Le film The Imitation Game de 2014 raconte comment Alan Turing a réussi à déchiffrer Enigma, le système de cryptographie utilisé par les forces nazies pour protéger le secret de leurs communications. Cette prouesse mathématique a contribué de manière significative à la victoire des forces alliées.
Aujourd’hui, toutes les transactions bancaires et les services sont protégés par des systèmes cryptographiques. Mais ces systèmes sont menacés par une nouvelle génération d’ordinateurs exploitant
la physique quantique. Dans un avenir proche, ces nouveaux ordinateurs quantiques devraient pouvoir déchiffrer la plupart des systèmes cryptographiques actuels. Quelle est l'ampleur de cette menace et quand les banques seront-elles exposées
? Que font les autorités ? Que doivent faire les banques ? Ce sont les questions que cet article abordera.
Les ordinateurs quantiques rendent l'impossible possible
Alors que les ordinateurs classiques reposent sur des transistors pouvant avoir seulement deux valeurs, 0 ou 1, les ordinateurs quantiques sont fondés sur les qubits, qui peuvent prendre toutes les valeurs entre 0 et 1 simultanément. Cette
capacité ahurissante permet aux ordinateurs quantiques d’effectuer certains calculs complexes en un temps extrêmement réduit par rapport à l’informatique classique. Au cours des deux dernières années,
les fonds de capital-risque ont investi 3,5 milliards de dollars dans le développement du quantique à travers le monde. Aujourd’hui, les ordinateurs quantiques sont une réalité, mais leurs capacités de calcul
réelles restent encore faibles, et il est difficile de prévoir quand ils surpasseront les ordinateurs classiques (ce que l’industrie appelle l’ « avantage quantique»). Toutefois, beaucoup prédisent que
cela se produira d’ici une génération.
Grâce à leur puissance de calcul massive, les ordinateurs quantiques devraient pouvoir casser la plupart des systèmes cryptographiques qui sont largement utilisés par l’industrie bancaire pour sécuriser leurs services
et transactions. Le jour où les ordinateurs quantiques dépasseront les systèmes informatiques traditionnels est surnommé le « Q-Day ». Ce jour représente une menace existentielle pour la sécurité
nationale, ainsi que pour le système financier mondial; le Hudson Institute estimant que les dommages pourraient s'élever à 2 000 milliards de dollars.
Les autorités publiques ont défini des recommandations pour éviter le Q-Day
Les autorités publiques prennent cette menace au sérieux. De nombreux pays, notamment les États-Unis et la Chine, ont lancé des initiatives pour sélectionner de nouveaux algorithmes cryptographiques capables de résister
aux ordinateurs quantiques, appelés cryptographie post-quantique (PQC). L’organisme de normalisation américain NIST (National Institute of Standards and Technology) a sélectionné 3 algorithmes PQC en août 2024,
ouvrant ainsi la voie au déploiement de ces nouvelles technologies aux États-Unis et dans les pays occidentaux. Le gouvernement américain a déjà recommandé aux services fédéraux de migrer vers
la PQC d’ici 2035. En Europe, l'ENISA (Agence de l'Union européenne pour la cybersécurité) a publié plusieurs études pour compléter l’approche du NIST.
Dans le secteur bancaire, les régulateurs et les banques centrales travaillent depuis des années sur la PQC. Par exemple, les banques centrales française et allemande ont mené un projet pilote nommé Project Leap, qui
a permis la mise en place d’un canal de communication résistant au quantique pour protéger les données financières. Face aux progrès techniques récents, il est probable que les autorités bancaires
des États-Unis et d’Europe imposent des calendriers de migration vers la PQC dans les deux prochaines années. En attendant, elles recommandent aux banques de dresser un inventaire de leurs systèmes cryptographiques actuels
et de définir une stratégie de migration vers la PQC. C’est le cas, par exemple, du rapport 2023 de la Banque de France sur la sécurité des paiements (Observatoire de la Sécurité des Moyens de Paiement
2023). Les banques expérimentent aussi la PQC de leur côté. Par exemple, Wells Fargo a déposé de multiples brevets et prévoit de déployer la PQC avant 2030.
Migrer vers la PQC : une question de « quand » et non de « si »
Pourquoi maintenant ? Cela peut paraître prématuré, car aucune date n’est encore claire pour l’avantage quantique. Pourtant, le temps presse déjà. D'abord, la migration vers la PQC prendra probablement plusieurs
années, car la cryptographie est omniprésente et la mise en œuvre de la PQC est assez complexe. La première étape, c’est-à-dire le seul inventaire des systèmes de cryptage existants pourrait prendre
des mois, voire des années.
De plus, la PQC doit être mise en place plusieurs années avant l’avantage quantique pour contrer la stratégie « stocker et décrypter plus tard » des attaquants, qui peuvent copier des données chiffrées,
les conserver et les déchiffrer plus tard, lorsque les ordinateurs quantiques seront suffisamment puissants pour accéder aux données volées.
Le dernier défi à relever porte sur la mise en œuvre
du nouveau concept d'agilité cryptographique lors de la migration vers la PQC. Cela signifie qu’il faudra mettre en place de nouveaux systèmes permettant des changements rapides et fréquents des algorithmes cryptographiques.
Jusqu'à présent, il n'était nécessaire de modifier les algorithmes cryptographiques qu'à intervalles peu fréquents. Cette agilité cryptographique est désormais nécessaire, car on ne sait
pas avec certitude si les algorithmes PQC identifiés aujourd’hui résisteront vraiment au temps. Il se peut que nous devions les changer, et lorsque ce besoin se présentera, nous devrons pouvoir le faire rapidement.
En France, l'ANSSI a proposé une méthodologie en 3 phases pour se préparer aux menaces posées par l’informatique quantique : une phase de préparation jusqu’en 2025, l'hybridation des systèmes entre
2025 et 2030, et une mise en œuvre complète de la PQC d'ici 2030. Le principe d'hybridation consiste à utiliser les algorithmes actuels en parallèle avec les algorithmes post-quantiques.
En résumé
L’informatique quantique est déconcertante. Bientôt, elle rendra obsolètes la plupart des algorithmes cryptographiques existants. En conséquence, les banques sont déjà encouragées par les autorités
à préparer leur migration vers la PQC, car cette migration s'annonce longue et complexe, et la mise en œuvre de l’agilité cryptographique est cruciale. Cette préparation n'est pas un simple "plus", car des obligations
et des délais de migration seront probablement fixés dans les deux prochaines années.
Pour anticiper ces évolutions, Sopra Steria a collaboré avec des partenaires et préparé des méthodologies et des outils pour aider les banques à évaluer leurs systèmes cryptographiques actuels et
à définir un plan de migration potentiel vers la PQC.
Dans un prochain article, nous nous entretiendrons avec Benoît Jouffrey, CTO de Thales DIS, un leader mondial de la sécurité numérique, pour
approfondir ce sujet.
Vous souhaitez en savoir plus sur le quantique ? Contactez dès maintenant notre experte Marine Lecomte, responsable d’offres pour les services financiers chez Sopra Steria.