// CLUBIC — CYBERSECURITY
Chiffrement : les 7 questions que chaque dirigeant de PME devrait se poser dès aujourd'hui
Le 27 mai dernier, l’ANSSI a publié une analyse de risque sur le chiffrement destinée aux décideurs non spécialistes. Certaines des attaques qu’elle décrit sont déjà en cours. Selon l’agence, pour migrer une organisation vers des mécanismes résistants aux attaques quantiques, il faut environ dix ans. Mieux vaut donc commencer maintenant.
On vous en a déjà parlé sur Clubic, la menace quantique concerne les particuliers, mais également les entreprises, dont les TPE-PME. Alors au même titre que madame ou monsieur tout le monde, quand votre comptable expédie un bilan par messagerie ou que votre prestataire se connecte à distance à vos serveurs, ces échanges sont sécurisés par des algorithmes cryptographiques.
Un ordinateur quantique n’est pas un ordinateur plus rapide. C’est une machine qui fonctionne selon des principes physiques radicalement différents, capable de résoudre en quelques heures des problèmes mathématiques qu’un ordinateur classique mettrait des millénaires à traiter. Les algorithmes qui chiffrent vos données aujourd’hui, RSA et ECDSA, deux standards très répandus dans les messageries et les VPN professionnels, sont construits sur ce type de problèmes.
La Commission européenne estime probable qu’une telle machine soit opérationnelle d’ici 2040, et le Global Risk Institute estimait en 2025 entre 19 % et 34 % la probabilité qu'une telle machine casse les protocoles les plus répandus en 24 heures dès 2035.
Si vous êtes à la tête d’une organisation qui traite des données de sécurité hautement sensibles, voici les sept questions à vous poser, et ce que l’ANSSI répond.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Des acteurs malveillants, essentiellement étatiques à ce stade, interceptent des flux chiffrés dès maintenant et les stockent, en attendant les capacités quantiques qui leur permettront de les décrypter. C’est l’attaque « moissonner maintenant, déchiffrer plus tard ». Pour un accord de partenariat à quinze ans ou un dossier médical, cette menace est déjà réelle.
RSA et ECDSA, très répandus dans les VPN et les messageries professionnelles, sont directement exposés, car leur sécurité est élaborée à partir de problèmes mathématiques qu’un ordinateur quantique résoudra sans difficulté. Mais l’algorithme de chiffrement AES-256 résiste. Il s’agit d’abord de cartographier ce qui tourne dans votre infrastructure, avant de décider quoi migrer en priorité.
Une fraiseuse numérique ou un automate de production embarquent des clés cryptographiques qu’on ne peut généralement pas mettre à jour sans remplacer la machine. Il faut en dresser la liste et mesurer ce que leur compromission coûterait à votre activité.
Un fournisseur non migré reste une porte d’entrée dans votre système, même si votre propre infrastructure est à jour. Il suffit d’une signature numérique falsifiée sur une mise à jour logicielle pour tout compromettre. Par ailleurs, la directive NIS2, dont la transposition française est attendue pour ce mois de juillet, vous oblige à sécuriser votre chaîne d’approvisionnement. Vos clients grands comptes vous poseront bientôt cette question.