Comment se préparer à la sécurité informatique post-quantique

Comment se préparer à la sécurité informatique post-quantique


Un monde de sécurité post-quantique semble effrayant. Les ordinateurs quantiques devraient enfreindre bon nombre des normes cryptographiques qui protègent adéquatement les données depuis des décennies.

Bien que les entreprises n’aient pas encore besoin d’appuyer sur le bouton de panique concernant le quantum – il faudra probablement une décennie ou plus avant que la technologie ne soit prête – cela ne signifie pas que le quantum doit être ignoré.

Le président Joe Biden a signé deux directives présidentielles sur l’informatique quantique en 2022, signalant qu’il est maintenant temps de comprendre comment gérer la technologie émergente. Les directives appellent à la création de normes cryptographiques résistantes au quantum – une tâche à laquelle le NIST s’occupe depuis plus d’une demi-décennie – et à préparer les agences fédérales à adopter ces futures normes.

Les entreprises doivent déterminer comment elles seront affectées une fois l’informatique quantique arrivée, ce qui peut nécessiter une meilleure protection des données maintenant ou se préparer à la cryptographie post-quantique (PQC).

Le souci de la sécurité quantique

La principale préoccupation de l’informatique quantique est la facilité avec laquelle elle craquera les algorithmes de cryptographie de transmission de données. L’algorithme RSA asymétrique, par exemple, qui repose sur la factorisation d’entiers et offre une sécurité suffisante sur les ordinateurs classiques, sera cassable sur les ordinateurs quantiques.

Les attaquants sont conscients de ce problème et ont commencé à faire ce qu’on appelle grattage de données — collecter des données cryptées dans l’espoir qu’elles seront utiles plus tard. Parce que le stockage est bon marché, les attaquants récoltent maintenant des données cryptées pour les pirater une fois que l’informatique quantique aura atteint sa maturité.

Comment se préparer à la sécurité PQC

Heather West, responsable de la recherche chez IDC, conseille également aux organisations de commencer à s’intéresser au quantum. “Il sera beaucoup plus facile de tout rassembler maintenant que de se dire soudainement:” Oh mon Dieu, la technologie est là, qu’est-ce qu’on fait? “”, A-t-elle déclaré.

Pour préparer et faciliter les transitions futures une fois le PQC normalisé, les entreprises doivent envisager les trois étapes suivantes.

1. Inventorier et classer les données

Cette étape consiste à examiner les données et à décider ce qui est considéré comme sensible. Effectuez un inventaire des données pour comprendre quelles données votre entreprise possède et leur classification de données pour comprendre quelles données ont besoin de quelles protections.

Assurez-vous de considérer quelles données ont besoin d’une protection plus forte maintenant en termes de menace de récupération de données.

“Quelles données sont OK dans quatre ans et que je ne crains pas que quelqu’un les gratte ?” a déclaré Christopher Savoie, PDG de Zapata Computing. « D’un autre côté, de quoi serais-je inquiet pendant des années ? Ces données pourraient impliquer des secrets d’entreprise ou commerciaux et d’autres informations critiques pour l’entreprise. Prenez les mesures appropriées pour garantir la sécurité des données maintenant et à l’avenir.

2. Comprendre l’exposition future

Une fois les données inventoriées et classées, réfléchissez à la manière dont les données sont actuellement protégées et si elles seront menacées une fois l’informatique quantique arrivée.

“Les organisations devraient commencer à examiner leur exposition potentielle pour comprendre quelle est leur dépendance à l’égard de la cryptographie”, a déclaré Colin Soutar, directeur général de Deloitte & Touche LLP. “Il peut être profondément intégré dans des outils tiers ; il peut s’agir de capacités transactionnelles propriétaires. Vous avez besoin de savoir où la cryptographie est intégrée à vos systèmes et comment les données sont protégées.”

Soutar a noté que l’examen de la cyberhygiène autour des données actuelles pourrait aider au-delà de la préparation du PQC.

“Même si vous finissez par ne rien faire face au risque quantique futur potentiel, vous identifiez peut-être des certificats SSL obsolètes ou quelque chose d’autre qui est plus superficiel et doit être mis à jour”, a-t-il déclaré.

3. Créer une stratégie d’atténuation

Une fois les données inventoriées et l’exposition potentielle comprise, l’étape suivante consiste à créer des groupes d’atténuation et des stratégies d’atténuation.

“En utilisant un groupe d’atténuation, commencez à examiner quelles politiques et procédures doivent être en place lorsque l’inévitable se produit”, a déclaré Savoie.

Cela devrait inclure au minimum une politique de sécurité des données, un plan de réponse aux incidents et un plan de reprise des activités. Cette étape implique également d’évaluer quelles données de l’entreprise pourraient déjà être exposées et stockées par des attaquants et de déterminer comment gérer cette situation. Ensuite, les organisations doivent examiner les données critiques qu’elles ont actuellement stockées et décider si elles ont besoin de couches de chiffrement supplémentaires pour les protéger.

Le chiffrement symétrique, couramment utilisé par les organisations pour sécuriser les données stockées, ne sera pas largement affecté par l’informatique quantique. L’algorithme de Grover, qui démontre comment l’informatique quantique accélérera de manière quadratique les recherches dans les bases de données, a montré qu’il divise par deux le temps nécessaire pour casser le chiffrement symétrique. Le NIST recommande donc aux organisations d’utiliser au moins AES-192 ou AES-256 pour chiffrer les données stockées.

Les données en transit, cependant, risquent d’être brisées par l’informatique quantique. Pour contrer cela, les organisations devront adopter les normes de chiffrement PQC pour remplacer les algorithmes asymétriques. Le NIST évalue plusieurs options, dont deux – SIKE et Rainbow – ont été facilement vaincues par les ordinateurs classiques, alors n’ayez aucune chance contre les ordinateurs quantiques. Le NIST évalue toujours sept options potentiellement viables.

La gestion des changements de chiffrement asymétrique joue dans le dernier aspect de l’atténuation, a ajouté Savoie. Cela signifie que les organisations doivent commencer à réfléchir à la manière de rester crypto-agiles.

“Alors que les normes changent à l’avenir, nous devons nous assurer que l’infrastructure est à un endroit où nous pouvons réellement nous adapter aux nouvelles menaces et aux nouvelles technologies pour atténuer ces menaces”, a déclaré Savoie. “Obtenir vos systèmes crypto-agiles et compatibles avec les nouvelles normes prend du temps et c’est quelque chose sur lequel vous devez commencer à travailler maintenant.”

Options de mise en œuvre du PQC

Trois options ont été évoquées alors que les experts s’efforcent de déterminer l’option PQC la plus efficace pour la préparation de la sécurité quantique.

Tout d’abord, suivez les recherches du NIST et considérez tous les algorithmes qu’il vérifie. Actuellement, quatre algorithmes finalistes principaux restent non fissurés et potentiellement viables. Trois algorithmes supplémentaires sont également à l’étude pour la viabilité.

Une autre option est la distribution de clés quantiques (QKD), qui utilise la mécanique quantique pour échanger en toute sécurité des clés de chiffrement. Les données chiffrées via QKD créent un état quantique aléatoire difficile à copier. De nombreux protocoles QKD peuvent également détecter les indiscrets. L’Agence de sécurité nationale, cependant, a déclaré que cette option n’était pas viable en soi dans l’état actuel des choses.

Une troisième option consiste à combiner les normes de cryptage PQC et QKD, a suggéré Rik Turner, analyste principal chez Omdia. Cela rendrait la tâche plus difficile pour les attaquants, a-t-il noté, car ils auraient besoin de percer à la fois le cryptage et le QKD pour accéder aux données en transit.

Leave a Comment