La cryptographie post-quantique (PQC) a officiellement franchi le cap : elle n’est plus un risque lointain, mais une exigence concrète qui est en train de transformer le secteur. Si vous ne l’avez pas encore fait, c’est le moment idéal pour mettre en place un plan de préparation à la PQC.
Le décret présidentiel intitulé « Protéger la nation contre les attaques cryptographiques avancées » n’introduit pas de nouveaux risques ; il ne fait que confirmer ce que les grandes organisations savent déjà, à savoir qu’un ordinateur quantique pertinent sur le plan cryptographique (CRQC) sera capable de contourner les algorithmes que nous utilisons aujourd’hui au sein de nos entreprises.
D'autres pays et entreprises, notamment les principaux hyperscalers, nous l'ont déjà fait savoir, et lorsque ces acteurs se mobilisent, cela signifie que le calendrier se resserre et que la date se concrétise de plus en plus.
Passer de la planification à l'action
Les organisations doivent changer de mentalité : il ne s'agit plus de se dire « on s'en occupera plus tard », mais « il faut agir maintenant ». Il ne faut pas attendre et prendre le risque qu'un événement catastrophique se produise. Il ne s'agit pas de se demander « quand le jour J va-t-il enfin arriver », comme c'était le cas lorsque nous attendions le bug de l'an 2000. Il s'agit en réalité de protéger les données qui sont créées aujourd'hui.
Nous avons évoqué le risque réel que représentent les attaques de type « Harvest Now, Decrypt Later » (collecte immédiate, décryptage ultérieur), ce qui signifie que nous devons partir du principe que même les applications cryptées aujourd’hui pourraient être décryptées plus tard, et que des données confidentielles pourraient être volées et compromises.
S’approprier le PQC
Ce décret présidentiel fait passer la PQC du stade des orientations et des recommandations à celui d'une véritable politique assortie d'obligations de rendre compte. Il instaure l'obligation de disposer d'une direction et d'une prise en charge claires en matière de préparation à la PQC pour l'ensemble de l'organisation.
La cryptographie fait partie des infrastructures essentielles et est intégrée à tous les systèmes qui régissent le fonctionnement des entreprises. À ce titre, elle a un impact sur tous les domaines de l'activité, et une collaboration interfonctionnelle est nécessaire pour garantir que tous les systèmes soient à l'épreuve de l'informatique quantique.
Ces étapes sont essentielles à la réussite de toute entreprise à l'ère de l'informatique quantique et de l'IA :
- Définir clairement les attributions et les responsabilités au sein des équipes grâce à un système de reporting et de suivi bien défini, permettant de mesurer l'avancement de la migration vers le PQC.
- Allouer des fonds et établir un budget pour recruter du personnel, se doter des outils ou faire appel aux prestataires nécessaires, et prévoir le temps nécessaire pour garantir la préparation au PQC.
- Poursuivre les efforts visant à maintenir en permanence la « crypto-agilité » au sein de l'infrastructure de confiance afin d'être prêt à faire face aux nouvelles évolutions réglementaires, aux avancées technologiques et aux menaces futures.
Toutes ces recommandations permettent aux organisations de passer d'une approche consistant à considérer la préparation au PQC comme une simple expérience à son intégration dans un véritable programme d'entreprise.
Mieux vaut commencer tôt que tard
Certaines des dates clés mentionnées dans ce décret présidentiel contribuent à souligner l'urgence d'agir.
- 2030
D’ici au 31 décembre 2030, les agences fédérales doivent faire évoluer leurs systèmes les plus critiques afin d’utiliser la cryptographie post-quantique (PQC) pour l’établissement des clés. Le décret présidentiel charge également le Conseil fédéral de réglementation des marchés publics (Federal Acquisition Regulatory Council) de proposer des exigences rendant obligatoire, à cette même date, le respect des normes PQC approuvées par le NIST pour les prestataires fédéraux concernés.
- 2031
Ce décret présidentiel étend les efforts de préparation à l'ère quantique au-delà du chiffrement. D’ici au 31 décembre 2031, les agences fédérales devront faire évoluer leurs systèmes les plus critiques afin d’utiliser la cryptographie post-quantique pour les signatures numériques, ce qui contribuera à garantir l’intégrité et l’authenticité à long terme des software, des communications et des identités numériques.
Ces dates ne sont pas si lointaines. En effet, elles s'inscrivent dans les cycles de planification de l'entreprise, qui s'étendent généralement sur 3 à 5 ans. Cela signifie qu'il est temps d'agir dès maintenant.
Les organisations doivent agir dès maintenant pour être prêtes d'ici 2030 et 2031.
Renforcer la confiance à l'échelle de l'entreprise
Il s'agit d'un problème de confiance à grande échelle, et pas seulement d'un défi lié à la mise à niveau cryptographique.
Il ne s'agit pas non plus de choisir le meilleur algorithme de PQC. Il s'agit plutôt de tout mettre en place pour bénéficier d'une visibilité, d'un contrôle et d'une coordination sur l'ensemble de vos systèmes d'entreprise.
La cryptographie n'est plus une question réservée aux services administratifs ; c'est désormais une infrastructure fondamentale.
C'est important car la cryptographie est intégrée dans des systèmes et des applications que l'entreprise considère comme déjà sécurisés (ce qui est le cas, selon les normes actuelles). Mais le risque réside dans ce qui pourrait se passer à l'avenir, et dans la nécessité pour les organisations d'élaborer dès aujourd'hui une feuille de route qui commence par la visibilité, l'évaluation des risques et la hiérarchisation de ceux-ci, pour aboutir, à terme, à la « crypto-agilité ».
Il ne s'agit pas simplement d'un événement ponctuel ; ce sera un programme continu qui nécessitera une automatisation et une amélioration constantes.
Pour les organisations, la question n’est pas de savoir s’il faut se préparer, mais de déterminer à quel point elles sont en retard aujourd’hui, et pourquoi ne pas commencer dès maintenant.
