En ouverture des Assises de la Sécurité 2025 à Monaco, le directeur général de l’Anssi a fixé un calendrier pour accélérer l’adoption de solutions résistantes aux attaques quantiques. L’objectif est d’anticiper cette menace et d’éviter de prendre du retard sur ce sujet.
Sombre. Tel a été la tonalité du discours porté par le directeur général de l’Anssi, Vincent Strubel en introduction de l’édition 2025 des Assises de la Sécurité à Monaco (8-11 octobre). « Tout ce que nous avons construit ensemble ces dernières années ne marche plus et ne permet plus d’agir sur la menace ou sur le risque », a prévenu le dirigeant. Dans son adresse annuelle aux RSSI, il a évoqué un mouvement de brutalisation du monde engendrée par une massification des attaques, mais aussi une accélération de leur fréquence avec une fenêtre de tir apportant selon lui toujours plus d’angoisse de doute, de sidération. « Nous observons une forme de surenchère », prévient-il. Et de confirmer au passage l’évolution de la nature des attaques vers un champ plus hybride matinée de manipulation et de sabotage.
Dans sa prise de parole, il a rappelé un constat formulé cet été dans la revue nationale stratégique de l’Etat qui prend comme scénario central à l’horizon 2030. Il prépare un engagement des armées à des risques de haute intensité avec une profusion d’attaques simultanées à un niveau encore jamais atteint. « Le message est simple : winter is coming », annonce Vincent Strubel. « Cela ne doit pas nous inciter à être dans le déni et à ne pas se disperser ». Pour lui, l’enjeu est aussi de donner aux responsables cybersécurité la capacité à embarquer les métiers à grande échelle et ne pas enfermer les problématiques et discours cybersécurité uniquement dans une seule communauté de sachants. Parmi les leviers pour agir, la préparation à la crise cybersécurité, l’entrainement et la sensibilisation sont plus que jamais d’actualité et des nécessités à appliquer. Revenant sur le DefHack du mois dernier auquel des étudiants ingénieurs ont participé, il dresse un bilan très positif avec plus de 1 0000 organisations impliquées tout en pointant que beaucoup reste encore à faire. « C’est énorme mais ce n’est qu’une goutte d’eau, il faudrait qu’il y en ait 100 ou 1 000 fois plus pour en faire un catalyseur de sécurité collective », assure le directeur général.
Un visa de sécurité quantique pour Thales et Samsung
Parmi les risques à venir que les entreprises doivent anticiper dès à présent, Vincent Strubel cite en particulier une rupture technologique : la menace quantique. Avec à la clé la capacité pour des attaquants de se servir des systèmes quantiques pour casser le socle cryptographique sur lequel sont érigés depuis des années tous les modèles de sécurité des entreprises. « Quand cela arrivera il n’y aura pas de solution à mettre en place rapidement, tout s’effondrera », alerte le responsable. Mais un espoir existe : l’anticipation. « C’est maintenant qu’il faut s’y mettre et inscrire cela dans le renouvellement naturel des solutions ».
L’agence a annoncé qu’à partir de 2027 elle n’acceptera plus de qualifier des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’informatique quantique. Mais elle compte aller plus loin : en 2030 elle imposera de ne plus acquérir de solutions qui n’implémentent pas à long terme cette résistance quantique. « L’obstacle a été levé par des solutions de Thales et de Samsung », explique Vincent Strubel. Ces dernières viennent d’être reconnues par un visa de l’agence : le spécialiste de la défense pour sa carte à puce MultiApp 5.2 Premium PQC « destiné à héberger et exécuter une ou plusieurs applications, dites applets dans la terminologie Java Card » annonce l’ANSSI. Le second pour son microcontrôleur S3SSE2A. Certains éditeurs, à l’image de Tixeo, recourent déjà à OpenSSL 3 pour contrer les risques d’attaques quantiques grâce à la mise en œuvre de la librairie partagée OQS. Reste à voir si cette barrière suffira pour faire entrer les solutions dans le cadre de sécurité quantique souhaité par l’Anssi. L’avenir est-il vraiment si sombre ? « J’ai la conviction que tous ces futurs un peu dystopiques n’ont rien d’une fatalité », assure le dirigeant. Et de plaider comme souvent sur la force du collectif pour y arriver.