Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le NIST a officiellement finalisé trois normes de cryptographie post-quantique : Et maintenant ?

septembre 2024 par Keyfactor

Après huit ans d’effort pour élaborer des technologies aptes à résister aux (futures) attaques des ordinateurs quantiques, le National Institute of Standards and Technology (NIST) a finalisé, il y a quelques semaines, trois des quatre normes de cryptographie post-quantique (PQC).

Mais qu’est-ce que cela implique pour les responsables de la sécurité ? Keyfactor, la solution de sécurité « identity-first » pour les entreprises, livre les 4 étapes essentielles pour bien se préparer au PQC.

Depuis la publication par le NIST des trois algorithmes retenus, issus de propositions connues initialement sous les noms de Crystals-Kyber (ML-KEM), Crystals-Dilithium (ML-DSA) et Sphincs+ (SHL-DSA), les entreprises disposent désormais des outils nécessaires pour se prémunir contre la menace quantique. Voici les 4 mesures clés à suivre pour anticiper sereinement la révolution quantique :

Étape 1 : Comprendre que la transition vers la PCQ est un marathon, pas un sprint.

Les entreprises doivent être conscientes que cette étape s’inscrit dans le temps long. Selon le rapport 2024 PKI & Digital Trust de Keyfactor, la plupart d’entre elles pensent que la transition vers la PQC prendra en moyenne quatre ans alors que les experts estiment qu’il faudra 8 à 10 ans pour le faire correctement.

Étape 2 : Créer un inventaire de TOUS les actifs cryptographiques.

Sans une visibilité sur l’ensemble de ses ressources cryptographiques, une entreprise ne peut pas commencer la transition. La création de cet inventaire nécessite la participation de nombreux intervenants, il est fortement recommandé d’investir dans des outils dédiés pour centraliser tous les actifs cryptographiques en un seul et même endroit et d’automatiser le process. L’automatisation garantira qu’aucun actif n’est oublié, tout en permettant aux équipes informatiques et de sécurité de se concentrer sur d’autres priorités.

Étape 3 : Définir une stratégie de mise en œuvre claire.

Une fois tous les actifs cryptographiques recensés, les entreprises devront élaborer une stratégie de mise en œuvre claire en suivant plusieurs règles clés :

 Déterminer un budget réaliste adapté à l’entreprise.

 Identifier les outils dont les équipes auront besoin pour une migration réussie vers le PQC et définir les tâches de la transition à automatiser.

 Définir le calendrier exact et les étapes à suivre

 Déterminer les responsabilités de chaque membre de l’équipe informatique et de sécurité

 Fixer des délais réalistes pour chaque étape.

Étape 4 : Tester les algorithmes PQC finalisés par le NIST dans un environnement sûr et mesurer la crypto-agilité de l’entreprise.

Une fois le plan d’action et la visibilité sur tous les actifs cryptographiques de l’entreprise déterminés, les équipes de sécurité pourront alors commencer à tester la suite initiale d’algorithmes finalisés PQC du NIST dans des environnements isolés et sécurisés de type Sandbox.

Elles devront également évaluer leur crypto-agilité pour comprendre à quel rythme elles sont capables de gérer, mettre à jour et sécuriser les identités des machines au sein de leur infrastructure PKI.

Enfin il ne faut pas oublier que le cheminement vers la préparation PQC est collaboratif. Comme pour la plupart des scénarios de sécurité complexes, il n’existe donc pas de solution unique.


Voir les articles précédents

    

Voir les articles suivants