L'ère du quantique arrive : voici ce que dit le régulateur de la protection des données

Une nouvelle avancée technologique est en train d'arriver dans la course aux armements en cours entre les défenseurs des réseaux et leurs adversaires, ce qui pourrait considérablement bouleverser le paysage actuel. Lorsque des ordinateurs quantiques pleinement fonctionnels commenceront enfin à émerger, le cryptage sur lequel repose la majeure partie du monde numérique pourrait être brisé. Cela a d'énormes implications pour la protection des données, c'est pourquoi le régulateur britannique, le Information Commissioner's Office (ICO), a publié nouvelle orientation pour les organisations.

Le message est clair : il est temps de commencer à identifier et à traiter les risques liés à l’informatique quantique dans le cadre des programmes de conformité en matière de protection des données.

Que signifiera l’informatique quantique ?

Les gouvernements et les investisseurs privés du monde entier sont dépenser des dizaines de milliards pour financer la recherche sur l'informatique quantique. Il est facile de comprendre pourquoi : les avancées scientifiques et mathématiques qu'elle promet sont époustouflantes. Ce n'est pas sans raison que l'importance de l'informatique quantique a été comparée à celle de l'exploitation de l'électricité.

L'informatique quantique est basée sur la théorie de la mécanique quantique, dont les travaux ont été mis au point par Albert Einstein et qui lui ont valu le prix Nobel. Pour un œil non averti, elle semble défier la logique. Les particules quantiques, ou qubits, ne se comportent pas selon les règles traditionnelles de la physique. Elles font des choses étranges, comme exister à deux endroits simultanément et voyager en avant ou en arrière dans le temps.

Alors que les ordinateurs actuels traitent et stockent les informations en zéros et en uns, les ordinateurs quantiques utilisent des qubits, qui peuvent être à la fois zéro et un. Cela réduit considérablement le temps nécessaire pour traiter les données, calculer et résoudre les problèmes.

Selon l'ICO, il existe plusieurs cas d'utilisation potentiels pour cette technologie, notamment :

• Une nouvelle génération de capteurs quantiques et de technologies avancées de synchronisation quantique à utiliser dans les diagnostics médicaux, les infrastructures urbaines et la gestion des ressources environnementales, la planification du changement climatique, la surveillance et la navigation résistante au brouillage
• Imagerie quantique améliorée pour détecter les personnes et les objets dans les coins ou derrière les murs, ou identifier plus précisément les molécules dans le corps.
• Une nouvelle méthode potentiellement « inviolable » pour partager en toute sécurité des clés cryptographiques, connue sous le nom de distribution de clés quantiques (QKD)

Décrypter Internet

Cependant, le cas d’utilisation potentiel le plus inquiétant de la technologie quantique est sa capacité à résoudre les problèmes mathématiques complexes sur lesquels repose le cryptage asymétrique moderne (cryptographie à clé publique). Cela pourrait un jour donner aux États hostiles ou aux groupes de cybercriminalité bien financés la capacité de démasquer tout, du commerce électronique et des communications en ligne cryptés aux données bancaires numériques. Les implications pour les organisations qui utilisent le cryptage asymétrique pour protéger les données clients et la propriété intellectuelle sensible sont évidentes.

En fait, certains craignent que des acteurs malveillants puissent déjà récolter des données chiffrées en vue de les déchiffrer ultérieurement dans le cadre de ce que l’on appelle le « stocker maintenant, déchiffrer plus tard » (SNDL). attaquesC’est pourquoi les efforts s’accélèrent pour trouver des algorithmes post-quantiques (PQA) qui résisteront au décryptage quantique.

Les choses s'accélèrent certainement. Dans une approche soutenue par le Centre national de cybersécurité du Royaume-Uni (NCSC) et l'Institut national des normes et de la technologie des États-Unis (NIST), ils ont sorti les trois premiers normes de cryptographie post-quantique (PQC) en août de cette année. Les États-Unis ont déjà fixé des objectifs pour que le secteur public passe à des systèmes quantiques sécurisés d'ici 2035, tandis que le gouvernement britannique a mesures d'atténuation introduites pour les services critiques et définit des orientations techniques et des attentes pour les grandes organisations et les propriétaires de systèmes. La Commission européenne a appelé les États membres à élaborer une feuille de route pendant que les grandes entreprises technologiques explorent des systèmes à sécurité quantique.

L'ICO veut de l'agilité cryptographique

Alors, où en est la majorité des organisations britanniques ? La réglementation NIS actuelle (bientôt mise à jour par la Projet de loi sur la cybersécurité et la résilience) couvrent les fournisseurs de services cloud et de commerce électronique, les organisations qui fournissent des services d'identité numérique ou d'authentification, ainsi que les fournisseurs d'accès Internet et de télécommunications. Ils doivent informer l'ICO soit d'une violation de données personnelles (RGPD), soit d'un incident de sécurité lié au NIS si :

• Ils ont découvert une attaque SNDL qui « a considérablement affecté leur service ou a conduit à la divulgation d'informations personnelles ».
• Ils ont commis une erreur en mettant en œuvre le PQC, ce qui a exposé des informations personnelles et présenté un risque pour les droits et libertés des personnes.

Toutes les autres organisations ont l’obligation, en vertu du RGPD, de sécuriser les données personnelles « en utilisant des mesures techniques et organisationnelles appropriées » qui correspondent au risque de traitement et tiennent compte de l’état de la technique. Selon l’ICO, cela signifie qu’elles « devraient envisager d’identifier et de traiter les risques quantiques dans le cadre de leurs obligations légales existantes pour s’adapter aux nouvelles menaces cybernétiques émergentes pour les informations personnelles ».

Qu'est-ce que cela signifie en pratique ? Comme toujours, l'ICO affirme que, conformément à la loi sur la protection des données de 2018 et au RGPD, les organisations doivent déterminer les mesures techniques dont elles ont besoin pour garantir le « niveau de sécurité approprié ». Mais il y a un autre indice. Le régulateur lui-même conseils sur le chiffrement exhorte les organisations à être « crypto agiles ». Cela signifie qu’elles doivent régulièrement réexaminer l’utilisation du chiffrement et être attentives aux nouvelles mises à jour et aux éventuelles vulnérabilités.

« De nouvelles normes ont été élaborées et, à un moment donné au cours des 10 prochaines années, le PQC est susceptible de devenir une norme acceptée et largement mise en œuvre dans l'état futur de l'art », ajoute-t-il.

Liste de contrôle pour la conformité

Ainsi, la plupart des organisations devraient continuer à protéger les données personnelles conformément aux meilleures pratiques et normes de chiffrement et signaler toute violation ou fuite, y compris SNDL et tout incident causé par des erreurs dans la mise en œuvre du PQC. L'ICO ajoute qu'elles devraient de manière proactive :

• Commencez à prendre en compte l’exposition au risque « dans un avenir immédiat et proche », notamment en identifiant les informations à haut risque et la cryptographie et les systèmes à risque.
• Restez au courant de l'évolution des normes internationales de cryptographie et des directives du NCSC, conformément au NIS et au RGPD britannique.
• Si les entreprises envisagent de mettre en œuvre la technologie QKD ou d’autres technologies de sécurité quantique en plus de la technologie PQC, elles devraient envisager de réaliser une évaluation de l’impact sur la protection des données (DPIA). Cela peut aider à évaluer si les droits et libertés associés aux informations personnelles peuvent être menacés et à documenter les mesures prises pour faire face à ces risques.
• Continuer à atténuer les cyber-risques « de grande envergure, à court et moyen terme » non liés à l’informatique quantique, en suivant les meilleures pratiques essentielles d’hygiène informatique pour la protection des données.

Il faudra des années avant que l'informatique quantique capable de déchiffrer le chiffrement asymétrique ne fasse son apparition. Mais ce n'est pas une raison pour se reposer sur ses lauriers. Il vaut mieux évaluer les risques et planifier l'avenir dès aujourd'hui plutôt que d'être contraint de prendre des décisions hâtives (et potentiellement coûteuses) demain.