L'ANSSI appelle à une mobilisation urgente pour opérer une indispensable transition vers la cryptographie post-quantique. Aux Assises de la cybersécurité mercredi, l'agence a dévoilé sa feuille de route.
Les ordinateurs quantiques menacent de faire s'effondrer la cryptographie actuelle qui protège nos données. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a tiré la sonnette d'alarme ce mercredi 8 octobre aux Assises de la cybersécurité, en dévoilant la mise à jour de sa feuille de route, avec des échéances précises. Son message est clair, la cryptographie actuelle va s'effondrer sous les coups des machines de demain. Et surprise (ou pas), il faut agir, et dès maintenant.
Les ordinateurs quantiques vont casser tous nos codes de sécurité
L'ANSSI l'affirme, les infrastructures numériques qui reposent sur la cryptographie asymétrique actuelle vont s'effondrer face aux ordinateurs quantiques. Ces machines surpuissantes pourront casser en quelques heures ce qui prendrait des années et des années aux ordinateurs classiques. Le pire, c'est que des cybercriminels stockent déjà maintenant des données chiffrées dans l'espoir de les déchiffrer demain avec ces technologies. Une menace concrète, qui justifie l'urgence d'agir maintenant, avant qu'il ne soit trop tard.
La cryptographie post-quantique (PQC, post quantum cryptography en anglais), voilà la solution, selon l'ANSSI. Ces algorithmes de nouvelle génération effectuent les mêmes tâches que ceux d'aujourd'hui, à savoir chiffrer les données, établir des clés de connexion sécurisées, et signer des documents numériques. Leur différence, c'est qu'ils reposent sur des problèmes mathématiques que même les ordinateurs quantiques ne pourront pas résoudre rapidement. Si la cryptographie actuelle utilise la factorisation de grands nombres, la PQC s'appuie sur des structures mathématiques plus complexes, comme les réseaux euclidiens.
Le chantier s'annonce en tout cas colossal, puisqu'il s'écoulera sur plus d'une décennie. Aucune organisation ne pourra faire cavalier seul, raison pour laquelle l'ANSSI travaille main dans la main avec ses homologues allemands et néerlandais. La Commission européenne a même publié en juin dernier une feuille de route coordonnée pour toute l'Union. Car prenons conscience d'une chose : cette révolution technologique impactera absolument tout l'écosystème numérique, des smartphones aux serveurs des banques.
2030, la limite pour éviter le pire
L'ANSSI fixe une date butoir claire dans sa feuille de route. L'agence française de cybersécurité nous dit qu'après 2030, il ne sera plus raisonnable d'acheter des produits sans cryptographie post-quantique. Elle demande à toutes les organisations de commencer dès maintenant un inventaire de leurs systèmes. L'idée est d'identifier où la cryptographie est utilisée, et quels cas d'usage critiques devront migrer en priorité. Cette cartographie est la première étape indispensable avant d'entamer la transition.
Agir maintenant permet aussi de maîtriser les coûts. En intégrant la cryptographie post-quantique lors du renouvellement normal des équipements informatiques, les organisations évitent des remplacements précipités et onéreux. L'ANSSI renforce la pression et précise que dès 2027, les produits devront intégrer de la PQC pour obtenir une qualification officielle. L'obligation réglementaire, mine de rien prévue dans moins de deux ans, va sans doute accélérer la transformation du marché de la cybersécurité.
La bonne nouvelle, c'est que la France prend de l'avance. Début octobre, l'ANSSI a délivré les deux premières certifications françaises pour des produits intégrant des algorithmes post-quantiques à base de réseaux euclidiens. Thales, grâce à sa carte à puce, et Samsung ont obtenu leur précieux Visa de sécurité après évaluation par le CEA-Leti. Un signal fort envoyé aux industriels, qui voient que la machine est lancée et qu'il est encore temps de monter dans le train.
Adopter la crypto-agilité pour s'adapter rapidement aux nouvelles menaces
Plutôt que de jeter bébé avec l'eau du bain, l'ANSSI prône une approche pragmatique baptisée « hybridation ». Quel est le principe ? Il s'agit de faire fonctionner ensemble les nouveaux algorithmes post-quantiques et les méthodes cryptographiques actuelles éprouvées. Cette double protection garantit qu'on ne perd pas en sécurité pendant la transition, tout en se préparant à l'ère quantique. Si l'un des deux systèmes flanche, l'autre continue d'assurer la protection. Une sorte de ceinture et bretelles mais version haute technologie, dirons-nous.
La crypto-agilité, qui désigne cette capacité à pouvoir changer rapidement d'algorithmes ou ajuster leurs paramètres si une faille apparaît, peut être vue comme un second pilier. Dans le monde de la cybersécurité, on sait que l'immobilisme tue. Les organisations doivent pouvoir pivoter techniquement, sans tout reconstruire à zéro. La flexibilité devient vitale quand on sait que les pirates inventent sans cesse de nouvelles techniques d'attaque et que même les meilleurs algorithmes peuvent révéler des faiblesses après des années d'utilisation.
L'ANSSI met donc en place plusieurs dispositifs d'accompagnement. Elle a notamment publié une FAQ détaillée sur la cryptographie post-quantique et propose depuis près de deux maintenant des formations spécialisées via le CFSSI, son centre de formation. L'Agence a aussi interrogé une cinquantaine de ministères et d'entreprises stratégiques, ainsi qu'une trentaine de prestataires, pour mesurer leur niveau de préparation. Avec pour objectif identifier les besoins, et d'accompagner tous les acteurs dans cette transition, nous le disions, nécessaire.
