Expert Recommends: Prepare for PQC Right Now

Préparer la Cybersécurité à l’Ère Quantique

Les organisations doivent anticiper l’arrivée des ordinateurs quantiques capables de casser les algorithmes de chiffrement actuels. Une stratégie “collecter maintenant, déchiffrer plus tard” est déjà observée, où les données chiffrées sont accumulées dans l’attente de cette capacité future. Les données nécessitant une sécurité à long terme sont particulièrement menacées. La migration vers la cryptographie post-quantique (PQC) est donc essentielle pour garantir la sécurité future des informations.

Points Clés

• Menace Quantique : Les futurs ordinateurs quantiques (vers 2030-2035) seront capables de briser les chiffrements modernes.
• Stratégie “Harvest Now, Decrypt Later” (HNDL) : Les acteurs malveillants stockent des données chiffrées pour les déchiffrer ultérieurement.
• PQC comme Solution : La cryptographie post-quantique propose de nouveaux algorithmes résistants aux ordinateurs classiques et quantiques.
• Complexité de la Migration : La transition vers la PQC est un processus organisationnel et technique complexe, manquant actuellement de standardisation et de terminologie commune.
• Approche Structurée : Une migration réussie nécessite une équipe dédiée et suit généralement cinq étapes : Préparation, Diagnostic, Planification, Exécution, et Surveillance Continue.

Vulnérabilités

Aucune vulnérabilité spécifique avec un identifiant CVE n’est mentionnée dans cet article, car le texte se concentre sur une menace future plutôt que sur des failles exploitées actuellement. La vulnérabilité sous-jacente est l’obsolescence des algorithmes de chiffrement actuels face à la puissance de calcul des ordinateurs quantiques.

Recommandations

Pour une migration PQC réussie, les recommandations incluent :

• Urgence : Commencer la préparation et la migration immédiatement.
• Planification Stratégique : Développer une stratégie claire et actionnable pour la transition.
• Collaboration : Favoriser une collaboration inter-industries, gouvernementale et académique.
• Cryptographie Hybride et Agilité : Adopter l’utilisation combinée de la cryptographie classique et PQC (hybride), et intégrer l’agilité cryptographique pour permettre des mises à jour et des changements d’algorithmes aisés.
• Identification des Défis : Reconnaître et adresser les défis organisationnels, technologiques liés à la PQC, et ceux liés au code et à la documentation.

Défis et Solutions Pratiques :

• Manque d’Urgence et de Justification Commerciale : Quantifier la vulnérabilité et inventorier les actifs cryptographiques pour améliorer la cybersécurité actuelle.
• Déficit de Connaissances et de Compétences Internes : Mettre en place des formations et faire appel à des consultants externes.
• Gouvernance et Planification Internes Insuffisantes : Nommer un responsable de migration PQC ou un comité de pilotage.
• Échec de Coordination de l’Écosystème : Gérer proactivement les relations avec les fournisseurs et participer à des forums industriels.
• Lacunes Réglementaires : Adopter proactivement les normes PQC récentes pour les systèmes critiques.
• Critères de Sélection Incertains pour la PQC : Opter par défaut pour un modèle hybride PQC afin d’acquérir de l’expérience opérationnelle.
• Préoccupations de Sécurité et de Fiabilité de la PQC : Utiliser une approche hybride PQC avec un déploiement progressif.
• Rigidité des Systèmes Hérités : Remplacer le matériel si nécessaire, ou implémenter des bibliothèques PQC légères.
• Interdépendance de l’Écosystème : Collaborer avec les fournisseurs, les autorités de certification et participer aux groupes industriels.
• Manque de Composants Certifiés : Exiger la validation FIPS 140-3 ou EUCC pour le matériel PQC lors des achats, et migrer au niveau logiciel en parallèle.
• Manque d’Agilité : Concevoir de nouveaux systèmes permettant l’échange d’algorithmes via configuration simple.

Source