Face à la menace des ordinateurs quantiques, la transition vers une cryptographie post-quantique reste balbutiante, y compris auprès des acteurs les plus réglementés. Selon une enquête de l’ANSSI, la majorité de ses bénéficiaires n’ont ni planifié, ni budgété cette transition. En cause : une mauvaise compréhension des enjeux, un manque de moyens… et l’absence de contrainte réglementaire.
Où en est-on de la transition vers la cryptographie post-quantique ? Pour l’ANSSI, on en est loin, à en croire les conclusions d’une enquête réalisée auprès de ses bénéficiaires, qui regroupent les entités privées ou publiques devant répondre à des exigences réglementaires de gestion de leur cybersécurité, à l’image des Opérateurs d’Importance Vitale (OIV).
Rappelons que, selon certaines estimations — du NIST notamment —, les algorithmes classiques, piliers de la cybersécurité depuis des décennies, pourraient bien devenir obsolètes avec les ordinateurs quantiques dès 2030. Les organisations sont donc vivement encouragées à amorcer une transition vers des algorithmes de cryptographie post-quantique pour sécuriser les données.
Dans ce cadre, l’ANSSI a posé un panel de questions à des organisations afin d’évaluer leurs connaissances sur la menace que pose le quantique, les contremesures pour s’en protéger, l’état d’avancement de leur plan de transition, les cas d’usage, etc.
Des enjeux mal compris
Selon sa synthèse, la moitié des bénéficiaires de l’ANSSI encourent un risque face à la menace que pose l’ordinateur quantique. « En cause : leur recours à des pratiques vulnérables aux attaques rétroactives, telles que l’usage de VPN pour transmettre des informations sensibles dont la confidentialité doit être assurée pour une durée supérieure à 10 ans, ou l’exploitation de certificats dont la durée de vie excède également 10 ans », écrit l’agence. Selon ses conclusions, si les organisations ont conscience de la menace, elles ne mesurent pas l’impact sur leur système d’information.
« Ceci explique que les travaux d’analyse des risques liés à la menace quantique ne sont ni engagés, ni planifiés, ni budgétés pour la quasi-totalité des bénéficiaires. Aucun plan de transition post-quantique n’existe », s’inquiète l’agence.
Un besoin d’accompagnement… et de moyens
Les RSSI consultés par l’ANSSI ignorent à partir de quand leurs SI devront migrer, et le temps que prendra une telle migration. Pire, ils n’ont pas encore démarré leur travail de classification des données, d’inventaire des actifs cryptographiques et des cas d’usage prioritaires. « L’enquête fait très nettement ressortir un fort besoin d’accompagnement de ces entités par des prestataires externes », estime l’ANSSI, qui reconnaît que, pour ce faire, les équipes IT ont besoin d’offres de services d’accompagnement, mais aussi de moyens financiers et humains, et en appelle aux directions générales de ses bénéficiaires. Un calcul délicat, lorsque l’on sait que le domaine fait face à une pénurie de compétences, dans un contexte de multiplication des exigences réglementaires et de renforcement du risque cyber.
L’ANSSI voit d’ailleurs dans l’absence d’obligation réglementaire l’une des principales raisons qui expliquent la faible prise en compte de la menace quantique. « C’est – malheureusement – parfois le seul levier efficace, quand les autres approches ont échoué, pour faire évoluer une situation bloquée. »