Responsabilités mal définies, budgets insuffisants, manque de soutien du Comex… face aux défis de l’informatique post-quantique, les responsables IT tirent la sonnette d’alarme. Une seule solution : investir dès maintenant pour mieux se préparer à cette nouvelle ère.
Lors de la dernière édition de son Trust Summit annuel, DigiCert a publié les résultats d’une étude mondiale portant sur l’approche adoptée par les entreprises pour anticiper et bloquer les menaces à l’ère post‑quantique. L’enquête met en avant l’incertitude des responsables IT, qui craignent de ne pas avoir suffisamment de temps pour se préparer. Sans compter les autres obstacles auxquels ils sont confrontés : responsabilités mal définies, budgets insuffisants, manque de soutien de la direction… l’équation est complexe.
Exploitant les lois de la mécanique quantique, l’informatique quantique permet d’élucider des problèmes jusqu’alors insolubles pour les ordinateurs classiques. Le problème, c’est que cette puissance de calcul peut être aussi utilisée à mauvais escient, par exemple pour déchiffrer des algorithmes de cryptographie, remettant ainsi en cause la sécurité des données et des utilisateurs.
A lire aussi : [Replay] Informatique quantique : quelles opportunités immédiates pour les entreprises ?
« La PQC rebat les cartes de la cryptographie et les responsables IT n’ont d’autre choix que de se préparer sans plus attendre. Dans ce contexte, les entreprises visionnaires qui ont déjà investi dans la crypto-agilité seront en position de force pour migrer vers les algorithmes post‑quantiques lorsque les versions définitives des standards seront publiées en 2024 », déclare Amit Sinha, PDG de DigiCert.
Principales conclusions de l’étude
Le Ponemon Institute a interrogé pour le compte de DigCert 1 426 experts IT et de la sécurité informatique impliqués dans la stratégie de leur entreprise en matière de chiffrement post‑quantique (PQC). Les participants étaient basés aux États-Unis (605), dans la zone EMEA (428) et en Asie-Pacifique (393).
Voici les principaux points à retenir
- Premier constat alarmant, 61 % des répondants affirment que leur entreprise n’est pas et ne sera pas prête à affronter les risques de sécurité posés par la PQC.
- Sans surprise, près de la moitié des sondés (49 %) déclarent que leur Comex connaît mal (26 %) ou n’a pas conscience (23 %) des enjeux de sécurité de l’informatique quantique.
- À peine 30 % des entreprises consacrent un budget à la transition vers la cryptographie post-quantique.
- En parallèle, 52 % d’entre elles dressent actuellement un inventaire des types de clés cryptographiques utilisées et de leurs spécifications.
Se préparer à l’ère post-quantique : écueils et enjeux
Selon les résultats de l’étude, les équipes de sécurité doivent se plier à un double impératif : garder une longueur d’avance sur les cyberattaquants et se préparer à l’ère post-quantique. Mais seulement 50 % des répondants jugent très efficaces les mesures prises par leur entreprise pour limiter les risques, les vulnérabilités et les attaques à l’échelle de l’organisation. Sur ce point, les deux principales menaces cyber restent les ransomwares et le vol d’identifiants.
La course contre la montre est déjà lancée, puisque 41 % des sondés pensent avoir moins de cinq ans pour se préparer. Leurs trois principaux challenges : le manque de temps, de budget et d’expertise. Qui plus est, à l’heure actuelle, à peine 30 % des organisations dédient un budget à la transition vers la cryptographie post-quantique.
Dans ce contexte, bon nombre d’entreprises n’ont aucune visibilité sur les caractéristiques et l’emplacement de leurs clés cryptographiques. Pourtant, un peu plus de la moitié d’entre elles seulement (52 %) dressent actuellement un inventaire des types de clés utilisées et de leurs spécifications. Idem, elles ne sont que 39 % à donner la priorité aux assets cryptographiques et 36 % à déterminer si les données et assets cryptographiques sont stockés sur site ou dans le cloud.
Autre pierre d’achoppement, rares sont les organisations qui s’appuient sur une politique de gestion cryptographique centralisée appliquée à tous les échelons. Ainsi, 61 % des répondants indiquent que leur entreprise dispose uniquement d’une politique limitée à certains cas d’utilisation ou applications (36 %) ou n’a pas établi de politique centralisée (25 %).
En pratique, pour sécuriser les informations et l’infrastructure IT, les entreprises doivent améliorer leur capacité à déployer efficacement des solutions et méthodes cryptographiques. Et le temps presse, car la plupart d’entre elles cumulent les difficultés : elles peinent à appliquer les bonnes pratiques et politiques à l’échelle de l’organisation, à détecter et à bloquer les certificats/clés compromis, à corriger les problèmes d’algorithmes et à anticiper les expirations de certificats.
Si l’on ajoute à cela la pénurie de talents, prendre les devants pour répondre aux exigences de l’informatique post-quantique a tout d’une gageure. C’est donc tout logiquement que l’embauche et la fidélisation d’experts qualifiés s’imposent comme la priorité no 1 en matière de sécurité numérique (55 % des sondés). Vient ensuite la crypto-agilité (51 % des répondants), qui implique de pouvoir mettre à jour efficacement les algorithmes, paramètres, processus et technologies cryptographiques pour mieux s’adapter aux nouveaux protocoles, standards et menaces de sécurité – y compris ceux exploitant l’informatique quantique.
Les entreprises doivent s’appuyer sur trois piliers : une stratégie soutenue par le Comex, une visibilité totale sur leurs clés et assets cryptographiques et des politiques centralisées de gestion appliquées à tous les échelons, le tout encadré par des responsabilités clairement définies. Trois impératifs pour se préparer sereinement à l’ère post-quantique.
Lire le rapport complet : Se préparer à l’ère post-quantique