Le risque posé par « Récoltez maintenant, décryptez plus tard »
Le chiffrement – qu’il s’agisse des données au repos dans les systèmes de stockage ou en transit via les réseaux – reste un moyen puissant de protéger les informations sensibles depuis des décennies. Même si les cybercriminels pouvaient accéder à ces données et les voler, le chiffrement les rendait pratiquement inutiles. Cependant, la possibilité de « récolter maintenant, décrypter plus tard » (HNDL) – une fois que l’informatique quantique sera devenue suffisamment puissante – a modifié cette équation.
Les cybercriminels collectent déjà aujourd’hui des données cryptées dans l’intention de les décrypter à l’avenir. Cela constitue une menace particulière pour les données dans des secteurs tels que la santé, les services financiers et le gouvernement, où les données conservent leur valeur pendant de nombreuses années.
La menace du HNDL signifie que toutes les données volées aujourd’hui par un cybercriminel pourraient devenir précieuses à l’avenir, une fois décryptées. Pour faire face à cette menace, les établissements de santé doivent commencer dès maintenant à empêcher le décryptage de leurs données à l’avenir. Ils ne peuvent rien faire pour protéger leurs données une fois qu'elles ont été volées.
Solution : l’arrivée de la cryptographie post-quantique
En mai 2022, le mémorandum sur la sécurité nationale 10 a ordonné aux agences fédérales de se préparer à la menace du décryptage quantique. Le mémo exige que les agences prennent des mesures spécifiques dans le cadre d'un processus pluriannuel de migration des systèmes informatiques vulnérables vers une cryptographie à résistance quantique.
« La cryptographie post-quantique consiste à développer et à renforcer de manière proactive des capacités permettant de protéger les informations et les systèmes critiques contre toute compromission due à l'utilisation d'ordinateurs quantiques », a déclaré Rob Joyce, alors directeur de la cybersécurité à la National Security Agency (NSA), dans un communiqué d'août 2023.
En août 2024, le NIST a publié trois normes cryptographiques conçues pour résister à une attaque des ordinateurs quantiques. Ces normes — ML-KEM, ML-DSA et SLH-DSA — visent à assurer la sécurité des données sur de nombreux systèmes, notamment la messagerie électronique et le commerce électronique. Le NIST a encouragé les équipes informatiques à mettre en œuvre ces normes dès que possible.
Les fournisseurs de technologies tels que Cisco Systems, Check Point et Palo Alto Networks ont développé des produits dotés de capacités de cryptographie post-quantique (PQC). Ces outils, notamment des pare-feu et des commutateurs réseau, peuvent aider les établissements de santé à protéger leurs données contre les menaces quantiques, qu'elles soient en transit ou stockées.
« Il est impératif que toutes les organisations, en particulier les infrastructures critiques, commencent dès maintenant à se préparer à la migration vers la cryptographie post-quantique », a déclaré Jen Easterly, alors directrice de la Cybersecurity and Infrastructure Security Agency, dans un communiqué d'août 2023.
Technologie de la santé
