Regard vers l’avenir : Informatique quantique et cybersécurité

L’arrivée des ordinateurs quantiques offre de nouvelles possibilités à la science et à la technologie grâce à leur formidable puissance de traitement des données, mais ces améliorations comportent également des risques importants en matière de cybersécurité.

Afin de protéger les renseignements confiés au gouvernement du Canada (GC), les ministères et organismes doivent commencer à planifier la transition vers la cryptographie post-quantique (CPQ). Le Centre de la sécurité des télécommunications Canada (CST) estime qu’un ordinateur quantique suffisamment puissant pour contourner de nombreuses normes cryptographiques pourrait être disponible dès les années 2030, mettant ainsi en péril une grande partie des données du GC.

L’un des objectifs de la Stratégie intégrée de la cybersécurité du GC est de faire évoluer les systèmes du GC vers l’utilisation de la CPQ normalisée, car les ordinateurs quantiques constituent une menace pour la cybersécurité des communications et des données, y compris les réseaux privés virtuels (RPV) et les sites Web sécurités. Ils pourraient également perturber les processus d’authentification, tels que les certificats utilisés dans l’infrastructure à clé publique (ICP) à des fins telles que les mises à jour logicielles.

Incidence sur le GC

Tous les appareils et les systèmes du GC qui utilisent le chiffrement devront être adaptés, soit par des mises à niveau, soit par des remplacements, pour utiliser un chiffrement quantique conçu pour résister aux menaces des ordinateurs quantiques. Les systèmes existants n’ont pas la flexibilité nécessaire pour intégrer de nouveaux algorithmes résistants aux ordinateurs quantiques et doivent être révisés pour assurer une protection contre les menaces futures.

Mesures de Services partagés Canada (SPC)

SPC élabore un plan et une stratégie pour la transition post-quantique en collaboration avec le CST et le Secrétariat du Conseil du Trésor du Canada (SCT). SPC s’engage à maintenir et à étendre ces efforts de collaboration avec des partenaires stratégiques et communiquera avec ses partenaires et clients au sujet des évolutions découlant de cette collaboration.

SPC fait également évoluer ses mesures de cybersécurité avec des concepts modernes tels que l’architecture à vérification systématique (AVS) pour se préparer à la CPQ dans le cadre de la feuille de route de cybersécurité globale du GC.

Mesures du CST

En tant qu’autorité nationale pour la sécurité des communications (COMSEC), le CSE gère la modernisation des équipements cryptographiques classifiés avec les gardiens de COMSEC dans l’ensemble du GC. Cette modernisation est conforme aux partenaires du Groupe des cinq et de l’OTAN.

Le CST et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité) fournissent des conseils et des orientations aux ministères du GC sur la nature de la menace quantique et sur la manière de passer de la cryptographie actuelle à la cryptographie post-quantique. Ils travaillent également avec des organismes internationaux de normalisation pour soutenir l’adoption d’algorithmes de CPQ.

Mesures à prendre dès maintenant par les organisations du GC

• Déterminer tous les systèmes qui devront être transférés : Cela comprend les ordinateurs, les ICP, les serveurs Web, les cadres d’autorisation, les RPV et les certificats numériques.
• Déterminer les exigences d’interopérabilité organisationnelles, les exigences de cycle de vie et les options de gestion clés : Une évaluation de la sensibilité de l’information à protéger peut aider à déterminer la priorité des systèmes qui doivent être transférés.
• Discuter avec les fournisseurs pour déterminer leurs plans et leurs calendriers de transition vers la CPQ : Cette information peut servir à créer un plan et un budget, des éléments nécessaires à la transition.
• S’assurer que les nouveaux produits et services achetés prennent en charge une CPQ normalisée et validée : Les produits doivent être testés et validés dans le cadre du Programme de validation des modules cryptographiques (PVMC) et doivent respecter les normes protocolaires de l’industrie pour réduire les risques de cybersécurité et éviter la dépendance vis-à-vis d’un fournisseur.

Pour en savoir plus sur la transition vers la CPQ, consultez les publications du Centre pour la cybersécurité sur la préparation de votre organisation à la menace que pose l’informatique quantique pour la cryptographie (ITSAP.00.017) et la façon de faire face à la menace que l’informatique quantique fait peser sur la cryptographie (ITSE.00.017).

Si vous avez des questions ou souhaitez en savoir plus, veuillez envoyer un courriel à cryptography-cryptographie@cyber.gc.ca.

Liens connexes

• Programme de validation des modules cryptographiques
• Le Centre pour la cybersécurité souligne l’établissement par le NIST de nouvelles normes post-quantiques
• Le NIST établit les 3 normes de chiffrement post-quantiques finalisées (en anglais seulement)
  • FIPS 203 (en anglais seulement)
  • FIPS 204 (en anglais seulement)
  • FIPS 205 (en anglais seulement)