Le vodcast sur la sécurité de l'identité pour les responsables et les praticiens de la cybersécurité
L'identité est désormais la première ligne de la cybersécurité - et les organisations doivent rester en tête des menaces, des pressions de conformité et des défis d'authentification. RSA Identity Unmasked est un vodcast mensuel animé par des experts de RSA et des leaders de l'industrie, couvrant les vrais problèmes qui façonnent la sécurité de l'identité aujourd'hui.
Inscrivez-vous dès maintenant en utilisant le formulaire “S'abonner”pour être informé de la disponibilité de nouveaux épisodes et obtenir des informations utiles sur des sujets tels que Authentification moderne, gouvernance de l'identité, confiance zéro, accès basé sur le risque, vérification par le service d'assistance, questions sectorielles, tendances technologiques, sujets d'actualité sectoriels, et bien d'autres choses encore.
Épisode 1 - L'informatique quantique
Rejoignez Ingo Schubert (RSA) et David Lello (Burning Tree) pour poursuivre le débat sur la cryptographie quantique, le calendrier des risques et la façon dont les organisations peuvent se préparer à la résilience de l'identité post-quantique. Dans ce premier épisode prolongé, nous avons droit à l'intégralité de la conversation. Installez-vous confortablement et prenez le pop-corn ! C'est un bon moment à regarder !
Transcription de la vidéo
INGO SCHUBERT : Bienvenue à RSA Identity Unmasked, le Vodcast où nous analysons les forces qui façonnent l'avenir de la sécurité de l'identité. Je suis votre hôte, Ingo Schubert, et aujourd'hui nous nous penchons sur un sujet qui suscite beaucoup d'intérêt dans l'industrie, l'informatique quantique. Aujourd'hui, je suis accompagné de David Lello, de Burning Tree. Entrons directement dans le vif du sujet. Aujourd'hui, l'informatique quantique, c'est le battage médiatique, la menace, l'opportunité, ou les trois à la fois. Nous reprenons en fait un débat qui a commencé à Bletchley Park en septembre de l'année dernière avec David Lilo de Burning Tree et moi-même, Ingo Schubert. Entrons donc directement dans le vif du sujet. David, bienvenue dans cet épisode.
DAVID LELLO : Merci
INGO SCHUBERT : Je pense que pour le bénéfice de l'auditoire, vous pouvez décrire en quelques mots ce qu'est l'informatique quantique pour que nous soyons au niveau des experts après que vous ayez terminé.
DAVID LELLO : Je vais commencer par la façon la plus simple d'envisager l'ordinateur quantique, car je pense que si nous entrons dans la physique théorique, nous risquons de perdre quelques personnes.
INGO SCHUBERT : Oui
DAVID LELLO : Avec les ordinateurs quantiques, les ordinateurs quantiques fonctionnent différemment des ordinateurs traditionnels. Avec un ordinateur quantique, il le fait différemment. Il utilise la mécanique quantique et donc, dans un monde multidimensionnel de mécanique quantique, il regarde les données et les voit. Il ne lit pas les données de la même manière et, par conséquent, il peut émettre des hypothèses et examiner de multiples constructions en même temps. C'est un peu comme lorsque vous lisez un livre, un ordinateur traditionnel le lira du début à la fin, alors qu'un ordinateur quantique lira le livre et verra les données. C'est pourquoi l'ordinateur quantique est capable de traiter les informations beaucoup plus rapidement. Et lorsqu'il s'agit de résoudre des problèmes, c'est un peu comme s'il résolvait tous les problèmes en même temps plutôt que d'examiner un problème et d'essayer de le résoudre en plusieurs fois.
INGO SCHUBERT : Oui, les algorithmes sont très différents, bien sûr. Oui, je pense que c'est probablement la raison pour laquelle de nombreuses personnes, et je me compte parmi elles, luttent, bien sûr, pour savoir comment programmer cette chose. Je pense que ce qui m'aide parfois à comprendre, comme, vous savez, c'est vraiment une bête différente, c'est que, vous savez, un ordinateur traditionnel, comme chaque bit, ouais. Si vous avez N bits, vous pouvez stocker N quantités de données. C'est zéro, un, ouais ? Avec l'ordinateur quantique, c'est deux à la puissance de N, oui, ce qui est comme, immédiatement, comme, si votre ancien instant se déclenche, c'est comme, oui, c'est beaucoup plus, oui, dans la même quantité de qubits dans ce cas, d'accord ? Par conséquent, le stockage et le traitement se font à un niveau différent, n'est-ce pas ? Je pense que nous allons en rester là, car sinon nous en aurions pour des jours, n'est-ce pas ? Je n'ai fait qu'expliquer les bases.
Le prochain sujet que j'aimerais explorer est l'état actuel de l'informatique quantique. Où en sommes-nous aujourd'hui ? Parce que je pense que, probablement, et si les gens qui nous regardent nous ont observés à Bletchley Park, nous avons des opinions différentes sur notre situation actuelle et future. Commençons donc par vous. Quel est l'état actuel de l'informatique quantique ?
DAVID LELLO : Je pense que l'informatique quantique en est encore à ses débuts. Il existe donc un certain nombre d'ordinateurs quantiques et il est possible de louer du temps sur des ordinateurs quantiques afin d'examiner des données. Mais je pense que la manière dont les ordinateurs quantiques ont été développés pose un certain nombre de problèmes. Certains ordinateurs quantiques nécessitent beaucoup de contrôle en termes de température, par exemple. Un ordinateur quantique fonctionne au zéro absolu, c'est-à-dire à moins 270 degrés Celsius, ce qui est très froid. Il faut donc de grandes installations, de grands équipements et beaucoup d'énergie. Sinon, on perd la cohésion et la stabilité de la plateforme.
Les premiers ordinateurs quantiques ne cessaient de s'éteindre à cause de ce problème. Il s'agit donc d'un problème qui doit être résolu et abordé. L'autre problème est que l'ordinateur quantique examine les données en même temps, ce qui crée beaucoup de bruit. Si vous deviez prendre quelque chose comme la Bible et la lire instantanément, plutôt que de la parcourir du début à la fin, cela créerait dans votre esprit un récit incompréhensible. Il deviendrait alors très difficile de digérer, de comprendre et de distiller le message.
Le bruit dans le système a donc créé un grand nombre de problèmes. Nous avons constaté de bons résultats à Oxford, où l'on a réduit le taux d'erreur et le bruit dans le système de manière significative. Mais le problème le plus important à l'heure actuelle est probablement la quantité de cubes qui peuvent être intriqués en même temps, car on commence à perdre la cohésion de ces cubes lorsque l'on dépasse une centaine de cubes. Le nombre de qubits qui peuvent être intriqués en même temps pour pouvoir traiter l'information est donc limité. Cela signifie que la puissance de traitement et la capacité de la machine sont limitées.
Il ne s'agit donc pas encore de ce que nous appellerions l'informatique quantique cryptographique, ce qui est un problème important, mais nous en sommes à un stade où elle a fait ses preuves. Elle fonctionne. Il fait ce que les scientifiques disent qu'il fait. Il s'agit simplement de passer au niveau supérieur et d'investir davantage. Tous les quelques mois, de nouvelles avancées sont réalisées ou font l'objet d'investissements importants, et nous commençons à voir des progrès.
INGO SCHUBERT : Oui, et c'est vrai. Et je pense que si vous comparez les ordinateurs quantiques, si vous regardez des photos d'eux, n'est-ce pas ? Entre il y a cinq ans et aujourd'hui, je les qualifierais encore partiellement d'expérience physique, mais c'était beaucoup plus physique il y a cinq ans, n'est-ce pas ? Si vous regardez la configuration physique de ces choses, n'est-ce pas ?
Cependant, s'il est vrai que, vous savez, ils deviennent comme, oui, vous leur posez un problème et ils peuvent le résoudre beaucoup plus rapidement que les ordinateurs traditionnels. Et cela tient en partie à ce que vous avez appelé la cohésion. Oui, la cohésion de base, c'est, vous savez, si vous pouvez seulement maintenir le système stable pendant un certain temps. Et ce temps est généralement mesuré au maximum en secondes, ou en millisecondes, en fonction de la puce utilisée. Et cette durée est loin d'être utile dans de nombreux cas. Il y a cependant des cas d'utilisation où cela a du sens. Pensez-y comme à un coprocesseur quantique. Mais le problème que je rencontre, c'est que dans de nombreux cas d'utilisation, on peut se demander si l'on ne pourrait pas résoudre le problème aussi bien avec quelques GPU de Nvidia, n'est-ce pas ?
Ainsi, l'une des choses que je vois constamment faire, c'est qu'il y a beaucoup de battage dans l'espace de l'informatique quantique. Je pense que cela recoupe un peu l'engouement pour l'IA. On peut aussi dire que si c'est du battage, c'est que c'est réel. Mais le fait est qu'il y a beaucoup de battage médiatique, beaucoup d'argent qui circule. Je pense qu'une partie de cet argent cherche maintenant une stratégie de sortie. Et l'informatique quantique semble être attrayante, n'est-ce pas ? Ils injectent donc beaucoup d'argent dans ce secteur et il y a des entreprises qui, fondamentalement, sont surévaluées et aussi surestimées en termes de promesses et d'activités, et cela s'applique en fait à tout le spectre, n'est-ce pas ? À Bletchley Park, j'ai pris l'exemple de la puce Willow de Google. Google a publié un communiqué de presse sur cette nouvelle puce avec une excellente correction d'erreur et la déclaration reprise par la presse populaire était que cette puce peut faire en cinq minutes ce qu'un ordinateur traditionnel peut faire en 10 ans, avec une puissance de 35 ans, ce qui est extraordinaire. puissance de 35 ans, ce qui est extraordinaire car l'univers n'a que 10 puissance de 25 ans, et si vous lisez l'article, c'est comme si ce n'était pas possible, c'était comme si cette chose pouvait fonctionner pendant cinq minutes et que des millions de fois, ils n'étaient pas capables de le faire, alors ce serait comme ça. Et si vous regardez d'autres communiqués de presse de différentes entreprises, grandes et petites, il y a une certaine tendance à exagérer ce qu'elles réalisent.
Et je pense que, malheureusement, cela noie certaines des avancées réelles que l'informatique quantique a réalisées au cours des deux dernières années, n'est-ce pas ? Et je pense que, et c'est là que nous en arrivons, cela donne l'impression que la menace de l'informatique quantique est beaucoup plus réelle qu'elle ne l'est en réalité, qu'elle est au coin de la rue. Mais avant de parler des raisons de la fin du monde si l'informatique quantique apparaît soudainement, quels seraient les avantages d'un ordinateur quantique que vous avez à l'esprit ? Qu'est-ce qu'il pourrait faire de mieux que n'importe quoi d'autre ?
DAVID LELLO : Je vais répondre à cette question en réagissant également à ce que vous avez dit à propos de l'ordinateur quantique et de son état actuel. Bien que je reconnaisse que l'ordinateur quantique pose des problèmes, je pense que nous sommes beaucoup plus près d'atteindre la stabilité dans un ordinateur quantique que ce qui est suggéré. Si je regarde en arrière, je pense que l'une des meilleures façons d'envisager l'avenir est de regarder l'histoire. Lorsque j'étais jeune et que je travaillais dans une banque, il y avait un ordinateur central, et c'était un ordinateur central IBM de la vieille école. L'ordinateur central occupait une pièce. C'était une grande pièce. Ce n'était pas une petite pièce. C'était une pièce assez grande. Il remplissait la pièce. Il y avait des vannes sur cet ordinateur central. Il y avait trois réservoirs de refroidissement d'eau. Il y avait des piscines dans le sous-sol de cette banque. Ce système était énorme. Quelques années auparavant, ils avaient remplacé le système de cartes perforées de cet ordinateur central.
Lorsqu'ils ont retiré l'ancien ordinateur central, ce qui a nécessité des chariots élévateurs et des machines très lourdes pour le sortir, ils ont dû découper certaines portes parce qu'ils ne pouvaient pas physiquement remettre l'ordinateur central à sa place. Ils l'ont remplacé par un rack et un ordinateur central qui étaient exponentiellement plus grands que ce qui existait auparavant. Nous avons assisté à une accélération massive des progrès des ordinateurs au fil des ans. Et si nous revenons 30 ans en arrière, vous savez, si vous revenez 40 ans en arrière, c'est juste, c'est massif, la quantité de changement que nous voyons se produire.
INGO SCHUBERT : Oui.
DAVID LELLO : Et ce que nous avons vu avec les ordinateurs quantiques, oui, il y a des indicateurs précoces et la science, cela ressemble un peu à ce vieil ordinateur central dans le sous-sol avec les trois réservoirs parce que vous avez besoin des systèmes de refroidissement, vous avez besoin du gros équipement, vous avez besoin de toutes les sortes de choses qui vont avec. Il y a beaucoup d'argent à investir. Il y a beaucoup d'investissements à faire. Et ces problèmes seront résolus. Et ils seront peut-être résolus plus rapidement que nous ne le pensons. Et les progrès que nous avons constatés de mois en mois en ce moment suggèrent que nous nous rapprochons de plus en plus de la cohésion. Je pense donc que nous nous en rapprochons encore un peu plus.
Et si c'est le cas, je pense que c'est vraiment très excitant parce que ce que l'ordinateur quantique peut faire, c'est traiter les données beaucoup plus rapidement, pas aussi rapidement que certains le prétendent, mais parce qu'il peut traiter ces données beaucoup plus rapidement, cela signifie qu'il peut examiner et résoudre des problèmes qui n'ont pas pu être résolus auparavant.
En physique théorique, vous connaissez le concept du chat de Schrodinger. Le chat est-il mort ou vivant ? Est-il décomposé ? Qu'est-ce que c'est ? Quel est l'état du chat ? Eh bien, l'ordinateur quantique serait capable de regarder et de voir le chat dans toutes ses possibilités et donc de résoudre des problèmes majeurs que nous n'avons pas été capables de résoudre.
INGO SCHUBERT : Oui, et je pense qu'en termes de médecine, vous savez, le pliage des protéines, par exemple, les ordinateurs quantiques auraient l'avantage sur les ordinateurs traditionnels, c'est certain, n'est-ce pas ? Et il y a d'autres choses où, vous savez, tout simplement tout ce qui a une quantité massive de données à traiter, vous savez, les prévisions météorologiques seraient une chose, comme, vous savez, n'importe quoi, les données géologiques, il y a pas mal de cas d'utilisation qui bénéficieraient de l'informatique.
Je ne pense pas que ce soit le cas parce qu'il n'y a pas de ligne droite entre ce qui s'est passé dans le passé avec les transistors et ce qui se passera à nouveau. C'est comme la loterie, ce n'est pas parce que vous avez gagné la dernière fois que vous ne gagnerez pas la prochaine fois, on repart de zéro à chaque fois, et surtout avec la cohésion, si vous parlez de quelques centaines de qubits, peut-être quelques milliers, pour être un ordinateur quantique universel qui, par exemple, peut exécuter l'algorithme de Shor, ce qui serait une menace pour la cryptographie. Vous parlez de quelques centaines de milliers de qubits, n'est-ce pas ? Et en chemin, nous pourrions nous heurter à un mur quelque part, n'est-ce pas ? Il n'y a aucune garantie que nous résoudrons ces problèmes. Nous pourrions, et en fait, oui, bien sûr, il pourrait y en avoir, mais il n'y a pas de garantie. Et en même temps, un ordinateur quantique doit survivre commercialement dans un environnement où nous avons vu une augmentation massive de la puissance de calcul dans le monde entier, grâce aux GPU essentiellement, n'est-ce pas ? Grâce à l'IA. Avant, c'était l'engouement pour le bitcoin, maintenant c'est l'IA. Et ce, sans qu'il y ait eu d'avancées fondamentales dans la conception des puces. Je veux dire, oui, elles deviennent plus petites grâce à cela. Nous avons massivement augmenté la puissance de calcul, à tel point que le facteur limitant est maintenant l'énergie, n'est-ce pas ? Donc l'énergie électrique.
Et dans cet environnement, un ordinateur quantique doit survivre. Maintenant, vous pouvez faire valoir l'argument que, hey, en particulier pour ceux, vous savez, craquer des clés, vous savez, certains gouvernements le feront, très bien. Oui, c'est très bien. Ils ont assez d'argent. Ils ne s'en soucient pas vraiment. Peut-être qu'ils devraient s'en soucier. Ce sont nos impôts, mais supposons qu'ils s'en fichent.
Il existe des cas pratiques d'utilisation de l'informatique quantique sur la voie d'un ordinateur quantique universel pleinement opérationnel. Je pense que c'est incontestable. Je ne dis pas que ce n'est pas le cas. Et il y a de bons cas d'utilisation pour cela. Comme je l'ai dit, vous savez, le pliage des protéines, par exemple, dans la recherche pharmaceutique, n'est-ce pas ?
Mais parlons des menaces, d'accord ? Et je ne parle pas de la consommation d'énergie, tout cela parce que nous avons cela aujourd'hui avec les unités traditionnelles, n'est-ce pas ? Je veux dire que les menaces concernent en particulier la sécurité informatique et la sécurité tout court, n'est-ce pas ? Parce qu'il y a certaines choses, vous savez, j'ai mentionné l'algorithme de Shor, donc peut-être que nous devrions, vous savez, expliquer brièvement, vous savez, ce que c'est et comment cela affecte la sécurité.
DAVID LELLO : Oui, avec l'ordinateur quantique, parce qu'il peut traiter les informations et les données beaucoup plus rapidement, il est capable d'utiliser l'algorithme de Shaw pour désosser les clés cryptographiques, et donc, lorsque nous avons un ordinateur quantique pertinent, il serait capable de casser ces clés en quelques secondes, voire en quelques minutes.
INGO SCHUBERT : Oui.
DAVID LELLO : Par conséquent, la plupart des données que nous consommons, utilisons et auxquelles nous accédons sont vulnérables aux attaques.
INGO SCHUBERT : Oui. L'argument de Schor, comme je l'ai déjà mentionné, est qu'il n'existe pas aujourd'hui d'ordinateur quantique capable d'exécuter cette tâche, car il faut des centaines de milliers de qubits en cohésion et qui fonctionnent pendant un certain temps. Alors oui, c'est quelques secondes, mais même quelques secondes sont un problème de nos jours pour certains ordinateurs quantiques. Cela briserait ou invaliderait en quelque sorte l'algorithme RSA, donc une clé publique privée, en utilisant RSA, mais aussi Diffie-Hellman et les courbes elliptiques, ECC. En gros, tous les algorithmes populaires qui ont été utilisés au cours des deux dernières décennies seraient essentiellement cassés, n'est-ce pas ? Ils le seraient avec un ordinateur quantique. Bien sûr, les ordinateurs traditionnels continueraient à se battre comme ils le font toujours, donc il n'y a pas de menace.
Et oui, si cela est cassé, je veux dire, ces algorithmes sont utilisés partout, n'est-ce pas ? Il s'agit donc, vous savez, de votre TLS traditionnel, d'une communication de serveur web, d'un client à un serveur web, des VPN, des signatures de courriel, du chiffrement des fichiers envoyés et de tout cela, vous savez, ils sont tous souvent basés sur RSA, ECC, et ou Diffie-Hellman, n'est-ce pas ? Donc, je veux dire, ce serait, on pourrait même dire catastrophique.
DAVID LELLO : Absolument. Ce serait complètement catastrophique. Je pense que plus je me penche sur la question et plus les cas d'utilisation sont nombreux, plus les systèmes vont tomber en panne. C'est un problème mondial. Comme l'authentification et l'entrée dans le système financier. Même des choses comme Bitcoin sont compromises. Ils utilisent le cryptage à courbe elliptique et il serait compromis. Il en résulterait un effondrement complet du système financier.
Donc, oui, cela peut être absolument catastrophique. Je pense que nous pouvons voir dans les cas typiques d'utilisation à grande échelle des problèmes majeurs, mais aussi des problèmes plus petits et moins publics auxquels les gens ne pensent pas toujours. Ainsi, lorsque nous commençons à parler d'IOT et d'OT et que nous commençons à penser aux dispositifs médicaux et à l'équipement médical, la capacité de compromettre ces dispositifs. Vous savez, vous prenez une personne qui porte une pompe à insuline.
Si je peux compromettre le cryptage de cette pompe à insuline, je peux tuer quelqu'un.
INGO SCHUBERT : Oui.
DAVID LELLO : C'est, vous savez, tout d'un coup, la criminalité derrière ces choses peut devenir exponentiellement plus importante. Et nous commençons à voir des choses comme Minority Report et des cas d'utilisation du type Terminator.
INGO SCHUBERT : C'est maintenant que tu parles. C'est devenu intéressant, oui.
Mais pour en revenir à la disponibilité des ordinateurs quantiques, cela ne se fera pas du jour au lendemain. Supposons que quelqu'un obtienne enfin un ordinateur quantique de 200 000 cubes capable d'exécuter l'algorithme de Shor, par exemple. D'habitude, c'est environ un million. Certaines recherches indiquent qu'il suffit de quelques 100 000 qubits. Ce n'est pas comme si, soudainement, tout le monde avait un ordinateur quantique. Seuls quelques gouvernements et centres de recherche ont accès à l'informatique quantique. Ce n'est pas comme si tous les cybercriminels y avaient accès.
Mais la menace est réelle. Je pense que c'est un peu comme le problème de l'an 2000. Nous l'avons vu venir depuis un certain temps, mais nous avons pris des mesures pour l'atténuer et il s'est avéré que c'était un peu comme un hamburger sans intérêt.
DAVID LELLO : Mais seulement parce que nous avons fait quelque chose.
INGO SCHUBERT : Exactement. Tout simplement parce que nous avons fait quelque chose, n'est-ce pas ? Si nous n'avions rien fait, cela aurait probablement été un énorme problème, mais nous avons fait quelque chose et tout s'est bien passé, n'est-ce pas ? Et je pense qu'il en sera probablement de même dans ce cas-ci, parce qu'il y a des choses qui peuvent être faites, ce qui nous amène au travail suivant.
Nous ne sommes peut-être pas d'accord sur le temps qu'il nous reste, n'est-ce pas ? Il y a eu un rapport de MITRE, un institut de recherche financé par le gouvernement américain, un rapport récent au début de l'année et ils ont placé l'algorithme de Shor quelque part au début des années 2040, probablement plus vers les années 2050, donc ce n'est pas comme s'ils avaient une incitation à le sortir, donc c'était un rapport solide, mais même si vous dites que c'est beaucoup plus tôt, il est peu probable que ce soit avant les années 2030. Je pense que c'est très peu probable, à moins qu'un miracle ne se produise. Que pouvez-vous donc faire aujourd'hui pour vous préparer à cette apocalypse quantique ?
DAVID LELLO : Je pense que ce sera bien plus rapide que 2050. Je pense, vous savez, que je déteste essayer de prédire parce que c'est une chose impossible. Vous savez, quand on essaie de prédire l'avenir, on échoue inévitablement parce que nous n'avons pas d'esprit surnaturel.
INGO SCHUBERT : Eh bien, rencontrons-nous en 2055. À la même heure, oui, pour que nous puissions en parler. Si je suis encore à l'intérieur.
DAVID LELLO : Absolument. C'est ce que nous allons faire. Même heure, même endroit. Faisons-le. D'accord, mais si c'est plus tôt, je pense qu'il faut voir comment nous pouvons célébrer cet événement parce que je pense qu'avec n'importe quel progrès technologique, une percée se produit, et elle se produit à un moment donné. Elle peut se produire la semaine prochaine. Il se peut qu'elle se produise dans dix ans. Nous n'en savons rien. Mais elle se produira, j'en suis sûr, parce que la science est là. Elle est crédible. C'est une réalité. Vous savez, un champ de tournesols est capable de maintenir sa cohésion à l'heure actuelle. La stabilité est là à température ambiante, dans un champ, avec tout ce qui se passe autour. Les animaux qui courent en dessous, la pollution et tout le reste. Un champ de tournesols peut avoir de la cohésion.
INGO SCHUBERT : C'est exact.
DAVID LELLO : Pourquoi un grand nombre de scientifiques le font-ils ?
INGO SHCUBERT : Oui, mais ils ont eu quelques millions d'années pour évoluer, n'est-ce pas ? C'est là où je veux en venir. Je suis d'accord, mais ils ont un peu d'avance, n'est-ce pas ?
DAVID LELLO : Pour en revenir à la question, je pense que l'un des problèmes que nous avons, et nous l'avons un peu abordé à Bletchley Park, c'est que ce que nous avons actuellement en termes de pratiques et de ce que nous appellerions les bonnes pratiques en matière de gestion des clés cryptographiques, je pense que beaucoup d'entreprises ont échoué. En ce qui concerne les événements, il y a quelques années, nous avons eu la vulnérabilité de SSL, et tout le monde s'est précipité et a cherché à remplacer les clés. Cela a permis aux organisations de devenir beaucoup plus agiles en termes de rotation de leurs clés TLS, ce qui est fantastique. Cela résout une bonne partie du problème. Si vos clés TLS sont flexibles, vous pouvez les modifier. Vous devrez peut-être effectuer quelques tests en cours de route pour vous assurer que tout fonctionne.
Mais les organisations peuvent commencer à réfléchir dès maintenant à leur autorité de certification, à la manière dont elle émet ses clés et à la manière dont elle remplace ses clés au niveau TLS. Et c'est très bien ainsi. Le problème que nous rencontrons lorsque nous pénétrons dans une organisation est que 20 à 30, voire 40% des clés ne sont pas gérées de cette manière. Très souvent, beaucoup de matériel comporte des clés intégrées dans une infrastructure matérielle et certains de ces matériels peuvent vivre pendant 20 ans et la possibilité de changer les clés dans ce matériel signifie qu'il faut changer le matériel.
Nous avons également beaucoup de mauvaises pratiques en matière de codage, en particulier à l'époque des constructions monolithiques où les applications comportaient des clés intégrées dans les applications elles-mêmes. Et lorsque nous commençons à réfléchir, ce n'est pas seulement arrivé.
INGO SCHUBERT : Je pense que c'est ce que je veux dire. Il s'agissait d'une mauvaise pratique, qu'il y ait ou non de l'informatique quantique.
DAVID LELLO : En effet. Ainsi, lorsque nous commençons à réfléchir à l'idée d'un jour Q, ce qui était facile pour le passage à l'an 2000 parce que nous avions une date. Nous n'avons pas de date avec le Q-Day.
INGO SCHUBERT : Très bonne remarque.
DAVID LELLO : Mais lorsqu'il finira par arriver, et il pourrait arriver demain, ou dans 10 ans, ou, si vous avez raison, dans bien plus longtemps que cela, nous nous retrouverons dans une situation où une bonne partie de l'organisation et de ses clés ne seront pas facilement remplaçables, et nous aurons un mouvement de panique. Nous allons être confrontés à un problème massif, très massif, car les données seront compromises.
Mais c'est aussi, l'autre problème que nous rencontrons est un sujet sur lequel on me pose souvent des questions et c'est la menace ‘ récolter maintenant, décrypter plus tard ’. Cela fait des années que l'on voit des données cryptées être volées - je veux dire que David Cameron, dans ce pays, a déclaré que toutes nos données avaient été volées par la Chine, mais que cela n'avait pas d'importance. Elles sont cryptées. En remontant quelques années en arrière, ce genre d'affirmation est certes vrai aujourd'hui, mais étant donné les technologies dont nous disposons à l'heure actuelle, avec un ordinateur quantique, cela devient un problème. Et oui, bien sûr, les données vieillissent.
INGO SCHUBERT : Mais certaines de ces données resteront pertinentes. Pas toutes, mais certaines. Je pense que c'est la même chose. Elles sont restées dans la nature, et si elles sont décryptées dans cinq ans, on s'en fiche, n'est-ce pas ? Ou dans 10 ans, oui. On peut donc argumenter que de nombreuses données d'identité pour l'authentification, si elles sont décryptées dans cinq ou dix ans, on s'en fiche un peu parce qu'elles sont déjà périmées. Mais il y a beaucoup de données stratégiques qui pourraient vous nuire pendant des décennies, n'est-ce pas ? Et vous n'avez même pas besoin d'être un État. Il peut s'agir d'une société normale, d'une entreprise normale.
DAVID LELLO : Exactement.
INGO SCHUBERT : Et qu'en est-il ?
DAVID LELLO : Je veux dire, vous savez, le nombre d'organisations dans lesquelles je vais où il y a des systèmes hérités. En fait, il n'y a pas si longtemps, j'étais dans une organisation où il y avait une application. Ils l'ont traitée comme une boîte noire, et ils l'ont traitée comme une boîte noire parce que le code source a été perdu. La personne qui l'a écrit est partie depuis longtemps, n'y touchez pas. Si elle tombe, la réponse est de l'allumer ou de l'éteindre, de l'allumer à nouveau et de prier parce que c'est la seule chose que vous puissiez faire. Il n'y a rien que vous puissiez faire. Et ce système contrôlait tous les accès à ses magasins, tous les accès à ses magasins. Et s'il est compromis, s'il est détruit, c'est l'organisation qui est détruite.
INGO SCHUBERT : Un seul point de défaillance.
DAVID LELLO : Un seul point de défaillance. Le nombre d'organisations dans lesquelles il existe un point de défaillance unique est extraordinaire. Les organisations doivent vraiment commencer à réfléchir à la manière de moderniser leur infrastructure de gestion des identités et des accès. Lorsque nous commençons à penser à la gestion des identités et des accès, la gestion des identités et des accès est la voie d'accès à tout. Nous l'avons vu avec les dernières attaques de ransomware qui ont eu lieu en Allemagne, ainsi qu'ici au Royaume-Uni, en Italie et dans d'autres pays. Ces attaques de ransomware ciblent les systèmes de contrôle d'accès. Qu'il s'agisse d'Active Directory ou d'un système comme celui que j'ai décrit, la possibilité de compromettre l'accès entraîne l'effondrement de l'organisation, l'arrêt de la communication et de la capacité d'accès. La modernisation de la gestion de l'accès à l'identité dans ce contexte sera l'une des grandes priorités.
INGO SCHUBERT : Oui, oui. Il est difficile de s'opposer à cela parce que, vous savez, c'est logique, quelle que soit la façon dont on l'envisage, n'est-ce pas ? Je pense que lorsque nous revenons à la gestion des clés de chiffrement cryptographique, de nombreux clients ne savent pas ce qu'ils ont, n'est-ce pas ? Ils n'ont pas une bonne vue d'ensemble de l'endroit où ils cryptent, où sont les clés, où ils signent numériquement. Ils n'ont pas cette vue d'ensemble. Je pense que c'est une partie du problème, n'est-ce pas ? Car vous ne pouvez pas réparer ce dont vous ignorez l'existence. De nombreux clients ont eu du mal à mettre en place une cyber-hygiène de base. C'est ce que je vois constamment, malheureusement, n'est-ce pas ? Pas plus tard que ce matin, j'ai reçu un appel concernant un client qui utilise un logiciel RSA vieux de 20 ans, 20 ans, n'est-ce pas ?
DAVID LELLO : Wow.
INGO SCHUBERT : Donc, en fait, ils ont appelé notre support pour quelque chose, et le support ne pouvait pas répondre, et c'est comme, ouais, bien sûr, vous savez, probablement le personnel de support qui répondait à l'appel téléphonique était probablement à la maternelle quand ce logiciel est sorti, n'est-ce pas ? Donc, ce que je veux dire, c'est que tant que nous ne faisons pas cette hygiène cybernétique de base et cette visibilité, tout d'abord, vous ne pouvez pas atteindre cet état de préparation quantique, ouais, où vous êtes prêt pour le jour Q. C'est juste comme si c'était impossible. C'est impossible.
Je pense aussi qu'il ne faut pas s'inquiéter de l'informatique quantique tant qu'on n'a pas réglé ce problème, n'est-ce pas ? Parce que si vous ne savez pas quel logiciel vous utilisez, si vous ne le maintenez pas à jour, vous dépendez bien sûr des vendeurs qui réparent ces choses, comme vous mettez en œuvre la cryptographie post-quantique, par exemple, n'est-ce pas ?
Mais si le logiciel sort avec la nouvelle version, avec toutes ces belles choses d'informatique quantique et que vous ne l'installez pas, cela signifie qu'il n'existe pas, n'est-ce pas ? Et même si vous le faites, si vos politiques et procédures concernant, par exemple, la gestion des données, ne sont pas correctes, de quoi s'agit-il ici ? Si l'attaquant peut simplement téléphoner à votre service d'assistance et demander à entrer, il n'a pas besoin d'un ordinateur quantique pour le faire, n'est-ce pas ? Il n'en a pas besoin aujourd'hui. Ils n'en avaient pas besoin hier. Ils n'en auront pas besoin demain. Ils n'ont qu'à téléphoner à votre service d'assistance si vos politiques ne sont pas adéquates et ils obtiennent l'accès.
Il y a donc beaucoup de choses qui peuvent mal tourner, qui ont mal tourné et qui tourneront mal, et qui n'ont rien à voir avec les ordinateurs quantiques. Et ma crainte est que les gens regardent cette chose quantique, ce Q -Day, et se laissent distraire par ce joli jouet brillant, n'est-ce pas ? Alors qu'ils ont tant de devoirs à faire, ce qu'ils n'ont probablement pas fait depuis des décennies, n'est-ce pas ? Et bien sûr, vous pouvez faire valoir l'argument selon lequel, hé, vous savez, vous devez faire cela, avoir de la visibilité, vous savez, avoir des correctifs en place sur cela, réparer vos procédures. S'il faut la menace de l'informatique quantique pour qu'un client le fasse, qu'il en soit ainsi, n'est-ce pas ? Je pourrais être heureux.
Mais une partie de moi se dit, non, parce que que que se passera-t-il si nous rencontrons un obstacle avec l'informatique quantique ? Pendant quelques années, il n'y a pas de réel avantage ou d'avancée, puis on se dit que c'est dans les années 2060, que je ne serai plus sur le marché du travail depuis longtemps et que je n'ai donc pas à m'inquiéter de cela.
Je vais vous donner quelques connaissances, oui, quelques noms, oui, le philosophe allemand Emmanuel Kant, oui, ne coupez pas cet éditeur, oui, c'est k, c'est k. C'est K -A -N -T, n'est-ce pas ? Donc je l'appelle Emmanuel à partir de maintenant, ouais.
Philosophe allemand du 18e siècle, il a dit beaucoup de choses intelligentes. Mais l'une des choses les plus intelligentes, à mon avis, c'est de faire ce qu'il faut parce que c'est ce qu'il faut faire, n'est-ce pas ? Pas parce que cela vous permet de gagner des points auprès d'une divinité. Vous le faites parce que c'est la bonne chose à faire.
Et avoir une bonne vue d'ensemble de l'endroit où l'on chiffre, de la manière dont on chiffre, des politiques, des procédures, des correctifs et de tout cela, c'est la bonne chose à faire, indépendamment du fait que l'informatique quantique soit dans 10 ans, 20 ans, 30 ans. Cela n'a pas d'importance. C'est ce qu'il faut faire. C'est ce que vous auriez dû faire depuis 20 ans. C'est essentiellement un point. Je pense que nous sommes d'accord sur ce point. Oui, tout à fait. Je pense que la motivation derrière cela est le point sur lequel nous sommes en désaccord parce que nous avons des opinions différentes sur l'état actuel et futur de l'informatique quantique. Mais absolument, si un client dit qu'il doit être prêt pour l'informatique quantique, l'effort n'est pas perdu.
DAVID LELLO : Non, absolument pas. Je pense aussi, Ingo, qu'une des choses qui est une réalité sur laquelle je suis toujours mis au défi, c'est que nous passons beaucoup de temps avec les conseils d'administration des grandes entreprises à parler aux directeurs financiers et autres. Une entreprise existe dans le but de fournir un produit ou un service et si elle est dans le secteur privé, elle doit faire des bénéfices, à moins bien sûr qu'il ne s'agisse d'une œuvre de charité, mais ne nous en préoccupons pas, alors l'idée de dépenser de l'argent juste parce que c'est la bonne chose à faire, lorsque cela me donne un rendement négatif, devient difficile et difficile à réaliser pour les financiers. Investir dans quelque chose parce que c'est la bonne chose à faire devient donc plus une discussion philosophique. Je ne pense pas que ce soit nécessairement la bonne approche.
INGO SCHUBERT : Oui, absolument.
DAVID LELLO : Même si je suis d'accord avec vous, absolument 100%, vous savez, du point de vue de la foi, vous savez, de ce que je crois, je voudrais toujours faire ce qui est juste. Mais la réalité est que les entreprises n'existent pas pour cela. Elles n'existent pas pour faire ce qu'il faut. Parfois, elles sont un peu immorales.
INGOSCHUBERT : Vraiment ? C'est la première fois que j'entends cela. Permettez-moi d'en prendre note.
DAVID LELLO : Je pense que ce que vous faites, c'est que nous regardons les choses d'une manière différente et je pense que l'une des réalités que nous voyons et qui résonne et que les gens comprennent, c'est de mesurer et de reconnaître et de réaliser quelle est mon exposition au risque associée à un environnement donné et nous devons la relier à quelque chose de tangible - nous devons toujours revenir à la question de savoir comment construire un dossier pour le changement dans ce monde - oui, et à quoi ressemble le changement ? Vous savez, l'un des défis que nous nous sommes lancés, parce que lorsque nous avons commencé à chercher à aider les organisations à répondre à ce problème, c'est qu'il n'y a pas vraiment de cadre qui traite de la préparation quantique. Il n'y en a pas.
Nous avons donc rédigé une norme. Nous avons rédigé une norme pour dire : voici une approche pour examiner le quantique. Nous avons pris différentes normes du NIST et des bonnes pratiques, de l'ISF et d'autres choses encore pour pouvoir proposer un modèle et un cadre qui nous permettent de commencer à l'étudier. Mais ce que cela fait, c'est que cela nous permet de commencer à regarder et à dire, eh bien, lorsque vous prenez un système comme ce système d'identité qui gère tous les accès qui est un environnement de boîte noire, quelle est mon exposition au risque d'avoir une machine comme celle-là ? Et j'enlèverai complètement le quantum. Quel est mon risque ? Est-ce que je comprends vraiment mon risque ? Si cette machine tombe en panne, qu'arrivera-t-il à mon environnement ? Et si je peux apprécier ce risque, je dois faire quelque chose pour y remédier.
INGO SCHUBERT : Oh, et c'est, je veux dire, en fin de compte, la bonne gestion des risques, que je vois manquer dans de nombreuses entreprises ou organisations en général, n'est-ce pas ? Et c'est ce qu'il faut faire, ce qu'on aurait dû faire depuis des années et ce qu'on devrait faire aujourd'hui, qu'il y ait ou non de l'informatique quantique. Voilà ce que je voulais dire.
Bien sûr, ils ne le font pas parce que c'est la bonne chose à faire, n'est-ce pas ? C'est un argument financier difficile à faire valoir. Je suis tout à fait d'accord avec vous. Mais il y a toutes les autres raisons pour lesquelles ils devraient le faire, n'est-ce pas ? Et encore une fois, si vous devez vendre ce concept d'examiner tout cela, de le comprendre et d'avoir une gestion des risques appropriée à cause de l'informatique quantique, soyez-en sûrs, n'est-ce pas ? Je pense que c'est absolument la bonne façon de procéder. Si c'est le levier dont vous avez besoin pour obtenir la signature, oh, oui, il faut absolument le faire. Parce qu'en fin de compte, même si l'informatique quantique n'existe que dans 30 ans, vous en bénéficiez encore aujourd'hui. En effet, le fait d'être prêt vous permet d'être en sécurité aujourd'hui également. Vous ne gaspillez pas l'argent. Je pense donc que c'est parfaitement la bonne chose à faire. Et il y a quelques recommandations et quelques cadres de l'Europe, par exemple, ils disent que d'ici 2026 - et pour être franc, vous devriez déjà l'avoir fait si vous voulez être conforme à la loi DORA. On voit peut-être encore les mêmes choses parce qu'il n'y a pas de gens qui le font. Donc visibilité et gestion des risques d'ici 2026, puis préparation quantique sous une forme ou une autre d'ici 2030 pour les risques élevés et d'ici 2035 pour les risques faibles et moyens, n'est-ce pas ? Cela semble donc très éloigné, mais, vous savez, nous sommes déjà à la fin de 2025, lorsque nous enregistrons ceci, la publication est en 2026.
Donc, c'est comme si, oui, c'est seulement dans une poignée d'années. Et si vous revenez au début de notre conversation, si vous regardez le problème du passage à l'an 2000, oui, si vous avez commencé en 1999, vous êtes probablement un peu en retard pour cela, n'est-ce pas ? Il faut donc se préparer dès maintenant, absolument, n'est-ce pas ?.
DAVID LELLO : Je pense que l'un des points que vous avez soulevés, et qui est fascinant en termes de psychologie humaine, concerne les réglementations, les réglementations européennes et les choses comme Dora. Les réglementations n'entrent réellement en vigueur que parce que les entreprises sont négligentes et ne font pas ce qu'il faut.
INGO SCHUBERT : Oui, absolument.
DAVID LELLO : Et parce qu'ils ne font pas ce qu'il faut, les législateurs disent que nous allons avoir un problème majeur dans le pays si nous ne nous penchons pas sur la question. Les lois entrent donc en jeu lorsqu'il faut faire quelque chose. Au Royaume-Uni, le NCSC a mis en place des directives concernant le quantum. Et nous avons DORA en Europe. Et malheureusement, à cause du Brexit...
INGO SCHUBERT : Vous l'avez apporté, je ne l'ai pas fait.
DAVID LELLO : Nous commençons à peine à examiner notre projet de loi sur la résilience. Le projet de loi sur la résilience a été publié pour recueillir les commentaires du public. Le premier numéro a été publié et les commentaires sont en cours. Nous aurons donc bientôt une lecture au Parlement. Espérons que nous rattraperons le reste du monde sur ce point particulier.
INGO SCHUBERT : Eh bien, sauf les États-Unis. Les États-Unis semblent être, vous savez, cet endroit sauvage sur la carte, ouais. Oui, c'est vrai. Oui, c'est comme si, et je le vois aussi en parlant avec des collègues américains, oui, c'est comme si, oui, nous n'avons pas vraiment cela, n'est-ce pas ? Mais partout ailleurs dans le monde, il semble que la résilience, la gestion des risques soit un peu plus mature en termes de réglementations et de pertes, ce qui est...
DAVID LELLO : Il faut l'avoir.
INGO SCHUBERT : Il faut les avoir, n'est-ce pas ? Et quand vous les lisez, et vous en avez probablement autant et probablement plus que moi, certaines de ces choses sont d'une évidence aveuglante, comme une bonne gestion des risques. C'est comme si vous deviez savoir que si cette chose tombe en panne, vous en connaissez les conséquences, n'est-ce pas ? Bien sûr, parce que votre entreprise doit gagner de l'argent et qu'il y a quelque chose qui l'en empêche. Vous devriez savoir pourquoi et comment y remédier. Et pourtant, ils ne le font pas tant qu'ils n'y sont pas contraints par la loi, ce qui est triste dans un certain sens, n'est-ce pas ?
DAVID LELLO : La nature humaine entre malheureusement en jeu. J'ai du mal avec cela parce que ce ne sont pas des choses difficiles, vous savez, examiner le risque et la gestion du risque n'est pas difficile.
INGO SCHUBERT : Non, mais cela prend du temps.
DAVID LELLO : Et cela prend du temps, mais je veux dire qu'il y a tellement de technologies différentes qui peuvent aider à simplifier le processus. Vous savez, les ordinateurs sont conçus pour automatiser les processus. Si nous avons des ordinateurs, c'est parce que nous avons des processus manuels qui nécessitent des armées de personnes pour faire quelque chose. Avec les ordinateurs, nous pouvons automatiser tous ces processus. Et avec les systèmes modernes, nous pouvons en automatiser encore plus. Prenons l'exemple de la gestion des vulnérabilités. Si vous disposez d'un environnement modernisé et que vous avez mis en place un système d'analyse des vulnérabilités, vous disposez d'une visibilité relativement bonne en termes de risques technologiques.
INGO SCHUBERT : Oui. Même chose pour nous. Gouvernance de l'identité. En fin de compte, ce n'est pas sorcier. Oui, bien sûr. Vous connecterez tous les différents systèmes, vous créerez peut-être quelques règles et tout le reste. Mais ensuite, vous avez cette visibilité et vous avez la vue, vous savez, en termes de séparation des tâches, de conformité, etc. Et oui, c'est du travail. Oui, c'est un investissement en termes d'argent et de temps, bien sûr, mais vous en retirez quelque chose.
DAVID LELLO : Oui.
INGO SCHUBERT : C'est vrai. Je pense que les gens ne réalisent pas non plus qu'une bonne gestion des risques vous apporte quelque chose en retour, parce que vous découvrez que vous ne devriez peut-être pas investir autant d'argent dans cette sécurisation ou que vous résiliez cette chose parce qu'elle n'a pas un impact énorme, alors que vous devriez investir davantage dans l'autre, parce que si elle tombe en panne, de mauvaises choses se produiront. Je pense que c'est également le cas, et bien sûr vous ne vous en rendez pas compte parce que si vous ne faites pas une bonne gestion des risques, vous n'avez pas cette visibilité, alors comment prendre cette décision, n'est-ce pas ? Donc les gens, en fait, les organisations se font du mal en ne faisant pas cela, n'est-ce pas ?
DAVID LELLO : Et la gouvernance des identités joue un rôle important dans ce domaine. C'est vrai. Vous savez, lorsque je parle d'identité à de nombreuses organisations, l'identité n'est pas l'une de ces choses que l'on fait en matière de sécurité parce que, vous savez, c'est une police d'assurance. L'identité est un facilitateur. C'est un véritable outil commercial qui aide les organisations à être plus efficaces et plus efficientes en termes d'accès. Mais il est essentiel d'avoir le bon accès au bon moment et au bon endroit, et d'avoir les modèles de gouvernance qui le permettent. Ainsi, lorsque nous commençons à examiner vos contrôles ITGC et vos systèmes financiers et que vous commencez à regarder comment l'accès doit être créé dans vos droits, votre séparation des tâches, les mandats qui l'accompagnent. Ces éléments ne sont pas nouveaux. Elles sont inscrites dans la loi sur les sociétés et le règlement financier depuis des décennies.
INGO SHUBERT : Absolument.
DAVID LELLO : Et la possibilité de contrôler cela avec un bon système de gouvernance des identités existe aujourd'hui. Et avec une solution modernisée, cela devient en fait assez facile. Ce n'est pas aussi difficile qu'on le pense.
INGO SCHUBERT : Regardez-nous. Nous parlons de la gouvernance de la sécurité de l'identité et nous avons commencé par le quantum. C'est comme si, oui, mais c'est le but. Je pense que c'est quelque chose qui ouvre la porte à certaines discussions chez les clients ou dans les organisations en général, où l'on se dit, oui, c'est bien. Parler de la menace quantique et, vous savez, mais à la fin, vous aboutissez à des discussions qui ne portent pas vraiment sur le quantique mais sur d'autres choses. Oui, vous pouvez réparer maintenant, vous devez réparer maintenant, indépendamment de ce qui se passera à l'avenir.
DAVID LELLO : C'est le concept d'hygiène de base.
INGO SCHUBERT : C'est le concept d'hygiène de base, exactement. C'est donc une façon parfaite de conclure. David, merci. Nous pourrions parler pendant des heures à chaque fois que nous nous rencontrons. Merci beaucoup. Je pense que la menace quantique peut sembler lointaine.
C'est possible, ce n'est pas possible. Mais j'espère qu'au cours de cette conversation, nos téléspectateurs et auditeurs ont compris que, vous savez quoi, peu importe si vous devez faire des choses aujourd'hui pour être prêt pour le quantum, cela ne fait pas de mal du tout. Cela ne fait pas de mal du tout.
Ce que vous en retirez vous permet de vous protéger dès aujourd'hui contre les menaces actuelles, n'est-ce pas ? Vous n'avez pas besoin d'attendre 20 ans pour en bénéficier. Vous en bénéficiez dès aujourd'hui.
Voilà qui conclut le débat d'aujourd'hui sur l'informatique quantique et son impact sur la sécurité des identités. L'avenir quantique relève de la science-fiction et les organisations doivent comprendre où se situent les véritables risques et opportunités. Si vous souhaitez en savoir plus sur la résilience de l'identité et les technologies qui préparent les organisations à l'avenir, visitez RSA.com. Si vous souhaitez recevoir d'autres épisodes de RSA Identity Unmasked, n'oubliez pas de vous abonner. Merci de nous avoir rejoints et à la prochaine fois.
DAVID LELLO : Merci
INGO SCHUBERT : Je pense que pour le bénéfice de l'auditoire, vous pouvez décrire en quelques mots ce qu'est l'informatique quantique pour que nous soyons au niveau des experts après que vous ayez terminé.
DAVID LELLO : Je vais commencer par la façon la plus simple d'envisager l'ordinateur quantique, car je pense que si nous entrons dans la physique théorique, nous risquons de perdre quelques personnes.
INGO SCHUBERT : Oui
DAVID LELLO : Avec les ordinateurs quantiques, les ordinateurs quantiques fonctionnent différemment des ordinateurs traditionnels. Avec un ordinateur quantique, il le fait différemment. Il utilise la mécanique quantique et donc, dans un monde multidimensionnel de mécanique quantique, il regarde les données et les voit. Il ne lit pas les données de la même manière et, par conséquent, il peut émettre des hypothèses et examiner de multiples constructions en même temps. C'est un peu comme lorsque vous lisez un livre, un ordinateur traditionnel le lira du début à la fin, alors qu'un ordinateur quantique lira le livre et verra les données. C'est pourquoi l'ordinateur quantique est capable de traiter les informations beaucoup plus rapidement. Et lorsqu'il s'agit de résoudre des problèmes, c'est un peu comme s'il résolvait tous les problèmes en même temps plutôt que d'examiner un problème et d'essayer de le résoudre en plusieurs fois.
INGO SCHUBERT : Oui, les algorithmes sont très différents, bien sûr. Oui, je pense que c'est probablement la raison pour laquelle de nombreuses personnes, et je me compte parmi elles, luttent, bien sûr, pour savoir comment programmer cette chose. Je pense que ce qui m'aide parfois à comprendre, comme, vous savez, c'est vraiment une bête différente, c'est que, vous savez, un ordinateur traditionnel, comme chaque bit, ouais. Si vous avez N bits, vous pouvez stocker N quantités de données. C'est zéro, un, ouais ? Avec l'ordinateur quantique, c'est deux à la puissance de N, oui, ce qui est comme, immédiatement, comme, si votre ancien instant se déclenche, c'est comme, oui, c'est beaucoup plus, oui, dans la même quantité de qubits dans ce cas, d'accord ? Par conséquent, le stockage et le traitement se font à un niveau différent, n'est-ce pas ? Je pense que nous allons en rester là, car sinon nous en aurions pour des jours, n'est-ce pas ? Je n'ai fait qu'expliquer les bases.
Le prochain sujet que j'aimerais explorer est l'état actuel de l'informatique quantique. Où en sommes-nous aujourd'hui ? Parce que je pense que, probablement, et si les gens qui nous regardent nous ont observés à Bletchley Park, nous avons des opinions différentes sur notre situation actuelle et future. Commençons donc par vous. Quel est l'état actuel de l'informatique quantique ?
DAVID LELLO : Je pense que l'informatique quantique en est encore à ses débuts. Il existe donc un certain nombre d'ordinateurs quantiques et il est possible de louer du temps sur des ordinateurs quantiques afin d'examiner des données. Mais je pense que la manière dont les ordinateurs quantiques ont été développés pose un certain nombre de problèmes. Certains ordinateurs quantiques nécessitent beaucoup de contrôle en termes de température, par exemple. Un ordinateur quantique fonctionne au zéro absolu, c'est-à-dire à moins 270 degrés Celsius, ce qui est très froid. Il faut donc de grandes installations, de grands équipements et beaucoup d'énergie. Sinon, on perd la cohésion et la stabilité de la plateforme.
Les premiers ordinateurs quantiques ne cessaient de s'éteindre à cause de ce problème. Il s'agit donc d'un problème qui doit être résolu et abordé. L'autre problème est que l'ordinateur quantique examine les données en même temps, ce qui crée beaucoup de bruit. Si vous deviez prendre quelque chose comme la Bible et la lire instantanément, plutôt que de la parcourir du début à la fin, cela créerait dans votre esprit un récit incompréhensible. Il deviendrait alors très difficile de digérer, de comprendre et de distiller le message.
Le bruit dans le système a donc créé un grand nombre de problèmes. Nous avons constaté de bons résultats à Oxford, où l'on a réduit le taux d'erreur et le bruit dans le système de manière significative. Mais le problème le plus important à l'heure actuelle est probablement la quantité de cubes qui peuvent être intriqués en même temps, car on commence à perdre la cohésion de ces cubes lorsque l'on dépasse une centaine de cubes. Le nombre de qubits qui peuvent être intriqués en même temps pour pouvoir traiter l'information est donc limité. Cela signifie que la puissance de traitement et la capacité de la machine sont limitées.
Il ne s'agit donc pas encore de ce que nous appellerions l'informatique quantique cryptographique, ce qui est un problème important, mais nous en sommes à un stade où elle a fait ses preuves. Elle fonctionne. Il fait ce que les scientifiques disent qu'il fait. Il s'agit simplement de passer au niveau supérieur et d'investir davantage. Tous les quelques mois, de nouvelles avancées sont réalisées ou font l'objet d'investissements importants, et nous commençons à voir des progrès.
INGO SCHUBERT : Oui, et c'est vrai. Et je pense que si vous comparez les ordinateurs quantiques, si vous regardez des photos d'eux, n'est-ce pas ? Entre il y a cinq ans et aujourd'hui, je les qualifierais encore partiellement d'expérience physique, mais c'était beaucoup plus physique il y a cinq ans, n'est-ce pas ? Si vous regardez la configuration physique de ces choses, n'est-ce pas ?
Cependant, s'il est vrai que, vous savez, ils deviennent comme, oui, vous leur posez un problème et ils peuvent le résoudre beaucoup plus rapidement que les ordinateurs traditionnels. Et cela tient en partie à ce que vous avez appelé la cohésion. Oui, la cohésion de base, c'est, vous savez, si vous pouvez seulement maintenir le système stable pendant un certain temps. Et ce temps est généralement mesuré au maximum en secondes, ou en millisecondes, en fonction de la puce utilisée. Et cette durée est loin d'être utile dans de nombreux cas. Il y a cependant des cas d'utilisation où cela a du sens. Pensez-y comme à un coprocesseur quantique. Mais le problème que je rencontre, c'est que dans de nombreux cas d'utilisation, on peut se demander si l'on ne pourrait pas résoudre le problème aussi bien avec quelques GPU de Nvidia, n'est-ce pas ?
Ainsi, l'une des choses que je vois constamment faire, c'est qu'il y a beaucoup de battage dans l'espace de l'informatique quantique. Je pense que cela recoupe un peu l'engouement pour l'IA. On peut aussi dire que si c'est du battage, c'est que c'est réel. Mais le fait est qu'il y a beaucoup de battage médiatique, beaucoup d'argent qui circule. Je pense qu'une partie de cet argent cherche maintenant une stratégie de sortie. Et l'informatique quantique semble être attrayante, n'est-ce pas ? Ils injectent donc beaucoup d'argent dans ce secteur et il y a des entreprises qui, fondamentalement, sont surévaluées et aussi surestimées en termes de promesses et d'activités, et cela s'applique en fait à tout le spectre, n'est-ce pas ? À Bletchley Park, j'ai pris l'exemple de la puce Willow de Google. Google a publié un communiqué de presse sur cette nouvelle puce avec une excellente correction d'erreur et la déclaration reprise par la presse populaire était que cette puce peut faire en cinq minutes ce qu'un ordinateur traditionnel peut faire en 10 ans, avec une puissance de 35 ans, ce qui est extraordinaire. puissance de 35 ans, ce qui est extraordinaire car l'univers n'a que 10 puissance de 25 ans, et si vous lisez l'article, c'est comme si ce n'était pas possible, c'était comme si cette chose pouvait fonctionner pendant cinq minutes et que des millions de fois, ils n'étaient pas capables de le faire, alors ce serait comme ça. Et si vous regardez d'autres communiqués de presse de différentes entreprises, grandes et petites, il y a une certaine tendance à exagérer ce qu'elles réalisent.
Et je pense que, malheureusement, cela noie certaines des avancées réelles que l'informatique quantique a réalisées au cours des deux dernières années, n'est-ce pas ? Et je pense que, et c'est là que nous en arrivons, cela donne l'impression que la menace de l'informatique quantique est beaucoup plus réelle qu'elle ne l'est en réalité, qu'elle est au coin de la rue. Mais avant de parler des raisons de la fin du monde si l'informatique quantique apparaît soudainement, quels seraient les avantages d'un ordinateur quantique que vous avez à l'esprit ? Qu'est-ce qu'il pourrait faire de mieux que n'importe quoi d'autre ?
DAVID LELLO : Je vais répondre à cette question en réagissant également à ce que vous avez dit à propos de l'ordinateur quantique et de son état actuel. Bien que je reconnaisse que l'ordinateur quantique pose des problèmes, je pense que nous sommes beaucoup plus près d'atteindre la stabilité dans un ordinateur quantique que ce qui est suggéré. Si je regarde en arrière, je pense que l'une des meilleures façons d'envisager l'avenir est de regarder l'histoire. Lorsque j'étais jeune et que je travaillais dans une banque, il y avait un ordinateur central, et c'était un ordinateur central IBM de la vieille école. L'ordinateur central occupait une pièce. C'était une grande pièce. Ce n'était pas une petite pièce. C'était une pièce assez grande. Il remplissait la pièce. Il y avait des vannes sur cet ordinateur central. Il y avait trois réservoirs de refroidissement d'eau. Il y avait des piscines dans le sous-sol de cette banque. Ce système était énorme. Quelques années auparavant, ils avaient remplacé le système de cartes perforées de cet ordinateur central.
Lorsqu'ils ont retiré l'ancien ordinateur central, ce qui a nécessité des chariots élévateurs et des machines très lourdes pour le sortir, ils ont dû découper certaines portes parce qu'ils ne pouvaient pas physiquement remettre l'ordinateur central à sa place. Ils l'ont remplacé par un rack et un ordinateur central qui étaient exponentiellement plus grands que ce qui existait auparavant. Nous avons assisté à une accélération massive des progrès des ordinateurs au fil des ans. Et si nous revenons 30 ans en arrière, vous savez, si vous revenez 40 ans en arrière, c'est juste, c'est massif, la quantité de changement que nous voyons se produire.
INGO SCHUBERT : Oui.
DAVID LELLO : Et ce que nous avons vu avec les ordinateurs quantiques, oui, il y a des indicateurs précoces et la science, cela ressemble un peu à ce vieil ordinateur central dans le sous-sol avec les trois réservoirs parce que vous avez besoin des systèmes de refroidissement, vous avez besoin du gros équipement, vous avez besoin de toutes les sortes de choses qui vont avec. Il y a beaucoup d'argent à investir. Il y a beaucoup d'investissements à faire. Et ces problèmes seront résolus. Et ils seront peut-être résolus plus rapidement que nous ne le pensons. Et les progrès que nous avons constatés de mois en mois en ce moment suggèrent que nous nous rapprochons de plus en plus de la cohésion. Je pense donc que nous nous en rapprochons encore un peu plus.
Et si c'est le cas, je pense que c'est vraiment très excitant parce que ce que l'ordinateur quantique peut faire, c'est traiter les données beaucoup plus rapidement, pas aussi rapidement que certains le prétendent, mais parce qu'il peut traiter ces données beaucoup plus rapidement, cela signifie qu'il peut examiner et résoudre des problèmes qui n'ont pas pu être résolus auparavant.
En physique théorique, vous connaissez le concept du chat de Schrodinger. Le chat est-il mort ou vivant ? Est-il décomposé ? Qu'est-ce que c'est ? Quel est l'état du chat ? Eh bien, l'ordinateur quantique serait capable de regarder et de voir le chat dans toutes ses possibilités et donc de résoudre des problèmes majeurs que nous n'avons pas été capables de résoudre.
INGO SCHUBERT : Oui, et je pense qu'en termes de médecine, vous savez, le pliage des protéines, par exemple, les ordinateurs quantiques auraient l'avantage sur les ordinateurs traditionnels, c'est certain, n'est-ce pas ? Et il y a d'autres choses où, vous savez, tout simplement tout ce qui a une quantité massive de données à traiter, vous savez, les prévisions météorologiques seraient une chose, comme, vous savez, n'importe quoi, les données géologiques, il y a pas mal de cas d'utilisation qui bénéficieraient de l'informatique.
Je ne pense pas que ce soit le cas parce qu'il n'y a pas de ligne droite entre ce qui s'est passé dans le passé avec les transistors et ce qui se passera à nouveau. C'est comme la loterie, ce n'est pas parce que vous avez gagné la dernière fois que vous ne gagnerez pas la prochaine fois, on repart de zéro à chaque fois, et surtout avec la cohésion, si vous parlez de quelques centaines de qubits, peut-être quelques milliers, pour être un ordinateur quantique universel qui, par exemple, peut exécuter l'algorithme de Shor, ce qui serait une menace pour la cryptographie. Vous parlez de quelques centaines de milliers de qubits, n'est-ce pas ? Et en chemin, nous pourrions nous heurter à un mur quelque part, n'est-ce pas ? Il n'y a aucune garantie que nous résoudrons ces problèmes. Nous pourrions, et en fait, oui, bien sûr, il pourrait y en avoir, mais il n'y a pas de garantie. Et en même temps, un ordinateur quantique doit survivre commercialement dans un environnement où nous avons vu une augmentation massive de la puissance de calcul dans le monde entier, grâce aux GPU essentiellement, n'est-ce pas ? Grâce à l'IA. Avant, c'était l'engouement pour le bitcoin, maintenant c'est l'IA. Et ce, sans qu'il y ait eu d'avancées fondamentales dans la conception des puces. Je veux dire, oui, elles deviennent plus petites grâce à cela. Nous avons massivement augmenté la puissance de calcul, à tel point que le facteur limitant est maintenant l'énergie, n'est-ce pas ? Donc l'énergie électrique.
Et dans cet environnement, un ordinateur quantique doit survivre. Maintenant, vous pouvez faire valoir l'argument que, hey, en particulier pour ceux, vous savez, craquer des clés, vous savez, certains gouvernements le feront, très bien. Oui, c'est très bien. Ils ont assez d'argent. Ils ne s'en soucient pas vraiment. Peut-être qu'ils devraient s'en soucier. Ce sont nos impôts, mais supposons qu'ils s'en fichent.
Il existe des cas pratiques d'utilisation de l'informatique quantique sur la voie d'un ordinateur quantique universel pleinement opérationnel. Je pense que c'est incontestable. Je ne dis pas que ce n'est pas le cas. Et il y a de bons cas d'utilisation pour cela. Comme je l'ai dit, vous savez, le pliage des protéines, par exemple, dans la recherche pharmaceutique, n'est-ce pas ?
Mais parlons des menaces, d'accord ? Et je ne parle pas de la consommation d'énergie, tout cela parce que nous avons cela aujourd'hui avec les unités traditionnelles, n'est-ce pas ? Je veux dire que les menaces concernent en particulier la sécurité informatique et la sécurité tout court, n'est-ce pas ? Parce qu'il y a certaines choses, vous savez, j'ai mentionné l'algorithme de Shor, donc peut-être que nous devrions, vous savez, expliquer brièvement, vous savez, ce que c'est et comment cela affecte la sécurité.
DAVID LELLO : Oui, avec l'ordinateur quantique, parce qu'il peut traiter les informations et les données beaucoup plus rapidement, il est capable d'utiliser l'algorithme de Shaw pour désosser les clés cryptographiques, et donc, lorsque nous avons un ordinateur quantique pertinent, il serait capable de casser ces clés en quelques secondes, voire en quelques minutes.
INGO SCHUBERT : Oui.
DAVID LELLO : Par conséquent, la plupart des données que nous consommons, utilisons et auxquelles nous accédons sont vulnérables aux attaques.
INGO SCHUBERT : Oui. L'argument de Schor, comme je l'ai déjà mentionné, est qu'il n'existe pas aujourd'hui d'ordinateur quantique capable d'exécuter cette tâche, car il faut des centaines de milliers de qubits en cohésion et qui fonctionnent pendant un certain temps. Alors oui, c'est quelques secondes, mais même quelques secondes sont un problème de nos jours pour certains ordinateurs quantiques. Cela briserait ou invaliderait en quelque sorte l'algorithme RSA, donc une clé publique privée, en utilisant RSA, mais aussi Diffie-Hellman et les courbes elliptiques, ECC. En gros, tous les algorithmes populaires qui ont été utilisés au cours des deux dernières décennies seraient essentiellement cassés, n'est-ce pas ? Ils le seraient avec un ordinateur quantique. Bien sûr, les ordinateurs traditionnels continueraient à se battre comme ils le font toujours, donc il n'y a pas de menace.
Et oui, si cela est cassé, je veux dire, ces algorithmes sont utilisés partout, n'est-ce pas ? Il s'agit donc, vous savez, de votre TLS traditionnel, d'une communication de serveur web, d'un client à un serveur web, des VPN, des signatures de courriel, du chiffrement des fichiers envoyés et de tout cela, vous savez, ils sont tous souvent basés sur RSA, ECC, et ou Diffie-Hellman, n'est-ce pas ? Donc, je veux dire, ce serait, on pourrait même dire catastrophique.
DAVID LELLO : Absolument. Ce serait complètement catastrophique. Je pense que plus je me penche sur la question et plus les cas d'utilisation sont nombreux, plus les systèmes vont tomber en panne. C'est un problème mondial. Comme l'authentification et l'entrée dans le système financier. Même des choses comme Bitcoin sont compromises. Ils utilisent le cryptage à courbe elliptique et il serait compromis. Il en résulterait un effondrement complet du système financier.
Donc, oui, cela peut être absolument catastrophique. Je pense que nous pouvons voir dans les cas typiques d'utilisation à grande échelle des problèmes majeurs, mais aussi des problèmes plus petits et moins publics auxquels les gens ne pensent pas toujours. Ainsi, lorsque nous commençons à parler d'IOT et d'OT et que nous commençons à penser aux dispositifs médicaux et à l'équipement médical, la capacité de compromettre ces dispositifs. Vous savez, vous prenez une personne qui porte une pompe à insuline.
Si je peux compromettre le cryptage de cette pompe à insuline, je peux tuer quelqu'un.
INGO SCHUBERT : Oui.
DAVID LELLO : C'est, vous savez, tout d'un coup, la criminalité derrière ces choses peut devenir exponentiellement plus importante. Et nous commençons à voir des choses comme Minority Report et des cas d'utilisation du type Terminator.
INGO SCHUBERT : C'est maintenant que tu parles. C'est devenu intéressant, oui.
Mais pour en revenir à la disponibilité des ordinateurs quantiques, cela ne se fera pas du jour au lendemain. Supposons que quelqu'un obtienne enfin un ordinateur quantique de 200 000 cubes capable d'exécuter l'algorithme de Shor, par exemple. D'habitude, c'est environ un million. Certaines recherches indiquent qu'il suffit de quelques 100 000 qubits. Ce n'est pas comme si, soudainement, tout le monde avait un ordinateur quantique. Seuls quelques gouvernements et centres de recherche ont accès à l'informatique quantique. Ce n'est pas comme si tous les cybercriminels y avaient accès.
Mais la menace est réelle. Je pense que c'est un peu comme le problème de l'an 2000. Nous l'avons vu venir depuis un certain temps, mais nous avons pris des mesures pour l'atténuer et il s'est avéré que c'était un peu comme un hamburger sans intérêt.
DAVID LELLO : Mais seulement parce que nous avons fait quelque chose.
INGO SCHUBERT : Exactement. Tout simplement parce que nous avons fait quelque chose, n'est-ce pas ? Si nous n'avions rien fait, cela aurait probablement été un énorme problème, mais nous avons fait quelque chose et tout s'est bien passé, n'est-ce pas ? Et je pense qu'il en sera probablement de même dans ce cas-ci, parce qu'il y a des choses qui peuvent être faites, ce qui nous amène au travail suivant.
Nous ne sommes peut-être pas d'accord sur le temps qu'il nous reste, n'est-ce pas ? Il y a eu un rapport de MITRE, un institut de recherche financé par le gouvernement américain, un rapport récent au début de l'année et ils ont placé l'algorithme de Shor quelque part au début des années 2040, probablement plus vers les années 2050, donc ce n'est pas comme s'ils avaient une incitation à le sortir, donc c'était un rapport solide, mais même si vous dites que c'est beaucoup plus tôt, il est peu probable que ce soit avant les années 2030. Je pense que c'est très peu probable, à moins qu'un miracle ne se produise. Que pouvez-vous donc faire aujourd'hui pour vous préparer à cette apocalypse quantique ?
DAVID LELLO : Je pense que ce sera bien plus rapide que 2050. Je pense, vous savez, que je déteste essayer de prédire parce que c'est une chose impossible. Vous savez, quand on essaie de prédire l'avenir, on échoue inévitablement parce que nous n'avons pas d'esprit surnaturel.
INGO SCHUBERT : Eh bien, rencontrons-nous en 2055. À la même heure, oui, pour que nous puissions en parler. Si je suis encore à l'intérieur.
DAVID LELLO : Absolument. C'est ce que nous allons faire. Même heure, même endroit. Faisons-le. D'accord, mais si c'est plus tôt, je pense qu'il faut voir comment nous pouvons célébrer cet événement parce que je pense qu'avec n'importe quel progrès technologique, une percée se produit, et elle se produit à un moment donné. Elle peut se produire la semaine prochaine. Il se peut qu'elle se produise dans dix ans. Nous n'en savons rien. Mais elle se produira, j'en suis sûr, parce que la science est là. Elle est crédible. C'est une réalité. Vous savez, un champ de tournesols est capable de maintenir sa cohésion à l'heure actuelle. La stabilité est là à température ambiante, dans un champ, avec tout ce qui se passe autour. Les animaux qui courent en dessous, la pollution et tout le reste. Un champ de tournesols peut avoir de la cohésion.
INGO SCHUBERT : C'est exact.
DAVID LELLO : Pourquoi un grand nombre de scientifiques le font-ils ?
INGO SHCUBERT : Oui, mais ils ont eu quelques millions d'années pour évoluer, n'est-ce pas ? C'est là où je veux en venir. Je suis d'accord, mais ils ont un peu d'avance, n'est-ce pas ?
DAVID LELLO : Pour en revenir à la question, je pense que l'un des problèmes que nous avons, et nous l'avons un peu abordé à Bletchley Park, c'est que ce que nous avons actuellement en termes de pratiques et de ce que nous appellerions les bonnes pratiques en matière de gestion des clés cryptographiques, je pense que beaucoup d'entreprises ont échoué. En ce qui concerne les événements, il y a quelques années, nous avons eu la vulnérabilité de SSL, et tout le monde s'est précipité et a cherché à remplacer les clés. Cela a permis aux organisations de devenir beaucoup plus agiles en termes de rotation de leurs clés TLS, ce qui est fantastique. Cela résout une bonne partie du problème. Si vos clés TLS sont flexibles, vous pouvez les modifier. Vous devrez peut-être effectuer quelques tests en cours de route pour vous assurer que tout fonctionne.
Mais les organisations peuvent commencer à réfléchir dès maintenant à leur autorité de certification, à la manière dont elle émet ses clés et à la manière dont elle remplace ses clés au niveau TLS. Et c'est très bien ainsi. Le problème que nous rencontrons lorsque nous pénétrons dans une organisation est que 20 à 30, voire 40% des clés ne sont pas gérées de cette manière. Très souvent, beaucoup de matériel comporte des clés intégrées dans une infrastructure matérielle et certains de ces matériels peuvent vivre pendant 20 ans et la possibilité de changer les clés dans ce matériel signifie qu'il faut changer le matériel.
Nous avons également beaucoup de mauvaises pratiques en matière de codage, en particulier à l'époque des constructions monolithiques où les applications comportaient des clés intégrées dans les applications elles-mêmes. Et lorsque nous commençons à réfléchir, ce n'est pas seulement arrivé.
INGO SCHUBERT : Je pense que c'est ce que je veux dire. Il s'agissait d'une mauvaise pratique, qu'il y ait ou non de l'informatique quantique.
DAVID LELLO : En effet. Ainsi, lorsque nous commençons à réfléchir à l'idée d'un jour Q, ce qui était facile pour le passage à l'an 2000 parce que nous avions une date. Nous n'avons pas de date avec le Q-Day.
INGO SCHUBERT : Très bonne remarque.
DAVID LELLO : Mais lorsqu'il finira par arriver, et il pourrait arriver demain, ou dans 10 ans, ou, si vous avez raison, dans bien plus longtemps que cela, nous nous retrouverons dans une situation où une bonne partie de l'organisation et de ses clés ne seront pas facilement remplaçables, et nous aurons un mouvement de panique. Nous allons être confrontés à un problème massif, très massif, car les données seront compromises.
Mais c'est aussi, l'autre problème que nous rencontrons est un sujet sur lequel on me pose souvent des questions et c'est la menace ‘ récolter maintenant, décrypter plus tard ’. Cela fait des années que l'on voit des données cryptées être volées - je veux dire que David Cameron, dans ce pays, a déclaré que toutes nos données avaient été volées par la Chine, mais que cela n'avait pas d'importance. Elles sont cryptées. En remontant quelques années en arrière, ce genre d'affirmation est certes vrai aujourd'hui, mais étant donné les technologies dont nous disposons à l'heure actuelle, avec un ordinateur quantique, cela devient un problème. Et oui, bien sûr, les données vieillissent.
INGO SCHUBERT : Mais certaines de ces données resteront pertinentes. Pas toutes, mais certaines. Je pense que c'est la même chose. Elles sont restées dans la nature, et si elles sont décryptées dans cinq ans, on s'en fiche, n'est-ce pas ? Ou dans 10 ans, oui. On peut donc argumenter que de nombreuses données d'identité pour l'authentification, si elles sont décryptées dans cinq ou dix ans, on s'en fiche un peu parce qu'elles sont déjà périmées. Mais il y a beaucoup de données stratégiques qui pourraient vous nuire pendant des décennies, n'est-ce pas ? Et vous n'avez même pas besoin d'être un État. Il peut s'agir d'une société normale, d'une entreprise normale.
DAVID LELLO : Exactement.
INGO SCHUBERT : Et qu'en est-il ?
DAVID LELLO : Je veux dire, vous savez, le nombre d'organisations dans lesquelles je vais où il y a des systèmes hérités. En fait, il n'y a pas si longtemps, j'étais dans une organisation où il y avait une application. Ils l'ont traitée comme une boîte noire, et ils l'ont traitée comme une boîte noire parce que le code source a été perdu. La personne qui l'a écrit est partie depuis longtemps, n'y touchez pas. Si elle tombe, la réponse est de l'allumer ou de l'éteindre, de l'allumer à nouveau et de prier parce que c'est la seule chose que vous puissiez faire. Il n'y a rien que vous puissiez faire. Et ce système contrôlait tous les accès à ses magasins, tous les accès à ses magasins. Et s'il est compromis, s'il est détruit, c'est l'organisation qui est détruite.
INGO SCHUBERT : Un seul point de défaillance.
DAVID LELLO : Un seul point de défaillance. Le nombre d'organisations dans lesquelles il existe un point de défaillance unique est extraordinaire. Les organisations doivent vraiment commencer à réfléchir à la manière de moderniser leur infrastructure de gestion des identités et des accès. Lorsque nous commençons à penser à la gestion des identités et des accès, la gestion des identités et des accès est la voie d'accès à tout. Nous l'avons vu avec les dernières attaques de ransomware qui ont eu lieu en Allemagne, ainsi qu'ici au Royaume-Uni, en Italie et dans d'autres pays. Ces attaques de ransomware ciblent les systèmes de contrôle d'accès. Qu'il s'agisse d'Active Directory ou d'un système comme celui que j'ai décrit, la possibilité de compromettre l'accès entraîne l'effondrement de l'organisation, l'arrêt de la communication et de la capacité d'accès. La modernisation de la gestion de l'accès à l'identité dans ce contexte sera l'une des grandes priorités.
INGO SCHUBERT : Oui, oui. Il est difficile de s'opposer à cela parce que, vous savez, c'est logique, quelle que soit la façon dont on l'envisage, n'est-ce pas ? Je pense que lorsque nous revenons à la gestion des clés de chiffrement cryptographique, de nombreux clients ne savent pas ce qu'ils ont, n'est-ce pas ? Ils n'ont pas une bonne vue d'ensemble de l'endroit où ils cryptent, où sont les clés, où ils signent numériquement. Ils n'ont pas cette vue d'ensemble. Je pense que c'est une partie du problème, n'est-ce pas ? Car vous ne pouvez pas réparer ce dont vous ignorez l'existence. De nombreux clients ont eu du mal à mettre en place une cyber-hygiène de base. C'est ce que je vois constamment, malheureusement, n'est-ce pas ? Pas plus tard que ce matin, j'ai reçu un appel concernant un client qui utilise un logiciel RSA vieux de 20 ans, 20 ans, n'est-ce pas ?
DAVID LELLO : Wow.
INGO SCHUBERT : Donc, en fait, ils ont appelé notre support pour quelque chose, et le support ne pouvait pas répondre, et c'est comme, ouais, bien sûr, vous savez, probablement le personnel de support qui répondait à l'appel téléphonique était probablement à la maternelle quand ce logiciel est sorti, n'est-ce pas ? Donc, ce que je veux dire, c'est que tant que nous ne faisons pas cette hygiène cybernétique de base et cette visibilité, tout d'abord, vous ne pouvez pas atteindre cet état de préparation quantique, ouais, où vous êtes prêt pour le jour Q. C'est juste comme si c'était impossible. C'est impossible.
Je pense aussi qu'il ne faut pas s'inquiéter de l'informatique quantique tant qu'on n'a pas réglé ce problème, n'est-ce pas ? Parce que si vous ne savez pas quel logiciel vous utilisez, si vous ne le maintenez pas à jour, vous dépendez bien sûr des vendeurs qui réparent ces choses, comme vous mettez en œuvre la cryptographie post-quantique, par exemple, n'est-ce pas ?
Mais si le logiciel sort avec la nouvelle version, avec toutes ces belles choses d'informatique quantique et que vous ne l'installez pas, cela signifie qu'il n'existe pas, n'est-ce pas ? Et même si vous le faites, si vos politiques et procédures concernant, par exemple, la gestion des données, ne sont pas correctes, de quoi s'agit-il ici ? Si l'attaquant peut simplement téléphoner à votre service d'assistance et demander à entrer, il n'a pas besoin d'un ordinateur quantique pour le faire, n'est-ce pas ? Il n'en a pas besoin aujourd'hui. Ils n'en avaient pas besoin hier. Ils n'en auront pas besoin demain. Ils n'ont qu'à téléphoner à votre service d'assistance si vos politiques ne sont pas adéquates et ils obtiennent l'accès.
Il y a donc beaucoup de choses qui peuvent mal tourner, qui ont mal tourné et qui tourneront mal, et qui n'ont rien à voir avec les ordinateurs quantiques. Et ma crainte est que les gens regardent cette chose quantique, ce Q -Day, et se laissent distraire par ce joli jouet brillant, n'est-ce pas ? Alors qu'ils ont tant de devoirs à faire, ce qu'ils n'ont probablement pas fait depuis des décennies, n'est-ce pas ? Et bien sûr, vous pouvez faire valoir l'argument selon lequel, hé, vous savez, vous devez faire cela, avoir de la visibilité, vous savez, avoir des correctifs en place sur cela, réparer vos procédures. S'il faut la menace de l'informatique quantique pour qu'un client le fasse, qu'il en soit ainsi, n'est-ce pas ? Je pourrais être heureux.
Mais une partie de moi se dit, non, parce que que que se passera-t-il si nous rencontrons un obstacle avec l'informatique quantique ? Pendant quelques années, il n'y a pas de réel avantage ou d'avancée, puis on se dit que c'est dans les années 2060, que je ne serai plus sur le marché du travail depuis longtemps et que je n'ai donc pas à m'inquiéter de cela.
Je vais vous donner quelques connaissances, oui, quelques noms, oui, le philosophe allemand Emmanuel Kant, oui, ne coupez pas cet éditeur, oui, c'est k, c'est k. C'est K -A -N -T, n'est-ce pas ? Donc je l'appelle Emmanuel à partir de maintenant, ouais.
Philosophe allemand du 18e siècle, il a dit beaucoup de choses intelligentes. Mais l'une des choses les plus intelligentes, à mon avis, c'est de faire ce qu'il faut parce que c'est ce qu'il faut faire, n'est-ce pas ? Pas parce que cela vous permet de gagner des points auprès d'une divinité. Vous le faites parce que c'est la bonne chose à faire.
Et avoir une bonne vue d'ensemble de l'endroit où l'on chiffre, de la manière dont on chiffre, des politiques, des procédures, des correctifs et de tout cela, c'est la bonne chose à faire, indépendamment du fait que l'informatique quantique soit dans 10 ans, 20 ans, 30 ans. Cela n'a pas d'importance. C'est ce qu'il faut faire. C'est ce que vous auriez dû faire depuis 20 ans. C'est essentiellement un point. Je pense que nous sommes d'accord sur ce point. Oui, tout à fait. Je pense que la motivation derrière cela est le point sur lequel nous sommes en désaccord parce que nous avons des opinions différentes sur l'état actuel et futur de l'informatique quantique. Mais absolument, si un client dit qu'il doit être prêt pour l'informatique quantique, l'effort n'est pas perdu.
DAVID LELLO : Non, absolument pas. Je pense aussi, Ingo, qu'une des choses qui est une réalité sur laquelle je suis toujours mis au défi, c'est que nous passons beaucoup de temps avec les conseils d'administration des grandes entreprises à parler aux directeurs financiers et autres. Une entreprise existe dans le but de fournir un produit ou un service et si elle est dans le secteur privé, elle doit faire des bénéfices, à moins bien sûr qu'il ne s'agisse d'une œuvre de charité, mais ne nous en préoccupons pas, alors l'idée de dépenser de l'argent juste parce que c'est la bonne chose à faire, lorsque cela me donne un rendement négatif, devient difficile et difficile à réaliser pour les financiers. Investir dans quelque chose parce que c'est la bonne chose à faire devient donc plus une discussion philosophique. Je ne pense pas que ce soit nécessairement la bonne approche.
INGO SCHUBERT : Oui, absolument.
DAVID LELLO : Même si je suis d'accord avec vous, absolument 100%, vous savez, du point de vue de la foi, vous savez, de ce que je crois, je voudrais toujours faire ce qui est juste. Mais la réalité est que les entreprises n'existent pas pour cela. Elles n'existent pas pour faire ce qu'il faut. Parfois, elles sont un peu immorales.
INGOSCHUBERT : Vraiment ? C'est la première fois que j'entends cela. Permettez-moi d'en prendre note.
DAVID LELLO : Je pense que ce que vous faites, c'est que nous regardons les choses d'une manière différente et je pense que l'une des réalités que nous voyons et qui résonne et que les gens comprennent, c'est de mesurer et de reconnaître et de réaliser quelle est mon exposition au risque associée à un environnement donné et nous devons la relier à quelque chose de tangible - nous devons toujours revenir à la question de savoir comment construire un dossier pour le changement dans ce monde - oui, et à quoi ressemble le changement ? Vous savez, l'un des défis que nous nous sommes lancés, parce que lorsque nous avons commencé à chercher à aider les organisations à répondre à ce problème, c'est qu'il n'y a pas vraiment de cadre qui traite de la préparation quantique. Il n'y en a pas.
Nous avons donc rédigé une norme. Nous avons rédigé une norme pour dire : voici une approche pour examiner le quantique. Nous avons pris différentes normes du NIST et des bonnes pratiques, de l'ISF et d'autres choses encore pour pouvoir proposer un modèle et un cadre qui nous permettent de commencer à l'étudier. Mais ce que cela fait, c'est que cela nous permet de commencer à regarder et à dire, eh bien, lorsque vous prenez un système comme ce système d'identité qui gère tous les accès qui est un environnement de boîte noire, quelle est mon exposition au risque d'avoir une machine comme celle-là ? Et j'enlèverai complètement le quantum. Quel est mon risque ? Est-ce que je comprends vraiment mon risque ? Si cette machine tombe en panne, qu'arrivera-t-il à mon environnement ? Et si je peux apprécier ce risque, je dois faire quelque chose pour y remédier.
INGO SCHUBERT : Oh, et c'est, je veux dire, en fin de compte, la bonne gestion des risques, que je vois manquer dans de nombreuses entreprises ou organisations en général, n'est-ce pas ? Et c'est ce qu'il faut faire, ce qu'on aurait dû faire depuis des années et ce qu'on devrait faire aujourd'hui, qu'il y ait ou non de l'informatique quantique. Voilà ce que je voulais dire.
Bien sûr, ils ne le font pas parce que c'est la bonne chose à faire, n'est-ce pas ? C'est un argument financier difficile à faire valoir. Je suis tout à fait d'accord avec vous. Mais il y a toutes les autres raisons pour lesquelles ils devraient le faire, n'est-ce pas ? Et encore une fois, si vous devez vendre ce concept d'examiner tout cela, de le comprendre et d'avoir une gestion des risques appropriée à cause de l'informatique quantique, soyez-en sûrs, n'est-ce pas ? Je pense que c'est absolument la bonne façon de procéder. Si c'est le levier dont vous avez besoin pour obtenir la signature, oh, oui, il faut absolument le faire. Parce qu'en fin de compte, même si l'informatique quantique n'existe que dans 30 ans, vous en bénéficiez encore aujourd'hui. En effet, le fait d'être prêt vous permet d'être en sécurité aujourd'hui également. Vous ne gaspillez pas l'argent. Je pense donc que c'est parfaitement la bonne chose à faire. Et il y a quelques recommandations et quelques cadres de l'Europe, par exemple, ils disent que d'ici 2026 - et pour être franc, vous devriez déjà l'avoir fait si vous voulez être conforme à la loi DORA. On voit peut-être encore les mêmes choses parce qu'il n'y a pas de gens qui le font. Donc visibilité et gestion des risques d'ici 2026, puis préparation quantique sous une forme ou une autre d'ici 2030 pour les risques élevés et d'ici 2035 pour les risques faibles et moyens, n'est-ce pas ? Cela semble donc très éloigné, mais, vous savez, nous sommes déjà à la fin de 2025, lorsque nous enregistrons ceci, la publication est en 2026.
Donc, c'est comme si, oui, c'est seulement dans une poignée d'années. Et si vous revenez au début de notre conversation, si vous regardez le problème du passage à l'an 2000, oui, si vous avez commencé en 1999, vous êtes probablement un peu en retard pour cela, n'est-ce pas ? Il faut donc se préparer dès maintenant, absolument, n'est-ce pas ?.
DAVID LELLO : Je pense que l'un des points que vous avez soulevés, et qui est fascinant en termes de psychologie humaine, concerne les réglementations, les réglementations européennes et les choses comme Dora. Les réglementations n'entrent réellement en vigueur que parce que les entreprises sont négligentes et ne font pas ce qu'il faut.
INGO SCHUBERT : Oui, absolument.
DAVID LELLO : Et parce qu'ils ne font pas ce qu'il faut, les législateurs disent que nous allons avoir un problème majeur dans le pays si nous ne nous penchons pas sur la question. Les lois entrent donc en jeu lorsqu'il faut faire quelque chose. Au Royaume-Uni, le NCSC a mis en place des directives concernant le quantum. Et nous avons DORA en Europe. Et malheureusement, à cause du Brexit...
INGO SCHUBERT : Vous l'avez apporté, je ne l'ai pas fait.
DAVID LELLO : Nous commençons à peine à examiner notre projet de loi sur la résilience. Le projet de loi sur la résilience a été publié pour recueillir les commentaires du public. Le premier numéro a été publié et les commentaires sont en cours. Nous aurons donc bientôt une lecture au Parlement. Espérons que nous rattraperons le reste du monde sur ce point particulier.
INGO SCHUBERT : Eh bien, sauf les États-Unis. Les États-Unis semblent être, vous savez, cet endroit sauvage sur la carte, ouais. Oui, c'est vrai. Oui, c'est comme si, et je le vois aussi en parlant avec des collègues américains, oui, c'est comme si, oui, nous n'avons pas vraiment cela, n'est-ce pas ? Mais partout ailleurs dans le monde, il semble que la résilience, la gestion des risques soit un peu plus mature en termes de réglementations et de pertes, ce qui est...
DAVID LELLO : Il faut l'avoir.
INGO SCHUBERT : Il faut les avoir, n'est-ce pas ? Et quand vous les lisez, et vous en avez probablement autant et probablement plus que moi, certaines de ces choses sont d'une évidence aveuglante, comme une bonne gestion des risques. C'est comme si vous deviez savoir que si cette chose tombe en panne, vous en connaissez les conséquences, n'est-ce pas ? Bien sûr, parce que votre entreprise doit gagner de l'argent et qu'il y a quelque chose qui l'en empêche. Vous devriez savoir pourquoi et comment y remédier. Et pourtant, ils ne le font pas tant qu'ils n'y sont pas contraints par la loi, ce qui est triste dans un certain sens, n'est-ce pas ?
DAVID LELLO : La nature humaine entre malheureusement en jeu. J'ai du mal avec cela parce que ce ne sont pas des choses difficiles, vous savez, examiner le risque et la gestion du risque n'est pas difficile.
INGO SCHUBERT : Non, mais cela prend du temps.
DAVID LELLO : Et cela prend du temps, mais je veux dire qu'il y a tellement de technologies différentes qui peuvent aider à simplifier le processus. Vous savez, les ordinateurs sont conçus pour automatiser les processus. Si nous avons des ordinateurs, c'est parce que nous avons des processus manuels qui nécessitent des armées de personnes pour faire quelque chose. Avec les ordinateurs, nous pouvons automatiser tous ces processus. Et avec les systèmes modernes, nous pouvons en automatiser encore plus. Prenons l'exemple de la gestion des vulnérabilités. Si vous disposez d'un environnement modernisé et que vous avez mis en place un système d'analyse des vulnérabilités, vous disposez d'une visibilité relativement bonne en termes de risques technologiques.
INGO SCHUBERT : Oui. Même chose pour nous. Gouvernance de l'identité. En fin de compte, ce n'est pas sorcier. Oui, bien sûr. Vous connecterez tous les différents systèmes, vous créerez peut-être quelques règles et tout le reste. Mais ensuite, vous avez cette visibilité et vous avez la vue, vous savez, en termes de séparation des tâches, de conformité, etc. Et oui, c'est du travail. Oui, c'est un investissement en termes d'argent et de temps, bien sûr, mais vous en retirez quelque chose.
DAVID LELLO : Oui.
INGO SCHUBERT : C'est vrai. Je pense que les gens ne réalisent pas non plus qu'une bonne gestion des risques vous apporte quelque chose en retour, parce que vous découvrez que vous ne devriez peut-être pas investir autant d'argent dans cette sécurisation ou que vous résiliez cette chose parce qu'elle n'a pas un impact énorme, alors que vous devriez investir davantage dans l'autre, parce que si elle tombe en panne, de mauvaises choses se produiront. Je pense que c'est également le cas, et bien sûr vous ne vous en rendez pas compte parce que si vous ne faites pas une bonne gestion des risques, vous n'avez pas cette visibilité, alors comment prendre cette décision, n'est-ce pas ? Donc les gens, en fait, les organisations se font du mal en ne faisant pas cela, n'est-ce pas ?
DAVID LELLO : Et la gouvernance des identités joue un rôle important dans ce domaine. C'est vrai. Vous savez, lorsque je parle d'identité à de nombreuses organisations, l'identité n'est pas l'une de ces choses que l'on fait en matière de sécurité parce que, vous savez, c'est une police d'assurance. L'identité est un facilitateur. C'est un véritable outil commercial qui aide les organisations à être plus efficaces et plus efficientes en termes d'accès. Mais il est essentiel d'avoir le bon accès au bon moment et au bon endroit, et d'avoir les modèles de gouvernance qui le permettent. Ainsi, lorsque nous commençons à examiner vos contrôles ITGC et vos systèmes financiers et que vous commencez à regarder comment l'accès doit être créé dans vos droits, votre séparation des tâches, les mandats qui l'accompagnent. Ces éléments ne sont pas nouveaux. Elles sont inscrites dans la loi sur les sociétés et le règlement financier depuis des décennies.
INGO SHUBERT : Absolument.
DAVID LELLO : Et la possibilité de contrôler cela avec un bon système de gouvernance des identités existe aujourd'hui. Et avec une solution modernisée, cela devient en fait assez facile. Ce n'est pas aussi difficile qu'on le pense.
INGO SCHUBERT : Regardez-nous. Nous parlons de la gouvernance de la sécurité de l'identité et nous avons commencé par le quantum. C'est comme si, oui, mais c'est le but. Je pense que c'est quelque chose qui ouvre la porte à certaines discussions chez les clients ou dans les organisations en général, où l'on se dit, oui, c'est bien. Parler de la menace quantique et, vous savez, mais à la fin, vous aboutissez à des discussions qui ne portent pas vraiment sur le quantique mais sur d'autres choses. Oui, vous pouvez réparer maintenant, vous devez réparer maintenant, indépendamment de ce qui se passera à l'avenir.
DAVID LELLO : C'est le concept d'hygiène de base.
INGO SCHUBERT : C'est le concept d'hygiène de base, exactement. C'est donc une façon parfaite de conclure. David, merci. Nous pourrions parler pendant des heures à chaque fois que nous nous rencontrons. Merci beaucoup. Je pense que la menace quantique peut sembler lointaine.
C'est possible, ce n'est pas possible. Mais j'espère qu'au cours de cette conversation, nos téléspectateurs et auditeurs ont compris que, vous savez quoi, peu importe si vous devez faire des choses aujourd'hui pour être prêt pour le quantum, cela ne fait pas de mal du tout. Cela ne fait pas de mal du tout.
Ce que vous en retirez vous permet de vous protéger dès aujourd'hui contre les menaces actuelles, n'est-ce pas ? Vous n'avez pas besoin d'attendre 20 ans pour en bénéficier. Vous en bénéficiez dès aujourd'hui.
Voilà qui conclut le débat d'aujourd'hui sur l'informatique quantique et son impact sur la sécurité des identités. L'avenir quantique relève de la science-fiction et les organisations doivent comprendre où se situent les véritables risques et opportunités. Si vous souhaitez en savoir plus sur la résilience de l'identité et les technologies qui préparent les organisations à l'avenir, visitez RSA.com. Si vous souhaitez recevoir d'autres épisodes de RSA Identity Unmasked, n'oubliez pas de vous abonner. Merci de nous avoir rejoints et à la prochaine fois.
