Le National Cyber Security Center (NCSC) du Royaume-Uni a publié des calendriers spécifiques sur la migration vers la cryptographie post-quantique( PQC), dictant que les organisations critiques devraient achever la migration d’ici 2035.
Les nouvelles directives visent à fournir un plan de migration structuré avec des étapes précises à suivre pour toutes les organisations. Cela servira également à mettre en évidence les risques réels pour la sécurité de prendre du retard.
« L’informatique quantique est sur le point de révolutionner la technologie, mais elle pose également des risques importants pour les méthodes de cryptage actuelles », a déclaré Ollie Whitehouse, directeur technique du NCSC.
« Nos nouvelles directives sur la cryptographie post-quantique fournissent une feuille de route claire aux organisations pour protéger leurs données contre ces menaces futures, contribuant à garantir que les informations confidentielles d’aujourd’hui restent sécurisées dans les années à venir.
« À mesure que la technologie quantique progresse, l’amélioration de notre sécurité collective n’est pas seulement importante, elle est essentielle. »
Les directives de migration PQC du NCSC concernent principalement les agences gouvernementales, les grandes entreprises, les opérateurs d’infrastructures nationales critiques, ainsi que les fournisseurs de technologies et de logiciels dotés de systèmes informatiques sur mesure reposant sur la cryptographie.
Le calendrier de migration défini par les dernières directives du NCSC est le suivant:
- D’ici 2028, les organisations doivent définir leurs objectifs de migration, effectuer une découverte et une évaluation complètes de leurs dépendances cryptographiques et élaborer un plan de migration initial.
- D’ici 2031, les organisations devraient achever leurs activités de migration PQC les plus prioritaires, s’assurer que leur infrastructure est prête pour un avenir post-quantique et affiner leur plan de migration afin de fournir une feuille de route claire pour une mise en œuvre complète.
- D’ici 2035, les organisations doivent avoir terminé la migration vers PQC pour tous les systèmes, services et produits.
Le NCSC recommande d’adopter des algorithmes PQC approuvés par le NIST pour la migration, qui ont été normalisés par l’organisation américaine l’année dernière et devraient devenir le fondement de la sécurité post-quantique à l’échelle mondiale.
Ces algorithmes sont ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205). Plus tôt ce mois-ci, le NIST a également annoncé que HQC était son algorithme de sauvegarde officiellement sélectionné pour le cryptage post-quantique.
L’organisation britannique a reconnu les nombreux défis qui découlent d’une telle migration, notamment les systèmes hérités qui ne peuvent pas être déplacés vers l’ère post-quantique, le manque d’expertise interne et la complexité de la chaîne d’approvisionnement.
Le NCSC a annoncé qu’il lancerait bientôt un programme pilote visant à connecter des spécialistes de la cryptographie avec des organisations britanniques migrant vers PQC pour les aider à découvrir, évaluer et planifier les actifs.
Les États-Unis ont établi un calendrier similaire pour la migration vers la QPC par le biais du Mémorandum sur la sécurité nationale 10 (NSM-10), qui fixe également 2035 comme année cible pour achever la transition entre les systèmes fédéraux.