I. Résumé exécutif
Position centrale
La menace d'un ordinateur quantique capable de casser les systèmes de chiffrement en usage est réelle dans sa nature, mais incorrectement calibrée dans sa temporalité et son périmètre. Deux confusions alimentent un discours d'urgence disproportionné, dont bénéficient les acteurs commerciaux positionnés sur les solutions de migration.
Première confusion : algorithmique. La cryptographie asymétrique (RSA, ECC, Diffie-Hellman) est réellement menacée par l'algorithme de Shor. La cryptographie symétrique (AES-256, SHA-3) n'est qu'affaiblie par l'algorithme de Grover et reste opérationnelle avec les tailles de clés actuelles. Ces deux familles n'ont pas le même niveau de risque.
Deuxième confusion : temporelle. Casser une clé prend du temps. Sur les systèmes modernes correctement configurés, la durée de vie d'une clé de session (quelques secondes à quelques heures) est structurellement inférieure au temps d'attaque d'un CRQC hypothétique (plusieurs heures à plusieurs jours). La fenêtre d'attaque en temps réel est hautement improbable pour tout système utilisant des clés éphémères renouvelées.
Les quatre risques à distinguer
| Risque | Nature | Horizon | Urgence |
|---|---|---|---|
| Temps réel | Casser une clé de session active | Hautement improbable sur systèmes modernes | Faible couverte par PFS et rotation |
| HNDL | Déchiffrer rétrospectivement du trafic stocké | 10 à 20 ans pour les données d'aujourd'hui | Elevée pour données à haute valeur stratégique |
| Legacy | Systèmes IoT/SCADA non migrables, PKI à longue durée de vie | Immédiate exposition croissante | Elevée pour infrastructures critiques |
| Souveraineté | Dépendance opérationnelle et juridique via services managés | Immédiate se crée lors de la migration | Elevée pour données à longue durée de vie stratégique |
Calendriers institutionnels de référence
Les agences de sécurité nationales (NSA/CISA CNSA 2.0, ANSSI, NCSC, BSI) fixent 2035 comme horizon de bascule : c'est la date avant laquelle les systèmes classifiés ou critiques doivent avoir complété leur migration post-quantique. Ce jalon est dimensionné sur la durée de vie des systèmes déployés aujourd'hui, non sur une probabilité d'émergence d'un CRQC à cette date. Michele Mosca (Université de Waterloo, 2018) estime à environ 1/7 la probabilité d'un CRQC avant 2026 et à 1/2 avant 2031 fourchette la plus pessimiste du consensus académique.
Position opérationnelle
La migration post-quantique est techniquement disponible, partiellement déployée (Chrome, Signal, Cloudflare, Apple iMessage depuis 2023-2024), et planifiable sur un horizon de 5 à 10 ans. Elle ne constitue pas une urgence généralisée. Elle constitue une urgence ciblée pour les données à longue valeur stratégique (risque HNDL), les infrastructures legacy non migrables, et tout acteur qui choisirait de migrer via des services managés soumis à des législations extraterritoriales.
II. État réel de la menace quantique
2.1 Les deux algorithmes et leurs impacts distincts
Deux algorithmes quantiques sont cryptographiquement pertinents, aux implications radicalement différentes.
L'algorithme de Shor (1994) factorise des entiers et résout le problème du logarithme discret en temps polynomial. Il casse RSA, ECC (ECDSA, ECDH) et Diffie-Hellman soit la totalité de la cryptographie asymétrique utilisée pour les échanges de clés, les signatures numériques et l'infrastructure PKI. Un CRQC équipé de Shor rendrait inopérants RSA-2048 et ECC-256.
L'algorithme de Grover (1996) réduit la complexité d'une recherche exhaustive de O(N) à O(racine de N), divisant par deux le niveau de sécurité effectif des chiffrements symétriques. AES-128 devient équivalent à 64 bits (insuffisant). AES-256 reste équivalent à 128 bits (robuste). SHA-256 passe de 128 à 64 bits de résistance aux préimages (à surveiller pour les usages les plus sensibles). AES-256 est donc déjà quantique-résistant pour les données au repos : aucun changement algorithmique n'est requis, seulement la vérification que les déploiements utilisent bien des clés de 256 bits.
2.2 L'état réel de l'informatique quantique en 2026
L'écart entre les annonces des constructeurs et la réalité d'un ordinateur quantique cryptographiquement pertinent (CRQC) reste de plusieurs ordres de grandeur.
La confusion fondamentale : qubits physiques vs qubits logiques. IBM atteint 1 121 qubits physiques avec son processeur Condor (décembre 2023). Ses processeurs Heron (Heron r1 : 133 qubits, Heron r2 : 156 qubits, 2023-2024) se distinguent par leurs faibles taux d'erreur environ 0,1% par porte à deux qubits et non par leur nombre. Google déploie Willow (105 qubits, décembre 2024). Ces chiffres ne sont pas comparables aux besoins d'un CRQC.
Un qubit logique fiable requiert un ensemble redondant de qubits physiques pour la correction d'erreurs. Selon l'estimation de référence de Gidney et Ekerå (arXiv:1905.09749, 2021), factoriser RSA-2048 en 8 heures nécessiterait environ 20 millions de qubits physiques bruités dans un scénario déjà optimiste sur la correction d'erreurs. D'autres estimations académiques, selon les hypothèses d'architecture retenues, varient de 4 à 300 millions. Dans le scénario le plus favorable (4 millions), l'écart avec le meilleur processeur actuel reste de trois ordres de grandeur.
L'annonce Willow de Google (décembre 2024) constitue une avancée scientifique réelle : pour la première fois, le taux d'erreur du qubit logique diminue lorsqu'on augmente la taille du code correcteur propriété non garantie jusqu'alors dans les implémentations pratiques. Ce résultat, obtenu sur une grille 7x7, est une étape nécessaire, non suffisante, sur le chemin d'un CRQC.
2.3 Leçon historique : les vraies compromissions cryptographiques
Aucune attaque pratique réussie contre un système de chiffrement ces vingt dernières années n'a cassé un algorithme solide. Toutes ont exploité des implémentations défectueuses ou des configurations faibles.
ROCA (2017) : des clés RSA-2048 générées par les puces Infineon Technologies présentaient une structure mathématique exploitable due à une faille dans la bibliothèque de génération de nombres premiers non dans RSA. Des cartes d'identité estoniennes et des TPM industriels ont été compromis. Heartbleed (2014) : débordement de tampon dans OpenSSL, exposant les clés privées de plusieurs millions de serveurs. BEAST, CRIME, POODLE, FREAK (2011-2015) : exploitations de faiblesses de protocole, non d'algorithmes. La hiérarchisation des priorités doit intégrer ce constat : les vulnérabilités d'implémentation et de configuration constituent une menace immédiate et documentée, supérieure en pratique à la menace quantique à horizon 2035.
III. Cartographie des vulnérabilités prioritaires
3.1 Risque temps réel : hautement improbable sur systèmes modernes
La condition de vulnérabilité en temps réel est que le temps nécessaire au CRQC pour casser une clé soit inférieur à la durée de vie de cette clé. Pour les systèmes modernes bien configurés, cette condition est massivement non satisfaite.
Perfect Forward Secrecy (PFS) : TLS 1.3 (RFC 8446, standardisé en 2018, désormais majoritaire sur les périmètres CDN et navigateurs modernes) génère une paire de clés ECDHE éphémère à chaque connexion. Ces clés sont détruites immédiatement après l'établissement de session. La clé privée permanente du serveur n'intervient qu'en authentification. Un attaquant qui obtiendrait cette clé permanente ne pourrait pas déchiffrer les sessions passées.
Double Ratchet (Signal, WhatsApp, Wire) : une nouvelle clé est dérivée à chaque message. La durée de vie effective d'une clé est le temps de transmission d'un message.
WireGuard : le protocole déclenche un nouveau handshake après 120 secondes de session (Rekey-After-Time), et rejette les paquets chiffrés avec une clé de plus de 180 secondes (Reject-After-Time). La fenêtre d'exposition effective est de 2 à 3 minutes selon la phase de session.
Des scénarios de vulnérabilité en temps réel existent néanmoins dans des configurations dégradées : protocoles sans PFS (TLS 1.2 avec échange RSA), VPN ou sessions SSH mal configurés avec des durées de session anormalement longues, clés statiques réutilisées. Ces configurations constituent des vulnérabilités classiques à corriger indépendamment de la menace quantique.
3.2 Risque HNDL : le seul scénario quantique réellement préoccupant à court terme
Le scénario "Harvest Now, Decrypt Later" (HNDL) repose sur un mécanisme distinct de l'attaque en temps réel. Un acteur disposant de capacités de collecte massives (services de renseignement étatiques) capture et stocke aujourd'hui des flux chiffrés, y compris les valeurs ECDHE éphémères transmises en clair lors des handshakes TLS. Un CRQC futur leur permettrait de résoudre le problème du logarithme discret elliptique sur ces valeurs et de retrouver rétrospectivement les clés de session.
La PFS ne protège pas contre ce scénario : elle protège contre la compromission de la clé privée permanente du serveur, non contre le cassage futur des valeurs éphémères déjà enregistrées.
La pertinence du scénario HNDL est directement proportionnelle à deux critères : la valeur stratégique des données à un horizon de 15 à 30 ans, et la probabilité que ces données aient effectivement été interceptées et stockées.
| Catégorie de données | Valeur stratégique à 20 ans | Probabilité d'interception | Exposition HNDL |
|---|---|---|---|
| Secrets d'État / renseignement | Critique | Elevée | Critique |
| Plans systèmes d'armes | Critique | Elevée | Critique |
| Communications diplomatiques classifiées | Critique | Elevée | Critique |
| Propriété intellectuelle de rupture | Elevée | Modérée | Elevée |
| Données génomiques et biomédicales | Elevée | Faible | Modérée |
| Communications financières systémiques | Modérée | Modérée | Modérée |
| Transactions commerciales courantes | Faible | Faible | Faible |
| Communications entreprises standard | Faible | Faible | Faible |
| Conversations personnelles | Négligeable | Négligeable | Négligeable |
| Navigation web courante | Négligeable | Négligeable | Négligeable |
Lecture : l'exposition HNDL combine la valeur stratégique à long terme et la probabilité que ces données aient été interceptées et stockées. Seules les catégories "Critique" et "Elevée" justifient une migration PQC prioritaire dans le scénario HNDL. Sources : ANSSI, NSA CNSA 2.0, analyse SensPo.
La réponse au scénario HNDL est déjà déployée pour les communications futures via les suites hybrides post-quantiques. Chrome déploie X25519Kyber768 depuis août 2023 (Cloudflare depuis septembre 2023). Signal utilise PQXDH (X25519 + ML-KEM-1024) depuis septembre 2023. Apple a déployé PQ3 pour iMessage depuis mars 2024 (iOS 17.4+). Ces implémentations hybrides combinent un composant classique (X25519) et un composant post-quantique (Kyber/ML-KEM) : même si le composant classique est ultérieurement cassé par un CRQC, le composant post-quantique maintient la protection, car son fondement mathématique (problème LWE sur réseaux euclidiens) est hors de portée de l'algorithme de Shor.
Le trafic historique intercepté avant le déploiement de ces suites hybrides reste exposé rétrospectivement. Aucune mesure ne peut le protéger a posteriori.
3.3 Risque legacy : la vraie vulnérabilité structurelle
Les systèmes à longue durée de vie constituent le vecteur de vulnérabilité le plus concret et le moins traité.
PKI et certificats racines. Les certificats racines des grandes autorités de certification ont une durée de vie de 20 à 40 ans. Ils sont distribués dans les systèmes d'exploitation, les navigateurs et les firmwares. Leur remplacement exige une coordination mondiale entre fabricants d'OS, éditeurs de navigateurs, autorités de certification et gestionnaires de systèmes. Les certificats HSM, TPM et les clés embarquées dans les firmwares ont une durée de vie égale à celle des équipements (10 à 20 ans) et ne peuvent être mis à jour sans intervention physique. Ce chantier est le plus complexe de la migration post-quantique et nécessite un plan pluriannuel structuré.
IoT et SCADA. Des dizaines de milliards d'appareils connectés ont des durées de vie de 5 à 20 ans, des ressources computationnelles limitées (ARM Cortex-M0/M3, quelques kilooctets de RAM) et des mécanismes de mise à jour souvent absents. Les algorithmes post-quantiques imposent des tailles de clés très supérieures aux algorithmes classiques : ML-KEM-768 génère des clés publiques de 1 184 octets contre 65 pour ECDH-P256. Cette incompatibilité est matérielle, non logicielle, et implique le remplacement physique des équipements, non leur mise à jour. Les systèmes SCADA contrôlant des infrastructures critiques (énergie, eau, transport) présentent en outre des contraintes de validation réglementaire et d'arrêt programmé qui ralentissent structurellement toute migration.
IV. Transition post-quantique : maturité réelle
4.1 Les algorithmes standardisés par le NIST (août 2024)
Le NIST a publié en août 2024 les premières normes de cryptographie post-quantique, aboutissement d'un processus compétitif lancé en 2016.
ML-KEM (FIPS 203, anciennement CRYSTALS-Kyber) : mécanisme d'encapsulation de clé destiné à remplacer ECDH et RSA pour les échanges de clés. Repose sur le problème Module Learning With Errors (MLWE) dans des réseaux euclidiens, non résolvable par l'algorithme de Shor. Disponible en trois niveaux de sécurité (Kyber-512, -768, -1024).
ML-DSA (FIPS 204, anciennement CRYSTALS-Dilithium) : algorithme de signature numérique post-quantique, destiné à remplacer ECDSA et RSA-PSS.
SLH-DSA (FIPS 205, anciennement SPHINCS+) : schéma de signature basé sur des fonctions de hachage uniquement sans fondement algébrique. Plus lent et avec des signatures plus volumineuses que ML-DSA, il offre une diversité algorithmique importante : si une faille était découverte dans les problèmes de réseaux euclidiens, SLH-DSA reste intact.
FN-DSA (FIPS 206, basé sur FALCON) : en cours de finalisation. Signatures compactes, intéressant pour les environnements contraints.
La prudence dans la diversification est fondée : le candidat SIKE (SIDH), qui avait atteint les derniers tours du processus NIST, a été cassé en 62 minutes sur un processeur classique par Castryck et Decru (juillet 2022). La recommandation de déploiement en mode hybride (classique + PQC) est précisément prévue pour couvrir ce type de scénario.
4.2 Caractéristiques techniques et impacts opérationnels
Les algorithmes PQC présentent des tailles de clés et de signatures significativement supérieures à leurs équivalents classiques, avec un impact sur les handshakes TLS, la taille des certificats et la mémoire des appareils contraints.
Point notable : ML-KEM est plus rapide qu'ECDH-P256 sur les processeurs x86 modernes avec support AVX2 (génération de clés et encapsulation 2 à 5 fois plus rapides, grâce à la transformée NTT). Le surcoût opérationnel des algorithmes PQC est principalement volumétrique (taille des messages réseau) et non computationnel pour les échanges de clés.
4.3 État des déploiements en production
La migration post-quantique est engagée sur plusieurs milliards de connexions, sans attendre les décisions réglementaires.
| Environnement | Support PQC disponible | Déploiement actif en production |
|---|---|---|
| Navigateurs (Chrome, Firefox, Edge) | Avancé | Partiel |
| Messageries sécurisées (Signal, iMessage, WhatsApp) | Généralisé | Avancé |
| CDN et proxies (Cloudflare, Fastly) | Généralisé | Avancé |
| Bibliothèques crypto (OpenSSL + oqs-provider) | Avancé | Partiel |
| Serveurs web (Apache, Nginx) | Partiel | Embryonnaire |
| Équipements réseau (firewalls, VPN pro) | Embryonnaire | Embryonnaire |
| Systèmes embarqués et IoT | Inexistant | Inexistant |
| Applications métier legacy | Inexistant | Inexistant |
Niveaux : Inexistant / Embryonnaire / Partiel / Avancé / Généralisé. Sources : annonces officielles éditeurs, documentation OpenSSL/oqs-provider, NIST IR 8413.
Note technique sur OpenSSL : OpenSSL 3.2 (novembre 2023) fournit une architecture modulaire de type "provider-based" permettant d'intégrer des algorithmes extérieurs via des providers pluggables. Le support effectif de ML-KEM/ML-DSA/SPHINCS+ requiert l'installation distincte de oqs-provider (projet Open Quantum Safe, s'appuyant sur liboqs). Ces deux composants sont séparés : OpenSSL 3.2 seul ne contient pas nativement ces algorithmes.
4.4 Cadre réglementaire : obligations cryptographiques en vigueur
| Dimension | NIS2 | DORA | eIDAS 2.0 | RGPD (référence) |
|---|---|---|---|---|
| Obligations de chiffrement | Substantielle | Maximale | Maximale | Limitée |
| Gestion du cycle de vie des clés | Substantielle | Maximale | Maximale | Absente |
| Migration post-quantique | Limitée | Substantielle | Substantielle | Absente |
| Audit et traçabilité | Maximale | Maximale | Maximale | Substantielle |
| Notification d'incidents | Maximale | Maximale | Substantielle | Maximale |
| Sanctions en cas de non-conformité | Maximale | Maximale | Substantielle | Maximale |
Niveaux : Absente / Limitée / Substantielle / Maximale. Évaluation qualitative issue des textes officiels NIS2 (2022/2555/UE), DORA (2022/2554/UE), eIDAS 2.0, RGS ANSSI.
NIS2 (directive 2022/2555/UE, transposition française en cours via textes complémentaires 2024-2025, LPM 2024-2030 précurseur) : exige des mesures cryptographiques "appropriées et proportionnées" conformes au RGS. Sanctions jusqu'à 10 M€ ou 2% du CA mondial pour les entités essentielles. L'ANSSI intègre les algorithmes post-quantiques dans la feuille de route du RGS.
DORA (règlement 2022/2554/UE, applicable depuis janvier 2025) : impose aux entités financières la gestion documentée du cycle de vie des clés cryptographiques et l'évaluation du risque quantique dans le registre des risques ICT. La dépendance à un seul fournisseur de KMS constitue un risque de concentration sanctionnable.
eIDAS 2.0 : le Portefeuille européen d'identité numérique (EUDIW), dont le déploiement est prévu à partir de 2026, a une durée de vie prévue de plusieurs décennies. L'intégration des algorithmes post-quantiques dès la conception des PKI sous-jacentes est une exigence de conception, non une option.
V. Enjeux de souveraineté cryptographique
5.1 Atouts de la France : une chaîne de valeur existante mais non articulée
La France dispose des composants d'une filière cryptographique souveraine complète que peu d'États européens peuvent revendiquer.
L'ANSSI produit des référentiels techniques (RGS, guides cryptographiques) qui font référence au niveau européen et excluent structurellement les solutions soumises à des législations extraterritoriales via ses critères de qualification. L'INRIA héberge des équipes de recherche de rang mondial sur les fondements mathématiques des algorithmes PQC. CryptoNext Security (spin-off INRIA/CNRS) est l'un des rares acteurs mondiaux capables de proposer simultanément une certification FIPS 140-3 et une qualification ANSSI. Thales Group déploie des HSM (Hardware Security Modules) dans les infrastructures critiques françaises et mondiales, et développe des implémentations matérielles de ML-KEM et ML-DSA. Atos/Eviden couvre les PKI post-quantiques pour le secteur public.
La chaîne existe dans ses composants : recherche (INRIA, CNRS), standardisation (participation au NIST et à l'ETSI), certification (ANSSI), matériel (Thales), intégration (Atos/Eviden). Elle n'est pas articulée en une offre commerciale cohérente concurrençant les hyperscalers sur l'ergonomie et l'écosystème d'intégration.
5.2 Analyse des offres PQC managées : dépendances opérationnelles et cadre juridique
Les offres commerciales post-quantiques des grands fournisseurs cloud (IBM Quantum Safe, Microsoft Azure Quantum Safe, AWS KMS PQC, Google Cloud PQC) présentent une structure d'intégration dont la valeur algorithmique mérite d'être distinguée des conditions d'utilisation.
Ces offres utilisent des algorithmes standardisés par le NIST (ML-KEM, ML-DSA, SPHINCS+) dont la solidité mathématique n'est pas en cause. Leur modèle de déploiement managé crée en revanche des dépendances opérationnelles spécifiques : l'inventaire cryptographique réalisé par ces outils donne au fournisseur une connaissance de l'architecture de sécurité du client ; les clés générées dans un KMS managé ont une portabilité limitée vers d'autres environnements (régénérer toutes les clés implique de re-signer tous les documents, re-chiffrer toutes les données, re-certifier tous les systèmes) ; la facturation est récurrente et indexée sur le volume d'opérations cryptographiques. Ces caractéristiques ne sont pas propres aux offres PQC elles sont communes à la plupart des services cloud managés mais elles prennent une dimension particulière appliquées à l'infrastructure cryptographique, qui conditionne l'ensemble des systèmes d'information.
La contrainte juridique mérite une analyse distincte de la contrainte commerciale. Les fournisseurs de services cloud américains opèrent dans un cadre juridique qui inclut le CLOUD Act (2018) et la Section 702 du Foreign Intelligence Surveillance Act. Dans ce cadre, sous certaines conditions procédurales et selon la nature des données concernées, des autorités américaines pourraient, sous réserve des recours juridiques disponibles, solliciter l'accès à des données ou des clés hébergées par ces opérateurs. La portée exacte de ces dispositions, leur applicabilité aux clés cryptographiques post-quantiques en particulier, et les protections offertes par les clauses contractuelles font l'objet d'interprétations juridiques divergentes et d'une jurisprudence en cours d'évolution. Ce risque, s'il se matérialisait, s'appliquerait aux clés post-quantiques gérées par ces services de la même façon qu'aux clés classiques : la nature de l'algorithme ne modifie pas le cadre juridique applicable au service de stockage.
Pour les organisations dont les clés ont une valeur stratégique à long terme, cette incertitude juridique constitue un facteur à intégrer dans l'analyse des risques, indépendamment de la qualité technique des solutions proposées.
| Dimension de souveraineté | KMS hyperscaler managé | HSM on-premise qualifié ANSSI | Bibliothèque open-source (liboqs / CryptoNext) | Cloud de confiance SecNumCloud |
|---|---|---|---|---|
| Portabilité des clés | Critique | Faible | Faible | Faible |
| Indépendance vis-à-vis de législations extraterritoriales | Elevée sous conditions | Faible | Faible | Faible |
| Transparence algorithmique | Modérée | Totale | Totale | Elevée |
| Contrôle des audits | Elevée | Faible | Faible | Faible |
| Coût de sortie (migration vers un autre fournisseur) | Critique | Faible | Faible | Modérée |
Niveaux de dépendance : Faible / Modérée / Elevée / Critique. "Indépendance vis-à-vis de législations extraterritoriales" : voir section 5.2 pour les conditions d'application. Le mode de déploiement est aussi stratégique que le choix de l'algorithme. Analyse SensPo basée sur les conditions générales d'utilisation publiées et le cadre juridique applicable.
5.3 Analyse SWOT : position française
VI. Recommandations opérationnelles hiérarchisées
Priorité 1 Immédiat (0 à 12 mois) : corriger les vulnérabilités réelles actuelles
Ces actions ne nécessitent pas d'attendre un CRQC. Elles corrigent des vulnérabilités classiques dont certaines sont exploitables dès aujourd'hui.
1.1 Inventaire cryptographique. Cartographier l'ensemble des clés asymétriques à longue durée de vie : certificats racines, clés de signature de code, clés HSM/TPM embarquées, certificats d'authentification client. Identifier la durée de vie résiduelle de chaque clé et les protocoles qui dépendent de chaque type de clé. Sans cet inventaire, aucune migration planifiée n'est possible.
1.2 Activation de TLS 1.3 avec PFS sur tous les services exposés. Toute configuration TLS 1.2 avec échange de clés RSA (sans PFS) est une vulnérabilité immédiate, exploitable sans ordinateur quantique par un attaquant ayant accès à la clé privée du serveur. Désactiver TLS 1.0/1.1 partout.
1.3 Déploiement de X25519Kyber768 sur les flux sensibles. Pour les organisations dont les communications ont une valeur stratégique à horizon 15-20 ans, activer les suites hybrides post-quantiques sur les serveurs TLS exposés couvre le risque HNDL pour le trafic futur. Côté client, l'activation est déjà réalisée par Chrome et Cloudflare.
1.4 Messageries : migration vers des protocoles à clés éphémères PQC. Signal (PQXDH depuis septembre 2023) et iMessage (PQ3 depuis mars 2024) sont les seules messageries grand public offrant une protection HNDL sur les nouvelles conversations. Pour les communications internes sensibles, évaluer des solutions qualifiées ANSSI.
1.5 Pour les entités soumises à DORA : intégration du risque quantique dans le registre ICT. La dépendance à un seul KMS hyperscaler pour la gestion des clés PQC est un risque de concentration sanctionnable sous DORA au même titre qu'une dépendance cloud excessive.
Priorité 2 Court terme (1 à 3 ans) : migration planifiée des données à haute valeur
2.1 Migration hybride des échanges de clés pour les données classifiées ou stratégiques. Commencer par les PKI internes des systèmes d'information les plus sensibles. Utiliser des algorithmes hybrides (ML-KEM + ECDH) pour maintenir la protection classique pendant la transition.
2.2 Plan de remplacement des équipements IoT/SCADA à longue durée de vie. Inclure dans les appels d'offres pour tout nouvel équipement l'exigence d'une architecture de mise à jour cryptographique et de portabilité des clés vers des HSM qualifiés. Planifier le remplacement progressif des équipements non migrables sur 10 à 15 ans.
2.3 Choix du mode de déploiement PQC. Le choix de l'algorithme (Kyber, Dilithium) est secondaire ils sont publics et libres. Le choix du mode de déploiement (KMS managé vs HSM on-premise vs bibliothèque souveraine) est primaire car il détermine le cadre juridique applicable aux clés et les conditions de portabilité. Pour les clés des systèmes d'information sensibles des administrations et des entités NIS2 : HSM qualifié ANSSI ou cloud SecNumCloud. Pour les données à haute valeur stratégique à durée de vie longue, l'analyse de risque devrait intégrer l'incertitude juridique liée aux législations extraterritoriales, indépendamment de la qualité technique du fournisseur retenu.
2.4 Pour les PKI gouvernementales : initier la migration des certificats racines. Ce chantier nécessite une coordination pluriannuelle. L'ANSSI pilote les travaux préparatoires depuis 2022. Les administrations doivent s'inscrire dans ce calendrier et ne pas attendre une urgence réglementaire.
Priorité 3 Moyen terme (3 à 10 ans) : consolidation souveraine
3.1 Exiger la qualification ANSSI pour toute solution PQC déployée dans les marchés publics et les OIV. Ce levier réglementaire est le plus direct pour créer un signal de marché en faveur des acteurs souverains. Il a fonctionné pour les HSM classiques (Thales, Utimaco dominent le marché des solutions qualifiées en France). La qualification impose des critères d'indépendance opérationnelle et de transparence algorithmique qui structurent le marché sans nécessiter de mesures d'exclusion nominatives.
3.2 Financer la montée en puissance commerciale des acteurs souverains. CryptoNext Security et Thales disposent des briques techniques. Elles ne disposent pas des ressources marketing, des équipes de déploiement ni des intégrations écosystème nécessaires pour concurrencer les grands fournisseurs sur l'expérience utilisateur. Un financement ciblé BPI France / Horizon Europe sur l'ergonomie et les intégrations est le levier manquant.
3.3 Ancrer les critères d'indépendance opérationnelle dans eIDAS 2.0 / EUDIW dès la conception. Les PKI sous-jacentes au Portefeuille européen d'identité numérique ont une durée de vie de plusieurs décennies. Intégrer ML-KEM et ML-DSA dès les spécifications techniques initiales, avec des critères de portabilité des clés et d'indépendance opérationnelle vérifiables par audit indépendant.
3.4 Constituer une alliance BSI-ANSSI sur les critères PQC souverains dans NIS2/DORA. La Commission européenne est sensible aux positions franco-allemandes coordonnées. Un standard commun BSI-ANSSI sur la qualification des solutions PQC, intégré aux guides d'implémentation ENISA, permettrait de fixer des critères d'indépendance juridique sans discrimination commerciale formelle.
VI bis. Limites de l'analyse et incertitudes
Les conclusions de cette note reposent sur un ensemble d'hypothèses dont les limites doivent être explicitement posées.
Imprévisibilité des percées scientifiques. L'histoire de l'informatique quantique comporte plusieurs exemples de progrès non anticipés. L'annonce Willow de Google (décembre 2024) a surpris une partie de la communauté sur la vitesse de franchissement du seuil de correction d'erreurs. Une percée algorithmique par exemple une approche plus efficace pour la correction d'erreurs ou une architecture de qubits plus stable pourrait comprimer significativement les délais vers un CRQC. Toutes les estimations institutionnelles citées dans cette note sont révisables à la baisse.
Inconnues sur la cryptanalyse des algorithmes PQC. Les algorithmes ML-KEM, ML-DSA et SLH-DSA ont été sélectionnés à l'issue d'un processus de compétition rigoureux, mais leur sécurité à long terme n'est pas garantie. Le cas SIKE cassé en 62 minutes sur un processeur classique après avoir atteint les derniers tours du processus NIST rappelle que des failles peuvent rester invisibles plusieurs années. Un algorithme partiellement cryptanalysé ne serait pas nécessairement cassé du jour au lendemain, mais les marges de sécurité théoriques pourraient se réduire. Le déploiement hybride (classique + PQC) est précisément prévu pour couvrir ce scénario pendant la période de transition.
Dépendance aux hypothèses d'architecture. L'estimation de 20 millions de qubits physiques pour RSA-2048 (Gidney et Ekerå, 2021) suppose un taux d'erreur de 0,1% par porte, une architecture de code de surface spécifique, et une durée d'attaque de 8 heures. Des hypothèses d'architecture différentes notamment des codes correcteurs plus efficaces ou des architectures matérielles non supraconductrices peuvent faire varier cette estimation d'un facteur 5 à 75. Les recommandations de cette note sont calibrées sur les estimations médianes du consensus académique, non sur les scénarios extrêmes.
Algorithme de Grover : Algorithme quantique (1996) réduisant la complexité d'une recherche exhaustive de O(N) à O(racine de N). Divise par deux le niveau de sécurité effectif des chiffrements symétriques. AES-256 reste robuste (128 bits effectifs post-Grover).
Algorithme de Shor : Algorithme quantique (1994) factorisant des entiers en temps polynomial. Casse RSA, ECC et Diffie-Hellman. Sans effet sur les algorithmes symétriques.
CRQC : Cryptographically Relevant Quantum Computer. Ordinateur quantique capable d'exécuter Shor sur des clés de taille cryptographique. Aucun CRQC n'existe en 2025. Estimations institutionnelles : horizon 2035-2045 selon les scénarios.
ECDHE : Elliptic-Curve Diffie-Hellman Ephemeral. Echange de clés éphémère sur courbes elliptiques. Fondement de la PFS dans TLS 1.3.
HNDL : Harvest Now, Decrypt Later. Collecte anticipée de trafic chiffré en vue d'un déchiffrement ultérieur avec un CRQC. Affecte les données à haute valeur stratégique sur 15-30 ans.
LWE (Learning With Errors) : Problème mathématique sur réseaux euclidiens, fondement de ML-KEM et ML-DSA. Non résolvable par l'algorithme de Shor.
ML-KEM (FIPS 203) : Module Lattice Key Encapsulation Mechanism. Remplaçant post-quantique de ECDH. Anciennement CRYSTALS-Kyber.
ML-DSA (FIPS 204) : Module Lattice Digital Signature Algorithm. Remplaçant post-quantique de ECDSA. Anciennement CRYSTALS-Dilithium.
oqs-provider : Provider pluggable pour OpenSSL 3.2+ permettant d'utiliser ML-KEM, ML-DSA et SPHINCS+. Composant distinct d'OpenSSL mainline, à installer séparément. Développé par le projet Open Quantum Safe.
PFS (Perfect Forward Secrecy) : Propriété garantissant que la compromission de la clé privée permanente d'un serveur ne permet pas de déchiffrer les sessions passées. Ne protège pas contre le scénario HNDL (cassage futur des valeurs éphémères déjà enregistrées).
QKD (Quantum Key Distribution) : Distribution de clés par voie quantique, détectant physiquement toute interception. Portée limitée (100-200 km sur fibre), infrastructure dédiée requise. Ne protège pas les équipements aux extrémités.
SLH-DSA (FIPS 205) : Schéma de signature basé sur fonctions de hachage uniquement. Anciennement SPHINCS+. Diversité algorithmique par rapport à ML-DSA.
X25519Kyber768 : Suite hybride post-quantique (Diffie-Hellman X25519 + ML-KEM-768). Déployée par Chrome depuis août 2023 et Cloudflare depuis septembre 2023. Couvre le risque HNDL pour les connexions TLS futures.
VIII. Sources et références
NIST : FIPS 203, 204, 205 - Post-Quantum Cryptography Standards (août 2024). csrc.nist.gov/publications/fips.
NSA/CISA : CNSA 2.0 Suite and Quantum Computing FAQ (2022). National Security Memorandum NSM-10 (2022). Jalon de bascule 2035 pour les systèmes classifiés.
ANSSI : Recommandations relatives aux mécanismes cryptographiques, version 2.0 (2021). Avis scientifique et technique sur la cryptographie post-quantique (2024). ssi.gouv.fr.
NCSC UK : Post-quantum cryptography guidance (2022, mis à jour 2024).
BSI : Cryptographic Mechanisms: Recommendations and Key Lengths, BSI TR-02102-1 (version 2024).
Gidney et Ekerå : "How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits" (2021). arXiv:1905.09749. Référence académique de base pour les estimations de ressources d'un CRQC.
Google Quantum AI : "Quantum error correction below the surface code threshold" (Willow, Nature, décembre 2024).
Mosca, M. : "Cybersecurity in an Era with Quantum Computers: Will We Be Ready?" (IEEE Security and Privacy, 2018). Estimations de probabilité d'émergence d'un CRQC : environ 1/7 avant 2026, 1/2 avant 2031.
Signal Foundation : PQXDH Key Agreement Protocol (septembre 2023). signal.org/docs/specifications/pqxdh/.
Apple Security Engineering : iMessage with PQ3 (février 2024, déploiement iOS 17.4+ mars 2024). security.apple.com.
Castryck et Decru : "An Efficient Key Recovery Attack on SIDH" (EUROCRYPT 2023). Cassage de SIKE en 62 minutes sur processeur classique.
Donenfeld, J.A. : WireGuard: Next Generation Kernel Network Tunnel (NDSS 2017). Spécification Rekey-After-Time=120s, Reject-After-Time=180s.
Open Quantum Safe Project : liboqs, oqs-provider. openquantumsafe.org.
ENISA : Post-Quantum Cryptography Current state and quantum mitigation (2021). Guidelines on measures under Article 3(3) of the NIS2 Directive (2024).
Lydersen et al. : "Hacking commercial quantum cryptography systems by tailored bright illumination" (Nature Photonics, 2010).
IBM Quantum : Documentation processeurs Eagle (127 qubits, 2021), Osprey (433 qubits, 2022), Condor (1 121 qubits, décembre 2023), Heron r1 (133 qubits, 2023), Heron r2 (156 qubits, 2024). research.ibm.com/blog/ibm-quantum-roadmap.
McKinsey Global Institute : Quantum technology sees record investments, progress on talent gap (2022).