Nouvelles Du Monde

Le NIST confie le travail de cryptographie post-quantique à des équipes cybernétiques

2024-08-24 00:14:39

N’étant plus relégué au monde universitaire postdoctoral en physique et triste Le chat de Schrödinger expériences de pensée, la remédiation post-informatique quantique est arrivée dans le monde réel.

L’informatique quantique devrait émerger véritablement d’ici une décennie, avec la capacité de déchiffrer les schémas de cryptographie existants de l’infrastructure à clés publiques (PKI) comme RSA et l’Advanced Encryption Standard (AES). Et avec la récente publication par le NIST trois normes finales de cryptage quantique, Les équipes de sécurité sont désormais engagées dans une course contre la montre de 10 ans pour mettre à jour la cryptographie vulnérable avant que des algorithmes quantiques capables de les écraser et de déverrouiller des volumes de données secrètes ne soient mis en production.

Avec la publication des normes par le NIST, qui a effectivement confié le travail de planification et d’exécution de la remédiation du chiffrement post-quantique aux équipes de cybersécurité du monde entier, le moment est venu pour les professionnels de la cybersécurité de se mettre au travail. cryptographie post-quantique (PQC), selon Jason Soroko, vice-président senior des produits chez Sectigo.

« Pour les professionnels réguliers de la cybersécurité qui disent : « J’attends le NIST », il n’y a plus de raison d’attendre », déclare Soroko.

Les principaux acteurs des technologies de l’information (TI) comme Akamai et les navigateurs, notamment Google Chrome, ont déjà lancé des efforts à grande échelle pour renforcer leur cybersécurité cryptographique post-quantique. Mais les entreprises devront gérer individuellement la sécurité des données en transit et au repos après leur transfert vers leurs réseaux depuis la périphérie et les réseaux de diffusion de contenu (CDN). Et malheureusement, l’ampleur du problème est gigantesque, il faut donc commencer dès maintenant.

« La transition vers la cryptographie post-quantique est un processus complexe qui s’étend sur plusieurs années et qui nécessite une planification minutieuse pour minimiser les perturbations et garantir la sécurité continue », explique Soroko. « Une planification précoce permet une transition plus fluide lorsque les normes PQC seront largement disponibles. »

Le temps est également un facteur essentiel : il existe déjà des inquiétudes concernant « Voler maintenant, décrypter plus tard » des adversaires récoltant des données cryptées sensibles et les stockant pour un décryptage ultérieur via des ordinateurs quantiques.

Transition vers les nouvelles normes de cryptographie post-quantique du NIST

Philip George, stratège technique exécutif chez Merlin Cyber, qualifie la publication des nouvelles normes de cryptographie post-quantique du NIST de « moment charnière pour les praticiens de la cybersécurité et les consommateurs de technologie en général », mais note qu’il faudra beaucoup de temps et d’efforts pour appréhender l’ampleur de la migration PQC. Et la complexité commence par le fait que toutes les communications reposent sur la cryptographie pour les fonctions d’authentification essentielles, ainsi que pour la confidentialité et la sécurité.

Lire aussi  Le Samsung Galaxy F54 5G arrivera en Inde fin avril

« Il n’existe pas un seul domaine dans le domaine informatique qui ne s’appuie pas sur la cryptographie, qu’il s’agisse de chiffrer des données, de sécuriser la connectivité à un hôte bastion ou de fournir des contrôles de validation pour les logiciels », explique George.

Ainsi, en tant que première étape pratique de PQC, l’omniprésence de la cryptographie nécessite un inventaire complet et automatisé des actifs pour se préparer à toute transition vers le quantique. À cette fin, « effectuez un audit complet de tous les actifs et protocoles cryptographiques utilisés au sein de l’organisation », conseille Soroko. « Cela comprend l’identification des endroits où les algorithmes cryptographiques sont utilisés pour la protection des données, l’authentification, les signatures numériques et d’autres fonctions de sécurité critiques. »

Il y a outils d’analyse disponibles pour aider les entreprises à rassembler des preuves de cryptographie dans toute l’organisation, ainsi qu’à partir de données provenant de journaux et de certificats d’infrastructure à clés publiques, d’outils de gestion de certificats, de clés matérielles cryptographiques, etc., note-t-il.

De plus, ces outils peuvent maintenir cet inventaire cryptographique à mesure que l’infrastructure de l’organisation évolue et s’intégrer dans les processus de développement en cours.

Inventaire des actifs PQC et élaboration d’un plan de remédiation

Une fois l’inventaire des actifs cryptographiques terminé, un plan de remédiation peut être mis en place, qui consiste à déterminer quels actifs sont les plus vulnérables aux attaques quantiques et doivent d’abord être mis à niveau vers des algorithmes post-quantiques, suggère Soroko..

Par exemple, lorsqu’il s’agit de se défendre contre la menace « récolter maintenant et décrypter plus tard », Soroko suggère d’identifier immédiatement les secrets critiques de l’organisation protégés par des algorithmes hérités et de donner la priorité à ceux pour la transition PQC.

En attendant, les plans de migration du PQC doivent être aussi détaillés que possible, y compris le « comment » et le « quand » la transition aura lieu, explique Soroko.

« Identifiez la cryptographie héritée et vulnérable, en vous concentrant sur les algorithmes sensibles aux attaques quantiques (par exemple, RSA, ECC) », dit-il, ajoutant que les équipes cybernétiques devraient également évaluer la « durée de vie des données critiques pour déterminer l’urgence de la migration ».

Lire aussi  Stockage d'objets, performances et évolutivité avec Hitachi CP

Il recommande également aux organisations de mettre en place une équipe interfonctionnelle comprenant des services informatiques, de sécurité, juridiques et d’autres unités commerciales, afin de centraliser l’effort de migration PQC.

« Cette approche garantit que tous les domaines sont couverts et réduit les doublons, ce qui se traduit par des économies de coûts importantes », explique Soroko. « Il est essentiel d’adopter une approche descendante, en veillant à ce que les dirigeants qui sont responsables du risque soutiennent l’initiative, plutôt que de laisser le personnel informatique évaluer le risque. Cet alignement garantit que la migration PQC est traitée comme une priorité stratégique, soutenue par les ressources et l’autorité nécessaires. »

Une étude conjointe du NIST et du Département de la sécurité intérieure feuille de route post-quantique explique que chaque organisation aura ses propres exigences particulières. Il recommande de déterminer par où commencer en posant les questions suivantes :

  1. Le système est-il un actif de grande valeur en fonction des exigences organisationnelles ?

  2. Que protège le système (par exemple, les magasins de clés, les mots de passe, les clés racine, les clés de signature, les informations personnelles identifiables, les informations personnelles identifiables sensibles) ?

  3. Avec quels autres systèmes le système communique-t-il ?

  4. Dans quelle mesure le système partage-t-il des informations avec les entités fédérales ?

  5. Dans quelle mesure le système partage-t-il des informations avec d’autres entités extérieures à votre organisation ?

  6. Le système prend-il en charge un secteur d’infrastructure critique ?

  7. Combien de temps les données doivent-elles être protégées ?

Le rôle des fournisseurs et des partenaires

La création d’un plan de correction PQC doit également être effectuée en étroite coordination avec les partenaires et les fournisseurs avec lesquels les organisations partagent des données, afin de garantir une transition plus fluide.

« La collaboration garantit que la transition s’aligne sur les normes du secteur, ce qui minimise les risques », explique Soroko. « Les partenaires peuvent également offrir un soutien continu, en préservant la sécurité de l’infrastructure cryptographique face aux menaces quantiques en constante évolution. »

Obtenir une perspective sur l’ensemble de l’écosystème de l’entreprise est d’une importance cruciale et ne peut être réalisé sans impliquer les partenaires et les fournisseurs.

« Les fournisseurs peuvent aider à identifier et à sécuriser les secrets critiques qui peuvent être ciblés par des attaques de type « récolte et décryptage », en s’assurant qu’ils sont protégés par des algorithmes résistants aux attaques quantiques », ajoute-t-il.

Lire aussi  Démêler la dynamique des transitions de phase

Selon Adam Everspaugh, expert en cryptographie chez Keeper Security, inclure les fournisseurs dans la planification précoce de la transition PQC peut également permettre aux équipes cybernétiques de bénéficier d’une expertise spécialisée qui peut en fin de compte les aider à garder une longueur d’avance sur les menaces quantiques.

« La réussite de la transition vers la cryptographie résistante aux attaques quantiques nécessitera une combinaison d’expertise en cryptographie, en infrastructure informatique et en cybersécurité », explique-t-il. « Les équipes de sécurité devront collaborer étroitement avec des cryptographes qui comprennent les nouveaux algorithmes, ainsi qu’avec des professionnels de l’informatique capables de gérer l’intégration avec les systèmes existants. Compte tenu du caractère unique de ces algorithmes, l’expertise est encore en développement. »

Les fournisseurs et les partenaires doivent également continuer à travailler avec les équipes cybernétiques tout au long de la phase de recherche et de test, une fois la planification terminée, explique Soroko.

« Commencez à tester et à intégrer les algorithmes cryptographiques post-quantiques approuvés par le NIST au sein de l’infrastructure de votre organisation », explique-t-il. « Cela comprend la participation à des programmes pilotes, la collaboration avec des fournisseurs et la participation à des recherches continues pour rester informé des derniers développements en matière de PQC. »

Ne traînez pas les pieds sur Quantum

Cela peut paraître intimidant, mais la nécessité de mettre en œuvre les normes PQC avant la prochaine percée imminente de l’informatique quantique signifie que les professionnels de la cybersécurité et les défenseurs des réseaux du monde entier ne peuvent plus simplement penser au quantique : ils doivent agir.

« Les équipes informatiques et de sécurité doivent relever des défis considérables, qu’il s’agisse de garantir la compatibilité avec les systèmes existants ou de gérer la transition des clés cryptographiques », explique Everspaugh. « Toutefois, l’urgence de ce changement ne peut être surestimée. »

Et en effet, les organisations qui s’attaqueront tôt au projet PQC seront bien mieux placées pour défendre avec succès leurs réseaux contre la révolution quantique imminente, ajoute Soroko.

« L’adoption et les tests précoces aideront les organisations à identifier les défis potentiels et à affiner leurs stratégies de mise en œuvre », explique-t-il. « En s’engageant dans la recherche, l’organisation reste à la pointe des avancées en matière de PQC et est prête à mettre en œuvre des algorithmes sécurisés au fur et à mesure de leur standardisation. »



#NIST #confie #travail #cryptographie #postquantique #des #équipes #cybernétiques
1724454450

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie