1 - Anticiper le « Quantic-Day », dès aujourd’hui

Si personne ne connaît précisément la date de passage à l’informatique quantique, cette technologie se profile bel et bien à l’horizon. Ainsi, le chiffrement RSA sur 2 048 bits, sur lequel le monde entier s’appuie, sera menacé à , plus ou moins, moyen-long terme. Compte tenu de l’accélération dans ce domaine, il nous faudra anticiper un scénario dans lequel les sessions chiffrées, le protocole TLS, les certificats serveur, mais aussi l’infrastructure à clés publiques (PKI) et la signature de code seront mis à rude épreuve. Les acteurs de la cybersécurité doivent donc impérativement, et sans attendre, s’y préparer, pour être en mesure de mener une refonte totale de leur cryptographie.

2 - Être prêt à la crypto-agilité

La réglementation aux États-Unis encourage d’ores et déjà l’utilisation de signatures post-quantiques résistantes aux ordinateurs quantiques en s’appuyant sur la cryptographie asymétrique qui implique d’utiliser une paire de clés publique et privée. De nouveaux standards seront ratifiés d’ici 2024 par le National Institute of Standards and Technology (NIST) pour être appliqués à l’infrastructure PKI et à la signature de code. Selon toute probabilité, d’autres leur succèderont assez vite, une fois ces protocoles renversés, contraignant les entreprises à envisager désormais la crypto-agilité comme un incontournable de l’ère post-quantique. Celle-ci aura des implications dans tous les domaines, amenant les entreprises à renouveler leurs données, mais aussi à fabriquer de nouveaux équipements, à un rythme beaucoup plus soutenu qu’aujourd’hui et ce, quels que soient les secteurs.

3 - Procéder à l’inventaire de ses ressources graphiques

En premier lieu, pour se préparer, les entreprises doivent maîtriser leurs ressources en matière de chiffrement, connaitre leur cryptographie et identifier ce qui peut être migré ou pas. Or, plus de 62% d’entre elles ignorent encore aujourd’hui le nombre exact de clés et de certificats en leur possession[1]. Le travail d’inventaire cryptographique, pre ou post-quantique qu’elles devront mener risque ainsi de s’étaler sur plusieurs années. Plus tôt l’entreprise sera prête à adopter les nouveaux algorithmes, mieux elle sera armée face à ces futurs risques cyber.

4- Identifier les besoins prioritaires et désigner des référents parmi les équipes

Les éléments les plus menacés par l’informatique post-quantique sont les éléments dont la durée de vie digitale sera longue, comme toutes données personnelles pendant une décennie ou plus, sensibles aux attaques « steal now decrypt later », les ACs Racines et AC émettrices de PKI, qui ont aussi une durée de vie de 10, 12, 15 ans, voir plus, ainsi que les identités machines d’équipements de longues durées (exemple des sous-systèmes embarqués ferroviaire, des équipements industriels…).

La refonte du chiffrement implique, par ailleurs, la prise en compte de nombreux aspects : méthode employée, identification des besoins nécessitant une assistance extérieure, et moment opportun pour lancer la migration. Il faut aussi réfléchir à la compatibilité applicative et déterminer quelles répercussions aura le changement d’algorithme à long terme.

5 - Procéder à des tests

La finalisation des algorithmes prendra du temps, mais il est possible, dès les 1res étapes de les tester et de les analyser, pour se familiariser avec le nouveau système et réfléchir aux divers scénarios possibles : que faire, par exemple, en cas de vulnérabilité d’un algorithme ou encore, comment gérer le post-déploiement ?

6 - Consolider les partenariats stratégiques

Les entreprises ne peuvent se préparer seules à la cryptographie post-quantique. Elles doivent impérativement s’entourer de partenaires experts qui leur permettront de tester et de renforcer leurs solutions.

7 - Élaborer une stratégie quantique pérenne

Il faut envisager les répercussions de la cryptographie post-quantique sur le long terme. Aussi, les entreprises devront construire une stratégie pérenne dans ce domaine, en s’appuyant sur des organismes, tels que le NIST, X9, le CA/Browser Forum, l’IETF (Internet Engineering Task Force) ou encore le NCCoE (National Cybersecurity Center of Excellence), qui collaborent actuellement sur la production d’algorithmes capables de résister à la menace quantique.

« Keyfactor peut accompagner efficacement les entreprises dans leur transition post-quantique. Accessible depuis notre site Web, notre PQC Lab (Post-Quantum Cryptography Lab), a vocation à explorer avec les entreprises les différentes stratégies possibles à partir d’outils open-source. Il leur permet d’émettre leurs propres clés post-quantiques, afin de déterminer quelles ressources elles pourront exploiter. L’élaboration d’une stratégie de crypto-agilité post-quantique étant une œuvre collective, plus vite les entreprises trouveront les ressources nécessaires pour entamer leur planification, mieux elles seront armées face à cette nouvelle révolution qui s’apprête à déferler dans l’univers informatique », explique Pierre Codis, Directeur commercial France, Be-Lux & Europe du Sud de Keyfactor.