Crypto-agilité : où en êtes-vous ?

L’informatique quantique est en cours de développement, contrairement au chiffrement encore à ses débuts. Quid de notre crypto-agilité ?

Demain, ce seront les risques quantiques qui nous menaceront. De là, l’importance à assurer notre crypto-agilité. Si un ordinateur quantique avec suffisamment de qubits devait apparaître aujourd’hui, pratiquement toutes les communications électroniques ne seraient plus sécurisées puisque la cryptographie sous-jacente serait en danger, a clairement averti Joachim Schaefer, IBM Quantum Amabassador, lors des Luxembourg Internet Days 2020.

71 % des entreprises dans le monde voient dans l’émergence de l’informatique quantique une menace importante pour leur sécurité. A raison. Pour la plupart des personnes interrogées, cette menace commencera à se faire réellement ressentir dans les trois années à venir. Car si l’informatique quantique est en voie de redéfinir les limites de la puissance de traitement des données, elle va aussi nous défier en termes de sécurité.

Sans chiffrement, pas d’économie numérique

L’accroissement de la puissance de calcul peut potentiellement ébranler les normes de sécurité d’aujourd’hui. L’ensemble du monde numérique est basé sur le chiffrement. Tous les secteurs, notamment les banques, le commerce, la santé, les assurances et le secteur public, emploient des systèmes basés sur le chiffrement pour leurs activités. La banque en ligne, par exemple, serait inenvisageable sans cette technologie. Sans chiffrement, l’économie numérique cesserait tout simplement de fonctionner.

Demain, le chiffrement peut être compromis par des ordinateurs capables de casser des codes en un temps record. Les entreprises ne peuvent se permettre d’attendre que les normes de chiffrement s’adaptent; elles doivent donc prendre les mesures nécessaires pour se protéger.

Rééquilibrer les forces

Ne nous méprenons pas : l’informatique quantique est très prometteuse pour notre monde. Nous devons toutefois comprendre qu’une période de transition critique se produira. Durant un certain temps, la plupart des organisations utiliseront des ordinateurs normaux, tandis qu’un nombre très limité d’entre elles, essentiellement des États-nations et de très grandes sociétés technologiques, disposeront d’ordinateurs quantiques. Cette situation donnera lieu à un énorme déséquilibre des forces. Que se passerait-il, en effet, si un État-nation venait à doter un groupe de pirates de capacités quantiques ?

Comment, dans ce contexte, préserver sa sécurité ? Évidemment, en mettant à niveau le chiffrement de son organisation. Certaines pistes circulent : la cryptographie en réticules, la cryptographie multivariée et le hachage d’algorithmes quantiques. Ce sont autant de solutions potentielles. En parallèle, des recherches innovantes portant sur la distribution quantique de clé (QKD) sont actuellement prometteuses pour plusieurs de ces techniques, toutes susceptibles de nous protéger contre les cyberattaques d’un ordinateur quantique. Cependant, à l’instar de l’informatique quantique elle-même, ces techniques demeurent encore conceptuelles. Et aucun consensus ne ressort sur ce qu’il convient de développer en premier.

La crypto-agilité, le meilleur outil de défense

Crypto-agile, c’est démêler le vrai du faux. Une entreprise crypto-agile sait exactement où les technologies de chiffrement sont déployées dans son environnement (protocoles, bibliothèques, algorithmes, certificats, etc.) et la manière dont elles sont exploitées. Elle peut également identifier et résoudre les problèmes rapidement. Pour Lisa O’Connor et Ben McCarty d’Accenture, qui ont également fait entendre leur voix lors des Luxembourg Internet Days 2020, l’incertitude relative à la cryptographie peut être le nouvel An 2000 déclenché par les risques technologiques émergents liés au calcul haute performance, à l’apprentissage automatique et au quantique 

Tant que les normes de chiffrement ne se seront pas adaptées aux capacités quantiques, l’agilité est le meilleur outil de défense à disposition des entreprises. Si celles-ci désirent disposer d’un contrôle total sur les clés qui chiffrent leurs communications chiffrées, elles peuvent rapidement rechercher et remplacer celles qui ont été compromises afin de limiter les possibles dommages des cybercriminels. Cette capacité à modifier rapidement l’environnement cryptographique leur permet de garder une longueur d’avance. Après tout, même les ordinateurs quantiques nécessiteront un certain temps pour déchiffrer une clé de chiffrement…