Cybersécurité post-quantique : la feuille de route pour préparer sa transition
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) a été clair lors de son discours aux Assises de la cybersécurité, le 8 octobre dernier : les entreprises doivent dès maintenant préparer leur transition post-quantique. Pour les forcer, l'Anssi a décidé qu'elles ne pourront plus acquérir de solutions qui n'intègrent pas de cryptographie résistante à l'informatique quantique dès 2030. Elle s'aligne sur les recommandations du National institute of standards and technology (Nist) qui conseille aux entreprises de commencer leur transition vers du chiffrement post-quantique dans son rapport Transition to post-quantum cryptography standards publié en 2024. Elle répond aussi à une demande croissante du marché : "On voit de plus en plus d'appels d'offres et de cahiers des charges qui exigent des entreprises de prouver leur transition", assure Pierre Codis, directeur commercial Europe de l'ouest chez Keyfactor. Cette transition doit néanmoins respecter plusieurs étapes pour être réussie.
1. Cartographier les risques
Bien que toutes les entreprises soient concernées, ce sont les entités essentielles et importantes visées par la directive NIS 2, leurs fournisseurs et les opérateurs d'importance vitale (OIV) qui doivent redoubler d'efforts dès maintenant dans cette transition : "Les OIV et les entreprises NIS 2, c'est la liste prioritaire. Les projecteurs sont braqués sur eux. En 2030, leurs infrastructures critiques devront être sécurisées. Dans tous les cas, toutes les entreprises vont y passer", affirme Pierre Codis.
Inventorier
Pour assurer leur transition, elles doivent, en premier lieu, "inventorier où elles ont de la cryptographie dans leur environnement", précise Chris Novak, vice-président monde des solutions de cybersécurité de Verizon. "Cela n'est pas facile car la cryptographie est tellement intégrée dans les applications des organisations que la plupart de leurs utilisateurs ne la voient même plus". C'est pourquoi les organisations doivent entamer cet inventaire avec méthode grâce à la définition d'une politique de sécurité, d'une analyse de risques et au moyen de solutions appropriées.
"Je remarque que nos clients commencent leur transition par des programmes d'analyse de risques pour comprendre où sont les éléments les plus risqués dans l'infrastructure. Cela leur permet de savoir par où commencer. Il existe deux attitudes pour la mener. En général, quand l'organisation n'est pas vraiment stratégique, qu'elle doit seulement se conformer à des obligations légales, elle recourt à des consultants externes. Quand l'entreprise est plus grande, elle développe une capacité interne pour gérer cette transition et repérer ses faiblesses", observe Simon Fried, vice-président marketing et développement commercial de Classiq Technologies, une entreprise israélienne spécialisée en la matière.
Prioriser
Parallèlement à cette analyse des risques, l'organisation doit définir une politique de sécurité qui est comme "la constitution de la transition", analyse Pierre Codis. C'est celle-ci qui pilote la transition en priorisant les actifs à remplacer selon leur sensibilité, en définissant un calendrier, les modes de transition, en sélectionnant les algorithmes post-quantiques à implémenter, etc.
S'équiper
Puis l'entreprise doit se doter de solutions capables de repérer tous les actifs cryptographiques non résistants au post-quantique et préparer leur remplacement à l'aune de la politique de sécurité. "Il existe des outils comme les software bill of materials ou les cryptographic bill of materials qui permettent de comprendre où se situent tous les objets cryptographiques, grâce à des inspections profondes dans le système d'information, pour planifier la migration post-quantique. Par exemple, la solution de Keyfactor, qui s'appelle AgileSec, est capable de scanner toutes les applications, les codes source, les endpoint, les serveurs, les bases de données, etc. pour détecter les éléments cryptographiques. Puis, au regard de la politique de sécurité de l'entreprise, elle indique le niveau critique des objets cryptographiques, ceux qui doivent être prioritairement remplacés par tel ou tel algorithme, etc. Elle peut même indiquer la quantité de qubit nécessaires pour casser tel ou tel objet."
2. Garantir une crypto-agilité
Une fois que les actifs cryptographiques à remplacer ont été identifiés, l'organisation doit mettre en œuvre des infrastructures à clés publiques (PKI) et des solutions de gestion du cycle de vie des certificats (CLM) capables de crypto-agilité, conseille Pierre Codis. La crypto-agilité, recommandée par le Nist et l'Anssi, est la capacité d'un système d'information à changer rapidement et sans rupture ses mécanismes cryptographiques (algorithmes, protocoles, taille des clés, certificats, etc.) quand ils deviennent obsolètes. "Face à la menace post-quantique, l'organisation ne doit pas opérer de remplacement définitif. On sait en effet que l'on entre dans une période où l'on va devoir changer les éléments cryptographiques très souvent. Plutôt que des changements manuels, elle doit opérer des modifications grâce à des outils modernes qui lui permettent d'aller vers la crypto-agilité".
Pérenniser la transition
Enfin, Pierre Codis préconise d'instituer cette transition au sein d'une "gouvernance cryptographique dans laquelle le responsable de la sécurité du système d'information collabore avec le président-directeur général." Celle-ci doit :
- définir les responsabilités
- établir des indicateurs de performance
- fixer des objectifs de progression dans le temps
- décider des budgets nécessaires pour assurer la transition post-quantique.
Elle doit aussi anticiper sa conformité aux exigences normatives comme celles du Nist ou de l'Anssi et aux réglementations européennes comme la directive NIS 2. Et pour cause, la législation européenne, dont la transposition dans le droit français tarde, oblige les entités qu'elle vise à fonder leur cybersécurité sur une approche "tous risques" incluant "des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement".