Parce que le risque quantique se rapproche inexorablement, Europol publie un guide pratique destiné à aider les institutions financières à évaluer leur exposition et déterminer leurs priorités défensives. Même si son échéance reste incertaine, la menace est maintenant suffisamment précise pour que l'urgence soit officiellement déclarée.
Soyons réaliste, le document ne fait guère qu'effleurer l'immense problème de sécurité que pose l'émergence de capacités de calcul quantique qui promettent de rendre caduques les protections des données en vigueur depuis les origines de l'informatique et, surtout, l'avènement d'internet et des communications « digitales » généralisées. Mais, à tout le moins, il livre un cadre structuré indispensable pour entamer des démarches de remédiation qui seront longues, onéreuses et complexes à mener.
L'objectif visé étant d'encourager l'industrie à se pencher sur les chantiers qu'elle doit préparer, la recommandation émise dans ce qui ressemble à la première étape d'une odyssée au long cours consiste à effectuer une analyse de risque sur l'ensemble des cas d'usage à considérer, c'est-à-dire toutes les fonctions et tous les processus dans lesquels des informations sensibles sont manipulées. Elle se répartit en deux axes distincts : le niveau de danger encouru et le temps nécessaire à son élimination.
Pour chacun d'eux, la méthode proposée invite simplement à qualifier trois facteurs sur une échelle de un à trois. D'un côté, devront ainsi être estimés la durée de vie du risque de divulgation des données impactées, leur degré d'exposition publique et la sévérité de leur éventuelle compromission. De l'autre côté, l'attention portera sur la disponibilité de solutions à court ou à long terme, la durée et le coût de leur mise en œuvre et, pour finir, la dépendance à des tiers pour l'exécution d'un plan correctif.
La moyenne obtenue dans ces deux dimensions donne finalement – à travers une matrice élémentaire élaborée sur la base du théorème de Mosca – un éclairage sur l'urgence à démarrer des études, sinon des projets, sur les cas d'usages les plus critiques. La priorité devra notamment être placée sur tous les domaines dans lesquels le risque est élevé, ceux qui possèdent une réponse dès aujourd'hui méritant d'être traités immédiatement, les autres requérant des compléments d'enquête poussés.
L'approche préconisée par Europol se veut facile à appréhender et elle se concentre sur l'indispensable classification à organiser entre les différentes sources de fragilité quantique dans les institutions financières. Il ne faut cependant pas la prendre à la légère, ne serait-ce que parce que l'identification exhaustive des cas d'usage à examiner est elle-même difficile, au vu des milliers de logiciels, des centaines de base de données et de leurs innombrables interactions existant dans les grands groupes.
Et ces efforts ne seront rien en comparaison de ceux qu'il faudra engager afin d'éradiquer toutes les failles potentielles… avec une épée de Damoclès de plus en plus proche de tomber sur les responsables au fur et mesure du temps qui s'écoule et du rapprochement de l'avénement de l'ordinateur quantique. Dans le sillage du travail d'Europol, il serait certainement raisonnable de mettre en place des collaborations à l'échelle de l'industrie en vue de mutualiser au moins les analyses théoriques.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)