Alors que le ministère américain de la Défense redouble d’efforts en faveur du chiffrement post-quantique, les entreprises doivent s’atteler à l’élaboration de plans visant à mettre en place des programmes d’inventaire et de mise en conformité pour la cryptographie post-quantique, conseille Gartner.
Le ministère américain de la Défense a reconnu la menace que représentent les ordinateurs quantiques pour la sécurité nationale et a donné un coup de fouet à la campagne du gouvernement fédéral en faveur d’un chiffrement résistant à l’informatique quantique. Il a annoncé des plans visant à mettre en place une structure de supervision centralisée pour le chiffrement post-quantique, à analyser les systèmes vulnérables, à coordonner les feuilles de route de migration et à développer la cryptographie post-quantique pour les besoins de la défense. Le ministère a également publié un document stratégique indiquant qu’il mettra à jour la certification du modèle de maturité en matière de cybersécurité (CMMC) afin d’y inclure la cryptographie post-quantique (PQC). À compter de novembre prochain, les sous-traitants fédéraux seront tenus de disposer d’une certification par un organisme tiers attestant de leur conformité à la norme CMMC. Auparavant, ils étaient autorisés à procéder à une auto-attestation, une norme nettement moins stricte.
L’annonce du Département de la Défense intervient juste un jour après un décret présidentiel exigeant que tous les prestataires fédéraux se conforment aux normes de cryptographie post-quantique du NIST d’ici fin 2030. De plus, le président a ordonné au secrétaire au Commerce de lancer un projet pilote de migration vers la cryptographie post-quantique dans les 180 prochains jours — et ce projet pilote doit être achevé d’ici fin 2027. « L’adoption de la cryptographie post-quantique (PQC) est impérative tant pour la sécurité nationale que pour la sécurité économique », déclare Jordan Kenyon, scientifique senior spécialisé dans l’informatique quantique chez Booz Allen Hamilton. « Le gouvernement américain vient de fixer un calendrier ambitieux. » Le décret présidentiel fixe la date butoir de décembre 2030 pour l’établissement des clefs et celle de décembre 2031 pour les signatures numériques dans les systèmes et actifs à fort impact.
Le Gartner alerte les entreprises
Dans un rapport publié mardi, Gartner a averti que les entreprises devaient se préparer à davantage d’interventions gouvernementales — ainsi qu’à la confusion et à la complexité qui pourraient en découler. « Les décrets présidentiels du gouvernement américain vont probablement inciter tous les grands gouvernements et blocs politiques régionaux à intervenir plus rapidement », a déclaré le cabinet. « Les RSSI doivent se préparer à ce que les réglementations entrent en conflit et comportent des exigences en matière de souveraineté, ce qui compliquera la mise en conformité. ». Le Gartner recommande aux entreprises de mettre en place un inventaire PQC et un programme de mise en conformité en 2026, et de s’informer auprès de leurs fournisseurs sur leurs calendriers en matière de PQC. En outre, les entreprises devraient adopter des nomenclatures cryptographiques automatisées en 2027, passer au protocole TLS 1.3 d’ici 2028 et faire migrer tous leurs systèmes à forte valeur ajoutée et à fort impact vers la cryptographie post-quantique d’ici 2030.
Selon le cabinet, moins de 10 % des entreprises prennent en charge la cryptographie post-quantique pour les données et les systèmes à forte valeur ajoutée, mais ce chiffre devrait passer à 80 % d’ici 2030. « Les organisations qui n’auront pas commencé à tester la PQC d’ici 2027 peuvent s’attendre à payer au moins 200 % de plus pour leur migration complète vers la PQC », prévoient les analystes de Gartner. « Il ne s’agit plus d’un horizon de dix ans », explique Garfield Jones, vice-président senior chargé de la recherche et de la stratégie technologique chez QuSecure, un fournisseur de solutions de cybersécurité. « Nous disposons de deux ans et demi pour mener à bien cette transition. » Selon M. Jones de QuSecure, la partie la plus difficile de la transition concernera les systèmes hérités. « Les fournisseurs de cloud ont commencé à apporter leur aide dans ce domaine et ont mis en œuvre les algorithmes ainsi que le protocole TLS », explique-t-il. « Mais qu’en est-il de vos solutions sur site, de vos solutions de technologie opérationnelle, de votre infrastructure informatique héritée qui ne peut pas migrer vers le cloud ? Et la technologie de périphérie ? Ce sont là des domaines que vous devez examiner. »
L’industrie également concernée
De nombreux systèmes OT ont un cycle de vie de 20 ou 30 ans, précise-t-il, et les entreprises ne souhaitent pas forcément les remplacer immédiatement. Dans certains cas, les anciennes technologies peuvent être une question de vie ou de mort. « Je veux dire, il y a des dispositifs médicaux qui contiennent des informations très importantes », explique M. Jones. « Si votre médecin reçoit des informations erronées vous concernant, cela pose un problème. » Une solution consiste à mettre en place une enveloppe sécurisée autour des systèmes existants, explique-t-il. « Ainsi, vous n’avez pas à retirer tout votre équipement OT et vous pouvez suivre leur cycle de renouvellement naturel. »
Le ministère américain de la Défense déconseille toutefois cette approche. « Les solutions de proxy pour la cryptographie post-quantique (PQC) doivent être évitées ; il faut plutôt se concentrer sur des mises à niveau réelles du réseau vers la PQC », a déclaré le ministère dans son document stratégique sur la cryptographie post-quantique.