Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 5 · Real-World Challenges Advanced 14 min read

PQC : guide pratique pour les responsables de la sécurité

La cryptographie post-quantique (PQC) remplace les algorithmes RSA et à courbes elliptiques que les ordinateurs quantiques finiront par casser. Ce guide couvre les standards PQC du NIST (FIPS 203, 204, 205, 206), le calendrier de la menace quantique, le déploiement de certificats hybrides et une feuille de route de migration pragmatique sur 24 mois pour la PKI d'entreprise.

En bref

Type
Educational
Niveau
Advanced
Chapitre
33 sur 34

Vue d'ensemble

La cryptographie post-quantique (PQC) désigne les algorithmes cryptographiques conçus pour résister aux attaques aussi bien des ordinateurs classiques que des ordinateurs quantiques. Contrairement aux algorithmes RSA et à courbes elliptiques qui sous-tendent l'infrastructure PKI actuelle, les algorithmes PQC reposent sur des problèmes mathématiques qui restent difficiles à résoudre, même pour un ordinateur quantique suffisamment puissant exécutant l'algorithme de Shor.

En 2024, le NIST a publié les trois premiers standards de cryptographie post-quantique : FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA). Un quatrième standard, FIPS 206 (FN-DSA), est attendu prochainement. Ces standards marquent la fin de la phase de recherche et le début de la phase de déploiement. Les organisations qui dépendent de la cryptographie à clé publique, c'est-à-dire la quasi-totalité d'entre elles, font désormais face à un calendrier de migration concret.

Ce guide se concentre sur les standards PQC eux-mêmes, leurs implications concrètes pour la PKI d'entreprise et les étapes opérationnelles requises pour engager la migration. Pour un traitement plus large de la capacité organisationnelle nécessaire au changement d'algorithmes à grande échelle, consultez notre guide complémentaire sur la crypto-agilité.

Ce que la PQC implique pour la PKI

L'infrastructure à clé publique repose sur la difficulté calculatoire de problèmes mathématiques précis. RSA dépend de la factorisation des entiers. ECDSA et ECDH dépendent du problème du logarithme discret sur courbes elliptiques. Un ordinateur quantique suffisamment grand exécutant l'algorithme de Shor peut résoudre ces deux problèmes en temps polynomial, rendant cassable n'importe quelle clé RSA ou ECC.

Il ne s'agit pas d'une curiosité théorique. Cela a des conséquences directes pour chaque certificat numérique de votre infrastructure :

La PQC répond à ces menaces en remplaçant les fondations mathématiques vulnérables par des problèmes que les ordinateurs quantiques ne savent pas résoudre efficacement : réseaux euclidiens structurés, fonctions de hachage et codes correcteurs d'erreurs.

Les certificats TLS deviennent falsifiables

Un attaquant disposant d'un ordinateur quantique cryptographiquement pertinent (CRQC) pourrait dériver la clé privée de tout certificat RSA ou ECC, ouvrant la voie à des attaques de l'homme du milieu sur chaque connexion TLS reposant sur des algorithmes classiques.

La signature de code perd sa garantie

Les certificats de signature de code s'appuient sur les signatures numériques pour prouver l'intégrité d'un logiciel. Si l'algorithme de signature est cassé, plus aucun logiciel signé antérieurement n'est digne de confiance, et un attaquant peut signer du code malveillant avec une clé contrefaite.

Les hiérarchies de CA s'effondrent

Si la clé privée d'une CA racine peut être dérivée, chaque certificat de la hiérarchie devient non fiable. Toute la chaîne de confiance doit être reconstruite avec des algorithmes résistants au quantique.

Le « collecter maintenant, déchiffrer plus tard »

Des adversaires de niveau étatique interceptent et stockent déjà aujourd'hui du trafic chiffré, dans l'intention de le déchiffrer une fois les ordinateurs quantiques disponibles. Les données soumises à une longue obligation de confidentialité (communications gouvernementales, dossiers médicaux, transactions financières, secrets industriels) sont déjà exposées.

Les standards PQC du NIST

Au terme d'un processus d'évaluation de huit ans ayant débuté avec 82 candidatures, le NIST a standardisé quatre algorithmes post-quantiques répartis sur trois cas d'usage. Comprendre ces standards est essentiel pour planifier votre migration.

### FIPS 203 : ML-KEM (Module-Lattice-Based Key Encapsulation)

ML-KEM, dérivé de la candidature CRYSTALS-Kyber, est le standard d'encapsulation de clé, le mécanisme utilisé pour établir des secrets partagés dans des protocoles comme TLS. Lorsqu'un client et un serveur exécutent un handshake TLS, ils s'appuient sur un mécanisme d'encapsulation de clé (KEM) pour convenir d'une clé de chiffrement symétrique. ML-KEM remplace l'échange de clés ECDH actuellement utilisé par TLS.

ML-KEM est défini à trois niveaux de sécurité :

Le compromis principal avec ML-KEM porte sur la taille. Une clé publique ML-KEM-768 fait 1 184 octets, contre 32 octets pour X25519. Cela impacte la taille du handshake TLS et, dans les environnements contraints, peut affecter la latence. En pratique, pour le TLS de serveur à serveur et de navigateur à serveur, ce surcoût reste gérable. Pour les équipements IoT et les systèmes embarqués, il exige une évaluation rigoureuse.

### FIPS 204 : ML-DSA (Module-Lattice-Based Digital Signature Algorithm)

ML-DSA, dérivé de la candidature CRYSTALS-Dilithium, est le standard principal pour les signatures numériques. Il remplace RSA et ECDSA pour signer des certificats, du code, des documents et toute autre donnée nécessitant une vérification d'authenticité et d'intégrité. ML-DSA est l'algorithme qui apparaîtra dans vos certificats PQC.

ML-DSA est également défini à trois niveaux de sécurité :

À titre de comparaison, une signature RSA-2048 fait 256 octets et une signature ECDSA P-256 fait 64 octets. Les signatures ML-DSA sont nettement plus volumineuses, ce qui affecte la taille des chaînes de certificats, des CRL et des réponses OCSP. Les organisations doivent modéliser ces impacts sur leur infrastructure avant tout déploiement.

### FIPS 205 : SLH-DSA (Stateless Hash-Based Digital Signature Algorithm)

SLH-DSA, dérivé de SPHINCS+, est un schéma de signature fondé sur les fonctions de hachage. Sa sécurité repose uniquement sur les propriétés bien comprises des fonctions de hachage, ce qui en fait une alternative conservatrice aux schémas reposant sur les réseaux euclidiens. Si une avancée venait à fragiliser la cryptographie sur réseaux euclidiens, SLH-DSA resterait sûr.

Le compromis se situe au niveau des performances. Les signatures SLH-DSA mesurent entre 7 856 et 49 856 octets selon le jeu de paramètres, et la signature est nettement plus lente qu'avec ML-DSA. SLH-DSA convient principalement comme algorithme de secours et pour les cas d'usage où la validité à long terme des signatures est primordiale, comme les certificats de CA racine et la signature de firmware.

### FIPS 206 : FN-DSA (FFT over NTRU-Lattice-Based Digital Signature Algorithm)

FN-DSA, dérivé de la candidature FALCON, devrait être standardisé sous la référence FIPS 206. Il offre des signatures nettement plus compactes que ML-DSA (environ 666 octets au niveau de sécurité 1), ce qui le rend attrayant pour les applications contraintes en bande passante. Son processus de génération de clés est toutefois complexe et exige une implémentation à temps constant rigoureuse pour éviter les attaques par canaux auxiliaires. FN-DSA complétera ML-DSA plutôt qu'il ne le remplacera, en couvrant les cas d'usage où la compacité des signatures est critique.

ML-KEM-512

Cible le niveau de sécurité NIST 1 (équivalent à AES-128). Les plus petites tailles de clé et les meilleures performances. Adapté à la plupart des déploiements TLS génériques.

ML-KEM-768

Cible le niveau de sécurité NIST 3 (équivalent à AES-192). Le choix par défaut recommandé pour les déploiements d'entreprise, équilibrant marge de sécurité et coût de performance acceptable.

ML-KEM-1024

Cible le niveau de sécurité NIST 5 (équivalent à AES-256). Les plus grandes tailles de clé, mais la marge de sécurité la plus élevée. Requis par certains cas d'usage gouvernementaux et de défense.

Le calendrier de la menace quantique

Estimer la date d'apparition d'un ordinateur quantique cryptographiquement pertinent est par nature incertain. Pourtant, le raisonnement sur le risque ne dépend pas de la connaissance précise de cette date.

Le NIST, la NSA et la CISA ont tous publié des recommandations exhortant les organisations à engager dès maintenant la planification de leur migration. Le mémorandum de sécurité nationale américain NSM-10 fixe à 2035 l'échéance pour que les agences fédérales achèvent leur migration vers la PQC. L'agence européenne de cybersécurité ENISA a émis des recommandations similaires.

1

État actuel (2024-2026)

Les plus grands ordinateurs quantiques comptent environ 1 000 qubits bruités. L'exécution de l'algorithme de Shor contre RSA-2048 nécessiterait environ 4 000 qubits logiques, ce qui se traduit par des millions de qubits physiques compte tenu des taux d'erreurs actuels. Personne ne peut casser la cryptographie de production aujourd'hui.

2

Court terme (2027-2030)

Le matériel quantique progresse rapidement. IBM, Google et plusieurs programmes nationaux visent des systèmes corrigés en erreurs sur cette période. Si casser RSA-2048 d'ici 2030 reste peu probable, cette possibilité n'est plus écartée par des chercheurs crédibles.

3

Moyen terme (2030-2035)

De nombreuses prévisions convergent vers cette fenêtre comme période de risque maximal. Une enquête du Global Risk Institute publiée en 2023 a révélé qu'une majorité d'experts en informatique quantique attribuent désormais une probabilité supérieure à 50 % à l'existence d'un CRQC d'ici 2035.

4

Le problème du « collecter maintenant » est déjà présent

Quelle que soit la date d'arrivée d'un CRQC, les données chiffrées aujourd'hui avec des algorithmes classiques et interceptées par un adversaire peuvent être stockées indéfiniment. Si vos données doivent rester confidentielles pendant 10 ans ou plus, et que votre adversaire est un État, la date limite de migration n'est pas celle de l'arrivée du CRQC. C'est aujourd'hui.

La crypto-agilité : le socle de la migration PQC

Migrer vers la PQC n'est pas un simple changement de clé ponctuel. C'est une capacité permanente que votre infrastructure doit soutenir. Cette capacité s'appelle la crypto-agilité : la capacité à découvrir, évaluer et remplacer les algorithmes cryptographiques dans l'ensemble de votre parc, sans avoir à reconstruire les systèmes à partir de zéro.

Sans crypto-agilité, une migration PQC oblige à intervenir sur chaque système individuellement, à modifier les configurations à la main et à coordonner des changements entre équipes sans visibilité centrale. Avec la crypto-agilité, vous maintenez un inventaire vivant de tous les algorithmes en usage, vous automatisez la réémission des certificats et vous appliquez vos politiques de manière centralisée.

Les prérequis principaux pour une migration PQC agile sont les suivants :

Pour un traitement détaillé de la construction de la crypto-agilité dans votre organisation, incluant les cadres de gouvernance, les besoins en outillage et la conception des processus, consultez le guide dédié à la crypto-agilité.

Une PKI agnostique aux algorithmes

Votre plateforme PKI doit pouvoir émettre des certificats avec de nouveaux algorithmes sans nécessiter un remplacement complet. Si votre CA ne sait émettre que du RSA et de l'ECDSA, il vous faudra une nouvelle CA pour la PQC.

Un inventaire centralisé des certificats

Vous devez savoir où chaque certificat est déployé et quel algorithme il utilise. Une plateforme complète de gestion du cycle de vie des certificats est le prérequis de toute migration à grande échelle.

Des HSM prêts pour la PQC

Vos modules de sécurité matériels doivent prendre en charge les algorithmes PQC. Vérifiez que la feuille de route firmware de votre fournisseur HSM inclut le support de ML-KEM et de ML-DSA, et que les mises à niveau sont couvertes par votre contrat de maintenance.

La prise en charge des certificats hybrides

Pendant la transition, vous aurez besoin de certificats contenant à la fois une clé classique et une clé PQC, garantissant la rétrocompatibilité avec les systèmes qui ne prennent pas encore en charge la PQC tout en offrant une résistance quantique à ceux qui la prennent en charge.

Inventaire et évaluation des risques

Avant de déployer le moindre certificat PQC, vous devez disposer d'une compréhension complète de votre posture cryptographique actuelle. Cette évaluation constitue le socle de votre plan de migration.

1

Découvrir tous les actifs cryptographiques

Utilisez votre plateforme de gestion de certificats pour scanner chaque environnement : infrastructure cloud, serveurs on-premise, orchestrateurs de conteneurs, équipements réseau, appareils IoT et pipelines de signature de code. Identifiez chaque certificat, chaque clé et chaque algorithme en usage. Accordez une attention particulière aux actifs à longue durée de vie : certificats de CA racine, clés de signature de documents et archives chiffrées.

2

Classer par risque quantique

Tous les actifs ne sont pas exposés au même risque. Hiérarchisez en fonction de deux facteurs : (1) la durée pendant laquelle les données doivent rester confidentielles, et (2) la durée pendant laquelle l'actif restera en service. Un VPN chiffrant des données classifiées avec une exigence de confidentialité de 25 ans est exposé immédiatement aux attaques de type « collecter maintenant ». Un certificat TLS éphémère protégeant un site marketing public est moins prioritaire.

3

Cartographier les dépendances aux algorithmes

Pour chaque système, identifiez les opérations cryptographiques qu'il effectue et les algorithmes qu'il prend en charge. Documentez les bibliothèques TLS et leurs versions, les API cryptographiques, les versions de firmware HSM et le chiffrement applicatif. Cette cartographie des dépendances vous indique quels systèmes peuvent adopter la PQC dès aujourd'hui et lesquels nécessitent d'abord des mises à jour en amont.

4

Identifier les contraintes d'interopérabilité

La migration PQC ne s'opère pas en vase clos. Vos certificats doivent être acceptés par vos partenaires, vos clients, les navigateurs et les systèmes tiers. Cartographiez vos relations de confiance et identifiez les contreparties qui prennent en charge la PQC. Des organismes de normalisation comme le CA/Browser Forum élaborent des exigences PQC pour les certificats publiquement reconnus, mais le calendrier d'adoption par les magasins de confiance des navigateurs reste en évolution.

5

Quantifier l'écart

Produisez un rapport clair : nombre total d'actifs reposant uniquement sur des algorithmes classiques, ventilés par niveau de risque. Ce rapport devient le périmètre de votre programme de migration et la base de l'allocation des ressources.

Déploiement pilote avec des certificats hybrides

Les certificats hybrides constituent le pont entre la PKI classique d'aujourd'hui et une infrastructure entièrement post-quantique. Un certificat hybride contient deux paires de clés : une classique (RSA ou ECDSA) et une PQC (ML-DSA). Les systèmes qui prennent en charge la PQC valident la signature PQC ; ceux qui ne la prennent pas en charge se replient sur la signature classique.

Cette approche évite tout basculement brutal et permet une migration progressive et à faible risque.

1

Sélectionner un périmètre pilote

Commencez par des services internes, non exposés aux clients, dont vous maîtrisez les deux extrémités. Le TLS mutuel entre microservices, les passerelles d'API internes et les environnements de développement sont des candidats idéaux. Évitez de commencer par du TLS public, qui dépend d'une prise en charge navigateur et client que vous ne contrôlez pas.

2

Préparer votre infrastructure CA

Votre CA émettrice doit prendre en charge les types de clés PQC. Si votre CA actuelle ne le permet pas, déployez une CA émettrice dédiée à la PQC sous votre hiérarchie racine existante. Vérifiez que le firmware HSM de la CA prend en charge la génération et la signature ML-DSA. Générez la clé de la CA émettrice PQC à l'intérieur du HSM.

3

Émettre des certificats hybrides

Configurez votre CA pour émettre des certificats contenant à la fois une clé ECDSA et une clé ML-DSA. Le profil de certificat doit inclure les deux algorithmes de signature, afin que les parties qui s'appuient sur le certificat puissent choisir l'algorithme le plus robuste qu'elles prennent en charge. Testez la validation de la chaîne de certificats de bout en bout.

4

Mesurer et valider

Surveillez le pilote pour évaluer l'impact sur les performances. Mesurez la latence du handshake TLS (prévoir 1 à 3 ms supplémentaires en raison de l'échange de clés et des signatures plus volumineux), la durée de validation de la chaîne, la consommation de bande passante liée à des certificats et CRL plus lourds, ainsi que la compatibilité applicative. Documentez les problèmes en vue de leur remédiation avant tout élargissement.

5

Étendre par paliers

À partir des résultats du pilote, étendez les certificats hybrides PQC à d'autres services internes, puis aux intégrations avec les partenaires lorsqu'une coordination est possible, et enfin aux services exposés au public une fois que la prise en charge des navigateurs et des systèmes d'exploitation aura mûri.

La feuille de route de transition PQC sur 24 mois

Une migration PQC pragmatique ne peut pas tenir dans un seul sprint. La feuille de route suivante propose un plan structuré sur 24 mois, conjuguant urgence et réalité opérationnelle.

1

Mois 1-3 : fondations

Achevez l'inventaire cryptographique et l'évaluation des risques décrits ci-dessus. Mettez en place un groupe de travail dédié à la migration PQC avec des représentants de la sécurité, de l'infrastructure, du développement et de la conformité. Définissez le niveau d'appétence au risque de votre organisation et les critères de priorisation. Évaluez le degré de préparation des fournisseurs HSM à la PQC et engagez les plans de mise à jour firmware.

2

Mois 4-6 : laboratoire et preuve de concept

Mettez en place un environnement de test PQC avec une CA compatible PQC. Générez des paires de clés ML-KEM et ML-DSA. Émettez des certificats de test et validez-les sur l'ensemble de votre socle technologique. Identifiez les bibliothèques et applications nécessitant des mises à jour pour prendre en charge la PQC. Commencez à tester les handshakes TLS hybrides.

3

Mois 7-12 : pilote interne

Déployez des certificats hybrides sur des services internes sélectionnés. Surveillez les performances et la compatibilité. Formez les équipes opérationnelles à la gestion des certificats PQC. Mettez à jour les procédures de réponse aux incidents pour tenir compte des scénarios spécifiques à la PQC. Commencez à intégrer l'émission de certificats PQC dans vos workflows automatisés de gestion du cycle de vie.

4

Mois 13-18 : extension maîtrisée

Étendez les certificats hybrides PQC à d'autres services internes et aux systèmes exposés aux partenaires. Coordonnez avec les partenaires et fournisseurs clés des tests d'interopérabilité PQC. Migrez les actifs à risque élevé identifiés lors de l'évaluation (clés à longue durée de vie, canaux de données à forte confidentialité). Mettez à jour la documentation de conformité et les procédures d'audit.

5

Mois 19-24 : production

Établissez la PQC comme algorithme par défaut pour toute nouvelle émission lorsque les endpoints le permettent. Planifiez les échéances de mise au rebut des algorithmes classiques. Préparez le déploiement PQC pour les services exposés au public à mesure que la prise en charge navigateur et OS mûrit. Documentez les enseignements tirés et mettez à jour vos processus de crypto-agilité pour la prochaine transition d'algorithmes, car il y en aura une.

Comment nous aidons

Evertrust & PQC : guide pratique pour les responsables de la sécurité

Une autorité de certification prête pour la PQCEvertrust PKI prend en charge l'émission d'algorithmes post-quantiques, vous permettant de générer des certificats ML-DSA et hybrides depuis une plateforme CA conçue pour l'agilité algorithmique.

Un inventaire cryptographique completEvertrust CLM découvre chaque certificat dans votre infrastructure et les classe par algorithme, taille de clé et émetteur, vous donnant la visibilité nécessaire pour cadrer et exécuter une migration PQC.

Une gestion automatisée du cycle de vie à grande échelleLorsque le moment sera venu de réémettre des milliers de certificats avec des algorithmes PQC, Evertrust automatise l'intégralité du cycle de vie via ACME, EST, SCEP et CMP, évitant que la migration ne devienne un goulot d'étranglement manuel.

L'application des politiques de conformité PQCDéfinissez des politiques imposant les algorithmes PQC pour toute nouvelle émission, faisant respecter les niveaux de sécurité minimaux et bloquant les algorithmes classiques obsolètes, le tout appliqué automatiquement avant l'émission du certificat.

La prise en charge des certificats hybridesEvertrust vous permet d'émettre des certificats hybrides contenant à la fois des paires de clés classiques et post-quantiques, autorisant une migration progressive sans rompre la rétrocompatibilité.

Parler à un expert Découvrir PKI
Tous les guides