Identité numérique, un secteur loin d’être ennuyeux
Lorsque j’ai commencé à travailler dans le domaine de l’identité numérique, il y a plus de dix ans, celui-ci était souvent décrit comme un secteur mature, stable, voire peu dynamique. Aujourd’hui, il est évident que cette perception était limitée. Le trust management traverse en effet une phase d’évolution profonde, portée par des changements technologiques, réglementaires et géopolitiques qui en redéfinissent les fondements essentiels.
S’il est vrai que de nombreux protocoles à la base de l’identité numérique reposent sur des standards développés dans les années 1990 (comme la famille PKCS) et que la cryptographie asymétrique a été inventée dans les années 1970, le secteur du trust management connaît aujourd’hui une phase de grande effervescence. L’importance de ces technologies en tant que fondement de tout système de cybersécurité, la diffusion généralisée du concept d’identité numérique et l’effet multiplicateur de ces technologies sur la croissance économique et sociale d’un pays entier ont suscité un grand intérêt et contribué à des processus d’innovation technologique qui concerneront l’avenir de nous tous.
Le défi de la cryptographie post-quantique : protéger aujourd’hui ce qui comptera demain
L’un des sujets les plus importants qui émergent dans les discussions sur l’avenir du trust management est la transition vers des schémas cryptographiques capables de résister aux attaques des ordinateurs quantiques. Pour ceux qui souhaitent approfondir le sujet, chez Namirial nous en avons déjà parlé dans ces deux articles :
Towards Quantum-Safe Trust Services: the race against time to prevent the Quantum Meltdown
Formation à la Crypto-Agilité pour Gagner le Slalom Géant Face aux Menaces Quantiques
Il devient désormais clair pour beaucoup que nous aurons à l’avenir un problème important, car les technologies cryptographiques qui nous protègent aujourd’hui pourraient être inadaptées demain. Mais de nombreux documents et transactions protégés aujourd’hui pourraient conserver leur valeur demain. Par exemple, un contrat conserve sa valeur et ses effets pendant de nombreuses années, lorsque les ordinateurs quantiques pourraient être capables de compromettre les technologies actuellement utilisées pour certifier l’identité des parties signataires.
Pourquoi nous ne pouvons pas nous permettre d’attendre
Même si le risque n’est pas encore concret, il n’est pas envisageable d’attendre qu’il se matérialise, précisément parce qu’il existe un écart de plusieurs années entre aujourd’hui, où les informations sont protégées, et demain, où les compromettre sera techniquement possible et avantageux pour un attaquant déterminé. Les investissements massifs réalisés par les plus grands acteurs mondiaux dans le domaine de l’informatique quantique, souvent dans le cadre de programmes nationaux, suggèrent que cette dynamique pourrait se concrétiser rapidement.
Interopérabilité et effet de réseau : la complexité de la transition
Si tel est le problème, replacé dans le contexte du trust management, d’autres criticités apparaissent. Les systèmes de gestion de la confiance fonctionnent aussi parce qu’ils présentent des niveaux élevés d’interopérabilité. Un document numérique signé par deux parties reste compréhensible et vérifiable par les deux (ou par toute autre personne autorisée), même si les signatures ont été émises via les services de deux prestataires de services de confiance qualifiés différents, car ils reposent tous deux sur des technologies standardisées. Il s’agit de ce que l’on appelle l’effet de réseau, qui peut favoriser la diffusion de nouvelles technologies (le fax, au début des années 1990, était d’autant plus utile que vos correspondants l’utilisaient), mais aussi la freiner, comme c’est le cas pour la transition post-quantique du trust management.
En effet, si un opérateur du marché commence à fournir des services adaptés à la nouvelle menace, comment ses clients pourront-ils en bénéficier si cette avancée technologique n’est pas interopérable ?
Les feuilles de route mondiales vers le post-quantique
Pour ces raisons également, les autorités réglementaires au niveau mondial (comme le NIST pour les États-Unis d’Amérique et la Commission européenne pour l’Europe) ont élaboré des feuilles de route pour la transition post-quantique. Sans entrer trop dans les détails, il est intéressant de noter que ces deux documents convergent essentiellement sur deux dates. La première est 2030, date à laquelle les systèmes à haut risque devront avoir migré vers des schémas cryptographiques post-quantiques, tandis que l’échéance de 2035 concerne les systèmes à sécurité moyenne ou les systèmes legacy. Nous ne savons pas s’ils savent quelque chose que nous ignorons ; ils démontrent en tout cas la nécessité d’être prudents et proactifs.
Quatre ans à partir d’aujourd’hui, est-ce beaucoup ou peu ? C’est suffisant si tout l’écosystème du trust management se met en mouvement. Il faut agir sur de nombreux acteurs de la chaîne de valeur, dont les prestataires de services de confiance ne sont que les plus visibles pour l’utilisateur final. Un accord est nécessaire sur les algorithmes cryptographiques, les standards et les tests de conformité, et il doit être transféré dans des produits et des solutions capables de monter en charge dans un contexte complexe, dynamique et always-on. Il faut passer d’un monde où le même schéma cryptographique (RSA) était utilisé pour tout à un monde où différents schémas devront être utilisés pour différentes finalités. Un monde où la crypto-agilité, c’est-à-dire la capacité d’adapter un système ou un protocole à de nouvelles techniques cryptographiques, devra être intégrée dès la conception, et où de nombreux protocoles aujourd’hui largement utilisés devront être adaptés.
La vision stratégique de Namirial depuis 2020
Devons-nous alors être inquiets ? Non, nous devons être attentifs. Conscients des évolutions technologiques et scientifiques, de la nécessité d’une stratégie industrielle de long terme et des investissements nécessaires pour garantir la continuité des services et la confiance des clients.
Chez Namirial, nous avons commencé à travailler sur ces sujets en 2020, il y a maintenant six ans. Pour moi, il a été fascinant de pouvoir réfléchir très en amont à cette question, lorsque personne n’en parlait, en travaillant sur la dimension stratégique de l’innovation. Notre premier cryptographe recruté par l’entreprise remonte précisément à cette période, en raison de la conscience que nous avions — et qui a toujours été soutenue par les actionnaires et le management — qu’un jour nous aurions besoin de savoir quoi faire.
Nous avons ainsi impliqué des cryptographes, des chercheurs en cybersécurité, des développeurs de solutions de sécurité, des centres d’excellence et des universités. Nous avons exploré un secteur qui, à l’époque, était presque inconnu, parfois difficile d’accès, en collectant des informations, en menant des analyses et des expérimentations. Nous avons développé des projets de recherche, participé à des conférences, recueilli des avis et discuté en interne. Nous avons ainsi construit une expertise importante sur le sujet, que nous souhaitons aujourd’hui mettre au service de nos clients, mais qui doit également contribuer au progrès de l’ensemble du marché de référence.
L’identité numérique comme frontière de l’innovation
Aujourd’hui, nous sommes convaincus que la migration post-quantique est réalisable, avec engagement mais aussi avec confiance dans les objectifs, et qu’elle contribuera à définir la base technologique du secteur du trust management dans les prochaines années. Nous pensons que nos clients peuvent avoir confiance dans un plan qui montre déjà ses effets et qui poursuivra d’autres objectifs ambitieux à l’avenir (que, toutefois, nous ne vous révélerons que dans quelques années).
À la lumière de tout cela, l’idée que le secteur de l’identité numérique soit peu passionnant paraît aujourd’hui plus éloignée que jamais de la réalité. Pour nous chez Namirial, il ne l’a jamais été.
