Où en est l’adoption de la cryptographie post-quantique ? L’ANSSI publie sa nouvelle étude mise à jour et le constat n’est pas glorieux.
“La transition post-quantique concerne en premier lieu la cryptographie asymétrique, notamment pour les usages en confidentialité et échanges de clé pour se prémunir contre des attaques rétroactives. Les primitives cryptographiques actuellement déployées (« pré-quantiques ») sont bien maîtrisées par les développeurs en cybersécurité et il en existe de nombreuses implémentations efficaces et robustes, sous forme de bibliothèques commerciales ou libres”, constate d’abord l’Autorité.
La situation des futurs standards post-quantiques est différente, relève-t-elle. “En effet, seuls quelques spécialistes du domaine maîtrisent complètement ces primitives. Des implémentations efficaces et durcies – qu’elles soient logicielles ou sur plateforme matérielle – vont demander beaucoup de temps et d’efforts. De même, les mécanismes et protocoles qui mettent en oeuvre ces nouvelles primitives sont récents et ne jouissent pas du même niveau d’assurance et de confiance dans leur niveau de sécurité”.
50 % des bénéficiaires interrogés seraient en situation de risque face à une attaque quantique. En cause : leur recours à des pratiques vulnérables aux attaques rétroactives, telles que l’usage de VPN pour transmettre des informations sensibles dont la confidentialité doit être assurée pour une durée supérieure à 10 ans, ou l’exploitation de certificats dont la durée de vie excède également 10 ans.
Un fort besoin d’accompagnement
L’enquête fait très nettement ressortir un fort besoin d’accompagnement de ces entités par des prestataires externes, tant pour les travaux préparatoires d’élaboration d’un plan de transition (analyse de risque quantique, identification des cas d’usages prioritaires, inventaire des actifs cryptographiques, classification des données) que pour accompagner la transition elle-même (formation, conseil, transformation, suivi des fournisseurs, mise à jour des applications métier, etc.).
Il faut investir et former. Le soutien des DG est indispensable. Une intervention de l’ANSSI est aussi attendue. Mais les entreprises ne doivent pas se soustraire à leur obligation : il est nécessaire que les organisations s’approprient le sujet, mettent en place les ressources et travaux d’analyse nécessaires : recensement des actifs cryptographiques, capacité de crypto-agilité et analyse d’impacts notamment.
La passivité face au post-quantique pose cependant un réel danger et 4 raisons sont évoquées :
- mauvaise compréhension du problème et du post-quantique
- manque de budget et compétences
- absence d’accompagnement
- absence d’obligation réglementaire : l’étude précise que parfois seule une obligation forte fait bouger les lignes !
Il serait donc temps que les entreprises, les DG et les acteurs de la sécurité se mobilisent réellement !
