Technologies

Comme les hackers, les DSI doivent rapidement passer en mode post-quantique

Les DSI doivent au moins cartographier les risques et les données les plus vulnérables pour se préparer à l'arrivée du décryptage quantique. (Photo Google Quantum AI)

Les techniques de décryptage quantique de la data arrivent plus vite que prévu. Et les hackers se préparent. Il est urgent pour les DSI d'en faire autant, sans quoi ils risquent l'intégrité de leur organisation. Feuille de route pour favoriser l'innovation quantique tout en parant la menace.

PublicitéFin janvier, le sommet virtuel Palo Alto Networks Quantum Safe a réuni des grands de l'industrie et des décideurs cyber qui ont tous partagé un message en forme de signal d'alarme, qui devrait donner à réfléchir aux DSI : la menace HNDL (harvest now, decrypt later) est bel et bien réelle et active, Et la fenêtre pour la transition cryptographique pour y répondre se referme.

Pour le DSI, la maîtrise de l'informatique quantique représente désormais bien plus qu'un simple défi de mise à niveau technique. C'est un passage pour assurer la pérennité de leur entreprise et conserver la confiance du public. Cette année, le consensus est clair : ce n'est plus une question de « si », mais de « quand ». Clients, employés, actionnaires et autres parties prenantes doivent avoir la certitude que les données alimentant les systèmes d'IA sont protégées, et l'informatique quantique, qui promet de doper ces derniers, représente une menace majeure sur cette confiance. Les DSI doivent dépasser la seule connaissance théorique et, dès aujourd'hui, installer un cadre opérationnel structuré autour de la technologie. La feuille de route suivante propose une checklist stratégique indispensable pour passer du traditionnel chiffrement à la résilience face aux attaques quantiques.

L'horloge quantique accélère

On croit souvent, à tort, que les menaces quantiques ne se concrétiseront que dans plusieurs décennies. Pourtant, Jerry Chow, directeur technique du supercalcul quantique chez IBM, affirme que le rythme s'accélère. L'Américain prévoit de lancer en 2029 son processeur Starling, un système de 200 qubits logiques tolérant aux pannes, et Blue Jay, qui vise 1 000 qubits logiques, d'ici à 2033. Il faudrait probablement une machine d'un million de qubits, en réalité, pour casser intégralement le chiffrement RSA-2048. Mais le prix Nobel de physique John Martinis prévient : cela pourrait survenir bien plus tôt grâce à de prochaines percées algorithmiques.

« Vous avez encore le temps de bien faire les choses », a-t-il néanmoins rassuré le physicien lors du sommet, « mais vous n'avez pas un temps infini. » La plupart des projections concernant les capacités de décryptages par le quantique reposent sur des systèmes hybrides quantiques-classiques, qui exécutent une logique traditionnelle sur du matériel quantique. Or, à mesure que les systèmes quantiques tolérants aux pannes deviendront accessibles sur le marché, nous assisterons à l'essor d'algorithmes quantiques natifs. Ces modèles mathématiques sont conçus spécifiquement pour les propriétés uniques des qubits, comme la superposition et l'intrication, leur permettant de résoudre des problèmes que la logique classique ne peut même pas appréhender. Nous sommes dans une transition qui part de l'exécution de tâches traditionnelles sur un tout nouveau système pour aller vers la réalisation de choses qui nous semblaient jusque-là impossibles.

PublicitéComme les hackers, les DSI doivent se préparer

La raison la plus urgente d'agir immédiatement est le phénomène du HNDL (harvest now, decrypt later). Les attaquants anticipent en effet l'arrivée de ces algorithmes et s'y préparent en interceptant et stockant d'ores et déjà des données sensibles chiffrées, telles que de la propriété intellectuelle, des secrets d'État ou certaines données financières. Leur objectif : les déchiffrer une fois que l'informatique quantique sera suffisamment mature. Si vos données ont une durée de vie supérieure à 10 ans, elles sont déjà menacées. En 2022, dans un sondage Deloitte cité par IoT World Today, plus de 50 % des professionnels interrogés jugeaient leurs organisations exposées aux risques d'attaques HNDL, alors qu'une minorité seulement avait réalisé un inventaire complet de la durée de vie de leurs données sensibles.

Aux États-Unis, le gouvernement fédéral a fixé la date butoir de 2035 pour la migration complète vers les normes PQC (post-quantum cryptography). Cela concerne notamment les secteurs réglementés, comme la finance, la santé et la défense. Le Nist (National institute for standards and technologies) qui accompagne les structures américaines dans leur mise en conformité aux normes, les incite à abandonner la sécurité codée dans le dur. L'agilité cryptographique, c'est-à-dire la capacité de changer d'algorithme de chiffrement sans refonte complète des systèmes, devient la nouvelle référence en matière d'architecture informatique et les DSI doivent impérativement l'intégrer à leur stratégie de déploiement. Se retrouver prisonnier d'un algorithme spécifique peut engendrer des difficultés à long terme et la flexibilité est donc essentielle.

En France, l'Anssi (Agence nationale pour la sécurité des systèmes d'information) adopte une démarche semblable au Nist, avec la publication de recommandations pour préparer la transition post-quantique et d'un référentiel de produits PQC de confiance. Fin 2024, à l'occasion de la publication de deux études assez pessimistes sur les offres disponibles en France en la matière https://www.lemondeinformatique.fr/actualites/lire-chiffrement-post-quantique-un-marche-francais-tres-balbutiant-95375.html, l'Agence prévenait, elle aussi : « Le niveau de risque rend nécessaire une transition de nos infrastructures numériques vers une cryptographie résistante à la menace quantique ».

Plan d'action pour le DSI : découvrir, protéger, accélérer

Pour concrètement entreprendre la transition quantique, une stratégie en trois volets a été présentée à l'occasion du sommet de Palo Alto Networks.

Volet 1 : Découverte et inventaire

On ne peut sécuriser ce que l'on ne voit pas. Or, peu d'organisations disposent aujourd'hui d'un bill of material cryptographique (CBOM). La cryptographie est pourtant omniprésente, depuis les systèmes OT traditionnels jusqu'aux microservices natifs du cloud. L'objectif est donc d'utiliser des outils automatisés pour identifier les emplacements où RSA, ECC et autres algorithmes vulnérables sont utilisés. Certains éditeurs s'appuient, par exemple sur la télémétrie présente dans les pare-feu pour créer des moteurs de détection de vulnérabilités quantiques sans avoir besoin de nouveaux capteurs.

Volet 2 : Protection systémique

Une fois l'inventaire cryptographique exhaustif réalisé, le DSI doit se concentrer sur la priorisation des actions en fonction des risques, la durée de conservation des données déterminant l'urgence de leur correction. Cependant, toutes les données ne présentent pas le même niveau de risque quantique : un jeton de session expire ainsi en quelques minutes, alors que des secrets commerciaux ou des documents juridiques doivent rester confidentiels pendant des décennies.

Il faut donc segmenter les actifs, avec d'un côté, les données à haute priorité avec une durée de vie longue côté (brevets, informations financières sensibles, etc.), et de l'autre, les données à moindre priorité avec une courte durée de vie (mots de passe à usage unique, jetons de session, etc.). De cette façon, les organisations peuvent mieux protéger leurs actifs les plus vulnérables vis-à-vis d'un décryptage rétroactif avant l'arrivée fatale de cette technologie. Pour ce faire, l'essentiel est de comprendre la nature des données, comme les contrats à long terme ou les données personnelles sensibles et de les protéger dès maintenant, car elles vont devenir des cibles de choix pour les hackers quantiques. Selon le rapport 2025 de l'institut Ponemon-Sullivan sur la confidentialité, 36 % des données actuellement stockées sont considérées comme critiques pour la survie des organisations, or la plupart d'entre elles sont toujours protégées par un chiffrement classique vulnérable aux futures attaques quantiques.

Volet 3 : Résolution du problème des systèmes existants

Cette étape concerne les systèmes critiques tels que les systèmes satellitaires, les dispositifs médicaux ou les anciennes applications mainframe difficiles à mettre à jour. Pour ces cas spécifiques, une technologie comme la traduction de chiffrement donne aux pare-feu de nouvelle génération la capacité de « traduire » en temps réel le trafic vulnérable en une session sécurisée par le quantique. Cette technologie assure la pérennité du matériel existant sans nécessiter un remplacement complet.

Un budget et des ressources dédiés

Mike Duffy, CISO par intérim du gouvernement fédéral américain, souligne l'importance de la préparation à l'informatique quantique dans le cadre d'une modernisation informatique responsable, car sans elle, se contenter d'envisager la préparation à la PQC revient en réalité à créer une dette technique pour l'avenir. Et cette dette demeure l'un des principaux freins à la modernisation des systèmes. Parmi les nombreux défis à relever figure la compréhension des implications financières et des risques liés à l'allocation des ressources. La migration quantique n'est pas un projet secondaire pour l'équipe informatique ; elle exige un budget dédié et le soutien de la direction. La gestion des fournisseurs constitue un autre défi. Les DSI doivent exiger de leurs fournisseurs des feuilles de route de qualité et de conformité des processus (PQC), et chaque nouvel achat doit être évalué à l'aune de son agilité cryptographique.

La voie à suivre dès aujourd'hui

Il serait déraisonnable d'attendre qu'arrive le Q-Day - le jour où un ordinateur quantique bouleversera Internet - pour se préparer. Il faut commencer dès aujourd'hui. Pour agir efficacement, les DSI devraient commencer par désigner un responsable de la transition quantique en chargeant un responsable IT ou sécurité pour superviser cette transition, réaliser un inventaire complet des vulnérabilités (CBOM) en commençant par les flux de données les plus sensibles et s'impliquer dans l'écosystème en utilisant des plateformes offrant une résilience en boucle fermée - des systèmes capables d'identifier et de corriger les problèmes au niveau du réseau.

La migration manuelle des systèmes cryptographiques est mathématiquement impossible à l'échelle d'une entreprise. La transition vers une sécurité résistante à l'informatique quantique doit être automatisée, basée sur une plateforme et initiée dès maintenant.