Vous pensez pouvoir ignorer l’informatique quantique ? Détrompez-vous.

Avant même que les algorithmes ne soient officiellement approuvés cet été, les DSI devraient commencer à prendre des mesures. Moody leur recommande de commencer par faire un inventaire cryptographique pour voir quels systèmes de cryptographie à clé publique eux-mêmes et leurs partenaires utilisent. Ce n’est pas facile, mais plusieurs fournisseurs développent des outils pour faciliter ce processus.

Les DSI peuvent également s’assurer qu’ils désignent quelqu’un pour diriger la transition et qu’ils disposent du financement et du personnel expert dont ils ont besoin. Les organisations peuvent également commencer à tester les algorithmes dans leurs environnements et vérifier que leurs partenaires de la chaîne d’approvisionnement font de même.

Jeff Wong, directeur mondial de l’innovation chez EY, affirme que même s’ils ne sont pas encore obligés de procéder à un changement, les DSI peuvent déjà commencer à planifier des algorithmes approuvés par le NIST dans leurs mises à niveau de cybersécurité. « Les entreprises ont souvent des cycles de mise à niveau en matière de cybersécurité de trois à quatre ans », explique-t-il. « S’il existe une possibilité que l’informatique quantique puisse déchiffrer des clés dans un délai de cinq ans et que votre cycle de mise à niveau est de trois à quatre ans, vous devez commencer à agir dans un an environ. »

Une autre chose que les DSI devraient faire est de se protéger contre les attaques « stocker maintenant, décrypter plus tard ». Les pirates informatiques collectent peut-être déjà des données cryptées qu’ils pourront déchiffrer une fois que les ordinateurs quantiques seront suffisamment grands et fiables pour exécuter les algorithmes de Shor. Certains secteurs sont plus touchés que d’autres, comme ceux de la santé, des services financiers et de l’enseignement supérieur, où les dossiers médicaux, les informations financières et les dossiers académiques doivent être protégés à vie. Mais pratiquement tous les secteurs devraient être concernés par les informations personnelles identifiables (PII) qui doivent être protégées indéfiniment.

EY

Selon Wong, les DSI devraient envisager de sécuriser les données en transit pour se protéger contre ce type d’attaques, en particulier pour les contrats liés au gouvernement. « Les entreprises n’en parlent peut-être pas à voix haute », dit-il. « Mais nos amis de l’écosystème nous disent que les fournisseurs gouvernementaux et les entreprises de secteurs tels que les services financiers envisagent déjà de chiffrer leurs communications pour cette raison précise. »

Mais certaines organisations du secteur des services financiers se sont montrées très ouvertes à l’idée de prendre une longueur d’avance. «Nous surveillons de près les travaux du NIST dans le cadre de la normalisation des protocoles PQC», déclare Philip Intallura, responsable mondial des technologies quantiques chez HSBC. « La préparation à ce nouveau type de cryptographie est au cœur du programme quantique de HSBC. »