Communication quantique en Europe : un élément primordial de défense contre les cyberguerres étatiques

Les cyberattaques soutenues par les États sont de plus en plus nombreuses et joueront un rôle important dans les conflits internationaux. Pourquoi un ennemi utiliserait-il des seulement des armées humaines alors qu’il peut nuire à l’infrastructure critique d’une nation avec un ordinateur – ou des millions d’ordinateurs… – lors d’une attaque coordonnée ? 

Plusieurs cyberattaques ont eu des conséquences dévastatrices, telles que celle contre les hôpitaux de Dax et de Villefranche-sur Saône, contre le Colonial Pipeline aux États-Unis, ou encore l’attaque impliquant le logiciel malveillant Wannacry, qui a causé le chaos dans le service national de santé du Royaume-Uni en 2017. 

Des attaques comme celles-ci nous montrent combien il est important d’inclure la cyberdéfense dans la stratégie d’évolution de la Défense. Et une partie essentielle de cette dernière consiste à établir une infrastructure de communications sécurisées, pouvant utilisant les principes de l’informatique quantique.

Communications quantiques : l’avenir de la cyberdéfense

L’investissement de l’Europe dans les communications quantiques est extrêmement prometteur. Cette initiative établit une forme ultra-sécurisée de cryptage afin de protéger les systèmes de communication contre les écoutes illicites ou leur contrôle par un pirate informatique. La combinaison d’éléments terrestres et spatiaux permet de surmonter les limites physiques d’un système de communication purement et traditionnellement terrestre. 

De nombreuses entités – tant dans le secteur public que privé – ont investi massivement dans la technologie quantique. Ainsi, la course est lancée pour produire le premier ensemble de produits industrialisés. L’UE ne fait pas exception à la règle. Elle s’appuie sur sa tradition d’excellence dans la recherche quantique et pourrait donc créer un « internet quantique » qui permettrait aux institutions publiques et privées d’échanger des informations hautement sensibles, en toute sécurité. 

Cette recherche est essentielle pour la sécurité. L’augmentation de la puissance des ordinateurs a permis aux pirates informatiques de lancer des attaques plus brutales et de réduire le temps nécessaire pour décrypter les données. Pourtant, il faut rester prudent : si la communication quantique est une solution incontournable pour la défense, les criminels sont déjà potentiellement en train d’élaborer des moyens de la briser.

En lançant son plan national Quantum en janvier 2021, la France est à l’avant-garde de ce projet. Airbus a été sélectionnée par la Commission Européenne pour diriger le consortium EuroQCI (Quantum Communication Infrastructure) et concevoir le réseau de communication quantique à l’échelle européenne. La France mène les recherches sur les Qubits (les bits quantiques qui constituent les unités de l’informatique quantique, pouvant avoir deux états en même temps) au CEA de Saclay, à l’ENS et au Collège de France à Paris.  

La première mission du consortium sera de permettre une distribution quantique de clés (QKD) ultra-sécurisée. Il s’agit d’une forme de cryptage très avancée, qui utilise les principes quantiques pour créer des clés aléatoires si intrinsèquement sûres que les attaquants sont incapables d’écouter ou de contrôler les canaux de communication. 

Il faudra du temps pour voir les premières preuves concrètes de ce concept pour un usage industriel dans les entreprises privées. Cependant, les premiers systèmes prototypes seront disponibles en 2021 et les premiers systèmes pour un usage scientifique le seront quant à eux en 2027.

7 mesures à appliquer pour se protéger des attaques cyber

D’ici là, les organisations doivent se concentrer sur la sécurisation des méthodes de cryptage existantes. Voici les mesures à considérer :

1. Revoir la méthode de classification et de protection des données. À mesure que les besoins de l’entreprise évoluent, les moyens de classification des données existantes doivent être revus pour ne pas devenir obsolètes.
2. Les audits classiques de protection des données ne seront pas suffisants : il faut effectuer en interne de nouvelles évaluations solides pour diagnostiquer l’état de la protection des données, en se basant sur les nouvelles taxonomies des attaques. 
3. Améliorer la sécurité du paysage applicatif de l’organisation, en mettant en pratique les principes de développement, de sécurité et d’opérations (DevSecOps), tant dans la maintenance des applications existantes que dans le développement des nouvelles. Il faut également impliquer les experts en sécurité dès le début du développement des versions majeures et des nouveaux logiciels. Ils auront ainsi davantage d’opportunités pour protéger les données et les informations importantes.
4. Tout ce qui est dans le Cloud Public n’est pas forcément autant sécurisé que les systèmes du fournisseur. Définissez et identifiez les mesures de sécurité organisationnelles et techniques nécessaires, puis assurez-vous que des référentiels Cloud y répondent. Les hyperscalers disposent des solutions nécessaires… mais il faut savoir les activer.
5. Crypter les données sensibles tout au long de leur vie, en utilisant le plus haut niveau de cryptage disponible. Le cryptage à l’arrêt (at rest) et en transit (in transit) doit être envisagé.
6. Gérer efficacement des clés de cryptage. Il faut les protéger en utilisant des clés différentes pour les données qui sont répliquées dans différentes régions. Ces clés doivent être mises à jour régulièrement. 
7. Vérifier constamment la conformité avec les règles et les entités publiques de cybersécurité qui fournissent des recommandations applicables à chaque région géographique et chaque secteur vertical.

La décision de l’UE de développer un réseau de communication quantique annonce une nouvelle ère dans la lutte contre la cyberguerre parrainée par les États. Ceci pourrait fondamentalement changer le paysage de la sécurité en Europe. D’ici là, cependant, nous devons faire tout ce qui est en notre pouvoir pour préserver nos infrastructures et nos données en nous reposant sur les technologies existantes.