PRÉPARATION PQC // CHIMERASCOPE
Évaluation quantifiée de votre infrastructure cryptographique face aux menaces de l’informatique quantique — alignée sur les obligations de conformité CRA, NIS2 et BSI TR-02102-1.
Les avancées récentes de la recherche en informatique quantique ont considérablement réduit les ressources estimées nécessaires pour casser la cryptographie à clé publique largement déployée. Les organisations qui traitent des données sensibles — dossiers financiers, informations médicales, propriété intellectuelle, secrets commerciaux — sont confrontées à une pression temporelle concrète sur laquelle les régulateurs sont déjà intervenus.
La menace principale est simple : le trafic réseau chiffré intercepté aujourd’hui peut être stocké et déchiffré une fois que les ordinateurs quantiques atteindront une capacité suffisante. Cette stratégie de « récolte maintenant, déchiffrement plus tard » fait de la migration post‑quantique une priorité de gestion des risques dès aujourd’hui, et non une considération future. Les estimations actuelles situent la fenêtre entre l’interception et la capacité de déchiffrement entre trois et dix ans.
NIST a finalisé trois normes de cryptographie post‑quantique en août 2024 : ML‑KEM (FIPS 203) pour l’encapsulation de clés, ML‑DSA (FIPS 204) pour les signatures numériques, et SLH‑DSA (FIPS 205) pour les signatures basées sur le hachage. Les principaux fournisseurs d’infrastructure ont déjà commencé le déploiement — mais la grande majorité des organisations n’a pas encore évalué leur propre niveau de préparation.
Notre évaluation mesure la préparation cryptographique quantique de chaque point d'extrémité observable de votre infrastructure. Aucun accès aux systèmes internes n'est requis.
Évaluation des configurations d'échange de clés TLS selon des algorithmes hybrides et purs post-quantum standardisés. Détermine si vos points d'extrémité négocient un échange de clés résistant au quantique ou restent vulnérables à l'interception. Couvre les domaines principaux, les sous‑domaines et les ports de service supplémentaires.
Analyse des algorithmes de certificats incluant l'évaluation du schéma de signature et le score de préparation à la migration. Évalue si votre infrastructure de certificats peut passer à des algorithmes résistants au quantique sans interruption opérationnelle — en fonction de l'autorité de délivrance, du niveau d'automatisation et des contraintes de pinning.
Vérification de la capacité post-quantum de STARTTLS sur votre infrastructure MX. Le transport du courrier électronique est l'un des canaux les plus négligés en matière de vulnérabilité quantique — les données actuelles indiquent que moins d'un pour cent des serveurs de messagerie mondiaux prennent en charge le chiffrement de transport résistant au quantique.
Détection des vulnérabilités de rétrogradation de protocole qui permettent aux attaquants de forcer les connexions vers des versions de protocole plus anciennes et vulnérables au quantique, même lorsque des protections plus récentes sont disponibles. Inclut l'évaluation de la modernisation de l'échange de clés SSH sur toutes les interfaces de gestion exposées.
Analyse sensible au CDN qui distingue la protection quantique fournie à la périphérie du réseau de celle native à votre infrastructure d'origine — une distinction cruciale qu'aucun outil de notation public ne réalise actuellement. Les organisations qui s'appuient sur les réseaux de distribution de contenu supposent souvent une protection totale alors que seule la couche périphérique est prête pour le quantique.
Nos évaluations auprès d'organisations industrielles, financières et technologiques européennes révèlent un schéma constant :
La préparation cryptographique post‑quantique n’est pas une préoccupation théorique — c’est une exigence de conformité émergente à travers de multiples cadres réglementaires applicables aux organisations européennes.
Le CRA exige que les produits contenant des éléments numériques mettent en œuvre des protections cryptographiques reflétant l’état de l’art. L’article 10 impose aux fabricants d’assurer la confidentialité grâce à des « mécanismes et protocoles appropriés » — une formulation qui englobe de plus en plus la préparation post‑quantique à mesure que les normes NIST mûrissent. La déclaration des vulnérabilités devient obligatoire à partir de septembre 2026, avec une conformité totale d’ici décembre 2027.
L’article 21 oblige les entités essentielles et importantes à mettre en œuvre des mesures de sécurité « à la pointe de la technologie » proportionnées au risque. À mesure que les normes cryptographiques post‑quantiques atteignent leur maturité, l’absence d’évaluation et de planification de la migration crée un écart démontrable dans les mesures de gestion des risques exigées par la NIS2. Des orientations sectorielles devraient explicitement faire référence aux calendriers de migration PQC.
Le Bureau fédéral allemand de la sécurité des systèmes d’information (BSI) maintient des directives techniques sur les algorithmes cryptographiques recommandés. Le TR‑02102‑1 classe les ML‑KEM et ML‑DSA comme algorithmes recommandés, offrant des orientations concrètes aux organisations opérant sur le marché allemand ou le desservant. Les recommandations du BSI ont une importance particulière pour les fournisseurs du secteur public et les industries réglementées dans la région DACH.
La suite d’algorithmes de sécurité nationale commerciale 2.0 (CNSA 2.0) définit un calendrier de retrait des algorithmes vulnérables aux attaques quantiques dans les systèmes de sécurité nationale. Bien que centrée sur les États‑Unis, les échéances du CNSA 2.0 influencent les exigences de la chaîne d’approvisionnement mondiale — les organisations desservant les secteurs de la défense, de l’aérospatiale ou des technologies à double usage font face à des obligations de conformité en cascade, quel que soit le cadre juridique.
Chaque évaluation produit un score de préparation quantifié reflétant l'état réel du déploiement sur tous les points d'extrémité cryptographiques observables de l'extérieur. Le score prend en compte la configuration de la couche transport, la posture des certificats, la sécurité des email, la résilience des protocoles et l'architecture de l'infrastructure.
Échange de clés post‑quantique déployé sur les points d'extrémité principaux. L'infrastructure de certificats prend en charge la migration d'algorithmes. Le transport des email inclut des protections quantum‑safe. Aucun chemin de déclassement de protocole significatif détecté.
Déploiement partiel post‑quantique — généralement via la protection en périphérie du CDN sans implémentation au niveau de l'origine, ou avec des lacunes dans le transport des email ou SSH. Un chemin de migration existe mais nécessite une action ciblée sur des couches d'infrastructure spécifiques.
Protections post‑quantiques limitées ou inexistantes déployées. L'infrastructure de certificats peut prendre en charge la migration mais aucune transition active n'a commencé. Des chemins de déclassement de protocole sont probablement présents. Recommandation : commencer la planification de la migration dans le cycle budgétaire actuel.
Aucune protection quantum‑safe détectée. Versions de protocoles hérités acceptées. La gestion des certificats peut entraver une migration rapide. Recommandation : prioriser l’inventaire cryptographique et la feuille de route de migration comme priorité opérationnelle immédiate.
Exposition cryptographique importante incluant des algorithmes obsolètes, l'absence de confidentialité persistante, et des obstacles structurels à la migration. Une évaluation immédiate et une planification de remédiation sont nécessaires.
Maintenant. Les normes NIST sont finalisées, les principaux fournisseurs d’infrastructure déploient, et les cadres réglementaires intègrent les exigences post‑quantique. Les organisations qui commencent l’évaluation dès aujourd’hui disposeront de feuilles de route de migration prêtes avant l’arrivée des échéances de conformité.
Partiellement. Les principaux fournisseurs de CDN déploient un échange de clés post‑quantique à la périphérie, mais votre serveur d’origine gère le traitement réel des données. Si votre serveur d’origine ne dispose pas de protections quantiques, le trafic entre le CDN et l’origine reste vulnérable. Notre évaluation identifie précisément cette lacune.
Non. L’évaluation examine la configuration cryptographique par observation passive et analyse standard de la poignée de main TLS. Aucun exploit, aucune tentative d’authentification, aucune interruption de service. Aucune autorisation n’est requise pour le périmètre d’évaluation standard.
Le transport des courriels est évalué séparément de l’infrastructure web. Notre évaluation vérifie si vos serveurs MX prennent en charge le STARTTLS quantique‑sûr — une capacité que moins d’un pour cent des serveurs de messagerie mondiaux offrent actuellement.
L’évaluation de préparation PQC est disponible en tant qu’engagement autonome ou en tant que couche intégrée dans une évaluation complète de la surface d’attaque externe. Lorsqu’elle est combinée, les résultats PQC sont intégrés à la cartographie globale de conformité et à la notation des menaces.
NIST FIPS 203 (ML‑KEM), FIPS 204 (ML‑DSA), FIPS 205 (SLH‑DSA) pour l’évaluation des algorithmes. CRA Art. 10, NIS2 Art. 21, BSI TR‑02102‑1 et CNSA 2.0 pour la cartographie de conformité. Toutes les références sont citées dans le rapport fourni.
Soumettez le domaine principal de votre organisation pour une évaluation de la préparation à la cryptographie post‑quantique. L’évaluation est livrée sous 48 heures sous forme de PDF chiffré.
Fournissez le domaine principal de votre organisation. L’évaluation couvre tous les points de terminaison cryptographiques observables à l’extérieur.