[TRIBUNE de Ellen Boehm, Tomas Gustavsson et Ted Shorter, KEYFACTOR] Deux grandes tendances vont façonner le paysage de la cybersécurité et seront au centre de toutes les attentions des industriels en 2025 : la cryptographie post-quantique et la sécurité dans l'IoT. Analyse par des experts de chez KeyFactor, Ellen Boehm, IoT Strategy and Operations (photo), Tomas Gustavsson, Chief PKI Officer et Ted Shorter, CTOchez KeyFactor.
La transition vers la cryptographie post-quantique sera inévitable
La finalisation de la première série d'algorithmes cryptographiques post-quantiques publiés par le NIST cette année a ouvert la voie à une transformation du cryptage des données. En 2025, les entreprises vont donc enclencher de considérables chantiers en matière d'adoption de la cryptographie post-quantique (PQC). De nouveaux algorithmes seront publiés par le NIST, les entreprises devront dès lors évaluer la maturité de leurs postures PQC et l'hygiène de sécurité de leur infrastructure à clé publique (PKI).
Attendre la transition n'est plus une option, la date butoir de migration fixée à 2035 par le NIST - date à laquelle les technologies RSA, ECDSA, EdDSA, DH et ECDH seront totalement interdits - laisse peu de place à la procrastination . Les technologies telles que l'IoT, avec des cas d'usage variés et des exigences de sécurité spécifiques, adopteront de plus en plus des solutions de sécurité quantique sur mesure pour faire face à l'évolution des menaces. Le paysage cryptographique, autrefois statique, va ainsi entrer dans un cycle d'innovation continue soumis à des défis qui remettront en cause les normes de sécurité établies. Les entreprises qui adoptent l'agilité, les améliorations itératives et l'intégration proactive de la PQC seront les mieux armées pour répondre aux réglementations et protéger leurs écosystèmes.
En revanche, les entreprises qui tardent à migrer vers la PQC risquent de prendre du retard en matière de conformité et de résilience. Par ailleurs, à mesure que la menace de l'informatique quantique se rapproche, des secteurs hautement réglementés (services publics et gouvernementaux, finance, télécommunications) feront de leur transition vers la PQC une priorité. Confrontés à un risque accru en matière de sécurité et détenant des données extrêmement sensibles, ces secteurs devront être les premiers à opter pour des solutions comme la PKI et à adopter la PQC afin de protéger leurs infrastructures critiques et conserver la confiance des usagers.
Des mesures proactives seront prises pour protéger l’IoT
2025 marquera un tournant dans la manière dont les entreprises abordent la sécurité de l'IoT. Avec les progrès de l'informatique quantique et le renforcement des exigences réglementaires, les responsables de la sécurité et des systèmes d'information seront confrontés à une pression croissante pour renforcer leurs cadres de sécurité IoT et les supply chain des dispositifs connectés. Ce qui nécessitera de passer d'une approche réactive à des mesures proactives qui privilégient des superpositions de racines de confiance.
Même si les violations les plus catastrophiques de la sécurité quantique ou de l'IoT ne se produiront pas avant plusieurs années, les entreprises doivent entamer les préparatifs sans tarder. Les supply chain de la sécurité de l'IoT doivent ainsi être renforcées dès à présent pour éviter d'être victimes de menaces de plus en plus sophistiquées, comme l'ont montré les récentes attaques de groupes tels que Flax Typhoon. Les conséquences d'une mauvaise préparation seront lourdes, en particulier dans un contexte réglementaire qui engage directement la responsabilité des RSSI (Responsable Sécurité des Systèmes d'information) et leurs équipes de sécurité. Pour relever ces défis en 2025, les entreprises doivent ancrer leurs stratégies de sécurité de l'IoT sur des directives solides, des certificats fiables et un engagement en faveur d’une amélioration continue.
Une superposition de racines de confiance à forte visibilité dans toutes les entités constituent à ce niveau une étape préliminaire, mais indispensable. En adoptant ces mesures proactives, les entreprises se protégeront non seulement des menaces actuelles, mais permettront également à leurs écosystèmes de résister à un paysage de la sécurité complexe et en constante évolution.
Du point de vue de la sécurité des produits, les développeurs et les OEM qui conçoivent des appareils IoT devront en outre intégrer la sécurité à chaque étape du cycle de vie du produit, garantissant l'intégrité du matériel et du logiciel avant même sa mise sur le marché. Il s’agira pour eux de mettre en œuvre des processus de démarrage sécurisés, des modules cryptographiques et des tests de vulnérabilité rigoureux au cours des phases de conception.
Au-delà, la loi sur la cyber-résilience (CRA) impose des exigences plus strictes en matière de cybersécurité pour les appareils connectés, obligeant les OEM et les concepteurs IoT à privilégier des mesures de sécurité robustes pour se mettre en conformité et éviter les pénalités. A défaut d’adopter ces pratiques, les utilisateurs finaux et les écosystèmes pourraient être exposés à des vulnérabilités systémiques, amplifiant les risques réglementaires et de réputation.
