En bref : Le passage à la cryptographie post-quantique peut sembler insurmontable, mais vous n'êtes pas seul. Voici ce qui est en jeu pour les entreprises - y compris les vôtres - et un plan simple en quatre étapes pour vous aider à entamer la transition en toute confiance.
La stratégie de migration vers une cryptographie résistante au quantum menée par le National Institute of Standards and Technology (NIST) prévoit l'échéance de 2030 pour l'abandon progressif du chiffrement RSA/ECC au profit d'une cryptographie cryptographie post-quantiqueou PQC.
Vous pensez peut-être que 2030 n'est pas si loin, et vous avez tout à fait raison ! Les progrès de l'informatique quantique pourraient rendre l'PKI traditionnelle obsolète et ouvrir l'ère de la CQP plus tôt que nous ne le pensons.
Prenons l'exemple de la chaîne de blocs (blockchain), l'une des favorites du monde de la cryptographie. Elle dépend entièrement de la cryptographie asymétrique pour vérifier les transactions et garantir la fiabilité de son registre. Les signatures numériques actuelles sont sûres, jusqu'à l'arrivée d'un ordinateur quantique. Elles deviennent alors aussi faibles qu'un simple mot de passe "qwerty". Sans algorithmes à sécurité quantique, ces signatures pourraient être facilement falsifiées et la confiance dans la blockchain s'effondrerait.
C'est pourquoi les experts de Keyfactorestiment qu'il est temps d'investir dans la l'agilité cryptographique est le moment d'investir dans l'agilité cryptographique. Les organisations qui commencent à se préparer aujourd'hui seront prêtes à adopter rapidement de nouvelles normes cryptographiques au fur et à mesure de l'évolution de la technologie.
Transition vers le CQP : Une approche pas à pas
Le passage à des algorithmes à sécurité quantique permettra aux organisations de maintenir le haut niveau de sécurité requis pour que leurs actifs et leurs données soient plus sûrs qu'auparavant. Bien qu'il s'agisse d'une entreprise monumentale, le fait de l'aborder par étapes progressives la rend réalisable pour n'importe quelle entreprise.
Le cadre en 4 étapes ci-dessous vous aidera à être prêt pour le quantique d'ici 2030 et au-delà.
Étape 1 : Observer et dresser l'inventaire de l'PKI
Faire le point sur l'PKI votre organisation est la première étape pour les entreprises qui se préparent à la transition vers la cryptographie post-quantique. Sans connaître chaque système, il est impossible d'évaluer pleinement et de hiérarchiser les mises à jour nécessaires pour résister aux cyberattaques quantiques. Il est essentiel d'identifier tous les certificats, les bibliothèques cryptographiques et les dépendances de chiffrement entre les systèmes. Cela peut s'avérer une entreprise colossale compte tenu de la complexité habituelle de l'infrastructure à clé publique ( PKI pour les organisations.
Néanmoins, il convient d'accorder une attention particulière aux appareils de l'internet des objetsIoT), aux applications utilisées dans le nuage et dans les environnements sur site, ainsi qu'à l'autorité de certification racine (AC) employée par l'entreprise. Ces trois domaines sont ceux qui présentent le plus de dépendances entre les systèmes et peuvent ouvrir des vulnérabilités supplémentaires à l'ère quantique.
Les mesures à prendre à ce stade peuvent être les suivantes
- L'utilisation d'outils PKI automatisés pour cartographier les certificats et les dépendances de cryptage - fortement recommandé pour les systèmes complexes ;
- Classer les certificats en fonction de leur date d'expiration, du niveau de risque et de l'algorithme utilisé ;
- Documenter les dépendances de l'PKI dans l'infrastructure pour une meilleure visibilité et pour prévoir les points faibles potentiels.
Étape 2 : Évaluer et trier les risques liés aux actifs
Tous les actifs ne sont pas égaux. Chaque organisation accorde une priorité différente à la sécurité des données, en fonction des données qu'elle a le plus besoin de protéger. Dans le contexte des stratégies de résistance quantique, il est important de comprendre ce qui suit le risque quantique par actif. Cela ne veut pas dire que certaines données méritent moins de protection que d'autres ; tout ce que cela fait, c'est donner à une entreprise une chance de trier sa préparation quantique, en sécurisant d'abord les actifs les plus vitaux et en protégeant les données secondaires avec des moyens plus traditionnels pendant plus longtemps.
Certaines des données les plus sensibles, comme les transactions financières ou les informations d'identification personnelle, nécessitent d'abord une protection urgente à sécurité quantique. D'autres données propriétaires, moins sensibles mais néanmoins nécessaires aux fonctions de l'entreprise, peuvent être considérées comme présentant un risque moindre et rester protégées par l'ancienne PKI pendant un certain temps. Il est important de garder à l'esprit que les retards introduits par le tri des actifs en fonction de leur risque de sécurité ne signifient pas qu'il faille négliger complètement la protection des données moins prioritaires. D'ici 2035, date limite proposée par le NIST pour l'abandon du chiffrement RSA/ECC, tous les actifs devraient être sécurisés par PQC, sans exception.
Les systèmes de données sensibles potentiellement prioritaires sont les suivants :
- Systèmes de gestion de l'identité numérique ;
- Systèmes financiers ;
- Communications gouvernementales ;
- Authentification basée sur le cloud.
Exemples de systèmes propriétaires de priorité moyenne :
- VPN d'entreprise ;
- Certificats d'authentification Web ;
- Courrier électronique crypté ;
- Messagerie sécurisée.
Données moins prioritaires :
- Applications internes ayant des besoins de chiffrement limités ou de courte durée.
Les organisations peuvent choisir de classer leurs systèmes dans un ordre différent en fonction de leur profil de risque et de leurs besoins.
Étape 3 : PKI hybride, une transition sécurisée
Une fois que votre organisation dispose d'une image précise et complète de l'état actuel de son PKI et de la liste hiérarchique des systèmes à protéger, la meilleure mesure à prendre avant 2030 est d'introduire une PKI hybride post-quantique hybride post-quantique pour amorcer la transition vers la cryptographie post-quantique.
Qu'est-ce qu'une PKI hybride prête pour la CQP ?
Une PKI hybride combine la cryptographie traditionnelle et la PQC pour son adoption progressive, garantissant une protection complète à chaque étape pour les appareils et les systèmes qui ne peuvent pas être mis à niveau simultanément.
Les meilleures solutions PKI hybrides prennent toujours en charge les algorithmes RSA/ECC et les algorithmes PQC de pointe, et fonctionnent de manière transparente pour délivrer des certificats compatibles avec les appareils "anciens" et les appareils compatibles avec la PQC. Elles conviennent donc à une approche triée de la protection des données, de la plus haute à la plus basse priorité.
Meilleures pratiques en matière d'PKI hybride
- Déployer des certificats hybrides qui prennent en charge à la fois RSA/ECC et PQC pour assurer la compatibilité avec les systèmes qui ne sont pas encore équipés pour PQC.
- S'appuyer sur les autorités de certification qui offrent des options de sécurité quantique et éliminer progressivement les autorités de certification qui ne le font pas.
- Test de TLS résistant au quantum pour sécuriser entièrement les données de communication du réseau en transit.
Avec une PKI hybride entièrement mise en œuvre, testée et vérifiée, votre entreprise sera à l'avant-garde de la préparation quantique, avec une longueur d'avance sur de nombreuses organisations qui commencent seulement à penser à se préparer à l'ère quantique.
Étape 4 : Étapes de la migration progressive
La transition vers la cryptographie post-quantique ne se fera pas du jour au lendemain. Même la mise en œuvre d'une PKI hybride peut présenter des défis importants au niveau de l'organisation, mais c'est un effort qui vaut la peine d'être consenti dès maintenant.
Avec l'échéance de 2030 pour protéger les actifs les plus prioritaires avec des algorithmes PQC dans seulement cinq ans, la feuille de route pour la préparation quantique est, en fait, assez courte. Au-delà de 2030, les entreprises devraient être prêtes à amortir toutes les normes de chiffrement non PQC, telles que RSA et ECC, d'ici à 2035.
Décomposée en étapes de trois ans, votre feuille de route pourrait ressembler à ceci :
2025-2027: Dresser l'inventaire complet de l PKI , commencer à tester l'PKI hybride et mettre à niveau les actifs les plus risqués en les dotant d'un système de cryptage soutenu par la CQP. À ce stade, si cela est possible, la mise en place d'une équipe interfonctionnelle de préparation à l'PKI chargée de suivre les efforts de migration et d'assurer la gouvernance de l PKI permet de maintenir le processus sur la bonne voie et de l'adapter à l'évolution de la technologie et du paysage de la cybersécurité.
2028-2030: Remplacer tous les algorithmes de chiffrement critiques dépendant de RSA/ECC par les alternatives à sécurité quantique développées. alternatives à sécurité quantique développées. Programmer des audits réguliers de l'utilisation de la cryptographie afin de continuer à ajuster les plans en fonction des menaces quantiques émergentes.
2031-2035: Achever la migration des actifs restants vers PQC et tracer la voie à suivre pour maintenir la crypto-agilité à l'échelle de l'entreprise en vue des progrès futurs.
Garder une longueur d'avance grâce à l'aide d'un expert
Le déploiement réussi de la CQP d'ici 2030 commence par une approche intelligente et progressive - et vous n'avez pas à le faire seul ! Notre cadre en quatre étapes, de l'évaluation de votre PKI actuelle au déploiement de solutions hybrides, est conçu pour vous aider à ouvrir la voie à l'ère post-quantique.
Commencez votre parcours PQC ici. Tout simplement de contacter nos experts - nous sommes les leaders de l'industrie dans tous les domaines de l'PKI! Keyfactor est là pour préparer votre organisation à la technologie quantique avant qu'il ne soit trop tard.
