LMi-MAG28 Dec - Flipbook - Page 45
2
© nvidia
celui qu’un seul fournisseur peut maintenir, mais celui
qu’un écosystème élargi peut comprendre et reprendre.
Pour sortir de cette dépendance, de plus en plus de DSI
privilégient désormais des solutions ouvertes : logiciels
sous licences libres, frameworks standardisés ou distributions supportées par plusieurs prestataires. L’objectif n’est plus uniquement technique mais stratégique :
assurer la continuité de service, même si le partenaire
initial venait à cesser son activité suite à un rachat ou
une faillite ou à modifier unilatéralement ses conditions
commerciales pour la politique de la terre brûlée. Dans
le monde des bases de données, du middlewares ou des
infrastructures cloud, le choix de briques open source
— PostgreSQL, Kubernetes ou OpenStack, notamment —
offre un précieux filet de sécurité. Cette ouverture n’exclut pas les solutions propriétaires. Au contraire, elle
favorise un marché du support multisources où plusieurs intégrateurs ou SSII peuvent intervenir sur un
même socle. Certains éditeurs open source proposent
eux-mêmes des modèles duals : une version communautaire libre avec moins de fonctionnalités et une édition
entreprise plus complète avec garanties contractuelles.
Ce modèle limite la dépendance tout en sécurisant le
niveau de service attendu. De plus, l’arrivée d’initiatives
telles que l’Open Source Program Office (OSPO) au sein
des grandes entreprises témoigne d’une professionnalisation de cette approche.
Un risque bien réel
La réversibilité dépasse le champ purement technique.
Elle touche la gouvernance du système d’information,
la politique de continuité d’activité et la maîtrise du
patrimoine numérique. Adopter des standards ouverts,
documenter les interfaces, et négocier des clauses de
sortie réalistes deviennent des réflexes indispensables.
Car derrière le terme de « vendor lock-in » se cache
un risque bien réel : perdre le contrôle d’un des actifs
les plus critiques d’une entreprise, son système d’information.
Sécurité post-quantique : anticiper
les risques à venir
A
près la mise en place de référentiels, le
chiffrement post-quantique s’invite dans les
offres des fournisseurs et opérateurs. Une
menace encore lointaine mais où l’anticipation
est de mise.
Si l’informatique quantique est régulièrement citée
comme une technologie en devenir, la menace qu’elle fait
peser sur les méthodes de chiffrement est bien d’actualité.
La crainte est notamment que les cybercriminels stockent
des données dérobées en attendant l’arrivée des systèmes
quantiques pour les déchiffrer. Depuis quelques années,
les Etats et les agences de sécurité alertent sur ce risque
et la nécessité pour les entreprises de mettre en place
des solutions de chiffrement post-quantique (QPC).
Dans ce cadre, des standards ont été publiés par le NIST
(National Institute of Standards and Technology) avec
différentes méthodes. Elles comprennent un mécanisme
d’encapsulation à clé publique nommée Crystals-Kyber,
ainsi que trois schémas de signature numérique : CrystalDilithium, Falcon et Sphincs+.
Fort de ces orientations, plusieurs fournisseurs et
opérateurs ont annoncé l’intégration de solutions de
chiffrement post-quantique dans leurs offres. C’est le cas
par exemple d’Orange, qui s’est associé à Toshiba pour créer
un réseau fibre optique résistant aux menaces quantiques.
Les éditeurs se sont également mis en ordre de bataille,
comme Microsoft, qui a publié cet été une feuille de route
pour migrer ses produits et services vers la cryptographie
post-quantique d’ici à 2033. De son côté, Google Cloud
débute prudemment sur le sujet avec la prise en charge
de deux algorithmes QPC dans son service de gestion
de clés de chiffrement cloud KMS. Apple a ajouté cette
protection via l’algorithme ML-KEM du NIST dans iOS 26.
Même Kubernetes s’y met avec la prise en charge de QPC
pour TLS. Elle se fait au travers d’un mécanisme d’échange
de clés hybride intégré au système de plugins Kubernetes
KMS. Plus récemment, Red Hat a annoncé l’adoption
des algorithmes proposés par le NIST dans la version
10 de la distribution RHEL. En France, l’Anssi a livré ses
premières certifications. Il s’agit de Thales pour sa carte à
puce MultiApp 5.2 Premium PQC « destiné à héberger et
exécuter une ou plusieurs applications, dites applets dans
la terminologie Java Card ». De son côté, Samsung propose
son microcontrôleur S3SSE2A pour les terminaux mobiles,
l’IoT et les systèmes embarqués. Le catalogue d’offres
s’étoffe progressivement et les entreprises sont invitées à
s’emparer du sujet pour anticiper la menace.
45
