Identité RSA démasquée

INGO SCHUBERT
Bienvenue sur le site RSA Identity Unmasked. Depuis des décennies, les mots de passe sont le maillon faible de la sécurité. Pourtant, ils continuent d'être à la base de l'authentification des utilisateurs par les organisations, de la protection des systèmes et de l'établissement de la confiance. Ce modèle n'est plus viable. Les attaquants n'ont pas besoin de s'introduire, ils se connectent.
Et à mesure que le phishing, le vol d'informations d'identification et les attaques basées sur l'IA évoluent, il devient impossible d'ignorer les limites de la sécurité basée sur les mots de passe. Le passage à l'authentification sans mot de passe n'est pas seulement une amélioration de l'expérience utilisateur.
Il s'agit d'un changement fondamental dans la manière dont les organisations établissent et renforcent la confiance. Dans cet épisode, nous explorons ce que signifie réellement l'absence de mot de passe, comment des technologies telles que les passkeys et l'authentification résistante au phishing rehaussent la norme, et ce que les organisations doivent faire pour réussir la transition.
Je m'appelle Ingo Schubert, et aujourd'hui je suis accompagné en studio par Paul Mulvihill de notre équipe d'ingénieurs, ainsi qu'à distance par Rob Hugh, responsable de la sécurité des informations chez RSA, et Alex Sumerer, responsable de l'authentification chez Swissbit.
Paul, Rob et Alex, merci de nous avoir rejoints.
Pendant des décennies, les mots de passe ont été le maillon faible de la sécurité. Sommes-nous enfin parvenus au point où les organisations peuvent s'en affranchir ? Paul.

PAUL MULVIHILL
Je pense que nous allons dans la bonne direction. Nous avons de plus en plus de technologies qui n'en ont pas nécessairement besoin, mais nous avons beaucoup de systèmes qui en ont encore besoin en raison de leur héritage.

INGO SCHUBERT
Rob, qu'en pensez-vous ?

ROB HUGHES
Je pense que nous avons un mélange de personnes : certaines sont allées jusqu'au bout, n'ont plus de mot de passe et utilisent des passkeys, tandis que d'autres ne savent pas trop quoi faire. Il se peut qu'ils n'aient pas eu d'incident majeur en matière d'identité récemment et que leurs programmes soient très réactifs, de sorte qu'ils ne savent pas comment procéder. Ils peuvent se sentir un peu déconcertés.

INGO SCHUBERT
Est-ce que c'est aussi votre expérience, Alex ?

ALEX SUMMERER
Je dirais que si l'on considère le nombre d'incidents, ils augmentent de manière significative et les entreprises sont préoccupées. Les premières mises en œuvre de systèmes sans mot de passe sont assez réussies. Il s'agit davantage de les intégrer et de gérer la complexité et l'héritage. Mais il y a un grand pas en avant vers la rationalisation des solutions sans mot de passe dans les différentes organisations.

INGO SCHUBERT
Les mots de passe existent depuis des décennies. Et nous savons depuis au moins 10 ou 15 ans que c'est une mauvaise idée, n'est-ce pas ? C'est assez clair, et ça l'a été dès le début. Mais pourquoi les mots de passe ont-ils persisté si longtemps malgré ces défauts évidents ? Je dirais probablement que c'est parce qu'ils constituent un facteur commun. Tout le monde peut se souvenir de quelque chose. Ce n'est pas nécessairement la meilleure solution, mais les mots de passe existent depuis si longtemps que presque tous les systèmes utilisent un nom d'utilisateur et un mot de passe. Donc, si vous voulez un niveau de sécurité de base, il existe. Mais il existe aujourd'hui tellement de moyens plus efficaces et plus robustes d'authentifier quelqu'un. Pour moi, c'est l'héritage : tant de systèmes ont changé si rapidement, et les mots de passe restent le facteur commun.

INGO SCHUBERT
Alex, qu'en pensez-vous ?

ALEX SUMMERER
Les mots de passe sont évidemment faciles à utiliser et à déployer pour les organisations. Pour l'utilisateur final, ils sont également très courants. Avec un mot de passe, vous n'aurez jamais de problème pour vous connecter, tant que vous vous souvenez du mot de passe. Mais les problèmes se situent au niveau de la sécurité. Le fait de ne pas être résistant au phishing est une préoccupation majeure, surtout avec toutes les attaques qui se produisent. Il n'y a aucun moyen de suivre un système basé sur un mot de passe. Néanmoins, les mots de passe sont largement utilisés parce qu'ils sont faciles à déployer et à utiliser par les utilisateurs.

INGO SCHUBERT
Alex, vous avez mentionné que le phishing est, bien sûr, une menace pour les mots de passe. Y a-t-il d'autres risques que les mots de passe présentent encore aujourd'hui si vous continuez à les utiliser ? Rob, peut-être.

ROB HUGHES
Oui, je pense qu'il y a beaucoup de risques. Il y a quelques années, lorsque Snowflake n'exigeait pas de MFA sur les comptes et que les gens la considéraient comme facultative, beaucoup n'utilisaient qu'un nom d'utilisateur et un mot de passe pour protéger leur stockage. Cela a donné lieu à un certain nombre de prises de contrôle de comptes. Cela montre à quel point il est facile, avec un simple nom d'utilisateur et un mot de passe, d'entrer et de s'emparer de données. Cela montre également à quel point nous sommes proches de cette limite : si nous utilisons des mots de passe et que nous n'activons pas le MFA, nous nous préparons essentiellement à une prise de contrôle de compte. Ce n'est qu'une question de temps, car les gens réutilisent généralement leurs mots de passe. C'est un autre problème avec les mots de passe : il est impossible pour quelqu'un de se souvenir de 50 mots de passe différents, de sorte que la plupart des gens utilisent le même pour de nombreuses choses. Dès que l'un d'entre eux est compromis, toute une série d'autres choses peuvent l'être, à moins que vous ne disposiez d'un MFA ou que vous n'utilisiez pas de mot de passe. Dans ce cas, vous n'avez pas à vous inquiéter. Même pour les professionnels de la sécurité, du moins d'après mon expérience, la sécurité est difficile. Je réutilise certains mots de passe, mais avec de légères variations. Pas pour les mots de passe sensibles, bien sûr, mais oui, c'est certainement un problème.

INGO SCHUBERT
Alex, lorsque les gens parlent de l'absence de mot de passe, à quelles technologies font-ils référence ?

ALEX SUMMERER
Il existe plusieurs systèmes disponibles et largement utilisés dans l'industrie. Je commencerais par le mot de passe à usage unique, ou OTP. Il existe depuis des décennies. L'idée est d'avoir un mot de passe dynamique : chaque fois que vous vous connectez à votre site web, vous avez un mot de passe différent, et vous disposez d'un générateur pour le générer. Le système OTP présente des avantages : il est toujours facile à utiliser. Vous devez définir une configuration, mais vous pouvez ensuite vous connecter facilement. Cependant, il n'est pas totalement résistant à l'hameçonnage, car il peut toujours être intercepté et un attaquant peut mener une attaque de type "man-in-the-middle". Il existe également des systèmes basés sur l'ICP. PKI signifie cryptographie à clé publique. Vous disposez d'une clé privée sur votre authentificateur et vous vous connectez à un système de service. Cette méthode présente un grand avantage car la cryptographie à clé publique est hautement sécurisée, elle est résistante au hameçonnage et une signature cryptographique forte sous-tend le processus. L'inconvénient est la complexité de la gestion des certificats, qui doivent être conservés dans un environnement PKI. Le troisième schéma est assez récent, mais il évolue de plus en plus. Il est défini par l'Alliance FIDO et est connu sous le nom d'authentification FIDO. FIDO signifie Fast Identity Online (identité rapide en ligne). Il s'agit d'une norme qui est désormais mise en œuvre sur diverses plateformes. Elle est basée sur la cryptographie à clé publique, est très solide et résistante à l'hameçonnage, et l'avantage est qu'elle est facile à maintenir. Il n'est pas nécessaire de gérer des certificats comme c'est le cas dans un système basé sur l'ICP. Il s'agit plus ou moins des normes industrielles utilisées pour l'authentification sans mot de passe.

INGO SCHUBERT
Merci, oui. Désolé, Rob, allez-y.

ROB HUGHES
Pour répondre à la question d'Alex sur les clés de passe FIDO, c'est certainement ce qui nous vient le plus à l'esprit lorsque nous pensons à l'absence de mot de passe. Mais nous disposons également de mécanismes tels que les codes QR, qui permettent d'utiliser quelque chose que l'on possède, comme son téléphone, et quelque chose que l'on est, comme les données biométriques fournies par le téléphone. Le fait que ces technologies soient facilement accessibles et à la portée de tous nous a permis de progresser beaucoup plus facilement dans le domaine de la sécurité sans mot de passe. Lorsque nous parlons de mots de passe, nous parlons de quelque chose que vous connaissez. Pour réduire la puissance de ce facteur, vous pouvez utiliser un code PIN à la place, mais avec les codes PIN, vous pouvez rencontrer certains des mêmes problèmes. Beaucoup de mécanismes plus sûrs sont construits autour de quelque chose que vous avez et de quelque chose que vous êtes, avec des éléments biométriques intégrés.

INGO SCHUBERT
Vous avez donc besoin d'un dispositif pour vous authentifier, qu'il s'agisse d'un téléphone portable ou d'un dispositif physique tel qu'une clé USB, n'est-ce pas ?

ROB HUGHES
Oui, certainement quelque chose comme les clés iShield ou les jetons RSA - des choses qui peuvent être 'quelque chose que vous avez'. Parfois, il est possible de combiner ces éléments à des fins de redondance ou de flexibilité. Si quelqu'un perd son téléphone, que fait-il ? S'il a son jeton iShield à portée de main, il peut l'utiliser et mettre son nouveau téléphone en ligne plus rapidement. Il y a donc certaines choses à prendre en compte lors de l'utilisation de ces appareils, notamment en ce qui concerne l'embarquement et le débarquement.

INGO SCHUBERT
L'authentification résistante au phishing : en quoi cela change-t-il le modèle de sécurité ? Paul ?

PAUL MULVIHILL
Si vous introduisez quelque chose qui résiste à l'hameçonnage, il devient plus difficile pour quelqu'un d'obtenir ces données de votre part. Il ne peut pas simplement vous faire cliquer sur un lien ou vous soutirer des informations par la force, parce qu'une partie de ces informations est stockée avec vous, mais elle n'est pas basée sur la connaissance. Avec une clé ou un code QR sans mot de passe, c'est la chose que vous possédez et vous ne pouvez pas la donner à quelqu'un. Avec un mot de passe ou un OTP, vous pouvez le lire à quelqu'un. Mais avec une clé, le niveau de sécurité augmente considérablement, car vous ne pouvez pas la donner à quelqu'un d'autre. Vous ne pouvez pas m'appeler et me demander de vous connecter avec mon passe par l'intermédiaire de votre machine, parce que l'objet physique n'est pas avec vous. Il n'y a plus de possibilité pour quelqu'un de partager sa part du processus d'authentification, que ce soit de manière intentionnelle ou non. En tant que technicien, on ne dit jamais que quelque chose est absolument impossible, mais le niveau de sécurité augmente parce que je ne peux pas vous connecter ou connecter quelqu'un d'autre, que je le fasse sciemment ou non.

INGO SCHUBERT
Alex ou Rob, quelque chose à ajouter ?

ROB HUGHES
Oui. Si des clés de sécurité sont exigées, vous êtes tenu d'utiliser une sécurité renforcée, ce qui vous empêche de la partager, comme l'a dit Paul. Mais les attaquants peuvent chercher des solutions de repli : que se passe-t-il si le mot de passe ne fonctionne pas ? Existe-t-il d'autres mécanismes ? Je continue de penser que, quel que soit votre mécanisme sans mot de passe, il sera meilleur que les mots de passe. Je considère les passkeys comme une amélioration supplémentaire. Si nous pouvons les appliquer dans certains cas, elles vous donnent les avantages des mathématiques de cryptage derrière le processus. Ce n'est pas quelque chose que l'on peut facilement partager ; cela doit être verrouillé dans quelque chose que l'on possède. Mais on en revient au mécanisme de repli si une clé d'accès ne fonctionne pas. C'est un bon point. Il est important de comprendre qu'il existe plus d'une méthode qui offre une certaine résistance au phishing. Les passkeys sont certainement en tête de liste, en partie parce qu'ils sont liés au domaine dans lequel vous vous êtes enregistré à l'origine. Mais d'autres méthodes sont également solides dans le sens où il n'est pas possible de les hameçonner et de les réutiliser plus tard. Selon le cas d'utilisation, une clé de sécurité peut fonctionner, ou une autre méthode peut être meilleure. Il est important d'avoir le choix.

INGO SCHUBERT
Si l'on s'éloigne du cadre purement technique, de nombreuses organisations veulent une authentification sans mot de passe, n'est-ce pas ?

Pour être honnête, je n'ai parlé à personne qui m'ait dit "non, je ne veux pas ça", n'est-ce pas ? Il existe bel et bien un besoin et une volonté de le faire. Mais l'adoption peut être lente.
Quels sont les principaux obstacles ? Rob, peut-être.

ROB HUGHES
J'ai parlé à des responsables de la sécurité à qui je n'avais pas parlé depuis longtemps et je leur ai demandé : 'Êtes-vous déjà sans mot de passe ? Certains m'ont répondu par la négative. Lorsque j'ai demandé pourquoi, je pense que cela se résume en partie à la peur, à l'incertitude et au doute (FUD). Ils ne savent pas vraiment comment commencer et ne sont pas sûrs d'avoir les outils nécessaires. En réalité, si vous disposez de l'AMF dans la plupart des endroits, il suffit souvent de modifier vos mécanismes d'authentification. Tout dépend si vous disposez de toutes les capacités nécessaires. Si vous disposez déjà de capacités d'authentification forte et d'AMF, il s'agit de les ajuster pièce par pièce. Mais les gens ne savent pas par où commencer. À moins qu'il ne s'agisse d'une situation d'urgence, ils feront face à des prises de contrôle de comptes ici et là, tant que l'ensemble de leur organisation n'est pas pris d'assaut. Ils s'accommoderont de la douleur des mots de passe parce que c'est ce qu'ils connaissent et que c'est ancré dans leur culture. Il est bon de remettre cela en question et de demander : qu'est-ce qui vous empêche de vous passer de mots de passe ? Dans de nombreux cas, les gens disposent de tous les éléments de base. Il leur suffit de commencer à les utiliser, mais ils ne savent pas par où commencer.

INGO SCHUBERT
Quelqu'un d'autre ? Alex ?

ALEX SUMMERER
L'une des principales préoccupations que j'observe est la complexité des systèmes dorsaux. Il y a plusieurs systèmes à prendre en compte et plusieurs applications, en particulier dans les grandes organisations. Elles fonctionnent sur différents types de systèmes dorsaux, et la rationalisation de la gestion des identités et des accès dans toutes les parties d'une société ou d'une entreprise est un défi. On ne peut pas simplement dire : 'Passez à un système basé sur FIDO'. Un chemin de migration est nécessaire. Ce que j'observe, c'est que c'est en train de se produire : la migration se fait, mais elle prend beaucoup de temps. Au cours du processus de migration, vous passez progressivement à un système résistant aux hameçonnages. Je dirais que les choses bougent beaucoup, et je vois cela d'un œil très positif. La pression est également là pour faire un changement, car des incidents de sécurité se produisent et le risque qu'une entreprise ne puisse pas fonctionner en raison d'incidents de sécurité est une préoccupation majeure. D'année en année, je vois de grands mouvements sur le marché, et je pense que dans quelques années, l'authentification sans mot de passe sera pratiquement la norme dans les entreprises.

INGO SCHUBERT
Vous avez laissé entendre que certaines applications peuvent être déplacées, d'autres non. En quoi ces systèmes hérités compliquent-ils la transition, Paul ?

PAUL MULVIHILL
Tout dépend de la manière dont ces systèmes communiquent avec votre plateforme d'authentification. Lorsque je m'adresse à des clients, j'insiste toujours sur le fait que ce que vous pouvez faire dépend du protocole. Mon exemple préféré est le protocole RADIUS. Comme les mots de passe, il existe depuis de nombreuses années. Il fait ce qui est écrit sur la boîte et fonctionne dans une certaine mesure, mais il a ses limites. Si vous disposez d'un système ancien qui n'a pas été codé, modifié ou mis à jour depuis de nombreuses années, est-il même dans un langage que quelqu'un maintient encore ? Comment peut-il adopter quelque chose comme un mot de passe, FIDO, des changements de protocole, l'authentification unique ou toutes les autres méthodes qui vous aident à passer à un état sans mot de passe ? Vous pouvez introduire votre nouvelle technologie - clés passkey, clés FIDO et identifications par code QR - mais le système peut ne pas comprendre cette technologie. Il ne peut tout simplement pas la gérer. Il se peut donc qu'une partie de votre patrimoine fonctionne sans mot de passe pour 60% ou 70% des systèmes, tandis que les 30% ou 40% restants des systèmes existants prennent en charge 80% du travail. Pour que l'ensemble du parc soit compatible avec les systèmes sans mot de passe, il peut être nécessaire de les remplacer ou de trouver un moyen de les activer ou de les protéger de manière à ce qu'ils fonctionnent sans mot de passe.

INGO SCHUBERT
Je pense que cela nous amène à l'un de mes sujets préférés : il faut savoir ce qui existe et le comprendre. Oui, vous voulez vous passer de mot de passe ; c'est l'objectif final. Mais où en êtes-vous aujourd'hui ? Vous devez examiner tous ces systèmes, les classer par ordre de priorité en fonction de l'utilisation, du risque et d'autres facteurs, puis créer un plan pour passer de A à B. Savoir d'où l'on part s'applique également à la main-d'œuvre. Rob a mentionné les codes QR, et avec l'absence de mot de passe, les options sont multiples. Si votre personnel est plus ou moins à l'aise avec la technologie et que vous proposez plusieurs méthodes, le fait de savoir ce qui convient à votre personnel vous permet d'avoir un bon plan. Si les travailleurs sont satisfaits des téléphones, vous pouvez utiliser des codes d'accès sur les téléphones. Ceux qui veulent quelque chose de physique peuvent avoir une clé USB physique. Vous avez des options parce que vous avez fait le travail de sensibilisation autour de votre point de départ. Donc, en supposant qu'une entreprise ait mis en place un système sans mot de passe, est-ce que c'est tout ou y a-t-il encore des risques ? Rob, peut-être.


ROB HUGHES
Même si vous avez mis en place un système sans mot de passe, vous devez vous demander si vous pouvez réellement vous considérer comme étant sans mot de passe 100%. Si vous utilisez Microsoft Entra, par exemple, il est nécessaire d'avoir un mot de passe lié à votre ID utilisateur. Pouvez-vous vous passer de mot de passe si vous utilisez Entra ID ? Si tout le reste est sans mot de passe, vous pouvez peut-être répondre par l'affirmative. La réalité est qu'il y a généralement des espaces - des silos d'identité - dans les grandes organisations, souvent à cause de l'héritage. Certains endroits sont plus difficiles à changer et à introduire de nouvelles méthodologies. Il s'agit en fait de les gérer et de gérer les risques. J'opterais d'abord pour le volume : faites en sorte que tous vos utilisateurs se sentent à l'aise avec l'absence de mot de passe, puis mettez en place les parties sans mot de passe au fil du temps et étendez l'absence de mot de passe à ces systèmes. Cela peut prendre du temps, mais la mise en place d'une culture de l'absence de mot de passe permet de mettre plus facilement en évidence les lacunes et d'y remédier.

PAUL MULVIHILL
Si vous êtes sans mot de passe, l'une des choses dont les gens doivent se rendre compte est que de nombreux flux de travail changent. Si vous aviez auparavant besoin d'un mot de passe pour vous inscrire à quelque chose, ou d'une authentification basée sur les connaissances pour le service d'assistance, vous n'avez plus besoin de mot de passe. Que signifie donc l'absence de mot de passe pour les opérations informatiques et le service d'assistance ? Comment contrôler quelqu'un ? Comment aider quelqu'un ? On entre dans le domaine de la vérification de l'identité pour l'intégration, comme l'utilisation d'un passeport ou d'un permis de conduire dans le cadre d'un scénario de premier jour. La récupération d'un compte pourrait suivre une approche similaire. Si vous n'utilisez pas l'une de ces méthodes, le problème devient important. Vous devez trouver un moyen d'intégrer quelqu'un en toute sécurité. Vous pourriez lui envoyer un code d'accès sous une forme ou une autre, mais quelqu'un doit alors l'enregistrer de manière sécurisée, à moins que vous ne verrouilliez exactement ce que la personne peut utiliser ou que vous ne contrôliez la manière dont elle entre dans le système. Il peut être nécessaire de préciser que le processus d'inscription nécessite une présence physique sur un site, puis d'utiliser des signaux dans le cadre de l'authentification pour limiter les possibilités. Cela modifie considérablement la dynamique par rapport à une situation où l'on dit : 'Je vous ai envoyé une lettre ou un courriel avec un mot de passe ; changez-le lorsque vous vous connectez pour la première fois'. Rien de tout cela n'existe si vous commencez sans mot de passe. Il s'agit de vérifier ce que l'on a, d'analyser les risques et de prendre les décisions qui s'imposent. Comment ces flux de travail se présentent-ils pour les différents types d'utilisateurs ? Il est très probable qu'il n'y ait pas un seul flux de travail qui convienne à tout le monde. En fonction de votre rôle et du canal que vous utilisez, il peut y avoir différentes façons de procéder.

INGO SHCUBERT
Alors Rob, que pensez-vous du service d'assistance ?

ROB HUGHES
Lorsque les utilisateurs n'utilisent plus de mots de passe, certaines choses deviennent une nouvelle réalité pour le RSSI qui examine le programme de sécurité. Les attaquants, s'ils ne peuvent pas s'emparer des comptes d'utilisateurs avec des mots de passe, chercheront d'autres moyens. L'un d'entre eux est l'ingénierie sociale du service d'assistance. Un autre moyen consiste à examiner le processus d'intégration ou d'enregistrement des appareils. Vous devez vous assurer que vous disposez d'une chaîne solide à travers tous ces événements, et vous assurer que vous poussez sans mot de passe tout au long de ces événements. Comme Paul y a fait allusion, il est possible d'obtenir des mécanismes sans mot de passe pour l'intégration, mais il faut réfléchir à la manière de le faire. Il est facile de penser à l'intégration lorsque l'on est habitué à avoir un mot de passe dans le mécanisme. Si vous recevez un nouvel ordinateur portable par la poste, il vous demandera de vous connecter - alors comment le faire lors de la première connexion ? Il est très important d'assurer l'absence de mot de passe d'un bout à l'autre du processus.

INGO SCHUBERT
Chez RSA, nous avons eu la joie d'expérimenter la connexion sans mot de passe pendant un certain temps, et vous faisiez partie de l'équipe responsable de ce rôle chez RSA.
Comment les entreprises peuvent-elles introduire le sans-mot de passe sans perturber la productivité des utilisateurs ?

ROB HUGHES
Je pense que la question est de savoir si les conditions préalables sont réunies. En général, si vous avez mis en place l'AMF, c'est un point de départ. Si vous avez la flexibilité des jetons logiciels et matériels, cela peut aider. Si vos utilisateurs ont des smartphones dotés d'une fonction biométrique, comme Face ID ou d'autres mécanismes biométriques, cela peut également être utile. Vous devez vous demander si vous disposez de suffisamment de ces conditions préalables, puis vous lancer. En tant qu'entreprise spécialisée dans l'identité, nous avions notre mécanisme d'authentification unique et nous avons d'abord poussé l'authentification sans mot de passe. Je vois cela de plusieurs façons. Tout d'abord, vous mettez l'option sans mot de passe à la disposition des utilisateurs : voici ce que vous pouvez faire ; vous n'avez pas besoin de mot de passe. Ensuite, vous en faites la valeur par défaut, de sorte que la première invite n'est pas un mot de passe. Une fois que l'on dispose de suffisamment de données et que l'on peut voir s'il existe des cas limites problématiques, on en fait une exigence et on dit que l'absence de mot de passe est désormais obligatoire. Si quelqu'un essaie d'utiliser un mot de passe avec certains mécanismes, cela ne fonctionnera tout simplement pas. Vous pouvez ensuite passer du SSO au VPN, à la connexion au poste de travail ou même au sans-fil, et chercher à éliminer les mots de passe dans l'ensemble de votre espace utilisateur avant de cibler les silos d'identité. Si vous procédez méthodiquement, que vous recueillez les commentaires des utilisateurs et que vous préparez le helpdesk ou le service desk aux problèmes probables et aux solutions de contournement, cela peut se faire sans perturbation majeure. Nous avons également mis en place un groupe de test composé de volontaires qui souhaitaient essayer en premier, et nous leur avons d'abord présenté les nouvelles technologies. Nous avons assez bien réussi à le faire sans perturbation majeure. L'essentiel est de procéder méthodiquement : il ne faut pas arriver du jour au lendemain, tout mettre en marche et espérer que tout ira pour le mieux. Il faut procéder pièce par pièce et apprendre au fur et à mesure. Il se peut que vous découvriez une dette technique cachée, ou que tout le monde n'ait pas la bonne version du téléphone pour faire fonctionner la dernière application que vous êtes sur le point d'exiger. Il y a de petits problèmes de ce genre, mais je pense qu'il est possible de le faire sans trop d'impact sur les utilisateurs.

INGO SCHUBERT
Sans vouloir minimiser cela, cela ressemble à un déploiement normal : on procède par étapes, on a des cobayes - et j'ai été heureux d'être l'un de ces cobayes - on teste d'abord les choses, on élargit le groupe, et enfin on le déploie pour tout le monde. C'est une approche sensée, qui s'applique évidemment aussi à un déploiement sans mot de passe. Il est bon d'entendre qu'il n'y a rien de révolutionnaire ou de radicalement différent. Il devrait s'agir d'une approche familière aux informaticiens du monde entier.

ROB HUGHES
Absolument. Il s'agit de suivre les bonnes pratiques en matière de gestion du changement. Tant que vous pouvez le faire, il ne devrait pas y avoir d'autres défis à relever.

INGO SCHUBERT
Alex, quelque chose à ajouter sur le sujet ?

ALEX SUMMERER
Je dirais que les pirates informatiques cherchent toujours le maillon faible et qu'il existe trois surfaces d'attaque. La première est le protocole, la deuxième est la plateforme et la troisième est le processus. En ce qui concerne les systèmes sans mot de passe, prenons l'exemple de FIDO. FIDO est très bien conçu. Le protocole est sûr, avec un contrôle mutuel de l'authenticité sur les deux extrémités, de l'hôte au serveur. Dans ce cas, le pirate ne s'intéressera pas au protocole, mais à la plate-forme. La plateforme présente-t-elle une faiblesse ? Le protocole FIDO peut être mis en œuvre sur différentes plateformes : un téléphone portable, un ordinateur de bureau ou une clé iShield - une clé de sécurité FIDO basée sur une puce de carte à puce. En fonction de la mise en œuvre sur la plateforme, il existe différentes possibilités d'attaque. Avec une puce de carte à puce, la clé sera probablement la plus difficile à attaquer. Elle offre une très forte résistance à l'hameçonnage ; même les tests de pénétration ne fonctionneraient pas en laboratoire. Dans le cas d'un PC de bureau, tout dépend de l'utilisation d'un TPM ou d'une autre technologie basée sur la confiance, ou de la faiblesse de l'implémentation. Si l'attaquant ne peut pas s'attaquer au schéma ou à la plateforme, il se penchera sur le processus. Si le processus est faible, même un appareil comme celui-ci peut être compromis. Par exemple, si l'appareil est lié à un code PIN et que vous devez déverrouiller la clé avec ce code PIN, si le code PIN est partagé et qu'un pirate possède la clé, il peut l'utiliser. Il est donc très important de sécuriser le processus, ce qui implique également le service d'assistance et l'ensemble du processus de mise en œuvre de l'entreprise. Si toutes ces surfaces sont couvertes par des mesures de sécurité, vous êtes en sécurité. Mais il ne suffit pas de dire : 'Nous utilisons des systèmes sans mot de passe comme FIDO, nous sommes donc en sécurité'. Il faut tenir compte du processus, de la plate-forme et du protocole.

INGO SCHUBERT
Les mots de passe ou l'authentification en général présentent-ils une grande vulnérabilité face à la GenAI et à l'IA générative ? Rob, qu'en pensez-vous ?

ROB HUGHES
C'est le cas, mais peut-être pas de la manière dont les gens pourraient le penser. Je ne pense pas que la GenAI puisse prédire les mots de passe mieux que les scripts et les systèmes qui existent déjà. Il s'agit plutôt d'ingénierie sociale : elle amplifie ces capacités. L'audio, la vidéo et les messages électroniques bien conçus ou les tentatives de spear-phishing bénéficient tous d'un coup de pouce. C'est important si les attaquants cherchent à obtenir des informations d'identification de base, ou même s'ils essaient d'inciter les gens à donner des informations d'identification de type MFA. C'est là que je vois l'impact le plus important. Une fois que quelqu'un possède ces informations d'identification, l'IA peut également faciliter la recherche des endroits où elles pourraient être utilisées, car elle peut examiner un grand nombre d'informations à la fois et fournir un retour d'information rapide.

INGO SCHUBERT
Il y a donc bien une augmentation du risque avec l'utilisation d'outils d'IA. Quelque chose à ajouter, Paul ?

PAUL MULVIHILL
Non, je pense que Rob a déjà répondu à cette question. L'IA facilite la vie des personnes du point de vue de l'ingénierie sociale. L'IA peut rassembler plus de données plus facilement. Dans un monde basé sur les mots de passe, elle n'est peut-être pas en mesure de donner directement la réponse à un attaquant, mais elle peut probablement lui fournir plus d'informations plus rapidement pour l'aider à trouver la réponse.

INGO SCHUBERT
Comment l'absence de mot de passe peut-elle aider les organisations à s'adapter aux menaces automatisées en général ?

PAUL MULVIHILL
Les attaques automatisées, telles que les attaques par dictionnaire, en sont des exemples classiques. Si vous disposez d'un système sans mot de passe, ce type d'attaque ne s'applique plus. Tout dépend de ce que j'ai mentionné précédemment : la manière dont le processus est mis en œuvre, la solidité du protocole et la solidité de la plate-forme. Si le processus, le protocole et la plate-forme sont solides, les possibilités d'attaques automatisées sont quasiment nulles. Par exemple, avec les clés de sécurité FIDO basées sur le matériel, même à l'ère de l'IA, il n'y a pas un seul incident connu dans une entreprise qui les utilise. Cela dépend des circonstances et de la mise en œuvre - au niveau du processus, du protocole et de la plateforme - mais je dirais que les attaques automatisées n'ont aucune chance si l'on s'y prend correctement.

ROB HUGHES
Oui, je peux peut-être ajouter quelque chose à cela aussi. Avec les attaques automatisées, et si vous avez mis en place un système sans mot de passe, il y a quelques éléments à prendre en compte du côté de l'attaquant. Il existe toutes sortes de boîtes à outils, l'utilisation de l'IA et d'autres choses pour essayer d'entrer et d'obtenir l'identité de quelqu'un. Mais avec l'absence de mot de passe, tous ces outils qui s'appuient sur des mots de passe et qui ont été conçus pour afficher une invite de mot de passe n'ont plus de sens pour l'utilisateur. Si vous n'avez pas de passkeys, l'utilisateur reçoit une invite de mot de passe et se dit que c'est étrange. Il se peut même qu'il ne sache pas quel est son mot de passe à ce moment-là. Il s'agit donc d'un type supplémentaire de résistance au phishing, même si vous n'avez pas encore de passkeys partout, la partie culturelle de la chose. Si vous pensez aux attaques automatisées, il est plus difficile pour eux de mener ces attaques automatisées contre une base d'utilisateurs sans mots de passe. Et bien sûr, l'absence de mot de passe nécessite quelque chose, une authentification forte, donc une forme de MFA, qui à elle seule, comme avoir MFA partout, même s'il y a toujours un mot de passe, vous aide à lutter contre les attaques automatisées, n'est-ce pas ? Et bien sûr, avec l'absence de mot de passe, cela va de soi, toute cette histoire de MFA.

INGO SCHUBERT
Alors, si vous vous adressez à une organisation qui souhaite commencer aujourd'hui son parcours sans mot de passe, quels conseils lui donneriez-vous ?
Je conseillerais d'adopter une approche progressive. Commencez par quelque chose d'applicable dans un département ou un groupe donné au sein de l'entreprise. Lancez un projet pilote, élargissez-le, puis déployez-le une fois qu'il a fonctionné pendant un certain temps. Je vois régulièrement des projets de ce type. Nous lançons un projet pilote, nous l'élargissons, puis nous examinons ensemble comment le déployer dans les différentes entités de l'organisation. Cela fonctionne très bien et nous recevons un retour très positif de ces mises en œuvre dans les entreprises.

ROB HUGHES
Je pense que les conseils d'Alex sont excellents. Il s'agit en fait de planifier, de faire et de décider par où vous voulez commencer. Faites-le méthodiquement. Il ne s'agit pas d'un ensemble de technologies si exotiques qu'elles changent la façon dont vous les déployez. Il utilise de nombreuses technologies avec lesquelles les utilisateurs sont désormais à l'aise : Face ID sur les smartphones, les empreintes digitales sur les ordinateurs portables, et le fait d'avoir un téléphone à proximité pour utiliser l'appareil photo et lire un code QR. Ces choses ne sont plus ésotériques.

PAUL MULVIHILL
C'est très simple. Il n'y a pas grand-chose que je puisse ajouter à ce qu'ont dit Alex et Rob. Avoir des options et procéder étape par étape. Il y aura toujours quelqu'un qui s'y opposera, mais si vous avez des options et que vous savez d'où vous partez, alors... Vous avez probablement fait 90% du travail de base en amont pour mettre en place un bon plan.

INGO SCHUBERT
C'est vrai. Et si je peux ajouter quelque chose, c'est mon éternelle bête noire : découvrez ce que vous avez et où vous en êtes aujourd'hui. Dressez la carte de votre paysage de sécurité et de votre paysage applicatif. Découvrez les applications existantes, celles qui dépendent d'un mot de passe et celles dont vous ne pourrez pas vous débarrasser de sitôt. Il y en a beaucoup que vous pouvez déplacer. Classez-les par ordre de priorité, déployez-les et obtenez des résultats rapides, afin de pouvoir justifier le budget que vous obtiendrez pour le projet auprès de la direction générale.
L'authentification sans mot de passe représente une avancée significative, mais ce n'est pas une solution miracle. La suppression des mots de passe réduit les risques, mais la sécurité de l'identité dépend toujours du contexte, du contrôle et d'une confiance permanente. S'il y a une chose à retenir de la discussion d'aujourd'hui, c'est bien celle-ci. L'absence de mot de passe relève la norme, mais c'est la stratégie d'identité globale qui l'entoure qui détermine le niveau de sécurité réel.
Merci de nous avoir rejoints pour cet épisode de RSA Identity Unmasked. Si vous avez trouvé la discussion intéressante, abonnez-vous pour les prochains épisodes, car nous continuons à explorer les questions qui façonnent la sécurité de l'identité. Et pour plus d'informations et de ressources, visitez le site rsa.com. Alex, Rob, Paul - merci beaucoup.

PAUL MULVIHILL, ROB HUGHES, ALEX SUMMERER
Je vous remercie. Merci de nous avoir accueillis.

INGO SCHUBERT
Bienvenue à RSA Identity Unmasked. Aujourd'hui, nous parlons de l'un des secteurs les plus risqués et les plus intéressants de la sécurité de l'identité, à savoir les soins de santé. Paul et John m'accompagnent à nouveau aujourd'hui et nous allons examiner les défis, les cas d'utilisation et les meilleures pratiques. Commençons par le début. Pourquoi les soins de santé constituent-ils un environnement si particulier pour la sécurité de l'identité ?

JON NICHOLAS
Je vais commencer si tu veux, Paul. Voulez-vous commencer ?

PAUL MULVIHILL
Sans aucun doute !

JON NICHOLAS
Je pense que l'une des choses dont nous parlons toujours à propos des soins de santé, et c'est l'un des premiers sujets abordés, c'est la pile technique dont ils disposent et, surtout, l'infrastructure existante. L'un des domaines les plus importants à sécuriser du point de vue de l'identité, parce qu'ils n'ont peut-être pas accès aux services modernes d'AMF. La technologie propriétaire héritée est donc un énorme défi pour un secteur comme celui des soins de santé, le NHS étant un très bon exemple au Royaume-Uni.

PAUL MULVIHILL
Nous connaissons tous le NHS, mais il est souvent constitué d'un grand nombre d'organisations plus petites, ce qui ne signifie pas qu'il y ait un seul et unique fonds pour soutenir l'infrastructure informatique, il se peut que chaque petit organisme ait ses propres responsabilités et qu'il ne puisse donc pas obtenir les dernières nouveautés, parce qu'il n'a pas le budget pour cela. S'il s'agissait d'une seule et même chose, ce serait possible, mais le monde ne fonctionne pas comme ça, malheureusement, dans une certaine mesure. Il faut donc se demander comment chacun d'entre eux peut s'assurer qu'il dispose du meilleur et du plus récent, alors qu'il ne peut pas le faire parce qu'il a des systèmes hérités, qu'il doit s'occuper de la migration ou de la maintenance, ce qui ajoute des défis supplémentaires à la question de savoir comment parvenir à un système moderne

INGO SCHUBERT
C'est vrai. Et je pense que, bien sûr, c'est différent en Allemagne, par exemple. Ce n'est pas si différent, je pense, dans ce contexte, n'est-ce pas ? Vous savez, des organisations différentes, beaucoup d'applications anciennes. Pour être juste, c'est probablement le cas dans toute l'Europe ou peut-être même dans le monde entier, n'est-ce pas ?

PAUL MULVIHILL
Nous parlons de l'héritage du système, si vous avez quelque chose qui fonctionne et les taux d'erreur, donc si vous vous occupez de la santé d'une personne, vous avez un système qui teste quelque chose, il fonctionne. Vous n'allez pas décider de le modifier parce qu'il a peut-être deux ans d'âge. Vous allez consacrer ces fonds à un nouveau domaine. Donc, oui, il peut s'agir d'un héritage, mais cela ne veut pas dire qu'il est vieux, désuet et obsolète. Cela signifie simplement qu'il fonctionne. Il y a des choses plus importantes à regarder.

INGO SCHUBERT
Ne touchez pas à un système en fonctionnement. Qu'est-ce qui rend l'accès, le contrôle et l'authentification si difficiles dans cet environnement ?

PAUL MULVIHILL
Je dirais probablement qu'il s'agit d'un mélange de plusieurs organismes. Comment, si vous travaillez tous de manière indépendante, mais que vous avez une main-d'œuvre qui peut passer d'un organisme à l'autre parce qu'elle couvre une zone plus large, comment mettre en place un système facile à utiliser qui va, par exemple, me permettre de travailler à un endroit un jour, ailleurs, dans un autre organisme, dans un autre organisme, dans un autre, dans un autre, dans un autre, dans un autre. Existe-t-il un système central qui gère tout cela ? Probablement pas. Est-ce que je vais retourner quelque part ou est-ce que je vais le faire un jour par an ailleurs ? Le nombre de systèmes que vous essayez de gérer et de sécuriser du point de vue de l'identité croît de manière exponentielle en termes de complexité. Je suis sur 50 sites, est-ce que ce sont 50 systèmes ? Est-ce 5, est-ce 1 ? À l'échelle du pays tout entier, on ne fait qu'ajouter des couches de complexité pour diverses raisons.

JON NICHOLAS
Oui, et je pense que c'est le nombre d'utilisateurs. C'est le compte d'utilisateur qui est parfois si difficile à contrecarrer parce que vous avez des cliniciens qui sont là pour assurer les services médicaux de première ligne et qui sont, bien sûr, très bons dans ce qu'ils font, mais ce ne sont pas des experts en cybersécurité. Il y a toute une équipe qui soutient le NHS, par exemple, et qui s'occupe de la logistique, de la planification et de l'administration. Certains d'entre eux peuvent utiliser un authentificateur mobile, mais d'autres sont peut-être dans le service ou dans des environnements plus sécurisés, mais nous savons qu'ils ne peuvent pas l'utiliser. Vous devez avoir quelque chose d'autre, vous savez, un jeton physique pour
l'authentification. Vous avez donc non seulement une main-d'œuvre gigantesque, mais aussi de multiples cas d'utilisation en termes d'authentification. Et puis, vous savez, vous avez mentionné le mobile, mais certaines personnes n'ont peut-être même pas de mobile qu'elles veulent utiliser. Il y a donc trois, quatre, cinq cas d'utilisation différents, rien que pour connecter cinq personnes à un système.

INGO SCHUBERT
Ainsi, les cliniciens, le personnel temporaire, les équipes tournantes, tout cela complique énormément les choses. C'est ce que vous venez de dire. Donc, du point de vue de la gestion de l'identité, je peux voir pourquoi c'est un peu difficile par rapport à une main-d'œuvre d'entreprise plutôt organisée, vous savez, où vous travaillez de neuf à cinq. Oui, vous pouvez avoir des fuseaux horaires différents, oui, mais cela fait monter la pression jusqu'à 11 heures, essentiellement.

PAUL MULVIHILL
Oui, vous pouvez avoir une grande entreprise qui a, disons, 50 ou 100 départements différents, alors que dans le secteur des soins de santé, vous pouvez avoir un grand organisme qui est le secteur des soins, mais il peut y avoir 50 ou 100 entreprises distinctes qui ont toutes leur spécialité et qui doivent être autonomes dans leur façon de travailler tout en travaillant avec d'autres entités au sein du même espace. Et si vous avez des problèmes avec l'une d'entre elles, quelles sont les conséquences ?

INGO SCHUBERT
En termes de, bien sûr, vous savez, nous avons cette émission de télévision dramatique comme vous savez tout doit aller vite oui mais c'est une chose oui nous ne ralentissons pas les choses je pense que c'est une partie du défi ici mais ce n'est pas seulement comme ça hey vous savez quelqu'un se précipite dans la salle d'urgence et les choses doivent aller vite c'est aussi parce que vous avez vous savez une main d'œuvre limitée ils doivent être très efficaces ce qui signifie aussi que oui vous savez la sécurité ne peut pas ralentir les choses à cause de cela alors quels seraient les défis et, vous savez, les moyens d'y parvenir ?

JON NICHOLAS
Juste à propos de ces énormes défis, vous ne voudriez pas, si nous en parlons du point de vue de la gouvernance, du point de vue du moindre privilège, vous voudriez dire, d'accord, nous avons besoin que tout le monde ait seulement les privilèges pour faire leur rôle, par exemple. Mais le défi, c'est de faire ce changement et d'enlever certaines permissions par erreur. Et maintenant, ils ne peuvent plus faire fonctionner cette machine ou cet équipement critique dans le service qui va aider à sauver la vie de quelqu'un. La précision de la prise de décision pour appliquer une solution IGA, par exemple, doit donc être absolument irréprochable. À ce stade, la capacité à apporter des changements passe probablement par des couches et des couches de prise de décision, ce qui ralentit le processus. Car la dernière chose que nous voulons, c'est de mettre en œuvre ce flux de travail et que quelqu'un ne puisse plus sauver une vie, pour reprendre l'exemple le plus extrême, ou administrer quelque chose de la pharmacie.

INGO SCHUBERT
Mais en même temps, avec la gouvernance des identités en particulier, il y a bien sûr la solution miracle dans ce cas, ce qui n'est bien sûr pas le cas, il suffit de donner à chacun plus de droits d'accès, fondamentalement, plus de droits qu'ils n'en ont d'habitude. Est-ce une approche valable ? Est-ce un bon compromis ? Non, c'est solennellement le cas, je suppose, n'est-ce pas ?

PAUL MULVIHILL
Oui, parce que si une personne est piratée, si un compte est compromis et qu'elle a beaucoup trop d'autorisations, que se passe-t-il ? Le concierge qui a reçu toutes les autorisations parce qu'il fait partie du personnel d'un hôpital peut entrer dans le système de la pharmacie et avoir accès aux médicaments ou aux modifications des dossiers des patients. C'est vrai. Mais il y a aussi, comme le disait Jon, tellement de ramifications potentielles à un changement dans l'application d'une politique ou dans l'application d'un moindre chemin de permissions, qu'il s'agit presque d'une paralysie du risque. Je pourrais mettre en œuvre cette politique qui supprime les autorisations pour X, Y et Z. Si vous n'êtes pas absolument sûr, avez-vous fait l'analyse suivante : cela affecte 50 personnes, ces 50 personnes ont-elles accédé à cette ressource ? Si l'une d'entre elles l'a fait, vous devez continuer à l'examiner. Cette personne doit-elle bénéficier d'autorisations spéciales ? Si aucune d'entre elles ne l'a fait, et que vous avez surveillé la situation pendant suffisamment longtemps, alors oui, vous pourriez l'appliquer, et bien, nous l'enlèverons. Mais il y a cette crainte que si j'enlève quelque chose, il y aura ce scénario que l'on ne peut jamais prévoir en matière de soins de santé. On peut essayer de deviner beaucoup de choses, mais on ne peut jamais prévoir une situation d'urgence où l'on a besoin de quelque chose. J'ai supprimé cette autorisation. Dans ce cas, l'infirmière, le médecin ou quelqu'un d'autre a besoin de faire quelque chose et tout d'un coup, il ne peut plus le faire.

INGO SCHUBERT
Il ne s'agit pas seulement de faire fonctionner des machines. Il peut aussi s'agir d'accéder à des données quelque part, n'est-ce pas ? Les dossiers médicaux, par exemple. Je comprends donc que dans une entreprise normale, il peut être mauvais que quelqu'un ait trop peu de droits. Il ne peut pas faire son travail, mais, vous savez, il fait une demande, elle est approuvée. Vous savez, c'est comme si, oui, c'est mauvais. Il se peut qu'il y ait quelques heures de retard, peut-être le lendemain, mais ce n'est pas le monde, alors que dans un environnement de soins de santé, cela peut littéralement signifier un énorme problème. Et, vous savez, ce n'est peut-être pas fait à la minute près, mais, vous savez, cela pourrait signifier que quelqu'un ne reçoit pas les soins dont il a besoin au moment où il en a besoin.
PAUL MULVIHILL
S'il s'agit d'une entreprise et que quelqu'un accède aux données, il se peut que quelqu'un commande quelque chose sur une carte de crédit et que vous puissiez alors avoir recours à la rétroaction sur les cartes de crédit pour corriger la situation ou annuler une commande. Je veux dire que certains de ces effets ne sont pas très graves, mais s'il s'agit de soins de santé, quelqu'un modifie votre dossier médical. Quelqu'un partage des détails qui ne devraient pas être partagés. Les conséquences sont bien plus importantes. Ou bien des informations sont divulguées et peuvent avoir des effets à long terme sur vous. Comme vous l'avez dit, il se peut qu'un médicament dont vous dépendez soit arrêté. Êtes-vous proche de la fin de votre prescription avec ce médicament et, en fait, ils suppriment les détails lorsque vous devez passer par toute la revalidation de ce qui est réellement, oui, j'en ai besoin, le ralentissant encore plus, le retardant, ce qui a plus d'effets en cascade. C'est parce qu'il s'agit d'un de ces secteurs où ce qui peut sembler un petit changement dans l'entreprise et le secteur privé des soins de santé, les problèmes et les ramifications sont potentiellement 10, 20, 30 fois plus importants.

JON NICHOLAS
Oui, et sur ce genre de chiffres, quand vous regardez, vous savez, une violation de données dans ce genre de scénario, comme les dossiers médicaux sont extrêmement précieux lorsqu'ils sont échangés sur le dark web, plus que les détails des cartes de crédit, par exemple, et l'un des domaines où ils peuvent être utilisés serait comme la fraude à l'assurance, qui peut entraîner d'énormes, vous savez, compensations monétaires, vous savez, je suppose, si quelqu'un fait cette demande, il connaît vos antécédents médicaux, alors il peut faire avancer l'assurance en votre nom, et, vous savez, c'est incroyablement lucratif. C'est donc là que les attaquants veulent intervenir. Ils espèrent, dit-il, ne pas risquer la vie de qui que ce soit, mais la récompense financière que représente le fait d'avoir ces dossiers médicaux et de les utiliser à des fins lucratives est ce qu'ils recherchent.

INGO SCHUBERT
Je veux dire que ces informations seraient parfaites pour un attaquant qui voudrait lancer une attaque par spearfishing contre quelqu'un. Si vous connaissez déjà des détails médicaux, oui, cela augmente le niveau de confiance, ce qui vous rend plus méfiant à l'égard de ce type d'attaques, n'est-ce pas ? Ou simplement, vous savez, je ne sais pas, le chantage ou autre. Il y a tellement de choses que l'on peut faire avec ces enregistrements, n'est-ce pas ? Donc, oui, je peux voir ça. Pour en revenir à la pratique, que se passe-t-il dans un hôpital par exemple ? Quel est le processus d'authentification typique que quelqu'un doit suivre ?

JON NICHOLAS
Je ne sais pas s'ils sont typiques.

INGO SCHUBERT
Bon, d'accord.

JON NICHOLAS
Nous avons parlé des systèmes, mais que devraient-ils faire ? Peut-être la question, mais vous savez, il devrait toujours y avoir, il devrait toujours y avoir cette étape MFA avec, vous savez, processus supplémentaire dans le back-end, vous savez, pouvez-vous tirer parti de l'accès conditionnel lorsque nous parlons d'un point de vue IAM, pouvez-vous tirer parti de l'IA pour comprendre si cet utilisateur est le bon utilisateur au bon moment et faire en sorte que cela se fasse de manière dynamique plutôt que d'avoir des administrateurs qui essaient de bricoler des politiques d'accès conditionnel basées sur une base d'utilisateurs si vaste et une pile technologique si vaste, alors oui, utilisez les outils à votre avantage et faites toujours en sorte que quelqu'un fasse un step-up lorsqu'il est dans des enregistrements critiques.

INGO SCHUBERT
Une chose que j'ai remarquée dans cette industrie, je pense que ce qui s'en rapproche le plus, c'est peut-être la fabrication dans l'atelier de fabrication, c'est le partage d'appareils. Je ne dirais pas que c'est la norme, mais qu'il y a un nombre disproportionné d'appareils partagés. Comment faire face à cela ?

PAUL MULVIHILL
Oui, vous avez une main-d'œuvre qui travaille disons 8 heures par jour, vous n'allez pas avoir chaque jour une personne qui a son propre appareil, donc vous allez en avoir un partagé par au moins 3 personnes et dans des cas probables partagé par 5, 6, 7 parce qu'il peut s'agir d'un terminal à un poste d'infirmière, ce genre de choses. Quelle est la meilleure façon de le protéger ? Je veux dire que vous allez mettre une sorte d'identifiant dans le nom d'utilisateur et le mot de passe. J'ai vu des gens utiliser des jetons OTP, des jetons matériels, parce qu'ils sont difficiles à tuer. Ils sont sacrément résistants. Mais est-ce suffisant ? Parce qu'il s'agit d'un mot de passe à usage unique. Il faut que quelqu'un accède à un ordinateur, se connecte et l'utilise. Mais ils ont été testés et éprouvés. Les gens savent comment les utiliser et il y a beaucoup de gens dans cette industrie qui pourraient parler avec n'importe lequel d'entre nous du corps et du fonctionnement de sa partie du corps, leur donner une clé FIDO et leur demander de s'habituer à l'utiliser ou un téléphone portable avec la biométrie " push to approve ", c'est juste un domaine complètement différent auquel ils doivent penser, c'est un peu comme ça, c'est un peu comme si votre zone de confort et vos connaissances techniques se trouvaient ici. Mais ensuite, nous essayons de dire, eh bien, pour utiliser cela. Il faut y ajouter tous ces autres éléments.
 
INGO SCHUBERT
De plus, je pense que ce n'est pas si différent d'autres domaines dans d'autres industries où, par exemple, un téléphone portable ne peut pas être emporté partout. Il y a des endroits où l'on n'a pas le droit d'emporter des smartphones ou des appareils intelligents, soit pour des raisons de confidentialité, soit parce que j'ai des caméras ou, je ne sais pas, comme, vous savez, vous n'avez pas le droit d'avoir une connexion Wi-fi quelque part parce que cela perturbe une autre machine. Donc, oui, vous avez besoin d'options, oui. De plus, le générateur OTP peut être plongé dans du désinfectant, si vous le souhaitez.

PAUL MULVIHILL
Oui. Je discutais avec un client l'autre jour, et il avait exactement le même type de scénario, qui n'est pas médical, mais où il n'y a pas de téléphone portable. L'environnement physique est verrouillé du point de vue de la sécurité. Alors oui, ils ont soit le jeton matériel avec les codes d'accès à usage unique, soit les clés Fido. Je veux dire que certaines des nouvelles clés, comme celles de RSA iShield, intègrent la technologie sans contact FIDO et d'autres éléments de ce type. Ainsi, alors que dans le passé, il pouvait s'agir d'un nom d'utilisateur, d'un mot de passe et d'un code de passe à usage unique ou de les utiliser dans le code de passe. Il est possible d'aller sur un ordinateur, d'utiliser le nom, d'appuyer sur le bouton, d'insérer le code et d'entrer.

INGO SCHUBERT
C'est tout.

PAUL MULVIHILL
Il s'agit d'accélérer les processus. Et il y a d'autres domaines dans lesquels cela progresse également, où cela pourrait devenir encore plus simple à l'avenir. Certains éléments de FIDO et de Passkey peuvent retenir, en quelque sorte, ils commencent à apprendre un peu qui ils sont, de sorte que vous pouvez les associer à une personne. Ainsi, à terme, il suffira de se présenter avec une clé FIDO et de l'introduire dans la machine.

INGO SCHUBERT
Bien sûr, si vous disposez de cette touche NFC, cela pose moins de problèmes d'utilisation. Vous n'avez pas besoin de lire quelque chose et de taper à nouveau sur quelque chose où il peut arriver que vous lisiez les mauvais chiffres ou que vous ayez les bons chiffres et que vous les tapiez mal. Cela a donc permis d'éliminer ce genre de problèmes.

PAUL MULVIHILL
Et si quelqu'un souffre d'une déficience visuelle, lire cela sur un petit écran qui tourne, ce n'est peut-être pas facile. Encore une fois, il s'agit de NFC.
INGO SCHUBERT
Je vois cela.

PAUL MULVIHILL
Tout le monde, quel que soit le secteur, peut bénéficier de cet élément.

JON NICHOLAS
L'un des secteurs les plus critiques est probablement l'équilibre entre la sécurité et la commodité, car nous ne voulons pas ralentir le flux d'authentification et le flux d'accès pour les gens, probablement lorsqu'ils sont pressés de faire quelque chose de très important, de sorte que la sécurité et la commodité en même temps seront critiques.

INGO SCHUBERT
Il est donc important d'avoir plusieurs méthodes d'authentification, pas seulement pour un utilisateur, il peut y avoir des utilisateurs qui ont plusieurs méthodes, mais parce qu'il y a tous les différents types de rôles, comme on l'a compris, n'est-ce pas ? Ce n'est donc pas comme s'il y avait un seul type qui convenait à tous.

PAUL MULVIHILL
Oui, c'est vrai.

JON NICHOLAS
Absolument pas. Certainement pas dans une organisation de cette taille.

PAUL MULVIHILL
Comme vous l'avez mentionné à propos des différents rôles, vous revenez à l'aspect gouvernance des choses pour vous assurer que chaque personne jouant son rôle, vous avez correctement cartographié ce qu'elle peut faire. Une infirmière et un hôpital auront un ensemble de choses qu'ils devraient être capables de faire, un médecin, un autre porteur ou une personne à la réception. Je ne pourrais probablement même pas énumérer le nombre de rôles différents qu'il y a ici et qui ont tous des exigences et des droits d'accès différents. Vous devez donc vous assurer que vous pouvez cartographier tout cela et dire, d'accord, cette personne a ce rôle et vous assurer que le processus de gouvernance en place et les systèmes de cycle de vie en place disent, d'accord, c'est votre rôle, c'est ce que vous pouvez avoir et ensuite cartographier cela pour une méthode appropriée afin que vous puissiez faire votre travail sans passer 20 minutes par jour à faire de l'AMF, peut-être une ou deux fois par jour et ensuite peut-être tirer parti de l'aspect IA et de l'analyse comportementale pour dire, d'accord, je suis entré, Je suis sur l'ordinateur que j'utilise toujours, j'accède à la ressource à laquelle j'accède toujours, faites-le une fois, et je suis dedans, continuez.

INGO SCHUBERT
Donc, en restant du côté de la gouvernance, de la gouvernance des identités, comment, pourquoi, comme le joint -a -move a lever, pourquoi est-ce si important dans l'environnement des soins de santé ?

JON NICHOLAS
Je pense que lorsque vous regardez, encore une fois, j'ai beaucoup parlé de l'échelle, mais vous voyez, et Paul l'a mentionné, les gens peuvent se déplacer entre les trusts, mais au sein d'un trust aussi, vous avez changé de rôle, probablement régulièrement. Donc l'échelle de leur processus JML, je veux dire, des dizaines, des centaines de milliers de changements par jour. Il est donc essentiel d'automatiser ce processus. Et il ne s'agit pas seulement d'automatiser, mais aussi d'avoir le bon calendrier, vous savez, vous allez changer de rôle dans trois jours, n'est-ce pas ? C'est dans le système. Dans trois jours, vous passez du rôle A au rôle B, c'est fait automatiquement dans le back-end. Et vous connaissez le rôle que vous allez occuper, ou le système connaît le rôle que vous allez occuper et sait quelles sont les autorisations dont vous avez besoin. Il ne s'agit pas pour moi de parler à votre manager et de lui dire ‘Hé, Ingo va rejoindre votre équipe la semaine prochaine, qu'est-ce qu'il devrait pouvoir faire’, il s'agit de dire "Ingo a rejoint l'équipe et peut faire tout ce qu'il a besoin de faire dès le premier jour".

INGO SCHUBERT
Et cela signifie également que le rôle A n'est plus le mien si je change de trusts, bien sûr, oui ?

JON NICHOLAS
Oui, oui.

INGO SCHUBERT
Ainsi, cette accumulation de droits ou de temps, que nous avons tous vue au cours de notre carrière à un moment ou à un autre, est une réalité.

JON NICHOLAS
L'étalement de l'identité, si l'on veut.

INGO SCHUBERT
Oui, oui.

PAUL MULVIHILL
Pour ajouter à ce que Jon disait, si vous sautez d'un site à l'autre, d'une confiance à l'autre et d'un rôle à l'autre, le compte qui a été créé pour vous sur le site A, si vous n'êtes pas de retour pendant trois, quatre, cinq semaines ou même deux ou trois jours, avec le cycle de vie et l'élément de levier, vous pouvez instantanément désactiver ce compte. Il n'y a donc pas de scénario de compte orphelin dans lequel ce compte existe, il dispose d'un certain niveau d'autorisations. Il est juste là, sans être utilisé, ce qui signifie qu'il s'agit d'un autre vecteur d'attaque. Quelqu'un ne peut donc pas y entrer et se lancer dans des attaques de type ransomware sur des trusts et autres choses de ce genre. Il suffit de verrouiller l'accès parce qu'on n'est plus là. Si vous revenez dans deux jours, le système le rallume dans deux jours.

INGO SCHUBERT
C'est vrai.

PAUL MULVIHILL
Jusqu'à ce moment-là, ce n'est pas une option. Elle est désactivée. Elle ne peut pas être utilisée.

INGO SCHUBERT
Et la visibilité qui en découle, je veux dire, évidemment le système sait, vous savez, quels rôles vous avez, quels rôles vous aurez, les rôles que vous aviez. Je pense que, et corrigez-moi si je me trompe, mais vous savez, si vous êtes audité, cette information et cette visibilité semblent terriblement utiles.

PAUL MULVIHILL
Vous auriez un historique complet de qui peut faire quoi et à quel moment. Ainsi, si quelque chose se produisait du point de vue de l'audit, est-ce que vous adhérez à ces critères d'audit ? Oui, voici la preuve. Si vous disposez d'une sorte de plateforme de gouvernance centrale, tout est là. Vous pouvez donc savoir que tout va bien, qu'il n'y a pas de problème. Et dans l'éventualité où, eh bien, dans l'éventualité, espérons-le, rare, où quelque chose arrive, vous pourriez alors utiliser le même ensemble de données pour dire, d'accord, qui avait accès à ces choses à ce moment-là ? En fonction des données supplémentaires que vous pouvez intégrer à l'écosystème, vous pouvez dire que ces comptes ont peut-être fait quelque chose, mais vous pouvez aussi dire qui y a eu accès. Qui aurait pu faire quelque chose.

INGO SCHUBERT
Cela facilite donc les enquêtes. Si des choses se produisent, je veux dire, en tant que bon ingénieur en sécurité, vous supposez toujours que des choses se produiront, que vous finirez par être victime d'une brèche. Cela vous aide aussi, vous savez, pendant le processus de nettoyage, à voir ce qui se passe, qui a été touché.

PAUL MULVIHILL
On part toujours du principe qu'il est possible d'ouvrir une brèche. On met donc en place autant de mesures et de contrôles que possible pour en minimiser l'impact, à moins de prendre cet ordinateur, de le débrancher, de le mettre dans du ciment et de le laisser tomber dans la tranchée d'Areana ou quelque chose du genre, cela ne se produira pas. Il faut donc faire le maximum pour que, si quelque chose se produit, cela ait le moins d'impact possible sur le cours des choses.

JON NICHOLAS
Oui, je pense qu'il faut ajouter à cela que si vous regardez les données que vous obtenez à partir d'une approche de gouvernance, il ne s'agit pas seulement de savoir si nous pouvons fournir des informations aux auditeurs. Je pense qu'il s'agit aussi de savoir si nous pouvons comprendre ce que nous avons actuellement. La maturité des processus, j'en parle beaucoup dans ces sessions, mais vous savez, vous regardez une équipe, vous regardez les droits de ses rôles. Vous vous dites, attendez, personne dans cette équipe n'a utilisé ce droit depuis six mois, un an, quel que soit le délai que vous définissez, et le système devrait dire qu'il n'a pas été utilisé. Envisageons de supprimer ce droit, parce qu'il s'agit d'un droit excessif, et qu'il y a peut-être une très bonne raison de ne plus l'utiliser. Il y a peut-être un système parallèle qu'ils utilisent pour effectuer cette partie de la charge de travail. Le nouveau système en est donc doté et l'ancien en est dépourvu. Mais vous avez besoin de cette intelligence automatisée pour vous aider à découvrir ces informations, parce que sinon vous faites des audits manuels complets et je ne sais pas ce que vous avez utilisé dans le système au cours des six derniers mois, mais le système sait comment vous l'avez utilisé. Utilisez donc ces informations pour prendre des décisions éclairées en vue d'atteindre la confiance zéro ou le moindre privilège.

INGO SCHUBERT
Oui, c'est là que le privilège me vient à l'esprit.

PAUL MULVIHILL
Ensuite, comme vous l'avez dit, vous pouvez commencer à voir où ce privilège de permission particulier n'a pas été utilisé. En fait, 80 % de l'équipe l'ont fait, mais cela ne fait pas partie de leur rôle officiel. Devons-nous ajouter cela pour nous assurer que toute l'équipe peut le faire parce qu'elle en a besoin plutôt que 8 sur 10, individuellement, disent, oui, puis-je avoir accès au système B, s'il vous plaît, parce que j'en ai besoin pour faire X.

INGO SCHUBERT
Gestion par exception, essentiellement, oui. Nettoyer, oui.

PAUL MULVIHILL
Nous allons nous dire qu'en fait, 80 % d'entre eux l'utilisent. Faisons en sorte que cela fasse officiellement partie de leur rôle afin de pouvoir adhérer à ces audits et à cette conformité et de pouvoir dire, oui, cette équipe a besoin de cela. Cela fait partie de leur rôle. Quelqu'un d'autre arrive, quelqu'un d'autre part, nous désactivons cet accès parce que cela fait partie du rôle qu'ils ont, ou nous le donnons à la nouvelle personne qui fait aussi bien, juste pour garder tout en ligne et la visibilité de ceci est ce que ces personnes peuvent faire.

INGO SCHUBERT
Alors que diriez-vous à un DSI, un DSI du secteur de la santé, par où devrait-il commencer ? Parce qu'il y a, vous savez, tellement de choses qu'ils pourraient commencer, mais comme une petite liste de priorités peut-être, que leur diriez-vous ?

JON NICHOLAS
Je pense que je les encouragerais, et ils y réfléchissent déjà, mais la vraie raison est de se concentrer sur la résistance au phishing. Je pense que c'est par là que je commencerais, parce qu'un grand nombre de services de santé utilisent le courrier électronique comme principale méthode de communication. Et nous savons que c'est un vecteur d'attaque vraiment vulnérable pour le fishing. De plus, les utilisateurs de ces systèmes travaillent dans des environnements soumis à de fortes pressions. Ils se connectent, doivent faire quelque chose rapidement, les courriels arrivent, ils ont réussi à les trouver au bon moment, oui, ils les parcourent dans la panique. Pas dans la panique, mais juste dans un flux normal et, par inadvertance, vous savez, ils divulguent leurs informations d'identification et leurs données à ce site de phishing. Donc, en tenant compte de l'authentification de la résistance à l'hameçonnage, c'est principalement parce qu'il s'agit d'un secteur fortement axé sur les communications par courriel que je me pencherais sur la question.
 
PAUL MULVIHILL
Je serais probablement d'accord pour dire qu'il faut commencer par la résistance à l'hameçonnage, puis la visibilité de ce que peut faire votre personnel, donc peut-être un peu en retard mais en parallèle avec la sécurisation de la porte d'entrée, s'assurer que les approches de résistance à l'hameçonnage sont en place, mais ensuite mettre en place une sorte d'outil de visibilité de la gouvernance pour dire, ok, qui existe, quels comptes existent, qu'est-ce qu'ils peuvent faire, ne pas faire de changements, mais littéralement rassembler toutes ces informations pour commencer à voir quelle est la situation avec les comptes et les permissions. ce qui est utilisé, ce qui ne l'est pas, qui peut faire quoi, qui ne peut pas faire quoi. Une fois que l'on dispose des données, on peut commencer à se dire : voilà les changements que je peux envisager et qui n'ont pas d'effet au départ parce que personne ne les utilise. Mais aussi, quels changements dois-je apporter pour permettre à une équipe de faire son travail de manière plus efficace à l'avenir.

INGO SCHUBERT
Merci les gars. Nous avons eu de très bonnes informations sur la sécurité des identités dans les systèmes de soins de santé. Si vous appréciez ce type de discussions, n'oubliez pas de vous abonner pour être informé de la sortie d'un nouvel épisode. C'était RSA Identity Unmasked. Rendez-vous le mois prochain.

INGO SCHUBERT : Bienvenue à RSA Identity Unmasked. Aujourd'hui, nous abordons un sujet souvent négligé, la sécurité du service d'assistance. John et Paul m'accompagnent aujourd'hui et nous parlons de cas concrets, des risques et des contrôles qui permettent d'atténuer ces risques.

Pourquoi le service d'assistance devient-il une telle cible ? Commencez par celle-ci.

JON NICHOLAS : Oui, je suis heureux de participer. Je pense qu'au départ, le rôle d'un service d'assistance est d'aider les gens. Ainsi, quiconque appelle le service d'assistance jouera sur la bonne volonté de l'administrateur du service d'assistance en disant : " Hé, pouvez-vous m'aider à faire quelque chose ? C'est donc une bonne chose lorsque vous êtes un employé d'une entreprise et que vous dites : " J'ai vraiment besoin d'aide ". Mais lorsque vous êtes l'acteur de la menace qui appelle, ils peuvent prier sur cela et dire, d'accord, cette personne est prête à m'aider. Et cela est d'autant plus vrai si les processus de l'organisation sont médiocres, car l'administrateur du service d'assistance n'est plus limité par les processus à dire, je ne peux faire que X, Y, Z. Il peut dépasser ces limites et dire, je vais essayer de vous aider à faire ABC aussi. C'est un risque réel pour le service d'assistance, qui risque d'être exploité s'il n'y a pas de processus solide.

PAUL MULVIHILL : Il faut ajouter à cela que dans certains services d'assistance, les indicateurs de performance sont, dans une certaine mesure, les suivants : je dois fermer, quelqu'un téléphone, je dois fermer le ticket, je dois régler le problème. Si vous n'êtes pas à la hauteur, je vais m'en servir. Vous voulez faire fermer un ticket, j'ai téléphoné, vous en avez créé un, je ferai ce que je peux pour que vous me donniez les informations que je veux et que vous passiez outre les processus en place ou non.

INGO SHUBERT : Oui, je pense que si vous avez déjà travaillé au service d'assistance - je l'ai fait brièvement - je veux dire leurs statistiques, combien de tickets sont ouverts, vous savez le temps moyen de clôture d'un ticket et tout ça et parfois c'est dans un grand moniteur donc, je pense que cela crée comme un environnement de stress élevé qui est parfait pour vous savez les attaques d'ingénierie sociale. D'accord, oui, oui. Est-ce que ça a changé récemment, qu'est-ce qui a changé pour que ce soit maintenant une voie d'attaque privilégiée ?

PAUL MULVIHILL : Il s'agit probablement d'une attaque contre un itinéraire depuis un certain temps, mais il est évident qu'elle a fait l'objet de beaucoup plus d'attention ces derniers temps. Nous avons eu la coopérative de Mark Spencer, JLR, Jaguar, Land Rover au cours des 12 derniers mois. Elles ont toutes été touchées en partie parce que les services d'assistance ont été ciblés. Quelqu'un a réussi à convaincre quelqu'un de lui donner les informations d'identification d'un compte, est entré, puis a fait des bêtises, mais à peu près.

JON NICHOLAS : Oui, et je me demande quel est le rôle de l'externalisation de l'informatique dans ce domaine également, parce que les employés de l'organisation A ne sont plus les seuls à s'appuyer sur des tiers et nous parlons toujours des tiers comme d'un risque préalable au sein de l'industrie, alors quelle est l'importance de ce facteur et cela s'ajoute à la rotation du personnel du service d'assistance. Il se peut que les connaissances soient limitées de ce côté-là aussi.

INGO SHUBERT : D'accord, oui. Et bien sûr, s'ils ne connaissent pas la culture de l'entreprise, ils ont affaire à eux.

PAUL MULVIHILL : Si vous avez un service d'assistance externalisé, vous connaissez peut-être la procédure, mais vous ne connaissez pas les personnes. C'est vrai. Que pouvez-vous donc mettre en place pour dire : " D'accord, je vous appelle ? Nous ne nous sommes jamais rencontrés. Nous n'avons jamais été dans un bureau auparavant.

INGO SHUBERT : Comment cela pourrait-il se produire ? Je veux dire, quelle est une attaque typique dans ce cas ? Qu'est-ce que l'attaquant essaie de réaliser ? Et comment y parvient-il ?

PAUL MULVIHILL : Il peut s'agir, je pense, d'essayer de réinitialiser un compte, d'obtenir de l'aide ou d'accéder à un réseau VPN. Je veux dire que nous vivons dans un monde où il y a beaucoup de médias sociaux autour de ce que les gens font. J'ai des amis qui y publient leur vie pour diverses raisons. Certaines ont du sens, d'autres non. Si vous voulez en savoir plus sur quelqu'un, vous pouvez probablement commencer à rechercher des sources et à rassembler un grand nombre d'informations. Vous appelez donc un service d'assistance et vous avez peut-être trouvé le lieu de naissance d'une personne ou le nom d'un animal de compagnie, tout ceci, tout cela et tout le reste, de sorte que vous pouvez ensuite dire, bon, eh bien, j'ai besoin de faire réinitialiser un mot de passe. Quelles sont les étapes aujourd'hui pour savoir, quelles sont les étapes aujourd'hui pour savoir qui je suis, qui je dis ? Probablement des questions de sécurité.

INGO SCHUBERT : Oui. Il s'agit donc essentiellement d'une combinaison de certaines connaissances préalables que l'attaquant possède, soit à partir des réseaux sociaux, soit à partir de données achetées auprès d'un courtier en données, illégal ou non. Je sais qu'il peut s'agir d'une attaque différente ou de données achetées auprès d'un courtier en données, illégal ou non. Et ensuite, combiné avec, vous savez, cet environnement à haute pression dont nous avons parlé au début, oui, cela semble être une cible vraiment agréable et juteuse pour les attaquants, n'est-ce pas ?

JON NICHOLAS : Oui, en plus de cela, nous parlons beaucoup de la recherche de la personne que l'on veut imiter, mais je pense qu'avec les outils actuels dont nous disposons tous, nous pouvons dire, hé, qu'est-ce que l'entreprise X utilise dans son infrastructure informatique ? À quoi ressemble leur pile technologique ? Ainsi, lorsque vous avez une conversation avec le service d'assistance, vous pouvez être plus crédible. Il ne s'agit pas de savoir si je peux avoir accès au VPN. Il s'agit de savoir si le VPN de Palo Alto fonctionne pour moi. Pouvez-vous m'aider ? Alors, instantanément, ils se disent que c'est plus familier.

INGO SHUBERT : J'allais dire, dans ce cas, il semble que, vous savez, vous en tant qu'attaquant, cela semble plus familier, ce qui signifie que vous êtes l'un d'entre nous, oui, donc je peux vous faire plus confiance avec un service d'assistance externalisé, oui, vous êtes l'un d'entre eux presque parce qu'en fin de compte, vous savez, vous ne faites pas partie de l'entreprise.

PAUL MULVIHILL : J'ai regardé une vidéo, il y a peu de temps, sur l'une des conventions, où l'on voyait une personne payée pour pirater des entreprises par l'intermédiaire du service d'assistance. La vidéo montrait qu'il accédait aux systèmes du service d'assistance en 30 secondes environ, parce qu'il téléphonait, il réussissait à falsifier le numéro de téléphone pour qu'il ait l'air d'être celui de l'entreprise, de sorte que les personnes du service d'assistance pensaient instantanément : " Oh, ils sont internes ". Puis ils les ont convaincus, en leur posant des questions - en prétendant être l'utilisateur ou avoir des informations sur les systèmes VPN - pour les aider à accéder à un site web, ce qui leur a permis d'accéder à l'ordinateur de la personne concernée par une porte dérobée.

INGO SCHUBERT : Il s'agit donc essentiellement de s'appuyer sur des preuves pour l'authentification. Il s'agit plutôt d'un sentiment agréable et chaleureux que l'attaquant génère. Qu'est-ce qui devrait être fait à la place ? Qu'est-ce qui pourrait être fait différemment ? Je veux dire, ce n'est pas comme si c'était un tout nouveau problème, n'est-ce pas ? Les services d'assistance existent depuis des décennies, n'est-ce pas ?

PAUL MULVIHILL : Oui, je pense que nous sommes arrivés à un point où, en matière de sécurité informatique, nous sommes la partie la plus faible de toute l'équation. Si vous comptez sur quelque chose que nous savons, vous pouvez probablement le découvrir. Il faut en quelque sorte descendre dans le domaine de l'authentification de quelqu'un avec quelque chose qu'il a, qu'il ne peut pas obtenir d'une autre source ou qu'il ne peut pas apprendre ? Il s'agit donc d'une sorte de MFA progressive, quelque chose de ce genre, qui consiste à dire, d'accord, vous avez un système, vous demandez de l'aide, prouvez-le. Mais pas en vous posant une question, parce que ça peut être le cas.

INGO SCHUBERT : Eh bien, j'allais dire que les questions de sécurité les plus populaires sont celles qui portent sur le nom de jeune fille de la grand-mère et tout le reste. Combien d'entre elles sont toujours les mêmes ?

PAUL MULVIHILL : Exactement. Nous avons la même série de 10 questions, nous en choisissons trois. C'est comme si, vous savez quoi ? Je peux probablement trouver cette liste et aller chercher la réponse pour tout le monde.

INGO SCHUBERT : D'accord. Pour en revenir au thème général de la sécurité de l'identité, il faut des preuves, et des preuves solides. Je crois que vous avez mentionné l'AMF. C'est là que l'AMF entre en jeu.

PAUL MULVIHILL : Oui. Je veux dire, si vous êtes dans une entreprise et que vous avez mis en place l'AMF, utilisez-la à votre avantage. Si John a mis en place un MFA et qu'il appelle le service d'assistance, utilisez-le pour prouver que vous êtes bien celui que vous prétendez être. Il est évident que toutes les AMF ne se valent pas, mais c'est mieux que de se contenter d'une recherche sur John et de trouver son lieu de naissance ou le nom de jeune fille de sa mère, ceci, cela et l'autre, et de répondre à la question. S'il s'agissait d'une étape, vous avez obtenu un diplôme de maîtrise, prouvez-le.

INGO SCHUBERT : Donc, mais comment cela fonctionnerait-il maintenant ? Avec RSA ID Plus dans ce cas, parce que, je veux dire, que devrait faire le service d'assistance ? Qu'est-ce que l'utilisateur final devrait faire pour cela ? Parce que comme dire, vous faites de l'AMF, c'est comme, ouais, c'est une chose. Mais comment cela fonctionne-t-il étape par étape ? Comment, que doit faire l'utilisateur ?

PAUL MULVIHILL : Dans le cas du ID Plus, il y a deux côtés à la médaille : l'appel se fait entre deux personnes. La personne du service d'assistance trouve l'utilisateur dans le système et déclenche une session de vérification. L'utilisateur final qui appelle connaît l'URL, ou on lui a appris l'URL à laquelle il doit se rendre, et à l'intérieur du point final, c'est, ok, faites une MFA. L'entreprise va décider si c'est FIDA, si c'est poussé à l'approbation, biométrique, quelle que soit la méthode qu'elle choisit et qui est acceptable. Lorsqu'elle y parvient, elle obtient un code de vérification. Il le renvoie au service d'assistance. Mais il s'agit uniquement d'un numéro de vérification d'identité. Ce n'est pas un numéro d'authentification. Il ne permet pas de vérifier quoi que ce soit.

INGO SCHUBERT : Oui. Ils n'ont donc pas besoin de donner leur ANP actuelle ou quelque chose comme ça.

PAUL MULVIHILL : Ils font l'OTP s'ils font l'OTP. Ils font la poussée approuvée, les données biométriques de Fido. Ils font tout cela sans partager d'information à ce moment-là. Ils obtiennent un résultat. Il donne le résultat à la personne du service d'assistance, ce qui, encore une fois, ne sert qu'à la vérification. Il ne s'agit pas d'une authentification. Ensuite, le
La personne du service d'assistance dit : "D'accord, donnez-moi ce numéro, un, deux, trois, quatre, cinq, entrez-le, le système dit : "Oui, je m'attendais à ce que cette personne soit bien celle qu'elle prétend être".

INGO SCHUBERT : Bienvenue à RSA Identity Unmasked, le Vodcast où nous analysons les forces qui façonnent l'avenir de la sécurité de l'identité. Je suis votre hôte, Ingo Schubert, et aujourd'hui nous nous penchons sur un sujet qui suscite beaucoup d'intérêt dans l'industrie, l'informatique quantique. Aujourd'hui, je suis accompagné de David Lello, de Burning Tree. Entrons directement dans le vif du sujet. Aujourd'hui, l'informatique quantique, c'est le battage médiatique, la menace, l'opportunité, ou les trois à la fois. Nous reprenons en fait un débat qui a commencé à Bletchley Park en septembre de l'année dernière avec David Lilo de Burning Tree et moi-même, Ingo Schubert. Entrons donc directement dans le vif du sujet. David, bienvenue dans cet épisode.

DAVID LELLO : Merci

INGO SCHUBERT : Je pense que pour le bénéfice de l'auditoire, vous pouvez décrire en quelques mots ce qu'est l'informatique quantique pour que nous soyons au niveau des experts après que vous ayez terminé.

DAVID LELLO : Je vais commencer par la façon la plus simple d'envisager l'ordinateur quantique, car je pense que si nous entrons dans la physique théorique, nous risquons de perdre quelques personnes.

INGO SCHUBERT : Oui

DAVID LELLO : Avec les ordinateurs quantiques, les ordinateurs quantiques fonctionnent différemment des ordinateurs traditionnels. Avec un ordinateur quantique, il le fait différemment. Il utilise la mécanique quantique et donc, dans un monde multidimensionnel de mécanique quantique, il regarde les données et les voit. Il ne lit pas les données de la même manière et, par conséquent, il peut émettre des hypothèses et examiner de multiples constructions en même temps. C'est un peu comme lorsque vous lisez un livre, un ordinateur traditionnel le lira du début à la fin, alors qu'un ordinateur quantique lira le livre et verra les données. C'est pourquoi l'ordinateur quantique est capable de traiter les informations beaucoup plus rapidement. Et lorsqu'il s'agit de résoudre des problèmes, c'est un peu comme s'il résolvait tous les problèmes en même temps plutôt que d'examiner un problème et d'essayer de le résoudre en plusieurs fois.

INGO SCHUBERT : Oui, les algorithmes sont très différents, bien sûr. Oui, je pense que c'est probablement la raison pour laquelle de nombreuses personnes, et je me compte parmi elles, luttent, bien sûr, pour savoir comment programmer cette chose. Je pense que ce qui m'aide parfois à comprendre, comme, vous savez, c'est vraiment une bête différente, c'est que, vous savez, un ordinateur traditionnel, comme chaque bit, ouais. Si vous avez N bits, vous pouvez stocker N quantités de données. C'est zéro, un, ouais ? Avec l'ordinateur quantique, c'est deux à la puissance de N, oui, ce qui est comme, immédiatement, comme, si votre ancien instant se déclenche, c'est comme, oui, c'est beaucoup plus, oui, dans la même quantité de qubits dans ce cas, d'accord ? Par conséquent, le stockage et le traitement se font à un niveau différent, n'est-ce pas ? Je pense que nous allons en rester là, car sinon nous en aurions pour des jours, n'est-ce pas ? Je n'ai fait qu'expliquer les bases.

Le prochain sujet que j'aimerais explorer est l'état actuel de l'informatique quantique. Où en sommes-nous aujourd'hui ? Parce que je pense que, probablement, et si les gens qui nous regardent nous ont observés à Bletchley Park, nous avons des opinions différentes sur notre situation actuelle et future. Commençons donc par vous. Quel est l'état actuel de l'informatique quantique ?

DAVID LELLO : Je pense que l'informatique quantique en est encore à ses débuts. Il existe donc un certain nombre d'ordinateurs quantiques et il est possible de louer du temps sur des ordinateurs quantiques afin d'examiner des données. Mais je pense que la manière dont les ordinateurs quantiques ont été développés pose un certain nombre de problèmes. Certains ordinateurs quantiques nécessitent beaucoup de contrôle en termes de température, par exemple. Un ordinateur quantique fonctionne au zéro absolu, c'est-à-dire à moins 270 degrés Celsius, ce qui est très froid. Il faut donc de grandes installations, de grands équipements et beaucoup d'énergie. Sinon, on perd la cohésion et la stabilité de la plateforme.

Les premiers ordinateurs quantiques ne cessaient de s'éteindre à cause de ce problème. Il s'agit donc d'un problème qui doit être résolu et abordé. L'autre problème est que l'ordinateur quantique examine les données en même temps, ce qui crée beaucoup de bruit. Si vous deviez prendre quelque chose comme la Bible et la lire instantanément, plutôt que de la parcourir du début à la fin, cela créerait dans votre esprit un récit incompréhensible. Il serait alors très difficile de digérer, de comprendre et de distiller le message.

Le bruit dans le système a donc créé un grand nombre de problèmes. Nous avons vu quelques succès à Oxford, où ils ont réduit le taux d'erreur et le bruit dans le système de manière significative. Mais le problème le plus important à l'heure actuelle est probablement la quantité de cubes qui peuvent être intriqués en même temps, car on commence à perdre la cohésion de ces cubes lorsque l'on dépasse une centaine de cubes. Le nombre de qubits qui peuvent être intriqués en même temps pour pouvoir traiter l'information est donc limité. Cela signifie que la puissance de traitement et la capacité de la machine sont limitées.

Il ne s'agit donc pas encore de ce que nous appellerions l'informatique quantique pertinente sur le plan cryptographique, ce qui est un problème de taille, mais nous en sommes à un stade où elle a fait ses preuves. Elle fonctionne. Il fait ce que les scientifiques disent qu'il fait. Il s'agit simplement de passer au niveau supérieur et d'investir davantage. Tous les quelques mois, de nouvelles avancées se produisent ou font l'objet d'investissements importants, et nous commençons à voir des progrès.

INGO SCHUBERT : Oui, et c'est vrai. Et je pense que si vous comparez les ordinateurs quantiques, si vous regardez des photos d'eux, n'est-ce pas ? Entre il y a cinq ans et aujourd'hui, je les qualifierais encore partiellement d'expérience physique, mais c'était beaucoup plus physique il y a cinq ans, n'est-ce pas ? Si vous regardez la configuration physique de ces choses, n'est-ce pas ?

Cependant, s'il est vrai que, vous savez, ils deviennent comme, oui, vous leur posez un problème et ils peuvent le résoudre beaucoup plus rapidement que les ordinateurs traditionnels. Et cela tient en partie à ce que vous avez appelé la cohésion. Oui, la cohésion de base est, vous savez, si vous pouvez seulement garder le système stable pendant un certain temps. Et ce temps est généralement mesuré au maximum en secondes, ou en millisecondes, en fonction de la puce utilisée. Et cette durée est loin d'être utile dans de nombreux cas. Il y a cependant des cas d'utilisation où cela a du sens. Pensez-y comme à un coprocesseur quantique. Mais le problème que je rencontre, c'est que dans de nombreux cas d'utilisation, on peut se demander si l'on ne pourrait pas résoudre le problème aussi bien avec quelques GPU de Nvidia, n'est-ce pas ?

Ainsi, l'une des choses que je vois constamment faire, c'est qu'il y a beaucoup de battage dans l'espace de l'informatique quantique. Je pense que cela recoupe un peu l'engouement pour l'IA. On peut aussi dire que si c'est du battage, c'est que c'est réel. Mais le fait est qu'il y a beaucoup de battage médiatique, beaucoup d'argent qui circule. Je pense qu'une partie de cet argent cherche maintenant une stratégie de sortie. Et l'informatique quantique semble être attrayante, n'est-ce pas ? Ils injectent donc beaucoup d'argent dans ce secteur et il y a des entreprises qui, fondamentalement, sont surévaluées et aussi surestimées en termes de promesses et d'activités, et cela s'applique en fait à tout le spectre, n'est-ce pas ? À Bletchley Park, j'ai pris l'exemple de la puce Willow de Google qui a publié un communiqué de presse sur cette nouvelle puce avec une excellente correction d'erreur et qui a été reprise par la presse populaire : cette puce peut faire en cinq minutes ce qu'un ordinateur traditionnel peut faire en 10 ans avec une puissance de 35 ans, ce qui est extraordinaire. puissance de 35 ans, ce qui est extraordinaire car l'univers n'a que 10 puissance de 25 ans, et si vous lisez l'article, vous vous dites que non, ce n'est pas possible. C'est comme si cette chose pouvait fonctionner pendant cinq minutes et que des millions de fois, ils ne sont pas capables de faire ça, alors ce serait comme ça. Et si vous regardez d'autres communiqués de presse de différentes entreprises, grandes et petites, il y a une certaine tendance à exagérer ce qu'elles réalisent.

Et je pense que, malheureusement, cela noie certaines des avancées réelles que l'informatique quantique a réalisées au cours des deux dernières années, n'est-ce pas ? Et je pense que, et c'est là que nous en arrivons, cela donne l'impression que la menace de l'informatique quantique est beaucoup plus réelle qu'elle ne l'est en réalité, qu'elle est au coin de la rue. Mais avant de parler des raisons de la fin du monde si l'informatique quantique apparaît soudainement, quels seraient les avantages d'un ordinateur quantique que vous avez à l'esprit ? Qu'est-ce qu'il pourrait faire de mieux que n'importe quoi d'autre ?

DAVID LELLO : Je vais répondre à cette question en réagissant également à ce que vous avez dit à propos de l'ordinateur quantique et de son état actuel. Bien que je reconnaisse que l'ordinateur quantique pose des problèmes, je pense que nous sommes beaucoup plus près d'atteindre la stabilité dans un ordinateur quantique que ce qui est suggéré. Si je regarde en arrière, je pense que l'une des meilleures façons d'envisager l'avenir est de regarder l'histoire. Lorsque j'étais jeune et que je travaillais dans une banque, il y avait un ordinateur central, et c'était un ordinateur central IBM de la vieille école. L'ordinateur central occupait une pièce. C'était une grande pièce. Ce n'était pas une petite pièce. C'était une très grande pièce. Il remplissait la pièce. Il y avait des vannes sur cet ordinateur central. Il y avait trois réservoirs de refroidissement d'eau. Il y avait des piscines dans le sous-sol de cette banque. Ce système était énorme. Quelques années auparavant, ils avaient remplacé le système de cartes perforées de cet ordinateur central.

Lorsqu'ils ont retiré l'ancien ordinateur central, ce qui a nécessité des chariots élévateurs et des machines très lourdes pour le sortir, ils ont dû découper certaines portes parce qu'ils ne pouvaient pas physiquement remettre l'ordinateur central à sa place. Ils l'ont remplacé par un rack et un ordinateur central qui étaient exponentiellement plus grands que ce qui existait auparavant. Nous avons assisté à une accélération massive des progrès des ordinateurs au fil des ans. Et si nous revenons 30 ans en arrière, vous savez, si vous revenez 40 ans en arrière, c'est juste, c'est massif, la quantité de changement que nous voyons se produire.

INGO SCHUBERT : Oui.

DAVID LELLO : Et ce que nous avons vu avec les ordinateurs quantiques, oui, il y a des indicateurs précoces et la science, cela ressemble un peu à ce vieil ordinateur central dans le sous-sol avec les trois réservoirs parce que vous avez besoin des systèmes de refroidissement, vous avez besoin du gros équipement, vous avez besoin de toutes les sortes de choses qui vont avec. Il y a beaucoup d'argent à investir. Il y a beaucoup d'investissements à faire. Et ces problèmes seront résolus. Et ils seront peut-être résolus plus rapidement que nous ne le pensons. Et les progrès que nous avons constatés de mois en mois en ce moment suggèrent que nous nous rapprochons de plus en plus de la cohésion. Je pense donc que nous nous en rapprochons encore un peu plus.

Et si c'est le cas, je pense que c'est vraiment très excitant parce que ce que l'ordinateur quantique peut faire, c'est traiter les données beaucoup plus rapidement, pas aussi rapidement que certains le prétendent, mais parce qu'il peut traiter ces données beaucoup plus rapidement, cela signifie qu'il peut examiner et résoudre des problèmes qui ne pouvaient pas être résolus auparavant.

En physique théorique, vous connaissez le concept du chat de Schrodinger. Le chat est-il mort ou vivant ? Est-il décomposé ? Qu'est-ce que c'est ? Quel est l'état du chat ? Eh bien, l'ordinateur quantique serait capable de regarder et de voir le chat dans toutes ses possibilités et donc de résoudre des problèmes majeurs que nous n'avons pas été capables de résoudre.

INGO SCHUBERT : Oui, et je pense qu'en termes de médecine, vous savez, le pliage des protéines, par exemple, les ordinateurs quantiques auraient l'avantage sur les ordinateurs traditionnels, c'est certain, n'est-ce pas ? Et il y a d'autres choses où, vous savez, tout simplement tout ce qui a une quantité massive de données à traiter, vous savez, les prévisions météorologiques seraient une chose, comme, vous savez, n'importe quoi, les données géologiques, il y a pas mal de cas d'utilisation qui bénéficieraient de l'informatique.

Je ne pense pas que ce soit le cas parce qu'il n'y a pas de ligne droite entre ce qui s'est passé dans le passé avec les transistors et ce qui se passera à nouveau. C'est comme la loterie, ce n'est pas parce que vous avez gagné la dernière fois que vous ne gagnerez pas la prochaine fois, on repart de zéro à chaque fois, et surtout avec la cohésion, si vous parlez de quelques centaines de qubits, peut-être quelques milliers, pour être un ordinateur quantique universel qui, par exemple, peut exécuter l'algorithme de Shor, ce qui serait une menace pour la cryptographie. Vous parlez de quelques centaines de milliers de qubits, n'est-ce pas ? Et en chemin, nous pourrions nous heurter à un mur quelque part, n'est-ce pas ? Il n'y a aucune garantie que nous résoudrons ces problèmes. Nous pourrions, et en fait, oui, bien sûr, il pourrait y en avoir, mais il n'y a pas de garantie. Et en même temps, un ordinateur quantique doit survivre commercialement dans un environnement où nous avons vu une augmentation massive de la puissance de calcul dans le monde entier, grâce aux GPU essentiellement, n'est-ce pas ? Grâce à l'IA. Avant, c'était l'engouement pour le bitcoin, maintenant c'est l'IA. Et ce, sans qu'il y ait eu d'avancées fondamentales dans la conception des puces. Je veux dire, oui, elles deviennent plus petites grâce à cela. Nous avons massivement augmenté la puissance de calcul, à tel point que le facteur limitant est maintenant l'énergie, n'est-ce pas ? Donc l'énergie électrique.

Et dans cet environnement, un ordinateur quantique doit survivre. Maintenant, vous pouvez faire valoir l'argument que, hey, en particulier pour ceux, vous savez, craquer des clés, vous savez, certains gouvernements le feront, très bien. Oui, c'est très bien. Ils ont assez d'argent. Ils ne s'en soucient pas vraiment. Peut-être qu'ils devraient s'en soucier. Ce sont nos impôts, mais supposons qu'ils s'en fichent.

Il existe des cas pratiques d'utilisation de l'informatique quantique sur la voie d'un ordinateur quantique universel pleinement opérationnel. Je pense que c'est incontestable. Je ne dis pas que ce n'est pas le cas. Et il y a de bons cas d'utilisation pour cela. Comme je l'ai dit, vous savez, le pliage des protéines, par exemple, dans la recherche pharmaceutique, n'est-ce pas ?

Mais parlons des menaces, d'accord ? Et je ne parle pas de la consommation d'énergie, tout cela parce que nous avons cela aujourd'hui avec les unités traditionnelles, n'est-ce pas ? Je veux dire que les menaces concernent en particulier la sécurité informatique et la sécurité tout court, n'est-ce pas ? Parce qu'il y a certaines choses, vous savez, j'ai mentionné l'algorithme de Shor, donc peut-être que nous devrions, vous savez, expliquer brièvement, vous savez, ce que c'est et comment cela affecte la sécurité.

DAVID LELLO : Oui, avec l'ordinateur quantique, parce qu'il peut traiter les informations et les données beaucoup plus rapidement, il est capable d'utiliser l'algorithme de Shaw pour désosser les clés cryptographiques, et donc, lorsque nous avons un ordinateur quantique pertinent, il serait capable de casser ces clés en quelques secondes, voire en quelques minutes.

INGO SCHUBERT : Oui.

DAVID LELLO : Par conséquent, la plupart des données que nous consommons, utilisons et auxquelles nous accédons sont vulnérables aux attaques.

INGO SCHUBERT : Oui. L'argument de Schor, comme je l'ai déjà mentionné, est qu'il n'existe pas aujourd'hui d'ordinateur quantique capable d'exécuter cette tâche, car il faut des centaines de milliers de qubits en cohésion et qui fonctionnent pendant un certain temps. Alors oui, c'est quelques secondes, mais même quelques secondes sont un problème de nos jours pour certains ordinateurs quantiques. Cela briserait ou invaliderait en quelque sorte l'algorithme RSA, donc une clé publique privée, en utilisant RSA, mais aussi Diffie-Hellman et les courbes elliptiques, ECC. En gros, tous les algorithmes populaires qui ont été utilisés au cours des deux dernières décennies seraient essentiellement cassés, n'est-ce pas ? Ils le seraient avec un ordinateur quantique. Bien sûr, les ordinateurs traditionnels continueraient à se battre comme ils le font toujours, donc il n'y a pas de menace.

Et oui, si cela est cassé, je veux dire, ces algorithmes sont utilisés partout, n'est-ce pas ? Il s'agit donc, vous savez, de votre TLS traditionnel, d'une communication de serveur web, d'un client à un serveur web, de VPN, de signatures de courrier électronique, de chiffrement de fichiers envoyés et de tout cela, vous savez, ils sont tous souvent basés sur RSA, ECC, et ou Diffie-Hellman, n'est-ce pas ? Donc, je veux dire, ce serait, on pourrait même dire catastrophique.

DAVID LELLO : Absolument. Ce serait complètement catastrophique. Je pense que plus je me penche sur la question et plus les cas d'utilisation sont nombreux, plus les systèmes vont tomber en panne. C'est un problème mondial. Comme l'authentification et l'entrée dans le système financier. Même des choses comme Bitcoin sont compromises. Ils utilisent le cryptage à courbe elliptique et il serait compromis. Il en résulterait un effondrement complet du système financier.

Donc, oui, cela peut être absolument catastrophique. Je pense que nous pouvons voir dans les cas typiques d'utilisation à grande échelle des problèmes majeurs, mais aussi des problèmes plus petits et moins publics auxquels les gens ne pensent pas toujours. Ainsi, lorsque nous commençons à parler d'IOT et d'OT et que nous commençons à penser aux dispositifs médicaux et à l'équipement médical, la capacité de compromettre ces dispositifs. Vous savez, vous prenez une personne qui porte une pompe à insuline.

Si je peux compromettre le cryptage de cette pompe à insuline, je peux tuer quelqu'un.

INGO SCHUBERT : Oui.

DAVID LELLO : C'est, vous savez, tout d'un coup, la criminalité derrière ces choses peut devenir exponentiellement plus importante. Et nous commençons à voir des choses comme Minority Report et des cas d'utilisation du type Terminator.

INGO SCHUBERT : C'est maintenant que tu parles. C'est devenu intéressant, oui.

Mais pour en revenir à la disponibilité des ordinateurs quantiques, cela ne se fera pas du jour au lendemain. Supposons que quelqu'un obtienne enfin un ordinateur quantique de 200 000 cubes capable d'exécuter l'algorithme de Shor, par exemple. D'habitude, c'est environ un million. Certaines recherches indiquent qu'il suffit de quelques 100 000 qubits. Ce n'est pas comme si, soudainement, tout le monde avait un ordinateur quantique. Seuls quelques gouvernements et centres de recherche ont accès à l'informatique quantique. Ce n'est pas comme si tous les cybercriminels y avaient accès.

Mais la menace est réelle. Je pense que c'est un peu comme le problème de l'an 2000. Nous l'avons vu venir depuis un certain temps, mais nous avons pris des mesures pour l'atténuer et il s'est avéré que c'était un peu comme un hamburger sans intérêt.

DAVID LELLO : Mais seulement parce que nous avons fait quelque chose.

INGO SCHUBERT : Exactement. Tout simplement parce que nous avons fait quelque chose, n'est-ce pas ? Si nous n'avions rien fait, cela aurait probablement été un énorme problème, mais nous avons fait quelque chose et tout s'est bien passé, n'est-ce pas ? Et je pense qu'il en sera probablement de même dans ce cas-ci, parce qu'il y a des choses qui peuvent être faites, ce qui nous amène au travail suivant.

Nous ne sommes peut-être pas d'accord sur le temps qu'il nous reste, n'est-ce pas ? Il y a eu un rapport de MITRE, un institut de recherche financé par le gouvernement américain, un rapport récent au début de l'année et ils ont placé l'algorithme de Shor quelque part au début des années 2040, probablement plus vers les années 2050, donc ce n'est pas comme s'ils avaient une incitation à le sortir, donc c'était un rapport solide, mais même si vous dites que c'est beaucoup plus tôt, il est peu probable que ce soit avant les années 2030. Je pense que c'est très peu probable, à moins qu'un miracle ne se produise. Que pouvez-vous donc faire aujourd'hui pour vous préparer à cette apocalypse quantique ?

DAVID LELLO : Je pense que ce sera bien plus rapide que 2050. Je pense, vous savez, que je déteste essayer de prédire parce que c'est une chose impossible. Vous savez, quand on essaie de prédire l'avenir, on échoue inévitablement parce que nous n'avons pas d'esprit surnaturel.

INGO SCHUBERT : Eh bien, rencontrons-nous en 2055. À la même heure, oui, pour que nous puissions en parler. Si je suis encore à l'intérieur.

DAVID LELLO : Absolument. C'est ce que nous allons faire. Même heure, même endroit. Faisons-le. D'accord, mais si c'est plus tôt, je pense qu'il faut voir comment nous pouvons célébrer cet événement parce que je pense qu'avec n'importe quel progrès technologique, une percée se produit, et elle se produit à un moment donné. Elle peut se produire la semaine prochaine. Il se peut qu'elle se produise dans dix ans. Nous n'en savons rien. Mais elle se produira, j'en suis sûr, parce que la science est là. Elle est crédible. C'est une réalité. Vous savez, un champ de tournesols est capable de maintenir sa cohésion à l'heure actuelle. La stabilité est là à température ambiante, dans un champ, avec tout ce qui se passe autour. Les animaux qui courent en dessous, la pollution et tout le reste. Un champ de tournesols peut avoir de la cohésion.

INGO SCHUBERT : C'est exact.

DAVID LELLO : Pourquoi un grand nombre de scientifiques le font-ils ?

INGO SHCUBERT : Oui, mais ils ont eu quelques millions d'années pour évoluer, n'est-ce pas ? C'est là où je veux en venir. Je suis d'accord, mais ils ont un peu d'avance, n'est-ce pas ?

DAVID LELLO : Pour en revenir à la question, je pense que l'un des problèmes que nous avons, et nous l'avons un peu abordé à Bletchley Park, c'est que ce que nous avons actuellement en termes de pratiques et de ce que nous appellerions les bonnes pratiques en matière de gestion des clés cryptographiques, je pense que beaucoup d'entreprises ont échoué. En ce qui concerne les événements, il y a quelques années, nous avons eu la vulnérabilité de SSL, et tout le monde s'est précipité et a cherché à remplacer les clés. Cela a permis aux organisations de devenir beaucoup plus agiles en termes de rotation de leurs clés TLS, ce qui est fantastique. Cela résout une bonne partie du problème. Si vos clés TLS sont flexibles, vous pouvez les modifier. Vous devrez peut-être effectuer quelques tests en cours de route pour vous assurer que tout fonctionne.

Mais les organisations peuvent commencer à réfléchir dès maintenant à leur autorité de certification, à la manière dont elle émet ses clés et à la manière dont elle remplace ses clés au niveau TLS. Et c'est très bien ainsi. Le problème que nous rencontrons lorsque nous pénétrons dans une organisation est que 20 à 30, voire 40% des clés ne sont pas gérées de cette manière. Très souvent, une grande partie du matériel comporte des clés intégrées dans une infrastructure matérielle et certaines de ces pièces de matériel peuvent vivre pendant 20 ans, et la possibilité de changer les clés dans ce matériel signifie qu'il faut changer le matériel.

Nous avons également beaucoup de mauvaises pratiques en matière de codage, en particulier à l'époque des constructions monolithiques où les applications comportaient des clés intégrées dans les applications elles-mêmes. Et lorsque nous commençons à réfléchir, ce n'est pas seulement arrivé.

INGO SCHUBERT : Je pense que c'est ce que je veux dire. Il s'agissait d'une mauvaise pratique, qu'il y ait ou non de l'informatique quantique.

DAVID LELLO : En effet. Ainsi, lorsque nous commençons à réfléchir à l'idée d'un jour Q, ce qui était facile pour le passage à l'an 2000 parce que nous avions une date. Nous n'avons pas de date avec le Q-Day.

INGO SCHUBERT : Très bonne remarque.

DAVID LELLO : Mais lorsqu'il finira par arriver, et il pourrait arriver demain, ou dans 10 ans, ou, si vous avez raison, dans bien plus longtemps que cela, nous nous retrouverons dans une situation où une bonne partie de l'organisation et de ses clés ne seront pas facilement remplaçables, et nous aurons un mouvement de panique. Nous allons être confrontés à un problème massif, très massif, car les données seront compromises.

Mais c'est aussi, l'autre problème que nous rencontrons est un sujet sur lequel on me pose souvent des questions et c'est la menace ‘ récolter maintenant, décrypter plus tard ’. Cela fait des années que l'on voit des données cryptées être volées - je veux dire que David Cameron, dans ce pays, a déclaré que toutes nos données avaient été volées par la Chine, mais que cela n'avait pas d'importance. Elles sont cryptées. En remontant quelques années en arrière, ce genre d'affirmation est certes vrai aujourd'hui, mais étant donné les technologies dont nous disposons à l'heure actuelle, avec un ordinateur quantique, cela devient un problème. Et oui, bien sûr, les données vieillissent.

INGO SCHUBERT : Mais certaines de ces données resteront pertinentes. Pas toutes, mais certaines. Je pense que c'est la même chose. Elles sont restées dans la nature, et si elles sont décryptées dans cinq ans, on s'en fiche, n'est-ce pas ? Ou dans 10 ans, oui. On peut donc argumenter que de nombreuses données d'identité pour l'authentification, si elles sont décryptées dans cinq ou dix ans, on s'en fiche un peu parce qu'elles sont déjà périmées. Mais il existe de nombreuses données stratégiques qui pourraient vous nuire pendant des dizaines d'années, n'est-ce pas ? Et vous n'avez même pas besoin d'être un État. Il peut s'agir d'une société normale, d'une entreprise normale.

DAVID LELLO : Exactement.

INGO SCHUBERT : Et qu'en est-il ?

DAVID LELLO : Je veux dire, vous savez, le nombre d'organisations dans lesquelles je vais où il y a des systèmes hérités. En fait, il n'y a pas si longtemps, j'étais dans une organisation où il y avait une application. Ils l'ont traitée comme une boîte noire, et ils l'ont traitée comme une boîte noire parce que le code source a été perdu. La personne qui l'a écrit est partie depuis longtemps, n'y touchez pas. Si elle tombe, la réponse est de l'allumer ou de l'éteindre, de l'allumer à nouveau et de prier parce que c'est la seule chose que vous puissiez faire. Il n'y a rien que vous puissiez faire. Et ce système contrôlait tous les accès à ses magasins, tous les accès à ses magasins. Et s'il est compromis, s'il est détruit, c'est l'organisation qui est détruite.

INGO SCHUBERT : Un seul point de défaillance.

DAVID LELLO : Un seul point de défaillance. Le nombre d'organisations dans lesquelles il existe un point de défaillance unique est extraordinaire. Les organisations doivent vraiment commencer à réfléchir à la manière de moderniser leur infrastructure de gestion des identités et des accès. Lorsque nous commençons à penser à la gestion des identités et des accès, la gestion des identités et des accès est la voie d'accès à tout. Nous l'avons vu avec les dernières attaques de ransomware qui ont eu lieu en Allemagne, ainsi qu'ici au Royaume-Uni, en Italie et dans d'autres pays. Ces attaques de ransomware ciblent les systèmes de contrôle d'accès. Qu'il s'agisse d'Active Directory ou d'un système comme celui que j'ai décrit, la capacité de compromettre l'accès entraîne l'effondrement de l'organisation, l'arrêt de la communication et de la capacité d'accès. La modernisation de la gestion de l'accès à l'identité dans ce contexte sera l'une des grandes priorités.

INGO SCHUBERT : Oui, oui. Il est difficile de s'opposer à cela parce que, vous savez, c'est logique, quelle que soit la façon dont on l'envisage, n'est-ce pas ? Je pense que lorsque nous revenons à la gestion des clés de chiffrement cryptographique, de nombreux clients ne savent pas ce qu'ils ont, n'est-ce pas ? Ils n'ont pas une bonne vue d'ensemble de l'endroit où ils cryptent, où sont les clés, où ils signent numériquement. Ils n'ont pas cette vue d'ensemble. Je pense que c'est une partie du problème, n'est-ce pas ? Car vous ne pouvez pas réparer ce dont vous ignorez l'existence. De nombreux clients ont eu du mal à mettre en place une cyber-hygiène de base. C'est ce que je vois constamment, malheureusement, n'est-ce pas ? Pas plus tard que ce matin, j'ai reçu un appel concernant un client qui utilise un logiciel RSA vieux de 20 ans, 20 ans, n'est-ce pas ?

DAVID LELLO : Wow.

INGO SCHUBERT : Donc, en fait, ils ont appelé notre support pour quelque chose, et le support ne pouvait pas répondre, et c'est comme, ouais, bien sûr, vous savez, probablement le personnel de support qui répondait à l'appel téléphonique était probablement à la maternelle quand ce logiciel est sorti, n'est-ce pas ? Donc, ce que je veux dire, c'est que tant que nous ne faisons pas cette hygiène cybernétique de base et cette visibilité, tout d'abord, vous ne pouvez pas atteindre cet état de préparation quantique, ouais, où vous êtes prêt pour le jour Q. C'est juste comme si c'était impossible. C'est impossible.

Je pense aussi qu'il ne faut pas s'inquiéter de l'informatique quantique tant qu'on n'a pas réglé ce problème, n'est-ce pas ? Parce que si vous ne savez pas quel logiciel vous utilisez, si vous ne le maintenez pas à jour, vous dépendez bien sûr des vendeurs qui réparent ces choses, comme vous mettez en œuvre la cryptographie post-quantique, par exemple, n'est-ce pas ?

Mais si le logiciel sort avec la nouvelle version, avec toutes ces belles choses d'informatique quantique et que vous ne l'installez pas, cela signifie qu'il n'existe pas, n'est-ce pas ? Et même si vous le faites, si vos politiques et procédures concernant, par exemple, la gestion des données, ne sont pas correctes, de quoi s'agit-il ici ? Si l'attaquant peut simplement téléphoner à votre service d'assistance et demander à entrer, il n'a pas besoin d'un ordinateur quantique pour le faire, n'est-ce pas ? Il n'en a pas besoin aujourd'hui. Ils n'en avaient pas besoin hier. Ils n'en auront pas besoin demain. Ils n'ont qu'à téléphoner à votre service d'assistance si vos politiques ne sont pas adéquates et ils obtiennent l'accès.

Il y a donc beaucoup de choses qui peuvent mal tourner, qui ont mal tourné et qui tourneront mal, et qui n'ont rien à voir avec les ordinateurs quantiques. Et ma crainte est que les gens regardent cette chose quantique, ce Q -Day, et se laissent distraire par ce joli jouet brillant, n'est-ce pas ? Alors qu'ils ont tant de devoirs à faire, ce qu'ils n'ont probablement pas fait depuis des décennies, n'est-ce pas ? Et bien sûr, vous pouvez faire valoir l'argument selon lequel, hé, vous savez, vous devez faire cela, avoir de la visibilité, vous savez, avoir des correctifs en place sur cela, réparer vos procédures. S'il faut la menace de l'informatique quantique pour qu'un client le fasse, qu'il en soit ainsi, n'est-ce pas ? Je pourrais être heureux.

Mais une partie de moi se dit, non, parce que que que se passera-t-il si nous rencontrons un obstacle avec l'informatique quantique ? Pendant quelques années, il n'y a pas de réel avantage ou de progrès, puis on se dit que c'est dans les années 2060, que je ne serai plus sur le marché du travail depuis longtemps et que je n'ai donc pas à m'inquiéter de cela, et c'est une mauvaise approche parce qu'il faut régler ce problème quoi qu'il arrive.

Je vais vous donner quelques connaissances, oui, quelques noms, oui, le philosophe allemand Emmanuel Kant, oui, ne coupez pas cet éditeur, oui, c'est k, c'est k. C'est K -A -N -T, n'est-ce pas ? Donc je l'appelle Emmanuel à partir de maintenant, ouais.

Philosophe allemand du 18e siècle, il a dit beaucoup de choses intelligentes. Mais l'une des choses les plus intelligentes, à mon avis, c'est de faire ce qu'il faut parce que c'est ce qu'il faut faire, n'est-ce pas ? Pas parce que cela vous permet de gagner des points auprès d'une divinité. Vous le faites parce que c'est la bonne chose à faire.

Et avoir une bonne vue d'ensemble de l'endroit où l'on chiffre, de la manière dont on chiffre, des politiques, des procédures, des correctifs et de tout cela, c'est la bonne chose à faire, indépendamment du fait que l'informatique quantique soit dans 10 ans, 20 ans, 30 ans. Cela n'a pas d'importance. C'est ce qu'il faut faire. C'est ce que vous auriez dû faire depuis 20 ans. C'est essentiellement un point. Je pense que nous sommes d'accord sur ce point. Oui, tout à fait. Je pense que la motivation derrière cela est le point sur lequel nous sommes en désaccord parce que nous avons des opinions différentes sur l'état actuel et futur de l'informatique quantique. Mais absolument, si un client dit qu'il doit être prêt pour l'informatique quantique, l'effort n'est pas perdu.

DAVID LELLO : Non, absolument pas. Je pense aussi, Ingo, qu'une des choses qui est une réalité sur laquelle je suis toujours mis au défi, c'est que nous passons beaucoup de temps avec les conseils d'administration des grandes entreprises à parler aux directeurs financiers et autres. Une entreprise existe dans le but de fournir un produit ou un service et si elle est dans le secteur privé, elle doit faire des bénéfices, à moins bien sûr qu'il ne s'agisse d'une œuvre de charité, mais ne nous en préoccupons pas, alors l'idée de dépenser de l'argent juste parce que c'est la bonne chose à faire, lorsque cela me donne un rendement négatif, devient difficile et difficile à réaliser pour les financiers. Investir dans quelque chose parce que c'est la bonne chose à faire devient donc plus une discussion philosophique. Je ne pense pas que ce soit nécessairement la bonne approche.

INGO SCHUBERT : Oui, absolument.

DAVID LELLO : Même si je suis d'accord avec vous, absolument 100%, vous savez, du point de vue de la foi, vous savez, de ce que je crois, je voudrais toujours faire ce qui est juste. Mais la réalité est que les entreprises n'existent pas pour cela. Elles n'existent pas pour faire ce qu'il faut. Parfois, elles sont un peu immorales.

INGOSCHUBERT : Vraiment ? C'est la première fois que j'entends cela. Permettez-moi d'en prendre note.

DAVID LELLO : Je pense que ce que vous faites, c'est que nous regardons les choses d'une manière différente et je pense que l'une des réalités que nous voyons et qui résonne et que les gens comprennent, c'est de mesurer et de reconnaître et de réaliser quelle est mon exposition au risque associée à un environnement donné et nous devons la relier à quelque chose de tangible - nous devons toujours revenir à la question de savoir comment construire un dossier pour le changement dans ce monde - oui, et à quoi ressemble le changement ? Vous savez, l'un des défis que nous nous sommes lancés, parce que lorsque nous avons commencé à chercher à aider les organisations à répondre à ce problème, c'est qu'il n'y a pas vraiment de cadre qui traite de la préparation quantique. Il n'y en a pas.

Nous avons donc rédigé une norme. Nous avons rédigé une norme pour dire : voici une approche pour examiner le quantique. Nous avons pris différentes normes du NIST et des bonnes pratiques, de l'ISF et d'autres choses encore pour pouvoir proposer un modèle et un cadre qui nous permettent de commencer à l'étudier. Mais ce que cela fait, c'est que cela nous permet de commencer à regarder et à dire, eh bien, lorsque vous prenez un système comme ce système d'identité qui gère tous les accès qui est un environnement de boîte noire, quelle est mon exposition au risque d'avoir une machine comme celle-là ? Et j'enlèverai complètement le quantum. Quel est mon risque ? Est-ce que je comprends vraiment mon risque ? Si cette machine tombe en panne, qu'arrivera-t-il à mon environnement ? Et si je peux apprécier ce risque, je dois faire quelque chose pour y remédier.

INGO SCHUBERT : Oh, et c'est, je veux dire, en fin de compte, la bonne gestion des risques, que je vois manquer dans de nombreuses entreprises ou organisations en général, n'est-ce pas ? Et c'est ce qui doit être fait, ce qui aurait dû être fait depuis des années et ce qui devrait être fait aujourd'hui, qu'il y ait ou non de l'informatique quantique. Voilà ce que je voulais dire.

Bien sûr, ils ne le font pas parce que c'est la bonne chose à faire, n'est-ce pas ? C'est un argument financier difficile à faire valoir. Je suis tout à fait d'accord avec vous. Mais il y a toutes les autres raisons pour lesquelles ils devraient le faire, n'est-ce pas ? Et encore une fois, si vous devez vendre ce concept d'examiner tout cela, de le comprendre et d'avoir une gestion des risques appropriée à cause de l'informatique quantique, soyez-en sûrs, n'est-ce pas ? Je pense que c'est absolument la bonne façon de procéder. Si c'est le levier dont vous avez besoin pour obtenir la signature, oh, oui, il faut absolument le faire. Parce qu'en fin de compte, même si l'informatique quantique n'existe que dans 30 ans, vous en bénéficiez encore aujourd'hui. En effet, le fait d'être prêt vous permet d'être en sécurité aujourd'hui également. Vous ne gaspillez pas l'argent. Je pense donc que c'est parfaitement la bonne chose à faire. Et il y a quelques recommandations et quelques cadres de l'Europe, par exemple, ils disent que d'ici 2026 - et pour être franc, vous devriez déjà l'avoir fait si vous voulez être conforme à la loi DORA. On voit peut-être encore les mêmes choses parce qu'il n'y a pas de gens qui le font. Donc visibilité et gestion des risques d'ici 2026, puis préparation quantique sous une forme ou une autre d'ici 2030 pour les risques élevés et d'ici 2035 pour les risques faibles et moyens, n'est-ce pas ? Cela semble donc très éloigné, mais, vous savez, nous sommes déjà à la fin de 2025, lorsque nous enregistrons ceci, la publication est en 2026.

Donc, c'est comme si, oui, c'est seulement dans une poignée d'années. Et si vous revenez au début de notre conversation, si vous regardez le problème du passage à l'an 2000, oui, si vous avez commencé en 1999, vous êtes probablement un peu en retard pour cela, n'est-ce pas ? Il faut donc se préparer dès maintenant, absolument, n'est-ce pas ?.

DAVID LELLO : Je pense que l'un des points que vous avez soulevés, et qui est fascinant en termes de psychologie humaine, concerne les réglementations, les réglementations européennes et les choses comme Dora. Les réglementations n'entrent réellement en vigueur que parce que les entreprises sont négligentes et ne font pas ce qu'il faut.

INGO SCHUBERT : Oui, absolument.

DAVID LELLO : Et parce qu'ils ne font pas ce qu'il faut, les législateurs disent que nous allons avoir un problème majeur dans le pays si nous ne nous penchons pas sur la question. Les lois entrent donc en jeu lorsqu'il faut faire quelque chose. Au Royaume-Uni, le NCSC a mis en place des directives concernant le quantum. Et nous avons DORA en Europe. Et malheureusement, à cause du Brexit...

INGO SCHUBERT : Vous l'avez apporté, je ne l'ai pas fait.

DAVID LELLO : Nous commençons à peine à examiner notre projet de loi sur la résilience. Le projet de loi sur la résilience a été publié pour recueillir les commentaires du public. Le premier numéro a été publié et les commentaires sont en cours. Nous aurons donc bientôt une lecture au Parlement. Espérons que nous rattraperons le reste du monde sur ce point particulier.

INGO SCHUBERT : Eh bien, sauf les États-Unis. Les États-Unis semblent être, vous savez, cet endroit sauvage sur la carte, ouais. Oui, c'est vrai. Oui, c'est comme si, et je le vois aussi en parlant avec des collègues américains, oui, c'est comme si, oui, nous n'avons pas vraiment cela, n'est-ce pas ? Mais partout ailleurs dans le monde, il semble que la résilience, la gestion des risques soit un peu plus mature en termes de réglementations et de pertes, ce qui est...

DAVID LELLO : Il faut l'avoir.

INGO SCHUBERT : Il faut les avoir, n'est-ce pas ? Et quand vous les lisez, et vous en avez probablement autant et probablement plus que moi, certaines de ces choses sont d'une évidence aveuglante, comme une bonne gestion des risques. C'est comme si vous deviez savoir que si cette chose tombe en panne, vous en connaissez les conséquences, n'est-ce pas ? Bien sûr, parce que votre entreprise doit gagner de l'argent et qu'il y a quelque chose qui l'en empêche. Vous devriez savoir pourquoi et comment y remédier. Et pourtant, ils ne le font pas tant qu'ils n'y sont pas contraints par la loi, ce qui est triste dans un certain sens, n'est-ce pas ?

DAVID LELLO : La nature humaine entre malheureusement en jeu. J'ai du mal avec cela parce que ce ne sont pas des choses difficiles, vous savez, examiner le risque et la gestion du risque n'est pas difficile.

INGO SCHUBERT : Non, mais cela prend du temps.

DAVID LELLO : Et cela prend du temps, mais je veux dire qu'il y a tellement de technologies différentes qui peuvent aider à simplifier le processus. Vous savez, les ordinateurs sont conçus pour automatiser les processus. Si nous avons des ordinateurs, c'est parce que nous avons des processus manuels qui nécessitent des armées de personnes pour faire quelque chose. Avec les ordinateurs, nous pouvons automatiser tous ces processus. Et avec les systèmes modernes, nous pouvons en automatiser encore plus. Prenons l'exemple de la gestion des vulnérabilités. Si vous disposez d'un environnement modernisé et que vous avez mis en place un système d'analyse des vulnérabilités, vous disposez d'une visibilité relativement bonne en termes de risques technologiques.

INGO SCHUBERT : Oui. Même chose pour nous. Gouvernance de l'identité. En fin de compte, ce n'est pas sorcier. Oui, bien sûr. Vous connecterez tous les différents systèmes, vous créerez peut-être quelques règles et tout le reste. Mais ensuite, vous avez cette visibilité et vous avez la vue, vous savez, en termes de séparation des tâches, de conformité, etc. Et oui, c'est du travail. Oui, c'est un investissement en termes d'argent et de temps, bien sûr, mais vous en retirez quelque chose.

DAVID LELLO : Oui.

INGO SCHUBERT : C'est vrai. Je pense que les gens ne réalisent pas non plus qu'une bonne gestion des risques vous apporte quelque chose en retour, parce que vous découvrez que vous ne devriez peut-être pas investir autant d'argent dans cette sécurisation ou que vous résiliez cette chose parce qu'elle n'a pas un impact énorme, alors que vous devriez investir davantage dans l'autre, parce que si elle tombe en panne, de mauvaises choses se produiront. Je pense que c'est également le cas, et bien sûr vous ne vous en rendez pas compte parce que si vous ne faites pas une bonne gestion des risques, vous n'avez pas cette visibilité, alors comment prendre cette décision, n'est-ce pas ? Donc les gens, en fait, les organisations se font du mal en ne faisant pas cela, n'est-ce pas ?

DAVID LELLO : Et la gouvernance des identités joue un rôle important dans ce domaine. C'est vrai. Vous savez, lorsque je parle d'identité à de nombreuses organisations, l'identité n'est pas l'une de ces choses que l'on fait en matière de sécurité parce que, vous savez, c'est une police d'assurance. L'identité est un facilitateur. C'est un véritable outil commercial qui aide les organisations à être plus efficaces et plus efficientes en termes d'accès. Mais il est essentiel d'avoir le bon accès au bon moment et au bon endroit et d'avoir les modèles de gouvernance qui le permettent. Ainsi, lorsque nous commençons à examiner vos contrôles ITGC et vos systèmes financiers et que vous commencez à regarder comment l'accès doit être créé dans vos droits, votre séparation des tâches, les mandats qui l'accompagnent. Ces éléments ne sont pas nouveaux. Elles sont inscrites dans la loi sur les sociétés et le règlement financier depuis des décennies.

INGO SHUBERT : Absolument.

DAVID LELLO : Et la possibilité de contrôler cela avec un bon système de gouvernance des identités existe aujourd'hui. Et avec une solution modernisée, cela devient en fait assez facile. Ce n'est pas aussi difficile qu'on le pense.

INGO SCHUBERT : Regardez-nous. Nous parlons de la gouvernance de la sécurité de l'identité et nous avons commencé par le quantum. C'est comme si, oui, mais c'est le but. Je pense que c'est quelque chose qui ouvre la porte à certaines discussions chez les clients ou dans les organisations en général, où l'on se dit, oui, c'est bien. Parler de la menace quantique et, vous savez, mais à la fin, vous aboutissez à des discussions qui ne portent pas vraiment sur le quantique mais sur d'autres choses. Oui, vous pouvez réparer maintenant, vous devez réparer maintenant, indépendamment de ce qui se passera à l'avenir.

DAVID LELLO : C'est le concept d'hygiène de base.

INGO SCHUBERT : C'est le concept d'hygiène de base, exactement. C'est donc une façon parfaite de conclure. David, merci. Nous pourrions parler pendant des heures à chaque fois que nous nous rencontrons. Merci beaucoup. Je pense que la menace quantique peut sembler lointaine.

C'est possible, ce n'est pas possible. Mais j'espère qu'au cours de cette conversation, nos téléspectateurs et auditeurs ont compris que, vous savez quoi, peu importe si vous devez faire des choses aujourd'hui pour vous préparer à l'âge quantique, cela ne fait pas de mal du tout. Cela ne fait pas de mal du tout.

Ce que vous en retirez vous permet de vous protéger dès aujourd'hui contre les menaces actuelles, n'est-ce pas ? Vous n'avez pas besoin d'attendre 20 ans pour en bénéficier. Vous en bénéficiez dès aujourd'hui.

Voilà qui conclut le débat d'aujourd'hui sur l'informatique quantique et son impact sur la sécurité des identités. L'avenir quantique relève de la science-fiction et les organisations doivent comprendre où se situent les véritables risques et opportunités. Si vous souhaitez en savoir plus sur la résilience de l'identité et les technologies qui préparent les organisations à l'avenir, visitez RSA.com. Si vous souhaitez recevoir d'autres épisodes de RSA Identity Unmasked, n'oubliez pas de vous abonner. Merci de nous avoir rejoints et à la prochaine fois.