La Tempête quantique dans un verre d'eau

Même si le risque quantique est réel, un ordinateur quantique n'est pas prêt de mettre à l'arrêt notre monde numérique. Agitation et panique sont donc largement prématurées.

Lorsque le temps viendra, des décisions seront prises au sein des gouvernements internationaux, sur la nouvelle forme d’algorithme résistant à l’informatique quantique qui risque d’usurper notre système actuel de chiffrement et d’identité. La tâche qui consistera alors à établir ces algorithmes dans des clouds et applications incombera à la Silicon Valley. Ce ne sont pas les entreprises moyennes – et j’y inclus les principales banques mondiales et les organisations de défense – qui s’occuperont de la refonte de ces algorithmes.

Toutefois, ce que nous avons tous besoin de faire, est de nous adapter au nouveau régime en modifiant les identités machines. Cela implique d’exercer un contrôle sur les identités machines dont vous disposez, sur l’endroit et la façon dont elles sont utilisées, et d’avoir le moyen de les contrôler et de les remplacer par des versions résistantes à l’informatique quantique mises à jour ; quelles qu’elles soient. Et c’est là-dessus que les entreprises devraient concentrer leur attention à court terme.  

Le chiffrement n’est pas votre problème

La menace pour le chiffrement par clé publique par l’informatique quantique est réelle. Un jour, des ordinateurs quantiques résoudront en un clin d’œil les problèmes mathématiques sur lesquels est basée la cryptographie asymétrique. Toutefois, les menaces qui nous inquiètent ne sont pas dans le domaine du chiffrement des données. Au contraire, les actifs cryptographiques qui sécurisent notre système d’identités machines – les SSH, TLS, SPIFFE, signature par code et autres types d’identités qu’ils sous-tendent – seront les objectifs probables.

Lorsque cela se produira – et ce sera probablement dans plusieurs décennies – nos identités machines pourraient être facilement usurpées et cela pourrait créer un chaos indescriptible sur les marchés mondiaux. Nous ne pourrions plus faire confiance aux logiciels, aux services, et au hardware dont nous sommes devenus entièrement dépendants. Mais ce n’est pas à vous de résoudre ce problème.  

Alors que NIST a montré la voie pour pousser les organisations à préparer un monde post-quantique, avec sa sortie des quatre premiers algorithmes résistant à l’informatique quantique, ce n’est vraiment pas du problème du chiffrement que doivent s’inquiéter les entreprises. Il est inutile pour les entreprises de débattre et de se plaindre des mérites d’un algorithme par rapport à un autre – c’est bien plus haut dans la chaîne alimentaire numérique que cette décision sera prise et elle façonnera le nouveau tissu numérique, quelle que soit votre opinion sur le sujet.

Aucune équipe informatique ne commencera à bricoler avec les équilibreurs de charge, les services cloud et les serveurs web. C’est le travail des fournisseurs eux-mêmes, qui seront à l’avant-garde de la migration quantique. Les entreprises n’ont pas besoin de s’inquiéter des détails ; tous les logiciels, services, outils et bibliothèques que vous utilisez vous permettront de migrer vraiment facilement – ce sera du tout cuit.

Donc, sur quoi les entreprises devraient-elles mettre l’accent ?

L’informatique quantique est probablement le moindre de vos soucis

La récente publication spéciale de NIST sur le sujet l’affirme : « Il est essentiel de commencer à planifier le remplacement du hardware, des logiciels et des services qui utilisent des algorithmes affectés dès maintenant, de façon à pouvoir protéger les données et les systèmes de futures attaques basées sur des ordinateurs quantiques. »

La meilleure façon de procéder consiste à avoir une observabilité en temps réel de toutes les machines que vous utilisez – qu’il s’agisse de hardware, de logiciels ou de services – et des identités qui y sont associées qui peuvent nécessiter un remplacement à l’avenir. Cela implique de poser des questions telles que , « ai-je une visibilité sur toutes mes applications et identités machines ? » Si la réponse est « non », vous êtes confrontés à un risque bien plus sérieux et plus immédiat.

Les identités machines sont fondamentales pour notre économie numérique mondiale. Si elles ne sont pas contrôlées correctement, elles peuvent être volées, falsifiées, usurpées, permettant à une machine attaquante d’imiter une machine d’entreprise légitime et donc de se voir confier des données sensibles. Elles peuvent être détournées sur des réseaux d’entreprise pour cacher une activité malveillante et permettre un accès privilégié à des données et systèmes. Et si elles ne sont pas gérées correctement, elles peuvent expirer, provoquant de graves interruptions susceptibles d’altérer de manière critique l’expérience client et les opérations de l’entreprise. Ce sont des menaces imminentes qui nuisent aux entreprises dans le monde entier, dès maintenant.

À l’avenir, ces mêmes identités machines auront éventuellement besoin d’être permutées une fois que le déchiffrement quantique deviendra une réalité. Une compréhension approfondie de celles-ci permettra, au bout du compte, de faciliter la migration vers le chiffrement quantique.

Prenez les bonnes décisions aujourd’hui et vous serez prêts pour demain

L’informatique quantique est encore loin, mais elle devrait faire partie de la planification des risques des entreprises. Une prise en charge de la gestion des identités machines et de logiciels correctifs pour sécuriser l’informatique quantique sera donc essentielle.

La meilleure façon de le faire consiste à disposer d’un plan de contrôle. Un plan de contrôle prévoit une visibilité automatisée, continue et un contrôle de l’ensemble de l’écosystème d’identité machine de l’entreprise. Cela donne aux sociétés la possibilité de révoquer et de mettre à jour automatiquement les identités machines, en aidant à accélérer la transformation numérique, à réduire les risques de sécurité, et à éliminer les pannes des identités machines susceptibles d’influer sur le chiffre d’affaires. Encore mieux, la même plateforme aidera les organisations à passer plus facilement à une ère post-quantique, en permettant aux sociétés d’identifier, de révoquer et de réémettre de nouvelles identités machines qui s’alignent avec les nouveaux algorithmes résistant à l’informatique quantique.

Si le PDG demande ce que fait l’entreprise pour garantir la sécurité post-quantique, concentrez-vous sur ce qui a de l’importance aujourd’hui – en vous préparant par une automatisation de la gestion de l’identité machine et une compréhension de vos applications. Enfin, si vous faites ce que vous devriez faire aujourd’hui, vous pourrez obtenir une valeur ajoutée à court terme, tout en vous préparant pour les implications inconnues du monde post-quantique.