Un appel aux organisations pour prendre la sécurité quantique au sérieux a été sonné dans un nouveau rapport de Forrester Research.
Le rapport intitulé «La sécurité quantique n’est pas un battage médiatique – chaque leader de la sécurité en a besoin» a reconnu que la disponibilité commerciale d’ordinateurs quantiques qui peuvent casser la cryptographie asymétrique traditionnelle est encore de cinq à 10 ans. Cependant, il a ajouté que les organisations doivent évaluer et se préparer à l’impact de la sécurité quantique maintenant.
Bien que le marché du chiffrement ait une histoire de fournisseurs publiant des affirmations incroyables comme le «cryptage incassable», le battage médiatique et l’intérêt concernant le quantum sont réels parce que les pirates utilisent déjà l’approche «Harvest Now, Decrypt plus tard», a noté le rapport rédigé par le directeur de recherche Merritt Maxim et les analystes Andras Cser, Sandy Carienli et Heidi Shey.
Les organisations doivent commencer à se préparer maintenant à garantir leurs ressources des attaques des ordinateurs quantiques, car il leur faudra des années pour le faire car la transition ne sera pas totalement sous leur contrôle, a expliqué Carielli. « Il y a beaucoup de dépendance à l’égard des tiers », a-t-elle déclaré à Technewsworld, « et la dépendance à l’égard des fournisseurs améliorant leur technologie afin que vous puissiez mettre à niveau le vôtre. »
«Il y a beaucoup d’étapes en cours de route», a-t-elle poursuivi, «donc je pense que vous parlez en termes de nombre d’années, et c’est pourquoi nous avons toujours dit commencer maintenant, même si ce n’est pas quelque chose qui entrera en jeu pendant cinq ou 10 ans ou quoi que ce soit. Il faudra potentiellement autant de temps pour terminer la migration. »
Récolter maintenant, décrypter plus tard
Jamie Boote, consultante associée à la sécurité principale chez Black Duck Software, une société de sécurité des applications à Burlington, Mass., A affirmé que l’informatique quantique perturberait les conventions vieilles de plusieurs décennies en termes de la façon dont les algorithmes de chiffrement actuels peuvent protéger les données sensibles.
« Une génération entière de professionnels a vécu avec le rythme lent des algorithmes de chiffrement à l’intérieur et à l’extérieur à mesure que les ordinateurs se sont développés plus rapidement à un rythme prévisible, et cela va jeter cette cadence », a-t-il déclaré à Technewsworld. «Ce changement ne sera pas instantané, et il ne sera pas facile, mais plus nous pouvons préparer notre infrastructure à fonctionner simplement à l’ère de l’informatique post-Quantum, moins des incidents provenant de composants non macrés ou plus anciens se produiront.»
« Il y a un dicton que » le meilleur moment pour planter un arbre d’ombrage était il y a vingt ans, le deuxième meilleur moment est aujourd’hui « , mais en ce moment, nous vivons à un point où il est le meilleur moment pour planter cette ombre métaphorique de sécurité pour profiter des avantages lorsque le moment est venu », a-t-il ajouté.
Les organisations devraient également mettre leurs efforts de sécurité quantique en marche car «récolter maintenant, les efforts de décryptage» sont menés par les États-nations et les cybercriminels. «Les industries qui ont des données qui doivent rester privées pendant des années dans le futur sont au plus à risque de récolter maintenant, décryptent plus tard», a expliqué Rebecca Krauthamer, co-fondatrice et PDG de Qusecure, un fabricant de solutions de sécurité quantique, à San Mateo, en Californie.
« En ce qui concerne les données comme les informations sur la sécurité nationale, les informations sur le compte bancaire, les données précieuses année après année – lorsqu’un ordinateur quantique est mis en ligne, il peut décrypter ces données stockées », a-t-elle déclaré à Technewsworld. « C’est pourquoi nous voyons les gouvernements et les banques évoluer très rapidement pour commencer à aborder la menace quantique, même s’il n’y a pas d’ordinateur quantique qui existe aujourd’hui qui va casser le cryptage d’aujourd’hui. »
Exercice précieux
La préparation de «Q-Day» – même si elle n’arrive jamais – peut être un exercice incroyablement précieux, a maintenu Richard Stiennon, fondateur et analyste en chef de la recherche chez IT-Harvest, une société d’analystes de l’industrie de la cybersécurité à Birmingham, Michigan.
« Vous devriez le faire de toute façon », a-t-il déclaré à Technewsworld. «Vous devriez découvrir tous les endroits où vous avez des données cryptées. Cela vous dira où sont vos bijoux de famille. Et cela vous dira la taille et la portée des problèmes que vous avez.
« Maintenant, vous avez probablement toutes ces données cryptées partout », a-t-il déclaré. «Vous ne savez pas qui possède les clés ni comment les accéder. Ils sont probablement peu sûrs. Ils sont probablement vieux et doivent être remis. Donc, vous devez penser à contourner vos mains, non? Comment trouvez-vous toutes les données cryptées? Trouvez la façon dont il est crypté pour que vous puissiez décrypter et le re-incrypter si vous en avez besoin?
« Lorsque vous parlez à certains utilisateurs finaux, ils ne savent pas ce qui est protégé par la cryptographie », a ajouté Heather West, analyste de recherche senior chez IDC, une société d’études de marché à Framingham, Mass.
« Pour certains, c’est un mélange de différents types de solutions », a-t-elle déclaré à Technewsworld. «Certains ont des solutions de pansement. Certains ne savent tout simplement pas. Ainsi, vous devez d’abord comprendre quelles données et infrastructures sont les plus à risque. Ensuite, vous devez savoir ce que vous faites pour le protéger et déterminer quels algorithmes de cryptographie post-Quantum seraient le mieux adaptés pour le protéger. »
Cependant, Luigi Caramico, co-fondateur et CTO de Datakrypto, une société de cryptage cloud à Burlingame, en Californie, a mis en garde contre trop d’efforts aujourd’hui dans des solutions résistantes quantiques.
« Une méthode de cryptage considérée comme à l’épreuve quantique peut ne pas rester en sécurité à l’avenir », a-t-il déclaré à Technewsworld. «Au lieu de cela, je prioriserais la lutte contre les vulnérabilités actuelles, telles que« l’écart de cryptage »- la nécessité de décrypter lorsqu’elle est utilisée – qui présente un risque immédiat et tangible pour la sécurité des données.»
«Investir massivement dans les solutions« à l’épreuve quantique »d’aujourd’hui pourrait également être risquée», a-t-il ajouté. «Certains de ces algorithmes peuvent éventuellement être trouvés vulnérables aux attaques classiques, et encore moins les quantiques. Une meilleure stratégie est l’agilité quantique – s’assurer que les systèmes cryptographiques peuvent être mis à jour comme des algorithmes plus forts et plus entièrement vérifiés émerger. »
La sécurité quantique exige la crypto-agilité
La sécurité quantique et la crypto-agilité – la possibilité de remplacer et de mettre à niveau les cryptographies – les algorithmes des infrastructures, les applications commerciales et construites en interne – amélioreront la sécurité de tout échange d’informations, améliorent les signatures numériques et atténuent le risque de «récolte maintenant, décrottent plus tard», le rapport Forrester a noté.
La sécurité quantique obligera une refonte des systèmes dans une organisation, et les organisations devront mettre à niveau l’intégralité de leur pile de sécurité pour garantir la crypto-agilité à l’avenir pour protéger leurs données, a-t-il ajouté.
«La crypto-agilité est cruciale dans l’environnement numérique en évolution rapide d’aujourd’hui, où les nouvelles technologies, les algorithmes et les défis de sécurité nécessitent une adaptation constante», a déclaré Tim Callan, directeur de la conformité à Sectigo, un fournisseur mondial de certificats numériques.
« Ce besoin d’agilité deviendra encore plus critique à mesure que nous abordons l’ère PQC (Post Quantum Computing), avec le potentiel de dépréciation rapide des algorithmes », a-t-il déclaré à Technewsworld.
« Parce que la confiance algorithmique est imparfaite, les organisations doivent profiter de cette opportunité pour concevoir une sécurité modulaire et permettre aux algorithmes d’être facilement échangés comme les Legos de sécurité », a déclaré Matt Mittelsteadt, chercheur à l’Institut Cato, un groupe de réflexion à Washington, DC, Think Tank, à Technewsworld.
« Si l’un de ces algorithmes est constaté, ce qui est en effet possible, les organisations qui conçoivent à l’esprit la modularité pourront échanger rapidement en remplacement et maintenir la sécurité », a-t-il déclaré.
Risque de milliard de dollars
« Le rapport Forrester a exactement raison sur la menace des ordinateurs quantiques », a affirmé Stefan Leichenauer, vice-président de l’ingénierie chez Sandboxaq, développeur de B2B et logiciels quantum à Palo Alto, en Californie.
« En aussi peu que cinq ans, nous pouvions voir un ordinateur quantique crypter la cryptographie traditionnelle, et en raison de » Hack Now, Decrypt plus tard « , la vulnérabilité existe aujourd’hui », a-t-il déclaré à Technewsworld.
« Même si nous avons des doutes quant à savoir si un ordinateur quantique arrivera dans ce délai – peut-être que vous pensez que ce n’est qu’une chance de 10% – une probabilité modeste d’un événement de perte de milliards de dollars est toujours un gros problème », a-t-il déclaré.
« Nous avons vu un certain nombre d’annonces récentes de l’industrie de l’informatique quantique montrant que la feuille de route progresse, donc notre confiance que les ordinateurs quantiques arrivent n’ont fait qu’augmenter », a-t-il ajouté.
«Chaque organisation doit évaluer sa posture cryptographique, qui commence par un inventaire minutieux de leur utilisation du chiffrement, puis une migration crypto-agile vers les échanges de clés post-quantum. C’est un processus pluriannuel, donc le moment de commencer est maintenant. »
