L'avenir post-quantique se prépare dès maintenant !
L'informatique quantique devient petit à petit une réalité et s'accompagne de nouvelles menaces. Alors comment anticiper et protéger ses infrastructures dans un monde post-quantique ?
La future informatique quantique est à nos portes et, avec elle, son lot d’opportunités et de menaces, dont celle de voir tous les outils de chiffrement et d'identification utilisés actuellement rendus virtuellement inutiles, devenir des proies faciles pour les hackers quantiques. Mais, tout ceci n'est pas une fatalité si nous réagissons dès à présent !
Une révolution aussi importante que l'avènement de l'ordinateur personnel
Selon un récent rapport du cabinet d’audit Deloitte[1], la quasi-totalité des industries et des organismes gouvernementaux bénéficiera à terme des avantages de l'informatique quantique. Que ce soit en matière d’optimisation de la chaîne d'approvisionnement, d'analyse des risques financiers, de simulation du changement climatique ou encore de la découverte de nouveaux matériaux semi-conducteurs. Dans le même temps, selon la Maison Blanche[2], des ordinateurs quantiques d’une sophistication suffisante du point de vue cryptanalytique seront capables de casser — en quelques minutes — une grande partie des systèmes de chiffrement à clé publique dans le monde. Ce qui pourrait compromettre les communications civiles et militaires, saper les systèmes de surveillance et de contrôle des infrastructures critiques, et mettre en échec les protocoles de sécurité de la plupart des transactions financières sur internet. La menace gronde.
S’engager dans une planification stratégique pour contrer les pirates quantiques
Une chose est certaine : si les organisations et les entreprises attendent l'invention d'un ordinateur quantique capable de casser leurs systèmes de chiffrement pour réagir, il sera déjà trop tard. De nombreux acteurs, et pas seulement ceux concernés par le chiffrement, doivent d’ores et déjà se préparer à un avenir post-quantique. Tous les secteurs qui fabriquent des produits dont la durée de vie est supérieure à cinq ans, comme le secteur automobile, les appareils médicaux, les appareils ménagers et tout ce qui relève de l'Internet des objets (IoT), seront touchés. Dès maintenant, plusieurs mesures clés doivent être actionnées en matière de sécurité informatique et, en premier lieu, le fait de s’engager dans une planification stratégique. En d'autres termes, les organisations doivent adopter une vision à plus long terme de la cybersécurité et se préparer à un environnement informatique post-quantique en : perfectionnant les normes, modernisant leurs infrastructures et mettant en œuvre une architecture de type « confiance zéro ». Un peu comme si elles se prépareraient en amont à une catastrophe naturelle, capable de tout ravager sur son passage.
Un devoir d’inventaire et de sécurisation
Trop nombreuses sont encore les organisations, incapables d’identifier l’ensemble des appareils connectés à leurs systèmes, les mesures de sécurité qu'elles utilisent, ou encore les emplacements où le chiffrement est utilisé dans leurs immenses réseaux. Rares sont donc celles qui sont en mesure de déterminer quelles données sont les plus vulnérables ou les plus précieuses. Aussi, la première véritable étape à mettre en œuvre pour anticiper le piratage quantique, consiste à réaliser cet inventaire et à le tenir à jour.
Les organisations qui adoptent aujourd’hui une architecture de type « confiance zéro », doivent également identifier les domaines dans lesquels le chiffrement est utilisé. Cela leur permettra de limiter les interventions réactives et d’avoir déjà des inventaires, ainsi que des priorités entièrement définis. Il s’agira également de remplacer les certificats de type « confiance zéro » par d’autres prenant en charge des algorithmes résistants à l'informatique quantique, et ce dans plusieurs emplacements à la fois. La capacité à automatiser les tâches permettra de maintenir les stocks à jour et de se convertir rapidement à l’environnement post-quantique.
Anticiper pour mieux se protéger
Rappelons que plusieurs années sont nécessaires pour faire pousser un arbre. Il en va de même pour l’investissement dans une sécurité informatique résiliente, qui ne peut pas se faire de façon pertinente du jour au lendemain. De la même manière que nous avions anticipé le bug de l’an 2000 à la fin du XXe siècle, protéger ses infrastructures dans un monde post-quantique doit faire l’objet du même niveau d’attention pour éviter de graves conséquences. Dans les faits, les organisations devront adopter de nouveaux algorithmes, car la menace existe et existera toujours. Les risques inédits auxquels nous serons confrontés sont importants, mais ils sont également gérables si nous commençons dès aujourd’hui à nous en préoccuper. Poser les bases de nos défenses, bien avant d’être dépassés est le seul moyen de nous offrir un avenir post-quantique radieux, même s’il sera nécessairement semé d’embûches !
[1] A business guide to quantum technology, Deloitte 2021.
[2] National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems, La Maison Blanche, mai 2022