Dr. Michèle Feltz a participé à la table ronde « Post-Quantum Security and Governance – Preparing for the Next Cryptographic Frontier » lors du Luxembourg GRC Summit qui s’est tenue le 5 juin 2025 à la Chambre de Commerce (Luxembourg). Le but du Luxembourg GRC Summit était de réunir les professionnels en cybersécurité concernés par la gouvernance, le risque et la conformité (GRC) et de promouvoir un échange sur les menaces émergentes en cybersécurité (e.g., les menaces engendrées par l’intelligence artificielle ou par de futures ordinateurs quantiques) et les technologies innovatrices pour adresser les défis en cybersécurité autour de la gouvernance, du risque et de la conformité. L’événement a été organisé par le Luxembourg National Cybersecurity Competence Center (NC3).
Les intervenants à la table ronde « Post-Quantum Security and Governance – Preparing for the Next Cryptographic Frontier », modérée par Madame Jelena Matone (CISO à la Banque européenne d’investissement), ont été Dr. Steve Purser (consultant indépendant en cybersécurité), Monsieur Florent Grosmaitre (CEO de CryptoNext Security) et Dr. Michèle Feltz.
Bien que les ordinateurs quantiques construits ces dernières années ne soient pas encore suffisamment puissants pour présenter une menace pour nos systèmes cryptographiques actuels, les intervenants à la table ronde ont souligné l’importance de se préparer à la cryptographie post-quantique dès maintenant en raison de plusieurs facteurs :
- L’état de l’art dans le domaine du quantum computing continue à avancer et les experts dans ce domaine estiment qu’il est probable que des ordinateurs quantiques suffisamment puissants pour attaquer la cryptographie à clé publique utilisée actuellement puissent être développés dans les dix prochaines années (e.g., [1]).
- L’état de l’art dans le domaine des algorithmes quantiques continue de s’améliorer. Craig Gidney a récemment réussi à réduire le nombre de qubits physiques estimés à être nécessaires pour briser la sécurité de RSA 2048 de 20 millions de qubits physiques à 1 million de qubits [2].
- Les standards en matière de cryptographie évoluent. Un document draft récent du National Institute of Standards and Technology (NIST) aux Etats-Unis [3] ne permet plus l’utilisation de mécanismes de cryptographie à clé publique traditionnels (RSA, Diffie-Hellman) après 2035.
- Les attaques de type « record now, decrypt later » sur la confidentialité de données sensibles échangées via Internet aujourd’hui est déjà pertinente à l’heure actuelle.
Les intervenants ont également discuté de mesures pratiques que les entreprises peuvent prendre dès maintenant pour se préparer à la migration vers la cryptographie post-quantique comme, par exemple, l’élaboration d’inventaires d’actifs cryptographiques, d’inventaires de fournisseurs d’actifs cryptographiques (hardware et software) et d’une classification de données traitées.
D’autres sujets qui ont été abordés lors de la table ronde ont été les standards récemment publiés par le NIST aux Etats-Unis et comment les organisations peuvent s’aligner avec ces nouveaux standards.
La table ronde a été suivie de questions posées par le public.
À la fin du Luxembourg GRC Summit, le ministre de l'Économie, des PME, de l'Énergie et du Tourisme, Monsieur Lex Delles, a lancé officiellement la campagne nationale de lutte contre la fraude en ligne [4]. Cette campagne vise à sensibiliser les citoyens et les entreprises aux risques liés à l’utilisation de moyens digitaux (e.g. sites Internet, téléphones mobiles) et aux différents types de fraude en ligne (e.g., messages suspicieux reçus via un réseau social ou liés à un achat en ligne, usurpation d’identité). Les cas de fraudes en ligne risquent d’augmenter et de devenir de plus en plus sophistiqués dans les années à venir, notamment en raison des avancées rapides de l’intelligence artificielle.
Un nouveau site Internet CYBERFRAUD.LU pour sensibiliser les citoyens et entreprises et prévenir les cas de fraude en ligne a été présenté lors du GRC Summit: www.cyberfraud.lu. Le site indique aussi les différents points de contact en fonction du type de fraude constaté (e.g., fraude en lien avec un produit LuxTrust, fraude liée au compte bancaire, fraude liée à l’utilisation de MyGuichet.lu) et propose des recommandations et des réflexes à adopter pour se prémunir contre la fraude en ligne. L’objectif de la plateforme est de faciliter l’utilisation sécurisée de moyens digitaux et de protéger les données à caractère personnel contre les cybercriminels.
Les services de confiance peuvent être utilisés pour augmenter la confiance numérique. Par exemple, en cas de doute sur l’authenticité d’un site Internet, une bonne pratique consiste à vérifier le certificat TLS qui a été émis pour le site en question ; ce certificat TLS peut être visualisé dans les navigateurs web. En effet, le certificat TLS permet de vérifier l’authenticité du site Internet car il établit le lien entre l’organisation à laquelle le certificat a été délivré et le site Internet lui-même. Le certificat TLS indique également le prestataire de services de confiance qui a délivré le certificat.
