Alors que la technologie quantique progresse vite, ses impacts sur la sécurité du chiffrement à clé publique constituent un risque à prendre tout à fait au sérieux. "Le niveau de risque rend nécessaire une transition de nos infrastructures numériques vers une cryptographie résistante à la menace quantique", a prévenu l'agence nationale de la sécurité des systèmes d'information qui vient de partager deux études sur le sujet. Menées entre juillet 2023 et janvier 2024, celles-ci "permettent de mieux comprendre le degré de connaissance de la menace quantique par ces acteurs, les contremesures éventuellement mises en place pour y répondre, ainsi que les obstacles et besoins de ces entités dans le cadre de la transition." Au regard des résultats pour la France, quelques raisons d'être inquiets ressortent.
Dans son premier rapport sur l'état de l'offres des solutions de cryptographie post-quantique en France, l'ANSSI prévient : "l’immaturité constatée des solutions n’est que transitoire et ne devrait pas servir de prétexte à l’inaction. Certaines actions devront être mises en œuvre sans délai et d’autres pourront être déployées progressivement, dans les années à venir." La situation n'est guère plus encourageante dans le second rapport sur l'offre de prestations d'accompagnement et de conseil pour accompagner cette transition post-quantique : "nous observons une quasi absence de demande pour le moment et une quasi absence d’offre commerciale. Les prestataires expliquent l’absence de demande par un sentiment, chez leurs clients, qu’il n’est pas urgent d’agir contre la menace quantique. Le fait qu’il n’y ait aucune obligation réglementaire conforte les clients dans leur posture d’attente."
Des freins identifiés
Plusieurs facteurs expliquant la frilosité des fournisseurs à proposer des solutions de chiffrement post-quantique. Ceux-ci sont à la fois d'ordre technique (manque de normes/standards et de briques logicielles de références ou de guide de bonnes pratiques d'implémentation, inquiétudes sur les pertes de performance des signatures post-quantiques...) qu'organisationnel (absence d'un plan de transition, incertitude sur la certification des bibliothèques cryptographiques, manque de sensibilisation des utilisateurs et coût de mise à jour des compétences.) A noter que sur la petite cinquantaine d’éditeurs français approchés par l’Anssi pour son étude, seulement 18 ont finalement été retenus comme pertinents pour répondre à ses questions.
Du côté des prestataires d'accompagnement et de conseil en sécurité, l'agence pointe un marché "quasi inexistant" : sur son échantillon de 34 sociétés, plus d'une vingtaine n'a réalisé aucune prestation relative à la menace quantique. "L’offre commerciale est très immature et peu de prestataires ont une offre structurée pour accompagner leurs (futurs) clients. 70% des prestataires n’ont aucune offre structurée", indique l'agence. Tout n'est cependant pas perdu : "la quasi-totalité des prestataires déclarent qu’ils comptent développer une offre commerciale de conseil et d’accompagnement à la transition post-quantique (80 %). Ils pensent être à même de proposer une telle offre en deux ans au plus."
Commentaire