entreprises ont de nombreuses priorités à l’équilibre, de sorte que la vitesse d’adoption devrait être alignée sur leur tolérance au risque, leurs objectifs commerciaux internes et leur stratégie plus large.
Pour voir comment commencer, voir «Le Guide du CISO pour établir la résilience quantique».
