Se préparer sereinement à l’ère post-quantique 

Responsabilités, manque de soutien du Comex, manque de budgets et compétences … pas de doute, il faut investir pour mieux s’armer.

Mais à l’heure où les cyberattaques sont de plus en plus sophistiquées, ciblés et sévères, et où cette puissance de calcul peut être utilisée à mauvais escient, comment procéder ? « La PQC rebat les cartes de la cryptographie et les responsables IT n’ont d’autre choix que de se préparer sans plus attendre. Dans ce contexte, les entreprises visionnaires qui ont déjà investi dans la crypto-agilité seront en position de force pour migrer vers les algorithmes post‑quantiques lorsque les versions définitives des standards seront publiées en 2024 », déclare Amit Sinha, PDG de DigiCert.

Comex, Budget & Clés cryptographiques

Premier constat, selon 61 %, leur entreprise n’est pas et ne sera pas prête à affronter les risques de sécurité posés par la PQC (Post Quantum Computing).

De plus, le Comex connaît mal – 26 %, ou n’a pas conscience – 23 % des enjeux de sécurité de l’informatique quantique.

Seulement 30 % consacrent un budget à la transition vers la cryptographie post-quantique.

Les 6 enjeux

• Une longueur d’avance

Seulement 50 % jugent très efficaces les mesures prises par leur entreprise pour limiter les risques, les vulnérabilités et les attaques à l’échelle de l’organisation. Les deux principales menaces cyber restent les ransomwares et le vol d’identifiants.

• Le manque de temps, de budget et de compétences

Selon 41 %, il reste moins de cinq ans pour se préparer. Mais ils font face à 3 défis : le manque de temps, de budget et d’expertise

• La visibilité

Peu d’entreprises ont une visibilité sur les caractéristiques et l’emplacement des clés cryptographiques. Seulement 52 % disposent d’un inventaire des types de clés cryptographiques utilisées et des spécifications.

Peu donnent la priorité aux assets cryptographiques – 39% et peu déterminent si les données et assets cryptographiques sont stockés sur site ou dans le cloud – 36%.

• Une politique de gestion cryptographique centralisée

Rares sont celles qui s’appuient sur une politique de gestion cryptographique centralisée appliquée à tous les échelons. Ainsi, l’entreprise dispose uniquement d’une politique limitée à certains cas d’utilisation ou applications – 36 % ou n’a pas établi de politique centralisée – 25 %.

• La capacité à déployer des solutions et méthodes cryptographiques

Il est difficile d’appliquer les bonnes pratiques et politiques à l’échelle de l’organisation, à détecter et à bloquer les certificats/clés compromis, à corriger les problèmes d’algorithmes et à anticiper les expirations de certificats.

• La pénurie des talents & la crypto-agilité

L’embauche et la fidélisation d’experts qualifiés restent la priorité n^o 1 en matière de sécurité numérique – 55 %.

Vient ensuite la crypto-agilité – 51% : mettre à jour efficacement les algorithmes, paramètres, processus et technologies cryptographiques pour mieux s’adapter aux nouveaux protocoles, standards et menaces de sécurité.

Source DigiCert & Le Ponemon Institute – 1 426 experts IT et de la sécurité informatique impliqués dans la stratégie de leur entreprise en matière de chiffrement post‑quantique (PQC). États-Unis (605), zone EMEA (428) et Asie-Pacifique (393).

Pour compléter vos recherches sur ce thème avec les experts @ITPROFR :

Atos et Eviden : la réponse aux défis cybersécurité et numériques (itpro.fr)