Accéder au contenu principal

Quand les ordinateurs quantiques deviennent réalité : les faits pour l'administration publique

Le danger posée par les futurs ordinateurs quantiques au chiffrement actuellement utilisé dans l'administration publique augmente. Puisque les attaquants collectent déjà aujourd'hui des données chiffrées et pourraient les déchiffrer ultérieurement, les données sensibles à long terme telles que les informations citoyennes et classifiées sont particulièrement à risque. L'administration doit agir maintenant : dresser un inventaire de ses systèmes et de ses données critiques, à court terme combler les plus grandes vulnérabilités par le chiffrement sûr contre les menaces quantiques et la protection physique, et à moyen terme assurer par « l'agilité cryptographique » que les futures technologies puissent être intégrées de manière flexible. Ce qui est important: la solution doit être mise en œuvre aujourd'hui, avant que le risque ne se matérialise dans quelques années.

Les méthodes de chiffrement largement utilisées aujourd'hui reposent sur des fonctions mathématiques simples à calculer dans un sens, mais pratiquement impossibles à inverser – cependant, les ordinateurs quantiques devraient être en mesure de casser ces fonctions dans 5 à 10 ans. Particulièrement dangereuse est la stratégie « récolter maintenant, déchiffrer plus tard » : les pirates collectent déjà aujourd'hui des données chiffrées pour les déchiffrer ultérieurement une fois la technologie disponible.

L'administration publique a des enjeux particulièrement élevés : les informations de renseignement classifiées, les données citoyennes hautement sensibles telles que les informations fiscales, sanitaires et de sécurité sociale, ainsi que la confiance dans les services gouvernementaux numériques tels que l'e-ID et le vote électronique. Bien que les données puissent déjà être chiffrées de manière sûre contre les menaces quantiques aujourd'hui, l'échange sécurisé de clés lors de la communication et de la mise en réseau reste non résolu – les solutions correspondantes ne sont pas encore établies et sont extrêmement coûteuses.

Une action est requise sur trois horizons temporels : immédiatement dresser un inventaire des systèmes utilisés et des données critiques, à court terme combler les plus grandes vulnérabilités, par exemple par le chiffrement sûr contre les menaces quantiques des « données au repos » et la protection physique des connexions (conformément aux normes NIST), et à moyen terme construire une « agilité cryptographique » afin que les systèmes puissent intégrer de manière flexible les futures technologies de chiffrement.

L'urgence découle de la période de protection des données : les données citoyennes doivent souvent rester confidentielles pendant au moins 20 ans, tandis que le risque de déchiffrement surviendra dans 5 à 10 ans – les données qui ne sont pas chiffrées de manière sûre contre les menaces quantiques aujourd'hui sont donc à risque au cours de leur période de protection légale.

La sécurité quantique n'est pas simplement un problème informatique, mais une question de gouvernance qui nécessite une collaboration entre l'administration, les fournisseurs et les experts, ainsi que des décisions fondées sur les risques par la direction, car une solution parfaite n'existe pas actuellement.

Did you find this useful?

Thanks for your feedback