Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks
15 mai 2025
Parce que... c'est l'épisode 0x602!
Spécial - Panel Propolys - Innovation en cybersécurité - part 3
14 mai 2025
Parce que... c'est l'épisode 0x601!
Spécial - Panel du 600e - Notre gestion de risque personnel / OPSEC
27 mai 2025
Parce que... c'est l'épisode 0x600!
Spécial - Panel Propolys - Innovation en cybersécurité - part 2
14 mai 2025
Parce que... c'est l'épisode 0x599!
Teknik - Résultat de l'usage de l'IA dans le contexte d'un CtF (Northsec)
30 mai 2025
Parce que... c'est l'épisode 0x598!
Teknik - Vivez votre Première Key Ceremony - La Clé pour Sécuriser les Données Stratégiques de votre Entreprise
09 avril 2025
Parce que... c'est l'épisode 0x597!
Spécial - Souveraineté numérique - part 3 (SecNumCloud)
28 mai 2025
Parce que... c'est l'épisode 0x596!
Spécial - Panel Propolys - Innovation en cybersécurité - part 1
14 mai 2025
Parce que... c'est l'épisode 0x595!
Teknik - Tout ce que vous avez toujours voulu savoir sur la cryptographie post-quantique sans jamais oser le demander
09 avril 2025
Parce que... c'est l'épisode 0x594!
Parce que… c’est l’épisode 0x594!
Shameless plug
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Introduction et présentation de l’invité
Ce podcast spécial Cybercho accueille Thierry Marier-Bienvenue, directeur en évolution de la cybersécurité chez Desjardins. Fort de son expertise dans plusieurs domaines clés, il supervise notamment la connaissance des actifs, la cryptographie, la sécurité en milieu utilisateur, la sensibilisation ainsi que la réponse aux menaces avec l’orchestration et l’automatisation des réponses. Sa présentation s’inscrit dans le cadre de Cyberco, où il aborde le volet cryptographique, un élément fondamental sur lequel repose la confiance de notre société.
Les fondements de la cryptographie
Pour établir les bases de la discussion, Thierry explique les deux types principaux de cryptographie à travers des analogies simples. La cryptographie asymétrique fonctionne comme “une clé et un cadenas” : une personne place son message dans le cadenas qu’elle ferme, et seule la personne possédant la clé correspondante peut l’ouvrir. Cette méthode utilise souvent des certificats, des clés et des signatures numériques. La cryptographie symétrique, quant à elle, implique que les deux parties partagent la même clé, ce qui présente des défis logistiques considérables lorsque les distances géographiques sont importantes.
La sécurité de ces systèmes cryptographiques repose sur un problème mathématique fondamental : la complexité de factoriser de grands nombres. Si passer de la clé au cadenas est relativement facile, faire le chemin inverse - du cadenas vers la clé - représente une complexité computationnelle énorme avec les ordinateurs classiques actuels.
L’émergence de la menace quantique
L’informatique quantique bouleverse cette équation sécuritaire traditionnelle. Contrairement aux ordinateurs classiques, les ordinateurs quantiques possèdent la capacité remarquable de factoriser des grands nombres très rapidement grâce à leur capacité de traitement en parallèle. Ils peuvent effectuer simultanément des essais sur plusieurs nombres, rendant ainsi le processus de “passer du cadenas à la clé” considérablement plus facile et rapide.
Cette capacité représente une menace directe pour la cryptographie asymétrique actuellement utilisée, car elle remet en question les fondements mathématiques sur lesquels repose la sécurité de nos systèmes d’information. Ce qui prenait des milliers d’années à calculer avec un ordinateur classique pourrait potentiellement être résolu en quelques heures ou jours avec un ordinateur quantique suffisamment puissant.
Impact sur le secteur financier
Le secteur financier se trouve particulièrement vulnérable face à cette évolution technologique. Comme l’explique Thierry, les institutions financières fonctionnent sur un principe fondamental : la confiance. Cette confiance repose entièrement sur la cryptographie qui sécurise l’ensemble de l’écosystème financier numérique.
La cryptographie est omniprésente dans les opérations financières quotidiennes. Les guichets automatiques chiffrent leurs transactions jusqu’aux centres de traitement, les sites web des institutions financières utilisent des certificats pour garantir leur authenticité, les bases de données sensibles sont chiffrées, et même chaque ordinateur du réseau est identifié par des certificats numériques. Chez Desjardins, avec ses 55 000 employés, on compte déjà des millions de certificats rien que pour les équipements de base, sans compter les serveurs, les dispositifs IoT, les caméras de surveillance et les terminaux de paiement.
Cette infrastructure cryptographique massive représente à la fois une protection essentielle et une surface d’attaque considérable. Si la confiance dans ces systèmes venait à être ébranlée par une capacité de déchiffrement quantique, les conséquences pourraient inclure des retraits massifs (bank runs) et une déstabilisation complète du système financier.
Défis de gestion cryptographique
La gestion de cette infrastructure cryptographique massive présente des défis organisationnels considérables. Comme l’explique Thierry, il est impossible d’avoir 30 000 personnes dédiées uniquement à cette gestion. La solution réside dans l’automatisation et la standardisation des processus.
L’approche adoptée consiste à traiter les certificats comme des actifs informatiques avec un cycle de vie complet. Chaque certificat est considéré comme un “configuration item” dans le système ITSM (IT Service Management), avec un propriétaire désigné et des processus de gestion standardisés. L’automatisation de l’émission des certificats devient indispensable compte tenu du volume à gérer.
Un défi particulier réside dans la gestion des clés cryptographiques, plus complexe que celle des certificats qui expirent naturellement. Changer une clé présente toujours des risques : si quelque chose ne fonctionne pas correctement, il faut pouvoir effectuer une restauration, mais si la clé de sauvegarde est perdue, les données chiffrées deviennent inaccessibles. De plus, le “shadow IT” - ces systèmes créés de manière non officielle par les employés - peut créer des clés qui ne suivent pas les standards organisationnels, nécessitant des efforts de découverte et de standardisation.
Les dangers spécifiques et les modèles d’attaque
Thierry identifie deux risques principaux liés à l’informatique quantique. Premièrement, le “harvest now, decrypt later” - l’accumulation actuelle de données chiffrées par des acteurs malveillants en prévision de leur futur déchiffrement quantique. Deuxièmement, l’utilisation directe d’ordinateurs quantiques pour briser la cryptographie en temps réel.
Il est important de noter que cette menace ne viendra probablement pas d’individus isolés. Le développement et l’opération d’ordinateurs quantiques capables de briser la cryptographie nécessitent des ressources énergétiques phénoménales et des connaissances spécialisées que seuls des États-nations ou de grandes organisations peuvent mobiliser. La menace provient donc principalement d’acteurs étatiques, avec une attention particulière portée aux investissements chinois dans ce domaine (10 milliards de dollars US en 2020).
Stratégies de préparation et crypto-agilité
Face à cette menace, le concept de “crypto-agilité” devient central. Cette approche consiste à développer la capacité organisationnelle de répondre rapidement aux changements cryptographiques, qu’ils soient dus à des percées quantiques ou à d’autres évolutions technologiques.
Un exemple concret de cette nécessité d’agilité s’est manifesté récemment quand Google a annoncé qu’il ne ferait plus confiance aux certificats émis par une autorité de certification spécifique à partir de novembre. Malgré la part de marché relativement limitée de cette autorité, les organisations ont dû réagir rapidement pour migrer vers d’autres fournisseurs de certificats, démontrant l’importance de maîtriser son inventaire cryptographique et sa capacité de réaction.
La préparation implique plusieurs étapes stratégiques : d’abord, avoir une vision claire de sa surface d’attaque cryptographique ; ensuite, prioriser la protection selon les niveaux de risque en s’assurant de protéger rapidement les “crown jewels” (terminaux de paiement, guichets automatiques, sites de transaction) ; enfin, réduire progressivement la posture de risque de manière stratégique.
Évolution des standards et algorithmes post-quantiques
Le National Institute of Standards and Technology (NIST) a récemment certifié trois ou quatre algorithmes résistants aux attaques quantiques. Cependant, cette résistance reste théorique - “résistante jusqu’à preuve du contraire” - car les capacités de test réelles sont limitées et coûteuses. De plus, ces algorithmes pourraient devenir obsolètes rapidement, nécessitant une capacité d’adaptation continue.
Les nouveaux algorithmes post-quantiques présentent également des défis techniques : ils requièrent davantage de puissance de traitement que les algorithmes traditionnels, ce qui représente des coûts supplémentaires en termes de performance et d’infrastructure.
Impact économique et organisationnel
La transition vers la cryptographie post-quantique représente un investissement majeur. Selon plusieurs experts cités par Thierry, environ 10% des budgets de maintenance informatique devront être consacrés à cette transition. Cette proportion s’ajoute aux budgets déjà alloués à la cybersécurité, représentant un défi financier considérable pour les organisations.
Les investissements nécessaires incluent la mise à jour des bibliothèques cryptographiques, la refonte partielle ou totale d’applications, la formation du personnel, et l’acquisition de nouveaux équipements compatibles avec les algorithmes post-quantiques. Pour les institutions financières, ces investissements sont incontournables car ils touchent au cœur de leur modèle d’affaires basé sur la confiance.
Cas particuliers et vulnérabilités
Certains secteurs présentent des vulnérabilités particulières. Les systèmes avec des cycles de vie très longs - satellites, pacemakers, infrastructures militaires - où les clés cryptographiques doivent rester sécurisées pendant 10, 15 ou 20 ans, représentent des défis particuliers car il est souvent impossible de les mettre à jour facilement.
De nombreuses organisations utilisent encore des algorithmes cryptographiques obsolètes comme SHA-1, démontrant un niveau de maturité insuffisant face aux enjeux actuels et futurs. Cette situation révèle l’ampleur du travail nécessaire pour amener l’ensemble des organisations à un niveau de préparation adéquat.
Leviers de transformation du marché
Les grandes organisations comme Desjardins jouent un rôle crucial dans l’accélération de l’adoption des technologies post-quantiques. En intégrant des exigences de résistance quantique dans leurs contrats avec les fournisseurs, elles créent un effet d’entraînement qui force l’ensemble du marché à évoluer. Cette approche contractuelle représente un levier efficace pour élever le niveau de sécurité général, car les entreprises souhaitant maintenir leurs relations commerciales doivent s’adapter aux nouvelles exigences.
Conclusion et perspectives
La menace quantique sur la cryptographie n’est plus une question de “si” mais de “quand”. L’imprévisibilité du rythme de développement des technologies quantiques - illustrée par les changements de position d’experts comme le CEO de Nvidia - rend crucial le principe de préparation immédiate.
La recommandation principale de Thierry est claire : commencer dès maintenant à se préparer, s’éduquer sur ces enjeux, et développer les capacités organisationnelles nécessaires pour réagir rapidement quand la transition deviendra urgente. Cette préparation inclut la compréhension des menaces, l’identification des solutions disponibles (algorithmes post-quantiques, HSM compatibles), et surtout le développement d’une culture de crypto-agilité au sein des organisations.
L’objectif n’est pas de créer une panique, mais de sensibiliser les décideurs et les équipes techniques pour qu’ils développent un vocabulaire commun et une compréhension partagée de ces enjeux critiques pour l’avenir de la sécurité numérique.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Cybereco
Tags: banque, chiffrement, crypto, cybereco, quantique
Tweet