Perspectives relatives à la menace post-quantique pour 2024
Écrit par: David Senf - stratège national en cybersécurité - Bell Canada et Marcus Mesan – gestionnaire principal, architecture de sécurité - Bell Canada
Publié à l'origine par SDxCentral
Le fondement même de la cybersécurité est menacé par l’avancée des ordinateurs quantiques. La capacité des cybercriminels d’accéder à des communications et à des données numériques autrement sécurisées est appelée « menace post-quantique ». Cette menace a été abordée en détail par les agences gouvernementales dans les médias et par des firmes d’analystes au cours des dix dernières années. Ce résumé présente une mise à jour sur le sujet et décrit les mesures que les entreprises peuvent prendre dès aujourd’hui compte tenu des récentes avancées de la recherche.
Alors que Bell continue de surveiller ces risques, nous sommes également prêts à tirer parti des avantages de l’informatique quantique pour nos clients à mesure que de nouveaux cas d’utilisation commerciale se présentent.
L’informatique quantique et son impact positif
L’informatique quantique a un potentiel de transformation dans de nombreux secteurs. Dans le secteur pharmaceutique, elle pourrait accélérer considérablement la découverte de médicaments. Dans le secteur financier, les algorithmes quantiques pourraient modéliser la dynamique du marché avec une précision sans précédent. L’informatique quantique pourrait également permettre des innovations dans les secteurs de la science des matériaux, de la gestion de la chaîne d’approvisionnement et des prévisions météorologiques. L’intelligence artificielle, quant à elle, pourrait tirer parti de cette technologie, car elle devient capable de traiter de vastes ensembles de données bien plus efficacement que les ordinateurs classiques d’aujourd’hui.
L’urgence de la menace
Plusieurs problèmes techniques limitent actuellement l’évolutivité de l’informatique quantique. S’ils sont résolus, nous connaîtrons une nouvelle ère de l’informatique, plus importante encore que l’essor récent de l’IA générative. Au cours des dix prochaines années, ou même plus tôt, il est possible qu’un ordinateur quantique suffisamment puissant qui pourrait devenir une menace sérieuse pour la cybersécurité soit construit.
Un ordinateur quantique entièrement fonctionnel capable de décoder les systèmes cryptographiques actuels n’est pas encore une réalité. La menace est toutefois suffisamment imminente pour inciter certains à prendre des mesures rapides afin d'empêcher les États-nations et d'autres auteurs de menaces d'accéder à l'informatique quantique. L’idée que les pirates informatiques utilisent la tactique « recueillir maintenant, déchiffrer plus tard » pose un risque immédiat. Les cybercriminels pourraient recueillir des données chiffrées dans le but de les déchiffrer une fois que l’informatique quantique sera suffisamment avancée. Cela aurait des conséquences particulièrement graves pour les données sensibles qui doivent rester confidentielles pendant de nombreuses années, comme les secrets d’État et militaires, les recherches exclusives (des universités, du gouvernement, des entreprises, etc.), les données de santé et bien d’autres encore. Des entreprises du secteur financier, du gouvernement et des secteurs impliqués dans les infrastructures critiques commencent à se préparer à faire face à cette menace.
Des entreprises comme IBM et Google et plusieurs fournisseurs et cabinets de conseil font d’importants progrès vers la réalisation d'un ordinateur quantique fonctionnel. Une étude récente menée par une équipe de l'université de Harvard a mis en évidence de nouvelles techniques prometteuses pour la création d'un ordinateur quantique beaucoup plus évolutif (par exemple, beaucoup plus de qubits logiques fonctionnant sur des qubits physiques). Leurs efforts pourraient avoir pour effet secondaire involontaire d'accélérer considérablement le calendrier de la menace post-quantique.
Se préparer, au cas où
En réponse à ces défis, le secteur de la sécurité, les chercheurs et les cryptographes travaillent activement au développement d’algorithmes cryptographiques post-quantiques. Ces nouveaux algorithmes visent à assurer la sécurité contre les menaces informatiques classiques et quantiques. Le National Institute of Standards and Technology (NIST) aux États-Unis mène une initiative ayant pour but de normaliser la cryptographie post-quantique. Son travail nous permettra de disposer des formes de chiffrement souples et évolutives dont nous avons besoin pour continuer à fonctionner sur le réseau Internet public.
Certaines formes de chiffrement sont plus vulnérables à la menace quantique. Le chiffrement asymétrique, la forme sous-jacente de chiffrement utilisée pour la navigation, le magasinage en ligne et la plupart des activités sur Internet, est particulièrement vulnérable. Cela est dû à la capacité potentielle des ordinateurs quantiques à résoudre des problèmes, comme la factorisation de grands nombres, utilisés dans le chiffrement asymétrique comme le RSA, ce qui n’est actuellement pas possible pour les ordinateurs classiques. Le chiffrement symétrique, quant à lui, se montre plus résistant à la menace quantique. Les algorithmes comme AES (Advanced Encryption Standard) ne sont pas basés sur les mêmes problèmes mathématiques que les algorithmes asymétriques. Cependant, le chiffrement symétrique n’a pas l’évolutivité du chiffrement asymétrique, ce qui le rend inadapté au commerce électronique et aux cas d’utilisation de commerce électronique de détail et de service interentreprises les plus courants.
La transition vers la cryptographie post-quantique est non seulement un défi technique, mais aussi un défi opérationnel et logistique. Elle nécessite la mise à jour et le remplacement d’une vaste gamme de technologies actuellement utilisées, notamment celles qui font partie de notre vie quotidienne, comme les navigateurs Web, les serveurs de courriel et les RPV. La transition comprend également une courbe d’apprentissage pour les professionnels de la cybersécurité, qui doivent se familiariser avec les nouveaux outils et processus, et leur mise en œuvre et exploitation.
Outre les algorithmes résistants au quantum, des techniques telles que la distribution quantique de clés (Quantum Key Distribution) peuvent utiliser les propriétés de la mécanique quantique pour sécuriser les communications. Bell Canada investi et fait progresser les communications à sécurité quantique sur les réseaux à fibre optique, en collaboration avec des partenaires industriels et gouvernementaux, par exemple.
À mesure que la menace quantique progresse, votre entreprise devrait envisager de prendre les mesures suivantes :
- Évaluation des risques quantiques : Commencez par une évaluation des risques pour comprendre l’impact potentiel de l’informatique quantique sur la sécurité des données de votre entreprise. Pour ce faire, vous devez déterminer les données sensibles susceptibles d’être exposées à un risque et comprendre la durée de vie de ces données. Déterminez la durée pendant laquelle les données doivent être sécurisées et si elles pourraient être la cible d’attaques quantiques à l’avenir.
- Inventaire des systèmes cryptographiques actuels : Faites l’inventaire (et évaluez les capacités) de vos systèmes cryptographiques actuels. Vous devez notamment déterminer quels sont vos systèmes qui reposent sur des algorithmes et une gestion des clés vulnérables sur le plan quantique. L’objectif est de déterminer où des changements cryptographiques sont requis et de classer par ordre de priorité les systèmes qui traitent les renseignements les plus sensibles.
- Recherche et adoption de la cryptographie post-quantique (PQC) : Commencez à faire des recherches et à adopter graduellement des algorithmes cryptographiques post-quantiques (dont la plupart seront fournis par les fournisseurs de technologies). Tenez-vous au courant des normes émergentes du NIST, qui est en train de normaliser les algorithmes PQC. Élaborez un plan de transition vers les algorithmes post-quantiques.
Continuez à suivre les progrès de l’informatique quantique et à collaborer avec la communauté de la sécurité pour connaître les pratiques exemplaires et les technologies émergentes afin d’être prêts à faire face aux risques.
Conclusion
L’informatique quantique promet des avancées spectaculaires dans de nombreux aspects du secteur et de notre vie quotidienne, mais elle présente aussi un défi de taille en matière de cybersécurité. Au fur et à mesure que les progrès de l'informatique quantique s'accélèrent, le besoin de systèmes sécurisés robustes post-quantiques devient plus urgent. Cette transition nécessite une surveillance et des efforts précoces du gouvernement, du secteur et du milieu universitaire afin d’élaborer des normes cryptographiques sécurisées et de les mettre en œuvre efficacement.
Bien que l’informatique quantique puisse avoir une incidence sur le fondement même de la cybersécurité, nous disposons de temps pour aborder ce domaine naissant avec prudence. Chez Bell, nous surveillons de près l’innovation quantique et en faisons une priorité en matière de recherche et développement, car nous continuons à faire progresser et évoluer nos solutions pour répondre aux besoins des entreprises canadiennes.
À propos de SDxCentral
SDxCentral joue un rôle essentiel en guidant les consommateurs et les fournisseurs de technologies dans le paysage complexe et en évolution rapide des achats de technologies d'entreprise. SDxCentral couvre les sujets de sécurité qui aident les leaders technologiques à prendre des décisions éclairées en ce qui concerne leur position en matière de sécurité.