7 conseils pour anticiper la cryptographie post-quantique

Qu’en sera-t-il des techniques de cryptographie en matière de cybersécurité ? Comment anticiper cette révolution ?Voici 7 conseils de Keyfactor pour préparer cette transition.

Anticiper le Quantic-Day

Si personne ne connaît la date de passage à l’informatique quantique, cette technologie se profile à l’horizon. Le chiffrement RSA sur 2 048 bits, sur lequel le monde s’appuie, sera menacé à, plus ou moins, moyen-long terme. 

Il faut anticiper un scénario dans lequel les sessions chiffrées, le protocole TLS, les certificats serveur, l’infrastructure à clés publiques (PKI) et la signature de code seront mis à rude épreuve. Les acteurs de la cybersécurité doivent impérativement s’y préparer pour mener une refonte totale de leur cryptographie.

Être prêt à la crypto-agilité

La réglementation aux États-Unis encourage l’utilisation de signatures post-quantiques résistantes aux ordinateurs quantiques en s’appuyant sur la cryptographie asymétrique qui implique d’utiliser une paire de clés publique et privée. De nouveaux standards seront ratifiés d’ici 2024 par le National Institute of Standards and Technology (NIST) pour être appliqués à l’infrastructure PKI et à la signature de code. La crypto-agilité sera un incontournable de l’ère post-quantique. Celle-ci aura des implications dans tous les domaines, les entreprises devront renouveler leurs données, fabriquer de nouveaux équipements, à un rythme plus soutenu qu’aujourd’hui.

Procéder à l’inventaire des ressources graphiques

Pour se préparer, les entreprises doivent maîtriser leurs ressources en matière de chiffrement, connaitre leur cryptographie et identifier ce qui peut être migré ou pas. 

Or, plus de 62% d’entre elles ignorent aujourd’hui le nombre exact de clés et de certificats en leur possession. 

Le travail d’inventaire cryptographique, pre ou post-quantique qu’elles devront mener risque de s’étaler sur plusieurs années. Plus tôt l’entreprise sera prête à adopter les nouveaux algorithmes, mieux elle sera armée face à ces futurs risques cyber.

Identifier les besoins prioritaires et désigner des référents parmi les équipes

Les éléments les plus menacés par l’informatique post-quantique sont les éléments dont la durée de vie digitale sera longue, comme toutes données personnelles pendant une décennie ou plus, sensibles aux attaques « steal now decrypt later », les ACs Racines et AC émettrices de PKI, qui ont une durée de vie de 10, 12, 15 ans, voire plus, les identités machines d’équipements de longues durées (exemple des sous-systèmes embarqués ferroviaire, des équipements industriels…).

La refonte du chiffrement implique de prendre en compte ces aspects : méthode employée, identification des besoins nécessitant une assistance extérieure, et moment opportun pour lancer la migration. Il faut réfléchir à la compatibilité applicative et déterminer quelles répercussions aura le changement d’algorithme à long terme.

Procéder à des tests

La finalisation des algorithmes prendra du temps, mais il est possible, dès les 1^res étapes de les tester et de les analyser, pour se familiariser avec le système et réfléchir aux divers scénarios possibles : que faire en cas de vulnérabilité d’un algorithme ou encore, comment gérer le post-déploiement ?

Consolider les partenariats stratégiques

Les entreprises ne peuvent se préparer seules à la cryptographie post-quantique.

Elles doivent impérativement s’entourer de partenaires experts qui leur permettront de tester et de renforcer leurs solutions.

Élaborer une stratégie quantique pérenne

Il faut envisager les répercussions de la cryptographie post-quantique sur le long terme. 

Les entreprises devront construire une stratégie pérenne, en s’appuyant sur des organismes, tels que le NIST, X9, le CA/Browser Forum, l’IETF (Internet Engineering Task Force) ou bien ecore le NCCoE (National Cybersecurity Center of Excellence), qui collaborent sur la production d’algorithmes capables de résister à la menace quantique. « L’élaboration d’une stratégie de crypto-agilité post-quantique étant une œuvre collective, plus vite les entreprises trouveront les ressources nécessaires pour entamer leur planification, mieux elles seront armées face à cette nouvelle révolution qui s’apprête à déferler dans l’univers informatique », explique Pierre Codis, Directeur commercial France, Be-Lux & Europe du Sud de Keyfactor.

Source Expertise Keyfactor