La clé de chiffrement agit comme une serrure protégeant vos données. Une clé robuste garantit que vos informations restent accessibles uniquement aux personnes autorisées, réduisant le risque de fuites ou de vols de données. 

La longueur d’une clé détermine le nombre de combinaisons possibles pour la deviner. Une clé de 256 bits, par exemple, offre une protection bien supérieure à une clé de 128 bits, car elle est exponentiellement plus difficile à casser. 

Le choix de l’algorithme dépend du contexte d’utilisation. L’AES est idéal pour le chiffrement de données à grande échelle, tandis que RSA ou ECC sont préférés pour des échanges sécurisés. 

Une clé faible ou mal configurée peut être facilement compromise par des attaquants utilisant la force brute, engendrant alors des conséquences graves : pertes financières, atteinte à la réputation de l’entreprise, ou répercussions légales (RGPD)…

La sécurité des échanges repose aujourd’hui sur la cryptographie à clé publique, dont la robustesse dépend de l’impossibilité actuelle de résoudre certains problèmes mathématiques complexes. 

Cependant, avec les progrès réalisés par les ordinateurs quantiques ces dernières années, il existe un risque non négligeable, appelé « apocalypse quantique« , de voir ces machines casser les clés de sécurité existantes (notamment les clés RSA), ce qui compromettrait, de manière systémique, la sécurité de toutes nos communications et transactions financières.

Pour anticiper une telle éventualité, la cryptographie « post-quantique » consiste à utiliser de nouvelles clés. Reposant sur des problèmes mathématiques que les ordinateurs quantiques ne peuvent résoudre, les clés post-quantiques sont une solution à la menace quantique. 

Les algorithmes sur lesquels reposent ces nouvelles clés sont actuellement au nombre de quatre. Ils ont été publiés par l’organisme américain NIST (National Institute of Standards and Technology). 

Leurs noms sont : CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ et FALCON. À part Sphincs+, qui repose sur des arbres de hachage, les trois autres se basent sur des problèmes difficiles à résoudre sur les réseaux euclidiens.

Les clés post-quantiques sont capables de fonctionner sur des ordinateurs classiques, ce qui facilite leur déploiement. Les entreprises et institutions doivent acquérir dès maintenant une “crypto-agilité”, c’est-à-dire être capables de mettre à jour très rapidement les clés de sécurité utilisées au sein de leurs systèmes. Car, du jour au lendemain, une clé post-quantique peut potentiellement être cassée, et devra alors être rapidement remplacée.

Il est impératif de protéger les clés cryptographiques contre la perte, la corruption ou l’accès non autorisé. 

Différents outils permettent de répondre à cet enjeu :

Pour éviter les risques liés à l’utilisation prolongée d’une clé, il est conseillé de mettre en place des politiques de rotation régulière, par exemple tous les six ou douze mois, en fonction des normes de sécurité du secteur. 

En cas de risque avéré de compromission, la clé compromise doit être révoquée immédiatement afin d’empêcher son utilisation abusive. Si elle est associée à un certificat numérique, l’autorité de certification doit être contactée pour révoquer aussi le certificat et le signaler via une liste, tout en informant les parties concernées. 

Une nouvelle paire de clés doit ensuite être générée dans un environnement sécurisé, et protégée efficacement à l’aide de solutions telles qu’un HSM (Hardware Security Module) ou un KMS (Key Management Service). Enfin, la clé compromise doit être remplacée dans tous les systèmes concernés, les certificats mis à jour, les connexions sécurisées renégociées et les données sensibles rechiffrées si nécessaire.

Il est par ailleurs plus que nécessaire de rester informé sur les évolutions des standards de sécurité, qui évoluent constamment, avec de nouvelles technologies et l’émergence continue de nouvelles menaces. Rester à jour sur les meilleures pratiques et les algorithmes recommandés garantit une protection optimale.

Le choix et la gestion des clés de chiffrement sont essentiels pour garantir la sécurité des données. En adoptant des clés robustes, en révoquant celles-ci dès qu’un risque avéré de compromission survient, et en utilisant des outils de gestion adaptés, les DSI et les RSSI renforcent efficacement la protection des informations sensibles de leurs entreprises. Face aux menaces émergentes, notamment l’informatique quantique, anticiper en adoptant des clés post-quantiques devient crucial pour maintenir un haut niveau de sécurité.