By Dan O'Shea publié le 02 août 2022
Près d'un mois après que l'Institut national des normes et technologies a dévoilé sa première cryptographie post-quantique (PQC), il semble que l'annonce du NIST soit bien plus le début d'un long processus que l'aboutissement d'un tel processus.
Le long processus qu’il a déclenché est un processus d’évaluation. Alors que de nombreuses entreprises et agences gouvernementales ont commencé ces derniers mois à acquérir un sentiment d'urgence quant à la protection contre les menaces quantiques, leur migration vers PQC ne se fera pas du jour au lendemain, selon Johannes Lintzen, directeur général de Cryptomathic. L'entreprise possède une grande expérience dans ce type de migrations, ayant été fondée il y a 37 ans à Aarhus, au Danemark.
Les organisations qui précipitent leurs migrations PQC risquent de mal comprendre leurs besoins en matière de PQC, ainsi que d'adopter des normes qui ne sont pas encore entièrement élaborées, a déclaré Lintzen.
Lintzen a noté qu'à la suite de l'annonce du NIST, les organisations disposent de trois options, la première étant de ne rien faire du tout. « L’ignorer est probablement la pire chose que vous puissiez faire », a-t-il déclaré.
La deuxième option consiste à passer rapidement à une nouvelle sécurité. « Vous pourriez dire : « Eh bien, cela a été annoncé, nous allons donc le mettre en œuvre maintenant », a-t-il déclaré. « Je pense que c’est une approche valable, mais elle pourrait conduire à une autre réimplémentation ultérieurement, simplement en raison de la nature de l’évolution de ces systèmes cryptographiques au fil du temps. Jusqu’à ce qu’il soit complètement standardisé, nous allons voir une autre période de vérification, vous savez, peut-être deux ans et des tentatives supplémentaires pour trouver les faiblesses.
La troisième option, celle recommandée par Cryptomathic et qu'un nombre croissant d'entreprises de cybersécurité semblent soutenir, consiste à commencer une évaluation et un nettoyage à l'échelle de l'organisation, en déterminant quels algorithmes et systèmes de protection sont actuellement utilisés, quels appareils, les systèmes et les données ont besoin d'une meilleure protection, qui parmi celles-ci sont les plus critiques, et la planification d'une migration qui elle-même impliquera des étapes d'évaluation et de tests plus approfondis en plus de la mise en œuvre.
Faire tout cela en premier rendra une organisation plus « crypto-agile », ce qui en fin de compte peut être plus important que d’ajouter le PQC le plus rapidement possible.
"Prenez du recul, analysez, préparez vos systèmes", a déclaré Lintzen. « Devenez crypto-agile autant que possible. Donnez la priorité avec certitude aux domaines au sein de votre organisation qui font l’objet de plus d’examens que d’autres. Identifiez les cas d’utilisation qui sont importants. Faites une liste d’actions pour les trois à cinq prochaines années sur la façon dont vous allez migrer tous vos systèmes.
Posséder une agilité cryptographique permettra aux organisations d’être mieux préparées à tout ce qui va suivre – non seulement les normes initiales du NIST, mais également les futures normes potentielles, car il pourrait y en avoir d’autres à venir. Cela aidera également les équipes informatiques de ces groupes à mieux répondre aux changements, tels que le bris de certains algorithmes et le besoin croissant de gérer des environnements de sécurité de plus en plus complexes.
S’il faudra du temps aux organisations utilisatrices pour mettre de l’ordre dans leurs affaires, il faudra peut-être également du temps à l’écosystème de la cybersécurité pour s’organiser pour prendre en charge des migrations massives dans plusieurs secteurs. Alors que de nombreux spécialistes PQC ont démarré ces dernières années pour s'occuper de la migration, aux côtés d'entreprises de longue date comme Cryptomathic, Lintzen a déclaré que bon nombre de ces entreprises axées sur les logiciels dépendent des fabricants de modules matériels de sécurité (HSM) pour pouvoir prennent en charge les solutions PQC, et ces fournisseurs HSM ont leurs propres calendriers de produits.
Lintzen estime néanmoins qu'il est encourageant de constater qu'un si grand nombre d'entreprises et d'industries commencent à prendre la sécurité beaucoup plus au sérieux après des décennies durant lesquelles elle n'était pas considérée comme une priorité.
"Cela a beaucoup évolué au fil des années, la cryptographie, le cryptage et la gestion des clés n'étant plus qu'une chose de niche dont personne ne parlait vraiment et qui était simplement motivée par la conformité et non par la nécessité", a déclaré Lintzen. « Je pense que ce qui a réellement changé, c’est que les opérations cryptographiques constituent désormais le fondement de presque toutes les communications en ligne. Il y a les mégatendances de la numérisation et de la cloudification, où des organisations comme les banques commencent à déplacer leurs opérations très sensibles vers un environnement basé sur les services, parce qu'elles sont poussées à le faire par les réalités du marché. Le moyen de protéger les actifs numériques… c’est une combinaison de cryptographie et de mathématiques. Bien entendu, cela se reflète dans notre nom. Pour nous, ces technologies sont clairement le ciment qui maintient cette fondation ensemble.
