Pour un inventaire cryptographique en vue d’une transition post-quantique, compter 60 % du budget en ressources humaines, 25 % en outils/licences et 15 % en frais opérationnels. Cette estimation indicative est calibrée sur le profil d’une organisation d’environ 10 000 collaborateurs avec un datacenter principal. Elle figure dans un guide produit par un groupe de travail du Campus Cyber*.

Ce guide propose une démarche en 4 phases : Préparation en 2026 (évaluation d’empreinte cryptographique et élaboration de la stratégie de transition) Démarrage du déploiement en 2026-2027 (intégration et test de la PQC en environnement contrôlé) Migration des systèmes critiques entre 2028 et 2030 Généralisation et finalisation entre 2030 et 2035 Une quinzaine d’outils de 8 fournisseurs français En parallèle, le groupe de travail publie un panorama d’outils mobilisables pour la migration vers le post-quantique. Lire aussi : NIS2 en suspens : les RSSI attendent, le marché aussi Il apparaît que les outils d’inventaire ne permettent pas tous d’ajouter des capteurs et/ou de fournir des données externes. Ni forcément de configurer la politique de sécurité.

Sur la partie gestion des certificats, le scoring n’est souvent pas personnalisable. Du côté des HSM, beaucoup ne prennent pas encore en compte les algorithmes PQC et certains frameworks ne sont pas crypto-agiles. Le panorama comprend une quinzaine de produits et services de sociétés françaises.

Les outils d’inventaire Sur le volet inventaire, il y en a un : Compass, de CryptoNext Security. Sous licence propriétaire et sans certifications, il n’embarque pas de capteurs par défaut. Mais son architecture ouverte permet d’en intégrer, ainsi que des formats de données.

L’analyse se fait sur site, les éléments générés étant stockés sur une base relationnelle locale. La politique de sécurité est configurable. Les outils de gestion des certificats Dans la gestion des certificats, il y a BerryCert de DigitalBerry et Horizon d'Evertrust.

Le premier est censé devenir PQC-ready au S2 2026. Il fonctionne sur site et a un scoring personnalisable. Protocoles d'automatisation gérés : SCEP, ACME, CMP et API REST.

Le post-quantique est aussi dans les tuyaux pour le second, mais sans échéance calendaire. Le scoring est également personnalisable. Il existe une version SaaS.

Diverses sondes permettent la découverte de certificats (réseau, services cloud, conteneurs, endpoints) et il existe un partenariat avec CryptoNext pour l'inventaire. Protocoles d'automatisation gérés : SCEP, ACME, CMP, EST, WCCE et API REST. Les HSM En matière de HSM, c'est soit de l'Eviden, soit du Thales.

Eviden a deux solutions référencées. D'un côté, Crypt2pay, destiné au chiffrement des flux financiers. De l'autre, Protaccio, à usage général, prenant en compte trois algos PQC (ML-DSA, ML-KEM, SLH-DSA) et proposant un framework crypto-agile par intégration logicielle.

Thales a trois solutions référencées. Parmi elles, payShield, spécifique au secteur bancaire et aux paiements, et qui n'a pour le moment ni algos PQC ni crypto-agilité. Il y a aussi les HSM à usage général Luna, à la fois crypto-agiles et PQC-ready.

Le groupe de travail du Campus Cyber y ajoute une offre héritée de Gemalto et « encore utilisée dans certains environnements » : ProtectServer. Les bibliothèques cryptographiques CryptoNext Security est aussi mentionné pour sa bibliothèque Quantum-Safe Library, qui permet l'échange de clés (ML-KEM, FrodoKEM) et la signature (ML-DSA, SLH-DSA, Falcon, XMSS). Développée en C, C++ et assembleur, avec des wrappers Go, Rust, Python et Java, elle est distribuée en trois versions : standard, embarquée et résistante aux attaques par canal auxiliaire (avec masquage).

Autre option : Sphere, d'IDEMIA Secure Transactions. Développée en C avec wrappers Python et Java, elle a aussi des versions standard et embarquée, cette dernière étant dite résistante aux attaques par canal auxiliaire. Algos post-quantiques actuellement gérés : ML-KEM, ML-DSA, SLH-DSA et LMS.

Lire aussi : Gamaredon : comment le FSB a réinventé son arsenal d'espionnage PortyQ, qui a participé au groupe de travail, a droit à trois mentions dans le panorama. Elles concernent respectivement la bibliothèque LibCryptyq, son provider OpenSSL et sa version embarquée. Les PKI On retrouve Evertrust sur la partie PKI, avec l'offre Stream, exploitable sur site ou en SaaS.

Sous licence propriétaire et certifiée CSPN, elle gère ML-DSA, ML-KEM, SLH-DSA, Falcon et XMSS/LMS. Autre option : Eviden PKI (ex-IDnomic). Également on-prem ou en SaaS sous licence propriétaire, avec certification critères communs EAL4+.

Elle gère ML-DSA et les certificats hybrides Catalyst. Spec sheet similaire (EAL4+, Catalyst, on-prem et SaaS...) pour Nexus Certificate Manager PKI, qu'on doit à ne filiale d'IN Groupe. Open source : une solution d'inventaire origine Espagne...

Hors France, le panorama recense une vingtaine de solutions européennes. Quelques-unes sont open source. Par exemple, pour l'inventaire, CryptoBOM-Forge de Banco Santander.

Elle gère l'intégration de capteurs, mais pas de sources externes de données (uniquement l'output de CodeQL). La politique de sécurité est configurable, mais l'inventaire ne se fait que dans le code (pas d'analyse de protocoles). L'outil produit du CBOM (CycloneDX) en sortie.

Pcert Scanner, de Datawarehouse (Allemagne), scanne un plus grand périmètre (endpoints, registres, réseau, avec protocoles HTTPS, FTPS, SSH, LDAP, NMAP et LDIF). Le stockage et l'analyse sont sur site ou en SaaS. Lire aussi : Suspension de Claude Mythos : des experts demandent la levée des restrictions QCBOM, de Synergy Quantum (Suisse-Inde), gère l'analyse de binaires, mais pas l'intégration de capteurs.

Ni la personnalisation de la politique de sécurité. On peut en revanche lui fournir des sources externes de données. Il analyse les protocoles TLS, SSH et VPN.

Et produit, en sortie, du CBOM, du CDV et du PDF. Avec SSHerlock, de SSH.com (Finlande), pas de personnalisation des capteurs, des sources de données ou de la politique de sécurité. L'outil s'appuie sur les données système (agent/script) et les requêtes du protocole SSH.

Il produit des rapports PDF ou HTML. ... ainsi que du HSM et du PKI made in Allemagne Autre offre européenne open source : NetHSM, de Nitrokey (Allemagne). Orientée PME, elle n'a pas de certifications et a la crypto post-quantique en roadmap. Le panorama comprend d'autres HSM made in Allemagne.

En l'occurrence, ceux d'Ultimaco. Dont un dédié à la protection de la propriété intellectuelle et à la gestion des licences. Yubico (Suède-USA) y figure aussi, avec son Yubi HSM 2 au format USB.

Ainsi que Securosys (Suisse), avec Primus HSM CyberVault. Deux des solutions PKI européennes mentionnées ont un cœur open source. L'une vient de République tchèque : CZERTAINLY.

L'autre, d'Allemagne : XiPKI. * Air France-KLM, la Banque de France, BNP Paribas, CryptoNext Security, Eviden, Orange Cyberdefense, Portyq et QuRISK se sont impliqués sur les deux livrables. AXA a participé à l'élaboration du guide ; l'ENSTA et HeadMind Partners, à la réalisation du panorama. Illustration générée par IA