Recherche
En ce moment En ce moment

/ Cybersécurité

Transition post-quantique : le constat d'attentisme de l'ANSSI

Dans la lignée d'enquêtes auprès des éditeurs et des PASSI, le témoignage des entités régulées conforte le constat d'un écosystème en position d'attente.

Publié par Clément Bohic le | mis à jour à
Lecture
3 min
  • Imprimer
Transition post-quantique : le constat d'attentisme de l'ANSSI
© Siarhei - Adobe Stock

Ne cherchez pas de plans de transition post-quantique : il n'en existe aucun.

Le constat, net, est signé de l'ANSSI, sur la foi d'une enquête auprès de ses bénéficiaires (comprendre, dans les grandes lignes, des entités régulées).

Plus de la moitié semblent être à risque vis-à-vis de la menace quantique, estime l'agence. En cause, des pratiques vulnérables à des attaques rétroactives. Par exemple, l'usage de VPN pour transmettre des informations sensibles dont la confidentialité doit être assurée pour une durée supérieure à 10 ans. Ou l'exploitation de certificats dont la durée de vie excède cette même durée.

La majorité des bénéficiaires ont connaissance de la menace, mais pas de son impact concret sur les SI. Si bien que chez la quasi-totalité, les travaux d'analyse des risques ne sont "ni engagés, ni planifiés, ni budgetés". Les cas d'usage urgents ne sont pas identifiés et les RSSI n'ont pas d'idée précise tant de la date à laquelle leurs systèmes devront avoir migré que du temps nécessaire.

En l'état, chacun compte sur les autres pour avancer, résume l'ANSSI. L'absence, en France, de communication formelle d'une date ou d'un planning incitatif ne favorise pas la compréhension de l'agenda quantique, concède l'agence. Les obligations réglementaires font également défaut... comme l'offre de services d'accompagnement.

Lire aussi : { Tribune Expert } - Se préparer au "Jour Q" : la cryptographie post-quantique se fraye un chemin au sein des entreprises

De l'attentisme également chez les PASSI...

Une autre étude, réalisée fin 2023, début 2024, fut consacrée à ces services d'accompagnement. Échantillon : 34 prestataires, essentiellement des PASSI. L'ANSSI en avait publié la synthèse en octobre dernier. Il en était ressorti une faiblesse de la demande (70 % des prestas n'avaient réalisé aucune prestation de ce type) et une offre commerciale jugée très immature (le même taux de prestas n'avaient aucune offre structurée).

L'absence d'obligation réglementaire avait déjà été identifiée comme un frein, confortant les clients dans leur "posture d'attente". Quant aux prestataires, ils se montraient plus ouverts à l'idée d'être accompagnés dans leur montée en compétence qu'à celle d'être évalués.

... et chez les éditeurs

Un autre volet est paru depuis lors, axé sur l'offre de solutions. L'échantillon, sondé entre mai et juillet 2023, comprend 18 entreprises qui conçoivent des briques cryptographiques pour des solutions numériques.

Lire aussi : Cryptographie post-quantique : ce qui freine la mise en pratique

Entre autres freins à la mise en oeuvre :

  • Maîtrise complète des primitives post-quantiques par seulement quelques spécialistes

  • Manque de normes ou de standards décrivant, d'une part, les algorithmes ; de l'autre, la façon de mettre en oeuvre l'hybridation

  • Manque de briques logicielles de référence ou d'un guide de bonnes pratiques pour les implémenter (risque d'abaisser le niveau de sécurité ou d'intégrer des vulnérabilités)

  • Besoin de faire évoluer certains référentiels pour y intégrer la cryptographie post-quantique

  • Manque de maturité des implémentations sur du matériel

  • Inquiétudes concernant les pertes de performance des signatures post-quantiques

Illustration © Siarhei - Adobe Stock

Sur le même thème

Voir tous les articles Cybersécurité

Livres Blancs #cloud

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page