Rédigé par Keyfactor, avec la participation de Steve Orrin, Intel
La plupart des discussions sur la cryptographie post-quantique (PQC) partent toujours des mêmes points de départ : les centres de données, les charges de travail dans le cloud, les applications et l'infrastructure réseau.
Mais ce n'est pas là que tout se trouve.
Il existe un autre domaine où la cryptographie est constamment utilisée, profondément intégrée, mais souvent négligée dans la planification de la cryptographie post-quantum : l'ordinateur personnel.
De plus en plus, les organisations intègrent la cryptographie post-quantique (PQC) dans l’ensemble de ces niveaux, en particulier depuis que les premières normes fédérales américaines en matière de PQC ont été finalisées. Le NIST a approuvé les normes FIPS 203, 204 et 205, établissant ainsi un nouvel ensemble d’algorithmes résistants à l’attaque quantique pour l’échange de clés et les signatures numériques. Parallèlement, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) exhorte les organisations à entamer des travaux de recensement, d'inventaire et de hiérarchisation des risques, tandis que la suite CNSA 2.0 (Commercial National Security Algorithm) de l'Agence nationale de sécurité (NSA) définit les attentes concernant la manière dont les systèmes de sécurité nationale — et, à terme, les plateformes commerciales — opéreront la transition.
Au niveau international, le groupe d'experts sur la cybersécurité du G7 a fait écho à ces mêmes priorités, soulignant que la détection précoce, l'inventaire et la planification de la migration sont essentiels pour réduire le risque systémique.
Dans l'ensemble, la voie à suivre est claire : les organisations devraient se préparer dès maintenant, sans attendre l'échéance de 2030.
L'alerte lancée par le PQC est bien réelle, mais il existe des solutions
L'informatique quantique est devenue une préoccupation réelle et persistante en matière de cybersécurité, mais ce n'est pas une raison pour céder à la panique. C'est plutôt une raison pour aborder la cryptographie avec davantage de rigueur.
- Le NIST a fourni les normes techniques.
- La CISA a mis l'accent sur la détection et la préparation opérationnelle.
- La norme CNSA 2.0 définit les exigences relatives à la transition des algorithmes dans les systèmes de sécurité nationale.
Il ne s'agit pas de créer un sentiment d'urgence pour le simple plaisir de le faire. Il s'agit de comprendre comment la technologie évolue réellement et pourquoi il faut agir dès maintenant.
La cryptographie est profondément intégrée dans tous les systèmes. La migration prend du temps. Les plateformes et les écosystèmes évoluent par cycles. Les organisations qui se dotent dès le départ de visibilité et d'agilité conserveront non seulement leur flexibilité à l'avenir, mais réduiront également les risques qui existent déjà aujourd'hui.
La transition vers le quantique ne commence pas à un seul endroit, mais elle doit concerner tous les domaines où la cryptographie est présente. Cela inclut l'ordinateur personnel, qui est souvent négligé.
Pourquoi la cryptographie sur PC est-elle importante ?
Les ordinateurs personnels regorgent de systèmes cryptographiques et, à l'échelle de l'entreprise, ils constituent une surface d'attaque vaste et active.
En tant que terminaux, les PC servent à l'authentification des utilisateurs, à la génération et au stockage des clés, ainsi qu'au lancement des sessions TLS VPN. C'est également là que les pilotes sont validés, que les données sensibles sont déchiffrées en vue de leur utilisation et que les identifiants sont mis en cache.
À bien des égards, c'est au niveau du terminal que la cryptographie prend tout son sens : c'est là que la confiance est réellement mise en œuvre, et pas seulement établie.
Ignorer la cryptographie classique ne simplifie pas le problème ; cela crée des lacunes dans toute stratégie globale de préparation à la cryptographie post-quantum.
La cryptographie des terminaux et la perspective du modèle MITRE ATT&CK
Une gestion rigoureuse de la cryptographie ne vise pas seulement à protéger les données à l'ère quantique ; elle a également une incidence directe sur la manière dont les organisations se défendent contre les techniques d'attaque actuelles.
Des études sectorielles établissant un lien entre la cryptographie et le cadre MITRE ATT&CK montrent que des pratiques cryptographiques insuffisantes peuvent faciliter ou amplifier des techniques telles que l'extraction d'identifiants, le vol de clés privées, l'interception de TLS non sécurisées et l'utilisation abusive de la signature de code. Elles peuvent également favoriser la persistance via des micrologiciels ou des composants de démarrage altérés, ainsi que les mouvements latéraux via des processus d'authentification compromis. Les terminaux se trouvent au cœur de bon nombre de ces techniques.
Du point de vue de la gestion des risques selon le modèle MITRE, l'amélioration de la visibilité cryptographique et de l'application des politiques sur les terminaux réduit la surface d'attaque à plusieurs étapes, notamment l'accès initial, la persistance, l'escalade des privilèges et les mouvements latéraux.
Se préparer au PQC ne consiste pas seulement à anticiper les menaces futures ; c'est aussi l'occasion de renforcer la sécurité des terminaux dès aujourd'hui en modernisant les contrôles cryptographiques au niveau des PC.
Récoltez maintenant, décryptez plus tard
L'un des risques les plus débattus de l'ère quantique est celui du « Harvest Now, Decrypt Later » (HNDL), qui consiste à collecter aujourd'hui des données chiffrées dans l'espoir de pouvoir les déchiffrer à l'avenir, à mesure que les capacités quantiques progresseront.
Cela vaut tout particulièrement pour les données sensibles à longue durée de vie dans des secteurs tels que l'administration publique, les services financiers et la santé. De nombreuses organisations considèrent désormais le HNDL comme un risque significatif à long terme, les pirates collectant activement des données dès aujourd'hui en prévision de futures avancées technologiques.
Les points de terminaison jouent un rôle central dans cette exposition. Ils sont essentiels pour l'accès aux données sensibles, l'établissement des clés de session, ainsi que le stockage et l'utilisation des identifiants.
Si l'on traite la cryptographie post-quantique sans s'attaquer à l'exposition des terminaux, une partie essentielle de cette surface d'exposition reste sans protection.
Intel soutient le secteur dans ce domaine en étant le premier fournisseur de processeurs à avoir transformé les normes cryptographiques post-quantiques CNSA 2.0 en solutions cryptographiques hardware et prêtes à être déployées sur les PC grand public. Il s'agit d'un véritable parcours : la cryptographie et le chiffrement sont largement utilisés dans les composants électroniques, les micrologiciels des fabricants d'équipements d'origine (OEM) et software d'exploitation software PC. Intel continuera à jouer un rôle de premier plan aux côtés des partenaires de l'écosystème PC pour renforcer les mesures de protection.
Gérer la cryptographie sur les PC à grande échelle
Pour de nombreuses organisations, l'hésitation à se lancer dans l'analyse des ordinateurs à la recherche de logiciels de cryptage n'est pas d'ordre philosophique, mais d'ordre pratique.
Les grandes entreprises et les organismes publics peuvent gérer des dizaines de milliers d'ordinateurs, voire bien plus dans certains environnements. La charge opérationnelle que représentent l'analyse de chaque terminal, l'interprétation des résultats et la correction des failles à une telle échelle peut sembler insurmontable. Les responsables de la sécurité s'inquiètent souvent de l'impact sur les performances, des perturbations pour les utilisateurs, des faux positifs et de la charge de travail en aval générée par la visibilité elle-même.
De ce fait, la cryptographie au niveau des terminaux est parfois mise de côté au profit de systèmes centralisés qui semblent plus faciles à inventorier. Mais opérer à grande échelle ne doit pas nécessairement entraîner une complexité inutile.
En adoptant la bonne approche, les entreprises peuvent rapidement recenser, inventorier et analyser les ressources cryptographiques sur l'ensemble de leur parc informatique, obtenant ainsi une visibilité exploitable sans créer de freins inutiles. En tirant parti des intégrations avec des plateformes existantes telles que CrowdStrike, SentinelOne, Tanium et ServiceNow, les équipes peuvent mettre en œuvre cette visibilité cryptographique de manière contrôlée et automatisée.
Ce qui semblait autrefois être un effort insurmontable devient quelque chose de bien plus facile à gérer — un processus progressif qui renforce la confiance au fil du temps.
Comment commencer
Commençons par la visibilité.
La première étape consiste à dresser un inventaire précis des ressources cryptographiques présentes sur l'ensemble du parc informatique. Cela implique de déterminer où sont utilisés les certificats, les clés et les algorithmes, et d'identifier les cas où la cryptographie est vulnérable à l'informatique quantique. À partir de là, les organisations peuvent hiérarchiser les systèmes en fonction du risque, de la sensibilité des données et de leur durée de vie, tout en alignant leurs décisions sur les cycles hardware et les calendriers des fournisseurs en matière de cryptographie post-quantique (PQC).
Il ne s'agit pas d'une initiative ponctuelle. C'est le fondement même de la gestion de l'évolution cryptographique au fil du temps.
Avec une approche adéquate, cela peut se faire de manière contrôlée et progressive : en améliorant la visibilité, en appliquant les politiques et en mettant en œuvre les changements sans perturber les systèmes critiques. Des solutions telles que Keyfactor Command Keyfactor offrent des fonctionnalités avancées de découverte et d'analyse cryptographiques, aidant ainsi les organisations à établir cette visibilité sur l'ensemble des terminaux et de l'infrastructure, ce qui permet de la mettre en œuvre à l'échelle de l'entreprise.
Les organisations qui prennent les devants aujourd’hui ne se contentent pas de se préparer à la cryptographie post-quantique. Elles se dotent des moyens d’adapter la cryptographie à mesure que les besoins évoluent, tant au niveau des infrastructures que des applications et des terminaux.
Mettre l'accent sur le terminal
Dans le cadre des efforts déployés par Intel pour collaborer avec des solutions software qui aident les clients à vérifier la conformité sur l'ensemble des générations de PC Intel, le partenariat avec Keyfactor préparer le secteur à l'ère post-quantique.
La transition numérique ne commence pas en un seul endroit, mais elle ne pourra aboutir si le PC est laissé pour compte.
Pour en savoir plus sur la préparation à l'ère quantique et tester la solution PKIaaS avec PQC, rendez-vous sur le Keyfactor Lab.
Pour plus d'informations sur le PQC chez Intel, cliquez ici.
