L’informatique quantique fascine autant qu’elle effraye, notamment dans le domaine de la cybersécurité. L’European Policy Center a rédigé un document appelant l’UE à adopter un plan d’action coordonnée pour se préparer aux cyberattaques basées sur le quantique. Dans le même temps, elle doit assurer une transition harmonisé dans le chiffrement post quantique. Andrea G. Rodríguez, analyste en chef de la politique numérique à l’European Policy Center, explique que « les progrès de l'informatique quantique mettent en danger la cybersécurité de l'Europe en rendant les systèmes de chiffrement actuels obsolètes et en créant de nouveaux défis en matière de cybersécurité ».

Selon les experts, ce scénario peut devenir réalité dans les cinq à dix prochaines années, et rendre toutes les data protégées par les protocoles de chiffrement actuels, vulnérables aux acteurs malveillants. « Pour que l'Europe prenne au sérieux ses ambitions en matière de cybersécurité, elle doit élaborer un programme de cybersécurité quantique, en partageant les informations et les meilleures pratiques et en adoptant une approche commune de la transition quantique dans tous les États membres », a déclaré la responsable.

Un impact trop largement ignoré par l'UE

« L'informatique quantique perturbera la sécurité en ligne en compromettant la cryptographie ou en facilitant les campagnes malveillantes, notamment celles sur les identités numériques », a écrit l’analyste en chef. Elle ajoute « Les cyberattaques sur le chiffrement menées à partir de systèmes quantiques donnent les moyens aux adversaires de décoder les informations chiffrées, d'interférer avec les communications et d'accéder aux réseaux et aux SI sans autorisation, ouvrant ainsi la porte au vol et au partage d'informations précédemment confidentielles ».

« Les cybercriminels et les adversaires étatiques se précipitent pour obtenir des informations chiffrées, sensibles, illisibles aujourd'hui, mais qui seront décodées une fois que les ordinateurs quantiques seront disponibles. Ces types d’offensive, connues sous le nom de « harvest attacks » ou « download now-decrypt later », qui consistent à collecter des données aujourd’hui pour les déchiffrer demain, constituent déjà un risque pour la sécurité européenne. « L'impact de l'informatique quantique sur la cybersécurité et la protection des données en Europe a été largement ignoré, malgré des mentions sporadiques dans certains documents politiques comme le rapport ‘2020 EU Cybersecurity Strategy’, ou le ‘2022 Union Secure Connectivity Program’ », souligne Andrea G. Rodríguez.

Les États-Unis, déjà engagés dans une cybersécurité post-quantique

Selon l’analyste, les États-Unis sont sans doute à la pointe de la transition vers la cybersécurité post-quantique, et en particulier dans la cryptographie post-quantique qui sera appelée à jouer un rôle central. « Le National Institute of Standards and Technology (NIST) a lancé un processus de normalisation des algorithmes de cryptographie post-quantique, tandis que le Quantum Cybersecurity Preparedness Act, créé en 2022, établit une feuille de route pour faire migrer les informations gouvernementales vers la cryptographie post-quantique », glisse-t-elle. « En 2023, la US National Cybersecurity Strategy a fait de la protection contre les cyberattaques quantiques un objectif stratégique. Cette priorité englobe l'utilisation du chiffrement post-quantique et la nécessité de remplacer le matériel, les logiciels et les applications vulnérables qui pourraient être compromis », a-t-elle ajouté.

La cybersécurité post-quantique de l'UE, trop limitée

« Dans le même temps, les efforts de l'UE pour sécuriser les informations contre les cyberattaques quantiques manquent d'une stratégie claire sur la manière de traiter les menaces à court terme », a encore déclaré l’analyste de l’European Policy Center. « Le peu de focalisation de l'UE sur l’atténuation des défis de cybersécurité quantique à court terme, en particulier les attaques de récolte dites « harvest attacks », et les attaques quantiques sur le chiffrement, laisse les États membres en première ligne dans la transition quantique », ajoute-t-elle. « D'ici à 2023, seuls quelques pays de l'UE auront élaboré des plans publics pour contrer les menaces émergentes en matière de cybersécurité quantique, et un nombre encore moins important aura mis en place des stratégies pour les atténuer, comme c'est le cas de l'Allemagne ».

À mesure que les systèmes quantiques se développent, une action européenne sera nécessaire pour prévenir les failles de cybersécurité exploitables comme vecteurs d'attaque et pour veiller à ce que tous les États membres soient également résilients face aux cyberattaques quantiques. « Il est urgent de mettre en place un plan d'action coordonné sur la transition quantique avec des objectifs et des calendriers clairs et de surveiller la mise en œuvre des plans nationaux de migration vers le chiffrement post-quantique », a affirmé Andrea G. Rodríguez. Un tel plan comblera le fossé entre l'objectif lointain d'établir un réseau d'infrastructure européenne de communication quantiqu,  European Quantum Communication Infrastructure (EuroQCI) pleinement opérationnel et les besoins actuels du paysage européen de la cybersécurité pour répondre aux menaces de cybersécurité quantique à court terme. « L'Europe peut aussi tirer parti de l'expertise des agences nationales de cybersécurité, des experts et du secteur privé en établissant un nouveau groupe d'experts au sein de l'ENISA où les spécialistes nationaux détachés en matière de chiffrement post-quantique peuvent échanger des bonnes pratiques et encourager la mise en place de plans de migration », indique l’analyste.

Un programme de cybersécurité quantique en 6 étapes

Le document de Mme Rodríguez présente six recommandations pour le programme de cybersécurité quantique de l'UE.

- Établir un plan d'action coordonné de l'UE sur la transition quantique qui définisse des objectifs et des calendriers clairs et surveille la mise en œuvre des plans nationaux de migration vers le chiffrement post-quantique.

- Créer un nouveau groupe d'experts au sein de l'ENISA avec des experts nationaux détachés pour échanger les bonnes pratiques et identifier les obstacles à la transition vers le chiffrement post-quantique.

- Aider à fixer des priorités pour la transition vers le chiffrement post-quantique et encourager l'agilité cryptographique pour répondre aux vulnérabilités émergentes dans les systèmes de chiffrement post-quantique.

- Faciliter la coordination politique entre la Commission européenne, les États membres de l'UE, les agences nationales de cybersécurité et l'ENISA afin de déterminer les priorités technologiques et d'identifier les cas d’usage pertinents pour les technologies à sécurité quantique.

- Faciliter la coordination technique au niveau de l'UE pour combler les lacunes de la recherche dans les technologies à sécurité quantique, par exemple développer des nœuds quantiques pour assurer des connexions longue distance pour la distribution de clés quantiques.

- Étudier l'utilisation de bacs à sable pour accélérer le développement d'applications à court terme des technologies de l'information quantique.