Dans le jeu du chat et de la souris de la cybersécurité, il est essentiel d’essayer d’anticiper la prochaine technologie de rupture. Quelle sera la prochaine avancée, et comment éviter de se laisser distancer ? Parmi les candidats figure l’informatique quantique. Mais au-delà de son énorme potentiel, cette technologie présente également des défis de taille, en particulier dans le domaine de la cybersécurité.

Le 21 décembre 2022, le Président des États-Unis Joe Biden a promulgué le Quantum Computing Cybersecurity Preparedness Act. Cette loi promeut la préparation aux risques cyber liés à l’utilisation de l’informatique quantique et encourage les organismes fédéraux à adopter des technologies résistantes aux tentatives de décryptage à l’aide de cette technologie.

Cette manœuvre peut donner l’impression que les cyberattaques exploitant la puissance de l’informatique quantique sont imminentes, et est susceptible de provoquer de la nervosité au sein des secteurs publics comme privés. 

Pourtant, l’heure n’est pas encore à la panique. Intéressons-nous à ces dangers, et découvrons pourquoi la plupart des individus, en particulier dans le secteur privé, n’ont pas à s’en inquiéter dans un avenir immédiat.

Les risques cyber liés à l’informatique quantique

La principale crainte au sujet de l’informatique quantique concerne son utilisation pour décrypter des données. À l’heure actuelle, le modèle de sécurité de l’information repose sur cinq piliers : la confidentialité, l’intégrité, la disponibilité, l’authentification et la non-répudiation.

Tous ces principes s’appuient (au moins en partie) sur le chiffrement à clé publique, qui profite de la complexité de la décomposition de nombres premiers pour des ordinateurs.

L'informatique quantique va cependant briser cette barrière, ce qui va mettre en danger non seulement les informations nouvellement volées, mais aussi toutes les informations qui ont été précédemment interceptées et stockées par les pirates.

La vulnérabilité du chiffrement à clé publique met donc l’essentiel de notre économie numérique en danger, et nécessite l’adoption d’une toute nouvelle approche – à savoir la migration vers des algorithmes plus résistants à cette puissance de calcul.

Et bien que de tels algorithmes existent déjà, nous ne pouvons garantir leur efficacité, car il n’existe pas d’ordinateur quantique suffisamment puissant pour les valider. En outre, l’utilisation de tels algorithmes impliquera un long (et pénible) processus d’implémentation à travers l’ensemble de l’environnement.

Pourquoi la plupart des organisations n’ont pas à s’inquiéter (pour le moment)

Bonne nouvelle : selon les prévisions les plus réalistes, il nous faudra attendre encore au moins une décennie pour voir apparaître un ordinateur quantique capable de décomposer des nombres premiers avec un taux d’erreur suffisamment faible pour être utilisable.

En outre, les entreprises et gouvernements occidentaux bénéficient actuellement des capacités de recherche les plus avancées dans ce domaine. Par conséquent, si la tendance actuelle se confirme, beaucoup d’entreprises et la plupart des organismes fédéraux auront le temps de se préparer avant que cette menace se concrétise.

Ceci étant dit, cette échéance lointaine n’offre qu’un modeste réconfort aux organisations ayant déjà été victimes de fuites de données à longue durée de vie.

Bien qu’il reste du temps pour mettre en œuvre de nouvelles approches de sécurité afin de mieux nous protéger des cyberattaques quantiques, en revanche, les données que les acteurs malveillants ont déjà entre leurs mains risquent de ne pas résister bien longtemps.

Si la plupart des organisations n’ont pas de données risquant d’être encore critiques dans une dizaine d’années, c’est en revanche le cas de celles qui traitent des informations relevant, par exemple, de la sécurité intérieure.

Que faire dès maintenant ?

En réalité, il n’y a pas grand-chose que les organisations puissent faire à cet instant. À l’heure actuelle, tout tourne autour de la planification. 

Des stratégies doivent être développées pour assurer une migration à grande échelle vers des algorithmes résistants au calcul quantique, et pour découvrir comment gérer les conséquences du décryptage de données sensibles ayant fait l’objet de fuites par le passé.

Le risque le plus important à ce jour est justement le fait que les organisations s’inquiètent trop de la façon de gérer la menace potentielle que représente l’informatique quantique, au lieu de concentrer leur énergie sur les questions plus concrètes de leur cyberhygiène. 

Les e-mails de phishing constituent actuellement une menace encore plus grande. S’il est important de tenir compte des menaces de demain, notre priorité doit rester celles d’aujourd’hui.

Dans une décennie, l’informatique quantique pourrait bien remettre en cause les fondements de la sécurité de l’information, et devenir par conséquent une préoccupation majeure.

Aucune information ne saurait être considérée comme confidentielle, authentique, accessible (aux parties adéquates) ou traçable si les technologies sous-jacentes peuvent être contournées. Mais aujourd’hui, il nous reste encore plus que suffisamment de temps pour nous préparer.

En attendant, nous avons davantage à gagner à mettre en place de bonnes politiques de cyber-hygiène pour nos environnements actuels, et à préparer nos organisations à faire preuve d’agilité.

Dans le domaine de la cybersécurité, une décennie représente beaucoup de temps. Il est donc improbable que l’informatique quantique reste la seule technologie à bousculer l’ordre établi, dixit Rob Jenks, Vice-président sénior de la stratégie chez Tanium.