{ Tribune Expert } - La cryptographie quantique doit devenir une réalité pour toutes les entreprises

Alors que de nombreuses équipes IT se concentrent actuellement sur l'évolution de leur infrastructure de sécurité pour lutter contre la nouvelle vague d'attaques basées sur l'IA, une autre technologie émergente est en passe de provoquer des perturbations importantes dans les prochaines années : la cryptographie post-quantique.

La commercialisation imminente de l'informatique quantique - et les implications cryptographiques qui en découlent - pourrait introduire des dangers sérieux pour les équipes de cybersécurité si elles n'anticipent pas suffisamment tôt ces menaces. Mais à quel point cette technologie est-elle proche de devenir une arme entre les mains d'acteurs malveillants, et comment les entreprises devraient-elles sécuriser leurs réseaux et leurs données dès aujourd'hui pour se préparer au mieux ?

Comprendre le risque quantique

Dans sa fonction principale, l'informatique quantique est capable de résoudre des problèmes mathématiques que les ordinateurs traditionnels trouvent trop complexes, tels que la factorisation de grands nombres. Cependant, cette capacité signifie également que l'informatique quantique pourra casser de nombreux algorithmes cryptographiques modernes, omniprésents sur diverses plateformes informatiques pour chiffrer les communications, sécuriser les données ou créer des signatures numériques.

Les ordinateurs quantiques capables de menacer la cryptographie moderne ne sont pas encore disponibles commercialement. Cependant, je considère que la cryptographie post-quantique devrait être vue comme une préoccupation stratégique pour les organisations et ce, pour deux raisons principales. Premièrement, il existe un risque très réel d'attaques rétrospectives. Les technologies cryptographiques sont devenues si omniprésentes et intégrées aux processus métiers que la majorité des données sont chiffrées aussi bien au repos qu'en transit pour minimiser les risques. Mais les attaques rétrospectives, également connues sous le nom de « collecter maintenant et déchiffrer plus tard », signifient que des acteurs malveillants peuvent collecter des données chiffrées qu'ils ne peuvent pas casser aujourd'hui avec des ordinateurs traditionnels, pour ensuite les stocker jusqu'à ce que des ordinateurs quantiques suffisamment puissants deviennent disponibles. Bien que les données puissent avoir plusieurs années d'ancienneté au moment où elles seront accessibles, elles pourraient néanmoins rester sensibles et causer des dommages aux entreprises, employés et clients en cas de divulgation.

La deuxième raison clé d'inquiétude pour les dirigeants d'entreprise réside dans l'ampleur des investissements en capital et des charges opérationnelles nécessaires pour mettre à niveau ou remplacer les systèmes informatiques hérités utilisant des méthodes de chiffrement vulnérables aux ordinateurs quantiques. La migration de systèmes anciens vers des versions plus récentes comporte de nombreux risques financiers et sécuritaires - qui sont tous aggravés lorsqu'une telle activité est précipitée. À ce jour, aucun ordinateur quantique suffisamment grand et puissant pour casser la cryptographie traditionnelle n'existe.

Toutefois, de grandes entreprises privées et des gouvernements investissent massivement dans ce domaine, laissant penser que ce progrès est à seulement quelques années. Pour atténuer les charges financières, les entreprises devraient moderniser leurs systèmes progressivement, en anticipation de l'arrivée de l'informatique quantique commerciale, plutôt que d'attendre la percée technologique et d'être forcées d'investir massivement dans une refonte fondamentale (ou de risquer d'être dépassées par la concurrence).

Comprendre le calendrier d'action

Même s'il n'y a pas de consensus clair sur la date d'arrivée des ordinateurs quantiques commerciaux, la plupart des scientifiques s'accordent à dire qu'il faudra encore au moins 3 à 5 ans. Cependant, les gouvernements commencent déjà à formuler des recommandations pour inciter les entreprises à se préparer dès maintenant à la transition vers le chiffrement quantique. Par exemple, l'agence britannique de cybersécurité - le National Cyber Security Centre (NCSC) - a récemment publié des directives encourageant les entreprises à commencer leur préparation afin d'assurer une migration plus fluide et mieux contrôlée, réduisant ainsi les risques liés à des mises en oeuvre précipitées et à des failles de sécurité associées. Dans ce cadre, le NCSC appelle les organisations à investir dans la visibilité de leurs systèmes afin de comprendre ce qu'elles possèdent et ce qui devra être mis à jour en vue de la migration.

L'Union européenne travaille également sur des directives concernant le chiffrement quantique, et je m'attends à ce que des réglementations industrielles, telles que NIS2 et DORA, évoluent bientôt pour intégrer la cryptographie post-quantique dans leurs exigences fondamentales de conformité. Dans cette optique, même si les documents gouvernementaux relatifs à la cryptographie quantique ne sont pour l'instant qu'indicatifs et non obligatoires, je recommande aux RSSI (responsables de la sécurité des systèmes d'information) et aux responsables informatiques de s'assurer que cette problématique figure à l'ordre du jour de leur conseil d'administration dès que possible. Cela leur permettra d'éviter une course contre la montre pour atteindre la conformité et de limiter les dépenses financières et temporelles lorsqu'elle deviendra une obligation réglementaire.

Comprendre votre prochaine étape

Même si la menace tangible que représente l'informatique quantique pour la cybersécurité ne se concrétisera que dans quelques années, les risques sont suffisamment importants pour justifier des mesures proactives dès aujourd'hui. Les entreprises doivent commencer à se préparer en comprenant leurs systèmes actuels et en planifiant des mises à niveau progressives pour garantir une transition en douceur vers la cryptographie post-quantique. En procédant ainsi, elles pourront atténuer le risque d'attaques rétrospectives et éviter les pressions financières et opérationnelles liées aux mises en oeuvre précipitées.

Les gouvernements et les agences de cybersécurité fournissent déjà des orientations pour aider les organisations à gérer cette transition. Il est essentiel que les RSSI et les responsables informatiques accordent la priorité à ce sujet et le présentent à leur conseil d'administration. Une préparation anticipée permettra non seulement de protéger les données sensibles mais aussi de maintenir l'avantage concurrentiel des entreprises à mesure que l'informatique quantique deviendra une réalité.

En définitive, la clé du succès futur réside dans la prévoyance et la planification stratégique. En s'attaquant dès maintenant au risque quantique, les organisations peuvent garantir que leur infrastructure de sécurité restera robuste et résiliente face aux nouvelles menaces technologiques émergentes.

* Yaroslav Rosomakho est VP Field CTO chez Zscaler