L'ordinateur quantique met-il déjà en danger la sécurité des données ?

L'ordinateur quantique fait la promesse de la rapidité et de la performance. Les services informatiques doivent donc l'intégrer dans leur stratégie de cybersécurité dès aujourd'hui, car l'ordinateur quantique sera non seulement idéal pour des simulations et autres calculs, mais aussi pour les cyberattaques.

La course à l’ordinateur quantique est lancée : après les annonces d’IBM et de Google, c’est désormais le groupe industriel Honeywell qui entre dans la danse en annonçant le lancement « d'un ordinateur quantique deux fois plus performant que le dernier appareil développé par IBM »[1].

Pourtant cela peut sembler contradictoire : l'ordinateur quantique est certes d'une rapidité incommensurable, mais il en est surtout encore à ses débuts. Il ne peut être utilisé qu'avec beaucoup de difficultés en laboratoire et ne sera peut-être pas disponible dans le commerce avant dix ou vingt ans. Mais ses effets seront révolutionnaires. Le cabinet de conseil McKinsey y voit un potentiel exceptionnel puisqu’il estime que cette technologie représentera un marché global de 1000 milliards de dollars de valeur potentielle en 2035[2].

Et l'ordinateur quantique sera non seulement idéal pour les simulations et autres calculs, mais aussi pour les cyberattaques. Les entreprises doivent donc commencer à protéger leurs données contre ce phénomène dès aujourd'hui.

Quid du chiffrement des données

De nombreuses données, en particulier les données critiques, ont une durée de vie qui s'étend souvent sur des décennies : les données de transaction bancaires, les données clients des compagnies d'assurance ou les données de développement des constructeurs automobiles... Celles-ci sont stockées par les entreprises aujourd'hui, et devront également être protégées lorsque les ordinateurs quantiques seront devenus monnaie courante. Il est donc essentiel d’anticiper, pour que leur chiffrement ne devienne pas obsolète.

En effet, il existe un algorithme spécial, l'algorithme dit de Shor, qui est capable de craquer les systèmes cryptographiques asymétriques les plus complexes, aujourd'hui invincibles dans la pratique, en quelques minutes, à l'aide de l'ordinateur quantique. Ainsi, les mesures de chiffrement des plateformes de e-commerce, des services cloud, de la banque en ligne, des signatures numériques, des systèmes IoT et plus largement de tout ce qui doit être transmis en toute sécurité sur Internet ou stocké dans les entreprises n'auraient pratiquement plus aucune valeur du jour au lendemain.

Quelle approche adopter ?

Les services informatiques doivent s'y préparer et intégrer l'ordinateur quantique dans leur stratégie de cybersécurité dès aujourd'hui. La question la plus importante étant la suivante : comment peuvent-ils sécuriser complètement le cycle de vie des données, qui sont actuellement produites, d’ici quelques décennies ?

Voici l’approche à adopter pour y parvenir :

  1. Développer une prise de conscience : Les entreprises doivent comprendre que l'ordinateur quantique arrivera tôt ou tard, même s'il n'en est qu'à ses débuts. Des fournisseurs et des organisations tels que Google, IBM, l'université de Stanford et la NASA travaillent à plein régime et avec des budgets colossaux pour le sortir des laboratoires de recherche.
     
  2. Constituer des équipes de projet : Des équipes de projet dédiées peuvent contribuer à conserver l’émulation autour de l'ordinateur quantique et à maintenir l’enthousiasme collectif pour cette technologie. Elles s'assurent que le sujet reste dans la stratégie informatique et établissent une feuille de route appropriée. Les parties prenantes internes, telles que les responsables IT et SI, mais aussi les consultants externes et spécialisés peuvent faire partie de l'équipe.
     
  3. Anticiper l'impact sur la sécurité informatique : L'ordinateur quantique aura l’effet d’un séisme sur le secteur. Les entreprises doivent essayer d'anticiper l'impact possible sur l'ensemble de l'infrastructure, mais aussi sur les mots de passe, les applications, les systèmes et les données individuels. Les méthodes de chiffrement asymétrique dites à clé publique basées sur la factorisation primaire sont particulièrement menacées, les méthodes de chiffrement symétrique telles que l'AES (Advanced Encryption Standard) le sont moins, mais seulement avec une grande longueur de clé. Mais elles nécessitent alors une très grande puissance de calcul et un lieu de stockage vraiment sécurisé.
     
  4. Examiner le cycle de vie des données : Bien entendu, toutes les données générées ne sont pas critiques pour l'entreprise, ni absolument toutes pertinentes pour l'avenir. C'est pourquoi il est nécessaire de procéder à une classification des données : quelles données mériteront encore d'être protégées dans 20 ans ? Lesquelles sont essentielles, lesquelles doivent être chiffrées et comment les archiver, lesquelles peuvent être supprimées ?
     
  5. Utiliser les HSM (Hardware Security Module) : Ces derniers permettent de stocker, de gérer et de transporter n'importe quelle clé en toute sécurité. Les HSM sont désormais également disponibles sur le cloud en tant que HSM-as-a-Service. Les premiers fournisseurs ont d’ailleurs annoncé la disponibilité de modules à sécurité quantique. Ce serait un premier pas vers la protection quantique.
     
  6. Réaliser un travail préparatoire: Le NIST (National Institute of Standards and Technology) américain accompagne le développement et la normalisation de la cryptographie post-quantique et des futures clés de sécurité quantique. Même si le développement est très prometteur, les clés à sécurité quantique ne sont pas encore disponibles sur le marché. Il existe donc une période de transition entre l'ère pré-quantique et l'ère post-quantique, au cours de laquelle les entreprises doivent préparer au mieux leur infrastructure de sécurité informatique afin de pouvoir mettre en œuvre les technologies futures dès qu'elles seront disponibles - c'est-à-dire remplacer les technologies existantes par des clés à sécurité quantique basées sur de nouveaux algorithmes.
     
  7. Garder un œil sur la conformité au RGPD : L’article 32 du RGPD donne des directives concernant la "Sécurité du traitement" des données. Toutefois, les contours du RGPD restent flous, et il est difficile aujourd’hui de savoir comment construire sa défense contre des systèmes qui n'existent pas encore. Les entreprises ne doivent pas perdre de vue cette question.
     

[1] https://www.usine-digitale.fr/editorial/l-informatique-quantique-pesera-1000-milliards-de-dollars-en-2035-selon-mckinsey.N937863

[2] Rapport sur l’informatique quantique en partenariat avec le salon Viva Technology publié le 9 mars https://www.usine-digitale.fr/editorial/l-informatique-quantique-pesera-1000-milliards-de-dollars-en-2035-selon-mckinsey.N937863