[TRIBUNE de Chris Hickman, KEYFACTOR] Le 13 août dernier, le NIST (National Institute of Standards and Technology) a finalisé trois normes de cryptographie post-quantique (PQC, Post-Quantum Cryptography), en l’occurrence les normes de sécurité FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA). Ces normes officialisent les premiers algorithmes cryptographiques post-quantiques qui ont pour vocation à garantir la sécurité des plates-formes "classiques", même contre un "attaquant quantique". Cependant une question se pose : qu’est-ce que cela implique pour les responsables de la sécurité ? Premiers éléments de réponse avec Chris Hickman, CSO (Chief Scientific Officer) de Keyfactor, qui propose 4 étapes essentielles pour bien se préparer au PQC.
Depuis la publication par le NIST des trois algorithmes retenus, issus de propositions connues initialement sous les noms de Crystals-Kyber (ML-KEM), Crystals-Dilithium (ML-DSA) et Sphincs+ (SHL-DSA), les entreprises disposent désormais des outils nécessaires pour se prémunir contre la menace quantique. Voici les 4 mesures clés à suivre pour anticiper sereinement la révolution quantique :
Étape 1 : Comprendre que la transition vers la PCQ est un marathon, pas un sprint. Les entreprises doivent être conscientes que cette étape s’inscrit dans le temps long. Selon le rapport 2024 PKI & Digital Trust de Keyfactor, la plupart d’entre elles pensent que la transition vers la PQC prendra en moyenne quatre ans alors que les experts estiment qu'il faudra 8 à 10 ans pour le faire correctement.
Étape 2 : Créer un inventaire de TOUS les actifs cryptographiques. Sans une visibilité sur l'ensemble de ses ressources cryptographiques, une entreprise ne peut pas commencer la transition. La création de cet inventaire nécessite la participation de nombreux intervenants, et il est fortement recommandé d'investir dans des outils spécifiques pour centraliser tous les actifs cryptographiques en un seul et même endroit et d’automatiser le processus. L'automatisation garantira qu'aucun actif n'est oublié, tout en permettant aux équipes informatiques et de sécurité de se concentrer sur d'autres priorités.
Étape 3 : Définir une stratégie de mise en œuvre claire. Une fois tous les actifs cryptographiques recensés, les entreprises devront élaborer une stratégie de mise en œuvre claire en suivant plusieurs règles clés. A savoir déterminer un budget réaliste adapté à l’entreprise, identifier les outils dont les équipes auront besoin pour une migration réussie vers le PQC et définir les tâches de la transition à automatiser, définir le calendrier exact et les étapes à suivre, déterminer les responsabilités de chaque membre de l'équipe informatique et de sécurité et fixer des délais réalistes pour chaque étape.
Étape 4 : Tester les algorithmes PQC finalisés par le NIST dans un environnement sûr et mesurer la crypto-agilité de l'entreprise. Une fois le plan d’action et la visibilité sur tous les actifs cryptographiques de l’entreprise déterminés, les équipes de sécurité pourront alors commencer à tester la suite initiale d'algorithmes PQC finalisés du NIST dans des environnements isolés et sécurisés de type sandbox. Ces équipes devront également évaluer leur crypto-agilité pour comprendre à quel rythme elles sont capables de gérer, mettre à jour et sécuriser les identités des machines au sein de leur infrastructure PKI.
Enfin il ne faut pas oublier que le cheminement vers la préparation PQC est collaboratif. Et que, comme pour la plupart des scénarios de sécurité complexes, il n'existe donc pas de solution unique !
