2031, un point de non-retour pour la cybersécurité
Photo : Michel Caron - UdeS
Le Pôle d’expertises en cybersécurité Intact souhaite renforcer la résilience numérique au sein des organisations, mais pourquoi est-ce si important? Quels défis les attendent?
Le Pr Marc Frappier, Directeur scientifique du Pôle, s’intéresse à un enjeu des plus actuels : la cybersécurité post-quantique. Parce que oui, l’avènement des ordinateurs quantiques représente un défi de taille pour les systèmes informatiques actuels. Sa chaire de recherche en cybersécurité post-quantique a pour objectif d’aider les entreprises à faire face aux défis de sécurité posés par l’ordinateur quantique.
Le système cryptographique moderne
Pour comprendre l’impact que vont engendrer les technologies quantiques, il faut d’abord saisir le système sous lequel nous fonctionnons aujourd’hui.
Actuellement, la plupart des communications informatiques sont chiffrées. Ce chiffrement repose sur un système de clés où chaque utilisateur possède une clé publique et une clé privée. Par exemple, si Alice souhaite envoyer un message à Bob, elle chiffrera le message avec la clé publique de Bob et seule la clé privée de Bob pourra le déchiffrer. Cela garantit la sécurité des échanges une fois la connexion établie. Toutefois, le processus initial d’échange de clés n’est pas sans danger puisqu’il repose sur des problèmes mathématiques difficiles à résoudre pour les ordinateurs classiques, mais que les ordinateurs quantiques pourraient résoudre en un temps record. Dans un scénario pareil, la confidentialité de l’entièreté de la conversation serait compromise.
Le même principe s’applique à la signature numérique des documents. Prenons l’exemple d’une banque : pour s’assurer que les données de la clientèle sont transmises à la véritable institution, une hiérarchie de certificats est utilisée. Ces certificats sont authentifiés par des signatures numériques, lesquelles reposent aussi sur des problèmes mathématiques faciles à résoudre par les ordinateurs quantiques.
Enjeux et défis de la transition post-quantique
La cybersécurité post-quantique repose sur la création de nouveaux programmes capables de résister aux attaques quantiques. Toutefois, leur conception n’est qu’une première étape. Il faut également s’assurer qu’ils soient crypto-agiles, c’est-à-dire capables de retrouver leur efficacité en cas de faille simplement en modifiant quelques lignes de code :
On construit un programme en assemblant des composantes, un peu comme on assemble les pièces d’une voiture. Si la batterie de la voiture est défectueuse, l’interface doit être conçue pour permettre son remplacement rapide sans compromettre le véhicule dans son intégralité. C’est un peu la même chose pour les programmes.
Pr Marc Frappier
Au-delà de la crypto-agilité, il faut aussi tester la robustesse des clés utilisées. Les programmes post-quantiques nécessitent des clés beaucoup plus longues, ce qui alourdit et complexifie les échanges. Tous les appareils ne peuvent pas gérer ces clés, ce qui implique le remplacement des équipements technologiques lorsque ces programmes deviendront la norme.
Les entreprises sont-elles prêtes?
Le Pr Frappier fait partie du Quantum-Readiness Working Group, qui réunit des experts industriels et des chercheurs universitaires afin d’anticiper l’implantation de ces nouveaux algorithmes depuis quatre ans déjà :
Je réalise un sondage pour mesurer le niveau de préparation des entreprises à un tel changement, et peu ont commencé à y réfléchir. Selon les échéanciers du gouvernement canadien, la migration des systèmes critiques est prévue pour 2031.
Pr Marc Frappier
Les entreprises devraient amorcer un processus comprenant l’inventaire cryptographique, l’évaluation des risques pour chaque composante informatique et la planification de la migration selon des priorités définies. Cette démarche est longue et coûteuse, mais elle permet d’éviter des risques majeurs comme la divulgation de données confidentielles, la fraude et les atteintes à la réputation.
Ayant lui-même travaillé en industrie, le Pr Frappier insiste sur l’importance de collaborer avec les entreprises afin de comprendre leurs besoins, leurs contraintes et leurs préoccupations. Après tout, c’est par elles que le changement doit s’opérer.
L’arrivée des ordinateurs quantiques n’est pas hypothétique. Au cours des prochaines années, l’avantage quantique transformera des secteurs clés comme le transport, la logistique, la finance ou l’industrie pharmaceutique. Si l’ordinateur classique conservera son rôle central au quotidien, les organisations doivent dès aujourd’hui anticiper la convergence entre informatique classique et quantique.