« Chiffrement quantique : l'ANSSI fixe une échéance à 2027, les organisations doivent agir maintenant »L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) vient d'annoncer qu'elle cessera de certifier les produits ne disposant pas d'un chiffrement résistant à l'informatique quantique à partir de 2027. Un approvisionnement exclusivement “quantum-safe” sera ainsi exigé d'ici 2030. Darren Guccione, CEO et co-fondateur de Keeper Security, prévient que cette décision n'est pas une recommandation à long terme mais plutôt une porte qui se ferme. Et pour les organisations, le temps de la migration c’est maintenant. La position de l’ANSSI est l’une des décisions politiques les plus marquantes prises en matière de cybersécurité en Europe ces dernières années. L’agence a ainsi présenté cette mesure comme une question « de gouvernance, de planification industrielle, de réglementation et de souveraineté. » Il est important ici de bien comprendre ce que cela signifie concrètement. La gouvernance implique que les organisations doivent désormais attribuer la responsabilité de la migration cryptographique au niveau de la direction. La planification industrielle signifie que les délais de transition s’étendent sur plusieurs années, et non sur quelques trimestres. La souveraineté garantit que la France affirme que le chiffrement qui sous-tend ses systèmes les plus sensibles ne sera pas laissé à la discrétion du marché. Il ne s’agit pas de simples recommandations à long terme car la certification de l’ANSSI est obligatoire pour le déploiement au sein des administrations françaises et pour l’exploitation des infrastructures critiques. C’est une porte d’accès qui, à partir de 2027, sera fermée à tout produit ne pouvant pas démontrer qu’il dispose d’un chiffrement résistant à l’informatique quantique. Ainsi, les attaques de type “capsule temporelle” parfois appelées attaques de type “collecter maintenant, déchiffrer plus tard” ont déjà lieu. Les données chiffrées capturées sur les réseaux gouvernementaux, les systèmes financiers ou les infrastructures critiques peuvent être stockées puis déchiffrées une fois que les capacités quantiques auront atteint leur maturité. La transmission d’informations sensibles comporte donc d'ores et déjà un risque d’exposition à long terme pour lequel le chiffrement conventionnel ne peut pas contrer. L’insistance de l’ANSSI sur la cryptographie hybride est ici techniquement justifiée : il s’agit de superposer des algorithmes résistants aux attaques quantiques aux mécanismes existants plutôt que d’imposer un remplacement brutal. Une approche qui permet aux organisations de renforcer leur résilience de manière progressive tout en préservant la continuité opérationnelle. Pour les organisations, cela implique d’intégrer les algorithmes quantiques approuvés par le NIST (voir notre article) en les superposant aux protections existantes basées sur les courbes elliptiques, dans le cadre de l’approche hybride décrite dans le mandat de l’ANSSI. Les organisations qui considèrent cette échéance comme une simple question d’approvisionnement auront des difficultés. Car le chiffrement est intégré dans les réseaux, les systèmes d’identité, les logiciels, les bases de données, les plateformes de paiement, les services cloud et les applications internes. La migration nécessite donc de cartographier les dépendances cryptographiques, d’attribuer les responsabilités et d’ordonner les changements entre les systèmes interconnectés. Ce travail prend des années, ce qui signifie que 2027 est encore plus proche qu’il n’y paraît. Le point de départ le plus efficace consiste à dresser un inventaire des actifs cryptographiques : répertorier où les algorithmes à clé publique sont utilisés, quels systèmes traitent des données sensibles à long terme et quels fournisseurs sont en mesure de proposer une feuille de route de migration crédible. Les organisations qui entament ce travail dès maintenant seront en mesure de respecter l’échéance fixée par l’ANSSI. Mais celles qui attendent que les cycles d’approvisionnement les y obligent ne le pourront pas. |