Une étude DigiCert révèle que l’intérêt quantique est élevé, mais des problèmes de sécurité existent
Les organisations sont confrontées à divers défis lors de leur transition vers l’informatique quantique, qui est éclipsée par ses vulnérabilités en matière de sécurité des données. Seule une fraction des organisations se sentent suffisamment préparées pour contrer la sophistication et la gravité croissantes des cyberattaques. Ce sentiment d’impréparation est encore renforcé par la conviction selon laquelle les organisations ont moins de cinq ans pour se prémunir contre les pièges potentiels de l’informatique quantique.
DigiCert a récemment mené une étude, en partenariat avec le Ponemon Institute, pour évaluer la manière dont les organisations se préparent aux menaces posées par l’informatique post-quantique (PQC). Ils ont interrogé 1 426 experts informatiques aux États-Unis, en Europe, au Moyen-Orient, en Afrique (EMEA) et en Asie-Pacifique. L’étude a révélé que 61 % des organisations sont très préoccupées par le fait de ne pas être préparées aux risques de sécurité PQC, mais seulement 23 % ont un plan en place.
Cette urgence ne s’est pas traduite par des mesures concrètes pour beaucoup. Seulement 30 % des organisations ont réservé un budget pour la préparation quantique. Environ la moitié des experts informatiques interrogés ont exprimé leur incertitude quant aux ramifications de l’informatique quantique, et beaucoup ont indiqué que leurs dirigeants n’étaient que peu conscients, voire totalement ignorants, des implications imminentes en matière de sécurité.
L’étude DigiCert a révélé que le chemin vers la préparation au PQC se heurte à de nombreux obstacles. Examinons plus en profondeur les résultats pour étudier quels sont ces obstacles et comment les organisations peuvent les surmonter :
État actuel de préparation à l’informatique post-quantique (PQC)
La transition vers la préparation au PQC s’inscrit dans un contexte de menace croissante de cyberattaques. La moitié des professionnels interrogés ont déclaré que leur organisation n’atténuait pas efficacement ces risques. En fait, 46 % d’entre eux ont été confrontés à au moins une cyberattaque au cours de l’année écoulée, les ransomwares et le vol d’identifiants étant en tête de liste des attaques. En outre, 56 % ont observé que les cyberattaques étaient plus ciblées et 54 % ont constaté une augmentation de leur gravité, ce qui rend difficile leur enquête et leur confinement rapide.
La nécessité de se préparer au PQC est réelle, puisque 41 % des personnes interrogées déclarent que leur organisation doit être prête pour le PQC en moins de cinq ans. En revanche, seuls 21 % estiment disposer de 8 à 10 ans ou plus pour se préparer. Le manque de fonds rend cette situation encore plus problématique, puisque seulement 30 % des organisations établissent un budget pour la préparation au PQC et 22 % ne prévoient pas du tout de le financer.
Seulement 23 % des professionnels interrogés ont indiqué que leur organisation dispose d’une stratégie de préparation au PQC. La plupart n’auront pas de stratégie avant six mois ou un an, tandis que les autres naviguent sans aucun plan.
Défis de la gestion cryptographique
La cryptographie, comme indiqué dans l’étude, est la pratique consistant à coder des informations pour maintenir leur confidentialité, leur intégrité, leur non-répudiation et leur authentification dans diverses communications et transactions. Cependant, la gestion centralisée des stratégies cryptographiques reste un défi de taille pour de nombreuses organisations. Selon les résultats, 61 % des organisations ne disposent pas d’une approche globale de gestion cryptographique ou n’appliquent de telles stratégies que dans des scénarios spécifiques. Une gestion efficace de la cryptographie doit englober diverses pratiques, telles que l’inventaire des clés cryptographiques, la compréhension de leurs caractéristiques, la résolution des problèmes de cryptographie faible, le respect des meilleures pratiques et une surveillance continue.
De nombreuses organisations ne peuvent pas mettre à jour leurs algorithmes cryptographiques sans une stratégie de gestion cryptographique cohérente. Seulement 29 % des personnes interrogées considèrent que leur organisation est compétente pour mettre à jour les éléments cryptographiques en temps opportun. Environ un quart d’entre eux ont confiance dans la préparation de leur organisation face aux menaces.
Le déploiement de clés cryptographiques et de certificats numériques augmente les exigences opérationnelles de nombreuses organisations. Cependant, 58 % des personnes interrogées ont admis que leur organisation ne connaît pas le nombre exact de clés et de certificats qu’elle gère. Moins de la moitié (43 %) des personnes interrogées ont déclaré que leur organisation était en mesure de recruter et de fidéliser du personnel compétent en infrastructure à clé publique (PKI) et en cryptographie ou d’assurer la sécurité de chaque certificat ou clé.
DevOps/DevSecOps, la sécurité de la chaîne d’approvisionnement logicielle et les exigences de conformité sont les principaux moteurs du déploiement de PKI, de clés et de certificats. La sécurisation du personnel qualifié est également une priorité stratégique majeure en matière de sécurité numérique, avec 55 % des personnes interrogées considérant le recrutement et la rétention de personnel qualifié comme primordiaux.
Différences géographiques dans l’informatique post-quantique
L’étude a révélé des disparités régionales en matière de préparation au PQC et de gestion cryptographique aux États-Unis, dans la région EMEA et en Asie-Pacifique. Les personnes interrogées aux États-Unis ont fait preuve d’un sentiment d’urgence accru, 44 % d’entre elles ressentant le besoin d’être prêtes pour le PQC dans moins de cinq ans. De plus, les personnes interrogées aux États-Unis ont montré une plus grande appréhension concernant les implications du PQC en matière de sécurité, avec 63 pour cent exprimant des inquiétudes importantes, contre 58 pour cent en Asie-Pacifique.
En ce qui concerne les mesures proactives, 60 % des organisations américaines déclarent qu’elles sont en train de formuler une stratégie pour faire face aux risques liés à l’informatique quantique. Par ailleurs, la région EMEA est nettement à la traîne en matière de gestion cryptographique, avec seulement 32 % des personnes interrogées indiquant une approche centralisée à l’échelle de l’entreprise.
Meilleures pratiques pour la préparation au PQC
Les organisations les plus performantes sont celles qui déclarent être efficaces dans l’atténuation des risques, des vulnérabilités et des attaques en matière de cybersécurité. Les organisations démontrent un sentiment d’urgence clair et sont prêtes à relever les défis à venir du PQC. Ils sont également très proactifs, puisque 69 % d’entre eux ont mis en place une stratégie.
En revanche, seules 39 % des organisations les moins préparées peuvent en dire autant. Les défis majeurs pour ces organisations comprennent la rareté des ressources, le manque de personnel qualifié et l’absence d’appropriation claire.
Il est intéressant de noter que même parmi les organisations les plus performantes, 48 % reconnaissent que la mauvaise configuration des clés et des certificats constitue une préoccupation croissante, faisant écho à un sentiment partagé par leurs homologues moins préparés. Indépendamment de leur état de préparation, les deux groupes ont souligné des failles dans leur gestion de la cryptographie, indiquant des possibilités d’amélioration.
Recommandations pour le monde de l’informatique post-quantique
Pour un avenir quantique sécurisé, l’étude recommande de suivre les meilleures pratiques établies par des organisations très performantes en matière de cybersécurité. Une leçon clé à retenir est l’importance de l’urgence. Les principales organisations reconnaissent l’importance d’une action immédiate, nombre d’entre elles prévoyant un délai de moins de cinq ans pour se préparer au PQC. Les organisations devraient adopter un sentiment d’urgence similaire, quel que soit leur niveau de préparation actuel.
Investir dans la formation continue et dans les technologies de pointe est également crucial. De tels investissements fournissent aux organisations les outils nécessaires pour mettre à jour les méthodes cryptographiques et se protéger contre les menaces quantiques. Les organisations doivent disposer d’une stratégie clairement définie pour relever les défis de sécurité de l’informatique quantique.
Qu’elles soient en avance ou en retard, les organisations à tous les niveaux ont identifié des lacunes dans leur gestion cryptographique. Beaucoup ont du mal à surveiller et à configurer les clés et les certificats. Les organisations doivent donc investir dans des outils qui améliorent ces domaines.
Le principal point à retenir de l’étude : combiner des stratégies proactives avec des auto-contrôles réguliers et des améliorations cryptographiques est la voie à suivre à l’ère quantique.
Zeus Kerravala est le fondateur et analyste principal de ZK Research.
Lisez ses autres articles sur l’informatique en réseau ici.
Articles Liés: