La Banque de France et Allianz France testent le chiffrement post-quantique
Lors d’une transmission de données réglementaires, la Banque de France et Allianz France ont utilisé un chiffrement post-quantique par un canal classique.
Lors de sa création le 18 janvier 1800 sous le Consulat par Napoléon Bonaparte, la Banque de France était une institution privée sans monopole d’émission monétaire jusqu’en 1803. Elle a été nationalisée en 1946 après plus d’un siècle de débats et de réformes sur sa gouvernance, au départ confiée aux fameuses 200 familles les plus riches parmi ses actionnaires. Banque centrale française, la Banque de France fait aujourd’hui partie de l’Eurosystème. Ses missions sont de définir et mettre en œuvre la stratégie monétaire, maintenir la stabilité financière, servir l’économie et la société afin de créer les conditions de la croissance et de l’emploi pour assurer l’avenir. Elle est ainsi une autorité de régulation et héberge certaines instances de contrôle. Elle collecte des déclarations des entités supervisées (banques, assurances…) qui contiennent des informations hautement confidentielles, notamment via sa plateforme OneGate.
Or l’émergence en cours de l’informatique quantique (comme la Matmut en a récemment témoigné dans nos colonnes) oblige à se poser la question de la solidité des algorithmes de chiffrement. En effet, la plupart des techniques de chiffrement actuellement utilisées ne résistent pas aux capacités de l’informatique quantique. Le piratage de données peut viser à collecter des informations qui ne seront déchiffrées que plus tard, dans quelques années, lors de la disponibilité à grande échelle de l’informatique quantique. C’est donc dès à présent que la sécurité des informations doit être renforcée pour résister à un déchiffrement quantique. La cryptographie post-quantique (PQC) existe déjà et, en août 2024, le National Institute of Standards and Technology (NIST) a, aux Etats-Unis, validé certains nouveaux algorithmes de chiffrement devant suffisamment résister au déchiffrement quantique.
Chiffrer en post-quantique avec des outils standards
Or, bien évidemment, les chaînes actuelles de traitement servent déjà à chiffrer la collecte et la transmission de données et sont intégrées aux systèmes d’information tant des déclarants que des autorités de contrôle ou de régulation. La Banque de France a donc initié un test de chiffrement post-quantique en utilisant la plateforme OneGate. Ce test a été réalisé avec Allianz France à l’occasion d’une transmission d’un reporting hebdomadaire. Les applications, les navigateurs et le système de gestion des identités (IAM) n’ont pas été modifiés au-delà du paramétrage du nouvel algorithme.
« Une approche hybride par ‘tunnelisation’ a été mise en oeuvre » a indiqué la Banque de France. Le succès du test offre deux avantages : tout d’abord, c’est la démonstration de la possibilité de réaliser du chiffrement post-quantique sans modifier l’ensemble du parc applicatif ; ensuite, c’est aussi une méthode qui permet une transition douce dans la bascule entre les algorithmes traditionnels et les algorithmes post-quantiques de chiffrement. En 2024, une première expérimentation de transmission avec chiffrement post-quantique avait été réalisée conjointement avec l’Autorité Monétaire de Singapour. Mais l’expérimentation avec Allianz France est la première menée dans un cadre opérationnel de déclaration obligatoire avec une entité supervisée.