Depuis au moins le début des années 1990, les informaticiens ont averti que l'informatique quantique, malgré son potentiel à fournir des capacités exponentiellement plus puissantes, peut casser les méthodes de chiffrement traditionnelles et exposer les systèmes IT à des yeux indiscrets dont en particulier ceux des cybercriminels. À l'approche de l'ère de l'informatique quantique, l'administration Biden a annoncé qu'elle prenait des mesures pour développer ce domaine tout en atténuant les risques en termes de sécurité.
La semaine dernière, la Maison Blanche a publié deux documents sur la science de l'information quantique (QIS). Le premier est un décret (EO) pour « assurer le leadership américain continu dans la science de l'information quantique et ses applications technologiques ». Le second est un mémorandum sur la sécurité nationale qui énonce « les étapes clés nécessaires pour maintenir l'avantage concurrentiel du pays dans le domaine de la science de l'information quantique (QIS) tout en atténuant les risques des ordinateurs quantiques pour la cybersécurité, l'économie et la sécurité nationale du pays, ». L'EO et le mémo représentent une « troisième ligne » d'efforts au-delà de ceux déjà consentis par l'administration pour moderniser les efforts de cybersécurité et améliorer la compétitivité américaine, a déclaré un responsable de l'administration.
Renforcer le comité consultatif national de l'initiative quantique
La première directive, le décret exécutif, vise à faire progresser le QIS en plaçant le comité consultatif de l'initiative nationale quantique, le principal organe consultatif d'experts indépendant du gouvernement fédéral pour les sciences et technologies de l'information quantique, sous l'autorité de la Maison Blanche.
L'initiative nationale quantique, établie par une loi connue sous le nom de loi sur l'INQ, englobe les activités des départements et agences exécutives membres du sous-comité du conseil national des sciences et de la technologie (NSTC) sur les sciences de l'information quantique (SCQIS) ou du sous-comité du NSTC. sur les implications économiques et sécuritaires de la science quantique (ESIX). En vertu du nouveau décret, le comité consultatif de l'INQ, composé de 26 membres au maximum, conseillera le président, le SCQIS et l'ESIX sur le programme de l'INQ. Le comité aura deux co-présidents et se réunira deux fois par année. La Maison Blanche prévoit d'annoncer les membres du comité au cours des prochaines semaines.
Promouvoir le leadership américain en matière d'informatique quantique et atténuer les risques
Le mémorandum de sécurité nationale (NSM) prévoit de s'attaquer aux risques posés au chiffrement par l'informatique quantique. Il établit une politique nationale visant à promouvoir le leadership des États-Unis dans ce domaine et initie une collaboration entre le gouvernement fédéral, l'industrie et le monde universitaire alors que le pays commence à migrer vers de nouvelles normes cryptographiques résistantes au quantique développées par le National Institute of Standards and Technology (NIST). La NSA développe également séparément des normes techniques pour la cryptographie résistante quantique. Les premiers ensembles de ces normes devraient être rendus publics d'ici 2024.
Le NSM a par ailleurs fourni une feuille de route détaillée permettant aux agences d'inventorier leurs systèmes informatiques pour la cryptographie vulnérable au quantique, et qui définit les exigences pour établir et respecter des jalons spécifiques pour la migration cryptographique dans les délais suivants :
- D'ici au 2 août 2022 : les agences qui financent la recherche, développent ou acquièrent des ordinateurs quantiques doivent se coordonner avec le directeur du Bureau de la politique scientifique et technologique « pour assurer une stratégie nationale cohérente pour la promotion du QIS et la protection de la technologie, y compris pour les questions de main-d'œuvre » ;
- D'ici le 31 octobre 2022 et chaque année suivante : le secrétaire de la Sécurité intérieure, par l'intermédiaire du directeur de la Cybersecurity and Infrastructure Security Agency (CISA), et en coordination avec les agences de gestion des risques du secteur, doit s'engager auprès des infrastructures critiques et des États, locaux, partenaires tribaux et territoriaux (SLTT) concernant les risques posés par les ordinateurs quantiques. Le chef de la sécurité intérieure doit également fournir un rapport annuel au directeur de l'OMB, à l'assistant APNSA du président pour les affaires de sécurité nationale (APNSA) et au directeur national de la cybersécurité qui comprend des recommandations pour accélérer la migration de ces entités vers la cryptographie résistante quantique ;
- D'ici au 4 mai 2023 et chaque année suivante également : les responsables de toutes les agences du pouvoir exécutif civil fédéral (FCEB) doivent remettre au directeur de la CISA et au directeur national de la cybersécurité un inventaire de leurs systèmes informatiques qui restent vulnérables aux CRQC, avec un accent particulier sur les actifs de grande valeur et les systèmes à fort impact ; de même le directeur de la NSA, en tant que directeur national, en consultation avec le secrétaire à la Défense et le directeur du renseignement national, devra fournir des conseils sur la migration, la mise en œuvre et la mise en œuvre de la cryptographie résistante aux quanta , et la surveillance du SNRS ;
- Avant le 18 octobre 2023 et sur une base annuelle par la suite : le directeur national chargé de la cybersécurité, sur la base des inventaires vulnérables et en coordination avec le directeur du CISA et le directeur du NIST, doit remettre un rapport de situation à l'APNSA et au directeur du OMB sur les progrès réalisés par les agences FCEB sur leur migration des systèmes informatiques non NSS vers la cryptographie résistante quantique ;
- D'ici au 31 octobre 2023, et chaque année qui suit : la NSA doit publier un calendrier officiel pour la dépréciation de la cryptographie vulnérable dans le NSS jusqu'à ce que la migration vers la cryptographie résistante au quantique soit terminée ;
- D'ici au 31 décembre 2023, les agences qui gèrent le NSS doivent mettre en œuvre des protections à clé symétrique (telles que les clés d'exclusion High Assurance Internet Protocol Encryptor (HAIPE) ou les solutions à clé symétrique VPN) pour fournir une protection supplémentaire pour l'échange de clés à vulnérabilité quantique ;
- Dans les 90 jours suivant la publication du premier ensemble de normes NIST pour la cryptographie résistante au quantique, et les années suivantes si nécessaire, le secrétaire au commerce par l'intermédiaire du directeur du NIST, doit publier un calendrier proposé pour la dépréciation de cryptographie vulnérable quantique dans les normes. Ce calendrier vise à déplacer le nombre maximum de systèmes hors de la cryptographie vulnérable quantique dans la décennie suivant la publication de l'ensemble initial de normes. Dans l'année qui suit la publication des normes du NIST, le directeur de l'OMB, en coordination avec le directeur de la CISA et le directeur du NIST, doit publier un mémorandum de politique obligeant les agences FCEB à élaborer un plan de mise à niveau de leurs systèmes informatiques non NSS pour cryptographie résistante quantique ;
- Dans un délai d'un an à compter de la publication par la NSA de sa cryptographie à résistance quantique et annuellement par la suite, les responsables des agences exploitant ou entretenant le NSS doivent soumettre au responsable national et, selon le cas, au CIO du ministère de la Défense ou au CIO de la communauté du renseignement, selon leur juridictions respectives, un plan initial de transition vers la cryptographie résistante quantique dans tous les SSN.
Protéger la propriété intellectuelle de l'informatique quantique aux États-Unis
Le NSM énonce également des dispositions pour sécuriser la propriété intellectuelle américaine sur l'informatique quantique. Il note que certains mécanismes de protection peuvent inclure « des mesures de contre-espionnage, des contrôles des exportations bien ciblés et des campagnes pour éduquer l'industrie et les universités sur la menace de la cybercriminalité et du vol de propriété intellectuelle ».
Il encourage les agences à « comprendre les implications de sécurité de l'utilisation contradictoire et à tenir compte de ces implications de sécurité lors de la mise en œuvre de nouvelles politiques, programmes et projets ». Conformément à cet objectif, la note de service indique que d'ici le 31 décembre 2022, les chefs d'agences qui financent, développent ou acquièrent des ordinateurs quantiques ou des technologies QIS connexes doivent élaborer des plans de protection technologique complets pour protéger la R&D, l'acquisition et l'accès des utilisateurs de QIS.