Post-quantique : du virtual patching à la crypto-agilité

Cette image illustre la sécurisation des serveurs informatiques grâce au virtual patching. Le flux lumineux projeté vers la baie informatique symbolise l'application rapide de ces correctifs virtuels, tandis que le bouclier bleu marqué du cadenas et de l'acronyme "PQC" représente la transition vers la cryptographie post-quantique et la crypto-agilité.

L'ANSSI est claire : acheter un produit sans cryptographie post-quantique après 2030 ne sera plus raisonnable. Or, le problème, c'est que migrer un système d'information entier vers de nouveaux algorithmes prend souvent plus de dix ans, pendant que des acteurs malveillants copient déjà le trafic chiffré d'aujourd'hui pour le déchiffrer demain. Ainsi, entre l'urgence de la menace et la lenteur de la migration, une approche s'impose : traiter la transition post-quantique comme on traite une vulnérabilité connue, avec du virtual patching, en attendant de bâtir la vraie destination : la crypto-agilité.

Lexique

PQC : cryptographie post-quantique, algorithmes à clé publique résistants à un ordinateur quantique. | CRQC : ordinateur quantique cryptographiquement pertinent, capable de casser RSA ou ECC. | Mécanisme hybride : combinaison d'un algorithme classique et d'un algorithme post-quantique dans le même échange de clés. | Virtual patching : couche de politique de sécurité qui bloque l'exploitation d'une vulnérabilité connue sans modifier le système vulnérable lui-même. | Crypto-agilité : capacité d'un système à changer d'algorithme, de taille de clé ou de protocole cryptographique rapidement, sans réécrire ni interrompre l'architecture qui l'entoure.

Harvest Now, Decrypt Later : la menace qui agit déjà

Le principe est simple et redoutable. Un attaquant intercepte aujourd'hui du trafic chiffré avec RSA ou ECC, sans pouvoir le lire. Concrètement, il le stocke, en pariant sur l'arrivée d'un ordinateur quantique suffisamment puissant pour casser ce chiffrement plus tard. C'est ce que la NSA, la CISA et le NIST désignent conjointement sous le nom de catch now, break later, une stratégie qu'ils considèrent activement mise en œuvre par certains acteurs étatiques dès aujourd'hui CISA / NSA / NIST.

Certes, pour les données à durée de vie courte, le risque reste limité. Mais pour les dossiers médicaux, les secrets industriels, les communications diplomatiques ou les données classifiées, la fenêtre de confidentialité se compte en décennies : ce qui est intercepté cette année peut rester sensible bien après l'arrivée du premier ordinateur quantique capable de casser ces protections.

2030 Date à partir de laquelle l'ANSSI juge qu'il ne sera plus raisonnable d'acheter des produits sans PQC ANSSI
2035 Échéance visée par la NSA (CNSA 2.0) et le NIST pour la fin du chiffrement à clé publique classique NSA / NIST
10+ ans Durée estimée par l'ANSSI pour une transition post-quantique complète à l'échelle nationale ANSSI

Où en est la standardisation post-quantique

Le NIST pilote depuis 2016 un concours international pour sélectionner des algorithmes post-quantiques. Il a ainsi finalisé trois standards en 2024, puis retenu en mars 2025 un quatrième mécanisme d'échange de clés, HQC, à l'issue d'un quatrième tour d'évaluation, en complément de ML-KEM et pour diversifier les hypothèses mathématiques sur lesquelles reposent ces algorithmes NIST CSRC.

AlgorithmeUsageStatut
ML-KEM (FIPS 203)Établissement de clésStandard finalisé (2024)
ML-DSA (FIPS 204)Signature numériqueStandard finalisé (2024)
SLH-DSA (FIPS 205)Signature numérique (basée sur le hachage)Standard finalisé (2024)
HQCÉtablissement de clés (mécanisme alternatif)Sélectionné en 4ᵉ round, projet de standard en préparation
Pourquoi un second mécanisme de type KEM ? En effet, HQC repose sur des hypothèses mathématiques différentes de ML-KEM (théorie des codes plutôt que réseaux euclidiens). En cas de faiblesse découverte sur une famille d'algorithmes, l'écosystème dispose ainsi d'une alternative déjà évaluée par le NIST.

La position française : l'ANSSI et l'hybridation

En France, l'ANSSI recommande depuis 2022 les mécanismes hybrides, qui combinent un algorithme pré-quantique éprouvé avec un algorithme post-quantique additionnel, plutôt qu'un remplacement direct. Elle a d'ailleurs mis à jour cette position fin 2023 et publié depuis des recommandations techniques concrètes pour la transition post-quantique de TLS 1.3, IPsec et SSHv2 ANSSI.

Par ailleurs, sur le terrain de la certification, l'ANSSI a délivré ses deux premiers Visas de sécurité intégrant des algorithmes post-quantiques à base de réseaux euclidiens à des solutions Thales et Samsung, que le centre CEA-Leti a évaluées. Elle vise également la mise en place d'obligations PQC pour entrer en qualification à partir de 2027 ANSSI, travaux PQC.

2022

Premier avis ANSSI

Recommandation des mécanismes hybrides d'établissement de clé et de signature.

2024

Standards NIST finalisés

ML-KEM, ML-DSA et SLH-DSA publiés comme normes FIPS.

2025

HQC retenu, premiers Visas ANSSI

Quatrième mécanisme KEM sélectionné par le NIST ; premières certifications françaises intégrant de la PQC.

Aujourd'hui

2026

2027

Obligations PQC en qualification

L'ANSSI vise l'intégration d'exigences PQC pour entrer en qualification. La NSA impose CNSA 2.0 pour toute nouvelle acquisition de systèmes de sécurité nationale.

2030-2035

Fin de la cryptographie classique

Dépréciation puis interdiction des algorithmes vulnérables au quantique selon les calendriers NIST et NSA.

Le virtual patching, un pont vers la PQC

Le virtual patching n'est pas né avec la menace quantique. L'OWASP le définit comme une couche de politique de sécurité qui empêche l'exploitation d'une vulnérabilité connue sans modifier le code de l'application elle-même, historiquement via un pare-feu applicatif (WAF) ou un système de prévention d'intrusion OWASP. Le principe : protéger l'actif exposé pendant que l'équipe développe, teste et déploie le correctif définitif.

Une passerelle hybride comme premier rempart

En clair, ce même raisonnement s'applique à la transition post-quantique. Réécrire chaque application, chaque équipement réseau et chaque bibliothèque cryptographique pour qu'ils supportent nativement ML-KEM ou HQC prendra des années. Pendant ce temps, chaque connexion chiffrée avec un algorithme classique reste une donnée potentiellement copiée aujourd'hui pour être déchiffrée demain. Ainsi, une passerelle, un reverse-proxy ou un tunnel VPN configuré pour imposer un échange de clés hybride en amont d'une application qui ne sait pas encore parler PQC nativement joue exactement le rôle qu'un WAF joue pour une faille applicative non corrigée : il ferme la fenêtre d'exposition sans attendre que le système sous-jacent soit réécrit.

Les bénéfices concrets du virtual patching

Rapidité

Un point de contrôle réseau (passerelle, proxy, VPN) peut activer un échange de clés hybride en quelques semaines, sans attendre la refonte des applications.

Centralisation

Ce point d'application unique protège plusieurs systèmes en aval, au lieu d'intervenir sur chaque hôte individuellement.

Réversibilité

La règle peut être retirée une fois que l'application ou l'équipement supporte nativement la PQC, sans dette technique laissée en place.

Priorisation

Les flux à durée de confidentialité longue (santé, R&D, données classifiées) peuvent être traités en premier, avant le reste du parc.

La méthode recommandée par les autorités

Ce que recommandent conjointement la CISA, la NSA et le NIST : commencer par un inventaire cryptographique complet, identifier où et comment la cryptographie à clé publique est utilisée, puis prioriser la migration sur les données ayant la durée de confidentialité la plus longue, avant même que chaque produit déploie pleinement les standards définitifs CISA / NSA / NIST, Quantum-Readiness. C'est précisément l'inventaire qui permet de savoir où placer un patch virtuel en priorité.

Crypto-agilité : la vraie destination

Le virtual patching achète du temps au niveau du réseau. En revanche, la crypto-agilité se construit au niveau du système lui-même : c'est la capacité d'une organisation à changer d'algorithme, de taille de clé ou de protocole cryptographique rapidement et à faible coût, sans réécrire les applications ni interrompre le service. Le NIST et l'ANSSI en font tous deux un objectif de fond, distinct de la migration PQC elle-même : la PQC est l'algorithme qu'on installe aujourd'hui, la crypto-agilité est la capacité à en changer encore demain, quand un autre algorithme sera à son tour cassé ou déprécié.

Comment fonctionne un système crypto-agile

Concrètement, un système crypto-agile isole la cryptographie du reste du code : les algorithmes sont appelés via une couche d'abstraction (bibliothèque centralisée, module HSM, service de gestion de clés) plutôt que codés en dur dans chaque application. Changer d'algorithme revient alors à changer une configuration, pas à réécrire un produit.

Système crypto-agile ou non : le comparatif

Système NON crypto-agile
  • Algorithme et taille de clé codés en dur dans chaque application ou équipement.
  • Changer d'algorithme impose de recompiler, retester et redéployer chaque système un par un.
  • Aucun inventaire fiable : personne ne sait précisément où le SI utilise RSA ou ECC.
  • Une faille découverte sur un algorithme se traduit par des mois, voire des années, d'exposition avant correction.
  • La migration PQC devient un projet monolithique, coûteux et à haut risque d'échec ou de retard.
Système crypto-agile
  • Cryptographie abstraite dans une couche centrale (bibliothèque, HSM, service de clés) découplée des applications.
  • Changer d'algorithme ne demande qu'une configuration, souvent sans interruption de service.
  • Inventaire cryptographique maintenu à jour en continu, algorithme par algorithme, système par système.
  • L'équipe peut traiter une faille découverte en jours ou semaines, pas en années.
  • La migration PQC devient un changement de paramètre progressif, pas une refonte d'architecture.

Un prérequis structurel, pas une case à cocher

Cette différence explique pourquoi l'ANSSI, la NSA et le NIST présentent la crypto-agilité comme un prérequis structurel, et pas seulement comme une case à cocher pour la transition post-quantique. Un système crypto-agile absorbera aussi bien le passage à ML-KEM aujourd'hui que la prochaine rupture cryptographique dans dix ou vingt ans, quelle qu'elle soit. À l'inverse, un système qui ne l'est pas devra, à chaque fois, repasser par le même chantier lourd, celui qui a rendu la migration PQC si longue.

En pratique : centraliser les appels cryptographiques derrière une bibliothèque ou un service commun, versionner les politiques d'algorithmes plutôt que de les figer dans le code, et tester régulièrement un changement d'algorithme en environnement de qualification, avant même d'y être contraint par une vulnérabilité ou une échéance réglementaire.

Ce que le virtual patching ne remplace pas

Le patch virtuel achète du temps ; toutefois, il ne referme pas la vulnérabilité de fond. Voici trois limites à garder en tête avant de considérer la transition comme réglée.

Il ne protège pas ce qui est déjà intercepté

Une session chiffrée en RSA pur avant l'activation d'une passerelle hybride reste vulnérable au déchiffrement futur. Ainsi, le patch virtuel protège les flux à venir, pas l'historique déjà copié par un attaquant.

Son efficacité dépend du point où il est posé

Par exemple, si la passerelle hybride ne couvre qu'une partie du chemin réseau, le tronçon restant en clair ou en cryptographie classique reste exposé. Cela suppose une cartographie précise des flux, comme pour tout virtual patching applicatif.

Il ne dispense pas de l'inventaire ni de la crypto-agilité

L'ANSSI comme la NSA insistent sur la nécessité de bâtir une véritable crypto-agilité dans les systèmes, c'est-à-dire la capacité à changer d'algorithme rapidement. En somme, le patch virtuel est un pont, pas une destination.

  • Réaliser un inventaire des usages de la cryptographie à clé publique dans le système d'information
  • Identifier les données à durée de confidentialité longue, prioritaires pour une protection anticipée
  • Activer l'hybridation sur les points de passage réseau critiques (passerelles, VPN, TLS) en attendant la PQC native
  • Suivre les évolutions des guides ANSSI (TLS 1.3, IPsec, SSHv2) et des standards NIST au fur et à mesure de leur publication
  • Centraliser les appels cryptographiques pour préparer la crypto-agilité, au-delà du seul projet PQC
  • Prévoir le retrait des règles temporaires une fois la PQC nativement supportée

FAQ – Questions fréquentes

Le virtual patching pour la PQC, est-ce un vrai concept reconnu ?

C'est une extension logique d'un concept existant, pas un standard officiel.
Le virtual patching est un concept reconnu par l'OWASP dans le contexte des applications web et des WAF. Son application à la transition post-quantique, via l'hybridation réseau en attendant le support natif, découle ainsi de la même logique défensive : réduire la fenêtre d'exposition sans attendre la correction définitive.

Quelle est la différence entre virtual patching et crypto-agilité ?

Le premier est temporaire et réseau, la seconde est permanente et structurelle.
Le virtual patching ajoute une protection en amont d'un système que l'on n'a pas encore modifié : c'est une mesure de contournement. La crypto-agilité, elle, transforme le système lui-même pour qu'il puisse changer d'algorithme facilement à l'avenir. On peut faire du virtual patching sans être crypto-agile ; l'objectif à terme est de ne plus en avoir besoin parce que le système est devenu agile.

Faut-il déjà migrer vers la PQC en 2026 ?

Commencer l'inventaire, oui. Migrer tout, pas nécessairement.
Concrètement, l'ANSSI recommande d'inclure la menace quantique dans l'analyse de risque dès maintenant et de démarrer un travail d'inventaire des usages cryptographiques, en priorisant les cas d'usage critiques avant l'échéance de 2030.

Qu'est-ce qu'un mécanisme hybride, concrètement ?

Deux algorithmes combinés dans le même échange de clés.
Le système exécute un algorithme classique reconnu (par exemple une courbe elliptique) en parallèle d'un algorithme post-quantique. Un attaquant devrait ainsi casser les deux pour compromettre la session, ce qui limite le risque si l'un des deux s'avère plus tard vulnérable.

Où trouver les recommandations officielles françaises ?

Sur le site de l'ANSSI.
La page dédiée à la cryptographie post-quantique sur cyber.gouv.fr centralise les avis, la FAQ PQC et les guides techniques par protocole (TLS, IPsec, SSH).

La menace quantique agit déjà :
préparez vos réseaux avec Sæpiens & Spaertan.

Harvest Now, Decrypt Later : vos flux chiffrés aujourd'hui peuvent déjà être interceptés et stockés en vue d'un déchiffrement futur. L'ANSSI est claire, il ne sera plus raisonnable d'acheter des produits sans cryptographie post-quantique après 2030 et une migration complète prend plus de dix ans. Sæpiens sécurise vos points de passage réseau dès maintenant avec une infrastructure prête pour l'hybridation post-quantique (SD-WAN, SASE, ZTNA, MDM), tandis que Spaertan, notre pôle cybersécurité, pilote l'inventaire cryptographique, l'audit et la mise en œuvre de votre transition post-quantique.

Votre infrastructure réseau et votre stratégie cyber sont-elles prêtes pour la transition post-quantique ?

AUDITER MA SÉCURITÉ
Partager LinkedIn