Les ordinateurs quantiques progressent rapidement. Bientôt, ils seront suffisamment puissants pour casser les cryptages actuels. Il ne s'agit pas seulement d'un problème technique. Il s'agit d'un défi stratégique qui pourrait obliger les organisations à repenser la manière dont elles protègent les données, les systèmes et la confiance.
La préparation à la sécurité post-quantique ne se limite pas à de nouveaux outils. Elle nécessite une planification, des investissements et un alignement au sein de l'entreprise. Cela signifie que les RSSI et les responsables de la sécurité doivent entamer dès maintenant des conversations importantes, en particulier avec les directeurs financiers, les PDG et les autres décideurs qui ne perçoivent peut-être pas encore l'urgence.
La clé ? Communiquer clairement. Expliquer ce qui est en jeu sans exagérer la menace ni utiliser un jargon excessif. Concentrez-vous sur les risques, l'état de préparation et la résilience à long terme.
L'informatique quantique n'est pas un problème futur, c'est un problème actuel. Les organisations qui commencent à s'adapter aujourd'hui seront les leaders de demain.
Dans cet article, vous apprendrez comment communiquer les risques de manière à favoriser la compréhension de la direction, l'alignement du budget et la planification proactive.
Définir le problème : c'est une question de gouvernance majeure
L'analyse de rentabilité consiste à expliquer l'impact profond que la PQC aura sur votre organisation et la manière dont elle est liée aux questions de gouvernance de la sécurité. L'informatique quantique surmontera facilement les mesures de sécurité actuelles. Ainsi, votre infrastructure à clé publiquePKI pourrait devenir obsolète et vos données cryptées pourraient être compromises.
Les pirates informatiques n'attendent pas l'avènement de l'ère de l'informatique quantique. Ils lancent des attaques des attaques de type "récolter maintenant, décrypter plus tard dans lesquelles ils volent des données cryptées et les stockent jusqu'à ce que l'informatique quantique arrive à maturité. Il suffit de penser aux conséquences pour le secteur de la santé, les dossiers gouvernementaux ou les industries qui dépendent fortement du développement de la propriété intellectuelle. Leurs données, qu'ils croyaient en sécurité derrière la protection du cryptage, pourraient être facilement révélées.
Ces violations ont un coût financier, ainsi qu'un coût intangible d'atteinte à la réputation.
En outre, l'ère de l'informatique quantique pourrait donner lieu à de nouvelles exigences réglementaires. Les efforts de normalisation PQC du National Institute of Standards and Technology (NIST), la suite Commercial National Security Algorithm (CNSA) 2.0 de la National Security Agency (NSA) et les calendriers d'agences telles que la Cybersecurity Infrastructure and Security Agency (CISA) indiquent une évolution vers une cryptoagilité obligatoire.
La crypto-agilité désigne les capacités dont vous avez besoin pour remplacer et adapter les algorithmes cryptographiques pour les protocoles, les applications, les software, le hardware et les infrastructures sans perturber les systèmes en cours, afin de parvenir à la résilience.
Faites en sorte que le message ait de l'importance : Parler de la prévention des risques
Il existe un risque très réel que l'informatique quantique puisse contrecarrer et contourner des millions de dollars de défenses. Positionnez l'informatique quantique comme une perturbation prévisible, et non comme une inconnue catastrophique. Agir maintenant vous permet d'éviter cette menace.
Vous devrez également préciser que la sécurité post-quantique ne consiste pas à démanteler et à remplacer. Il s'agit plutôt d'un effort de modernisation qui nécessite un inventaire, une définition des priorités et une planification sur plusieurs années.
Le meilleur moment pour commencer à se préparer à l'ère quantique était il y a trois ans. Le deuxième meilleur moment est aujourd'hui.
Sécurité quantique : Traduire les risques techniques
Pour convaincre les dirigeants de la nécessité de se préparer à la sécurité de l'informatique quantique, il faut se référer aux priorités du conseil d'administration. Il s'agit notamment de la continuité des activités, de la réputation, de la conformité et de la cyber-résilience.
Voici quatre points clés à aborder lors des discussions :
- Calendrier de mise en œuvre
- Exposition des données
- L'horizon de conformité
- Dette cryptographique
#1 : Délais de mise en œuvre
La mise en œuvre d'une cryptographie à sécurité quantique est un processus de longue haleine. Il faudra entre trois et sept ans pour la mettre en œuvre dans tous vos systèmes. En commençant dès maintenant, vous serez mieux placé pour relever les défis de la sécurité quantique.
#2 : Exposition aux données
Certains types de données ont une longue durée de vie : les informations d'identification personnelle, les informations sur les soins de santé et la propriété intellectuelle. C'est pourquoi ces données constituent une cible attrayante. Même si elles sont aujourd'hui cryptées, l'informatique quantique brisera facilement le cryptage. Les criminels ne peuvent pas lire les données aujourd'hui, mais ils sont patients. Ils savent que les progrès de l'informatique quantique ne sont qu'une question de temps. C'est pourquoi la méthode "récolter maintenant, décrypter plus tard" est si préjudiciable : peu importe le temps qu'il faudra pour décrypter ce type de données ; elles auront encore de la valeur dans les années à venir.
Plus tôt vous protégerez ces données, mieux ce sera. Vous serez moins vulnérable aux attaques de type "récolter maintenant, décrypter plus tard" qui nuisent à votre réputation.
#3 : L'horizon de conformité
Les gouvernements et les groupes de normalisation industriels reconnaissent les menaces que l'informatique quantique fait peser sur la sécurité des entreprises. Ils s'efforcent d'améliorer les règles de conformité et les meilleures pratiques. En cas de non-respect de ces règles, les entreprises risquent de se voir infliger de lourdes amendes et de voir leur sécurité compromise.
Vous voulez montrer que vous êtes prêt à relever les défis de la sécurité quantique en adoptant une cryptographie avancée destinée à y résister. Éviter de lourdes amendes et l'embarras public peut être un argument de poids pour les décideurs. En faisant preuve d'une gouvernance, des risques et de la conformité (GRC) vous démontrez votre adhésion aux meilleures pratiques de gouvernance.
#4 : Dette cryptographique
Vous avez entendu parler de la dette technique - c'est le cas lorsque vous livrez un produit qui privilégie la rapidité au détriment des fonctionnalités futures. Il existe également une dette cryptographique. C'est le cas lorsque la cryptographie ne suit pas l'évolution technologique.
La dette cryptographique rend les organisations vulnérables. Le passage à la cryptoagilité signifie que votre organisation est mieux à même de se défendre contre les futurs défis cryptographiques, tels que l'informatique quantique.
Éduquer le conseil d'administration : Le véritable coût de l'inaction
En tant que RSSI, vous avez une obligation fiduciaire envers l'entreprise. Une partie de cette obligation consiste à informer le conseil d'administration du coût de l'inaction en matière d'informatique quantique. Il existe des responsabilités juridiques potentielles et des implications en matière d'assurance en cas de violation due à l'informatique quantique. Même si elles sont récoltées maintenant, les attaques par décryptage ultérieur sont préjudiciables parce qu'il y a un risque important que vos données cryptées ne soient plus protégées.
Investissements progressifs
Les décideurs se demanderont : "Par où commencer ?". Certaines organisations voudront peut-être se lancer tout de suite. Pour d'autres, des investissements progressifs dans la migration post-quantique sont plus judicieux.
Les outils de découverte et d'inventaire cryptographique vous permettent de comprendre chaque actif cryptographique dans votre environnement. Ces activités peuvent être automatisées pour plus de rapidité, d'efficacité et de précision. Une fois que vous savez avec quoi vous travaillez, vous pouvez mettre en œuvre des initiatives de crypto-agilité telles que l'identification des algorithmes et des processus de gestion du changement.
Ensuite, vous pouvez passer à la modernisation de l'PKI . Une PKI moderne vous donne une meilleure visibilité de votre inventaire cryptographique pour une gestion efficace des actifs.
Ressources PQC
L'informatique quantique n'est pas le problème de demain. C'est l'exigence de planification d'aujourd'hui.
Il n'est pas nécessaire de prévoir un délai d'action pour l'informatique quantique ; il suffit de se préparer aux changements cryptographiques inévitables. En prenant dès à présent les premières mesures en vue de la crypto-agilité, vous renforcerez votre position en matière de sécurité à l'avenir.
Keyfactor est le leader mondial de la confiance numérique et de la sécurité quantique. Voici quelques ressources pour vous aider à constituer un inventaire cryptographique, à favoriser la crypto-agilité et à vous préparer à la migration vers la PQC.
- Lire le nouveau livre électronique : Le guide du RSSI sur les risques cryptographiques
- Identifiez les risques d'audit en quelques secondes grâce à cet aide-mémoire : Le coup d'envoi en 30 secondes du RSSI
- Réservez du temps pour obtenir des réponses à vos questions : Demandez une démonstration ici
