L'avènement de l'informatique quantique fonctionnelle représente l'un des changements les plus importants de l'histoire de la sécurité de l'information. Bien que la réalisation complète des ordinateurs quantiques cryptographiquement pertinents (CRQC) puisse encore prendre quelques années, les implications pour la gouvernance, les risques et la conformité (GRC) sont immédiates. Chez iExperts, nous constatons déjà un changement dans la manière dont les organismes de réglementation perçoivent le chiffrement. La stratégie de Récolter maintenant, décrypter plus tard signifie que les données capturées aujourd'hui pourraient être exposées demain, faisant de la résistance au quantique une question de gestion des risques actuelle, et non seulement une planification future.

L'évolution de l'ISO/CEI 27001:2022

La dernière version de ISO/CEI 27001:2022 a déjà jeté les bases de contrôles cryptographiques plus robustes. Le contrôle 8.24 de l'Annexe A se concentre sur l'utilisation de la cryptographie et exige spécifiquement que les organisations définissent une politique pour l'utilisation des contrôles cryptographiques. À l'approche de 2030, nous prévoyons que ce contrôle évoluera de simples exigences de chiffrement vers une préparation obligatoire à la cryptographie post-quantique (PQC). Les organisations devront inventorier chaque instance d'infrastructure à clé publique (PKI) au sein de leur environnement pour évaluer la vulnérabilité.

"La transition vers des algorithmes résistants au quantique n'est pas un événement unique, mais un parcours de gouvernance de plusieurs années qui nécessite une visibilité totale sur votre chaîne d'approvisionnement cryptographique."

PCI DSS 4.0 et l'avenir des paiements

La norme PCI DSS 4.0 a introduit plus de flexibilité, mais aussi plus de responsabilités. L'exigence 4 impose la protection des données des titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics. Dans un monde post-quantique, les normes TLS et SSL actuelles ne suffiront plus. La stratégie de iExperts pour la sécurité des paiements comprend :

• Inventaire des algorithmes : Identifier toutes les instances RSA et ECC qui sécurisent actuellement les données transactionnelles.
• Migration progressive : Mettre en œuvre des schémas cryptographiques hybrides combinant des algorithmes classiques et résistants au quantique.
• Évaluation des fournisseurs : S'assurer que les prestataires tiers planifient activement leur transition vers les normes PQC approuvées par le NIST.

Conseil d'expert : Prioriser l'agilité cryptographique

L'un des moyens les plus efficaces de se préparer pour 2030 est d'intégrer l'Agilité Cryptographique dans votre architecture. Cela signifie concevoir des systèmes capables de passer rapidement d'un algorithme de chiffrement à un autre sans nécessiter de modifications fondamentales de l'infrastructure sous-jacente. Cette agilité devient une composante centrale du cadre NIST CSF 2.0, particulièrement sous les fonctions 'Gouverner' et 'Protéger'.

Livrables clés pour la préparation au quantique

Pour garantir que votre posture GRC reste résiliente, iExperts recommande de se concentrer sur ces mesures immédiates :

• Découverte des actifs cryptographiques
• Évaluation d'impact des risques quantiques
• Feuille de route pour la migration des algorithmes

La transition vers un avenir résistant au quantique est complexe, mais elle ne doit pas être insurmontable. En intégrant dès aujourd'hui les risques quantiques dans vos cadres GRC existants, vous assurez la pérennité de votre organisation. L'équipe de iExperts est dédiée à vous aider à naviguer dans ces normes changeantes avec précision et autorité.