L'heure tourne. Avec les progrès de l'informatique quantique, il est temps de se préparer à la cryptographie post-quantique. la cryptographie post-quantique, ou PQC.
Pour être prêtes, les organisations doivent disposer d'un plan de transition qui inclut les contributions et le soutien de l'ensemble de l'entreprise. En gardant une longueur d'avance sur la dette technique et en se tenant au courant de l'évolution des réglementations, l'organisation pourra changer d'état d'esprit pour s'adapter aux nouvelles réalités d'un avenir post-quantique.
Certains experts prévoient que la CQP pourrait voir le jour dans seulement cinq ansIl est donc temps d'agir.
Pourquoi il est judicieux de commencer à se moderniser
- Se préparer aux menaces de la campagne Harvest Now. Des acteurs étatiques disposant de ressources importantes utilisent des attaques de type "Harvest Now Decrypt Later". attaques "Harvest Now Decrypt Later pour voler des fichiers cryptés aujourd'hui et les conserver jusqu'à ce qu'ils puissent les décrypter.
- L'état de préparation est une cible mouvante. Même si les lignes directrices PQC évoluent, les acteurs malveillants innovent en permanence et, pour les grandes organisations, il faut parfois des années pour mettre au point une approche agile capable de s'adapter en permanence.
- Il n'y a pas de modèle ! Chaque plan est personnalisé, avec des mesures et des étapes uniques, et ne peut être élaboré en vase clos.
- Le temps passe vite. Selon des estimations récentes, des ordinateurs quantiques capables de casser RSA-2049 pourraient apparaître dès 2035, ce qui laisse moins d'une décennie pour réaliser des transitions à grande échelle.
4 étapes pour se préparer
Commencer à moderniser l'PKI aujourd'hui est stratégique pour plusieurs raisons. En effet, Keyfactor a constaté qu' une préparation post-quantique réussie n'est pas seulement un défi pour l'PKI - c'est une transformation à l'échelle de l'organisation. Une véritable crypto-agilité exige une collaboration interfonctionnelle entre les équipes de sécurité, d'informatique, de droit, de conformité et de produits.
Cette approche à l'échelle de l'entreprise améliore l'inventaire des actifs, l'évaluation des risques, la formation et la réponse aux incidents, tout en réduisant l'exposition aux menaces futures. En alignant les équipes dès maintenant, les organisations peuvent accélérer la modernisation de l'PKI et garder une longueur d'avance dans leur parcours PQC.
Première étape : découverte et inventaire
Cela peut vous surprendre, mais de nombreuses organisations ne disposent toujours pas d'un inventaire complet de leurs actifs cryptographiques, bien qu'elles aient affaire à un ensemble complexe de certificats numériques, de clés privées, d'algorithmes et de protocoles.
Il est essentiel de faire l'inventaire pour élaborer un plan de transformation qui englobe l'ensemble de l'infrastructure. Recherchez l'infrastructure à clé publique (PKI) l'infrastructure à clé publiquePKI) y compris les certificats et les clés, et n'oubliez pas de tenir compte de la cryptographie intégrée dans les applications et les appareils, car ces algorithmes devront également être mis à jour. Les anciens systèmes requièrent une attention particulière, car ils reposent souvent sur des configurations de sécurité obsolètes ; la cryptographie qu'ils utilisent peut déjà ne pas être conforme aux meilleures pratiques et normes existantes. Selon le secteur de votre entreprise, les systèmes de technologie opérationnelle (OT) qui prennent en charge les machines, les dispositifs physiques et le hardware devraient également être inclus dans l'inventaire.
Même pour les petites organisations, faire l'inventaire peut devenir rapidement complexe, il est donc important d'obtenir de l'aide. Les outils de découverte cryptographique peuvent aider à identifier les actifs à grande échelle, en signalant les plus vulnérables. Ces outils peuvent également aider à repérer les cas d'informatique parallèle (shadow IT), c'est-à-dire l'utilisation de software et/ou de hardware non autorisés en dehors des attributions officielles du service informatique, au sein de votre organisation. Cette utilisation, même si elle est souvent bien intentionnée, pose un problème de sécurité qui mérite d'être pris en considération. Le processus de transformation PQC est le moment idéal pour combler ces lacunes potentielles et renforcer la posture de sécurité globale de votre organisation.
Une fois que vous aurez dressé l'inventaire complet et que vous aurez une idée claire des systèmes qui exigent une action en premier lieu, vous serez en mesure de compiler le plan de migration en conséquence, en commençant par les actifs devant faire l'objet d'une correction urgente et en terminant par les protocoles et les certificats moins prioritaires devant faire l'objet d'une "migration ultérieure". Les actifs les plus prioritaires et les plus exposés exigeront une position prioritaire dans la file d'attente de mise à niveau des algorithmes de cryptographie.
Deuxième étape : triage de la mise en œuvre des solutions Crypto-Agile
En suivant les principes de la crypto-agilité lors de l'adoption ou de l'orchestration de votre architecture de cryptographie permettra à toutes les parties de l'écosystème de prendre en charge les algorithmes de cryptographie actuels et post-quantiques pendant la période de transition. Au cours de l'étape de découverte et d'inventaire, vous avez donné la priorité aux systèmes clés pour la migration PQC. Ces systèmes nécessiteront des certificats doubles (post-quantique et traditionnel) pour maintenir la compatibilité ascendante avant la fin de la transformation.
Les systèmes les plus prioritaires prennent généralement en charge les longues durées de vie des appareils, y compris les appareils et les microprogrammes de l'internet des objetsIoT. Les véhicules connectés de nouvelle générationdans le secteur automobile, en sont un parfait exemple, dont l'impact direct sur la sécurité des opérateurs humains exige les normes de sécurité les plus élevées avant même l'avènement de l'ère quantique. Dans le secteur des soins de santé, "stimulateurs cardiaques "intelligents sont un autre exemple : en raison de leur emplacement, ils ne sont pas facilement accessibles une fois opérationnels et doivent donc pouvoir recevoir des mises à jour par voie hertzienne avec toutes les garanties appropriées au niveau de soins qu'ils prodiguent.
Les systèmes qui contiennent des données hautement sensibles, propriétaires et critiques pour l'entreprise devraient également figurer en haut de la liste des priorités. La cryptographie qui assure la sécurité de ces données doit migrer vers des algorithmes post-quantiques le plus tôt possible afin de prévenir les attaques HNDL.
Troisième étape : Automatisation de la gestion des certificats numériques
Le passage à la cryptographie post-quantique ne débarrasse pas les entreprises de la complexité de la gestion de l'PKI . La gestion manuelle des certificats n'est pas adaptée aujourd'hui au niveau de l'entreprise ; il est donc peu probable qu'elle soit viable à l'ère de la PQC.
Ce n'est pas seulement une question de volume. La durée de vie des certificats devrait être aussi courte que 47 jours d'ici 2029ce qui rend la gestion manuelle de l PKI franchement dangereuse. La complexité algorithmique des certificats post-quantiques augmentera également de manière substantielle, ce qui rendra les solutions automatisées essentielles au suivi d'un inventaire cryptographique complet.
Maintenir continuité des activités et l'intégrité cryptographique, un plan de transformation post-quantique devrait inclure la transition vers l'émission, le renouvellement et le remplacement automatisés des certificats, si de tels outils ne sont pas déjà en place. Bien qu'il existe de nombreuses solutions PKI sur le marché, choisissez-en une, telle que Keyfactor EJBCAqui offre une gouvernance, un accès basé sur les rôles et des journaux d'audit détaillés afin de maintenir la conformité et de réduire les risques opérationnels.
Quatrième étape : Gouvernance continue de la cryptographie postquantique
La préparation post-quantique est complexe et la mise en œuvre de la PQC est une stratégie vivante qui nécessite une mise à jour permanente. Pour être prêt à l'emploi, il faut une gouvernance permanente, une surveillance des risques et une hygiène cryptographique conforme aux principes de la crypto-agilité.
Parmi les meilleures pratiques pour maintenir un profil de risque à jour, on peut citer l'établissement et la révision régulière de politiques de dépréciation des algorithmes, la rotation périodique des clés et les mécanismes de repli en cas de faiblesses algorithmiques imprévues ou nouvellement découvertes. La clé pour rester prêt pour le quantique est d'être prêt à s'adapter.
Les algorithmes de sécurité quantique évoluent constamment, et vos politiques et protocoles doivent en faire autant. Ceux-ci devraient inclure la formation et l'éducation du personnel, ainsi que des critères spécifiques à l'expertise PQC lors du recrutement pour les postes de sécurité et d'informatique. Le maintien de la participation et de l'adhésion de l'ensemble de l'organisation à la préparation quantique est essentiel au succès continu de l'initiative.
Conclusion : Moderniser dès maintenant pour l'ère postquantique
Il est temps de préparer votre entreprise à l'avenir. Se préparer à la cryptographie post-quantique est un défi difficile à relever, mais c'est aussi l'occasion de réévaluer et de moderniser votre infrastructure cryptographique. Les criminels font évoluer leurs techniques. Les entreprises doivent en faire autant.
Contactez Keyfactor pour des outils et une expertise éprouvés afin de naviguer dans les risques de sécurité à venir de l'informatique quantique.
