Post-quantum cryptographie : l’Allemagne se prépare
8 Min. de lecture
En août 2024, le NIST a publié les trois premiers standards finalisés de cryptographie post-quantique. En novembre 2024, le BSI et 17 autres autorités européennes ont exhorté l’industrie et l’administration à commencer activement la migration. Et la Bundeswehr a déjà sécurisé son réseau de fibres optiques de 13.000 kilomètres avec des algorithmes quantiques sécurisés. L’Allemagne se prépare – mais le secteur privé est à la traîne. Aucune grande entreprise technologique allemande n’a déployé de manière productive la cryptographie post-quantique.
Les points clés en bref
- Standards NIST finalisés: ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205) sont obligatoires depuis août 2024 – la base pour la migration mondiale de la PQC
- Recommandation du BSI: Migration des systèmes les plus sensibles d’ici la fin 2030, approche hybride comme solution de transition, crypto-agilité comme principe de conception
- Harvest Now, Decrypt Later: Les acteurs étatiques collectent aujourd’hui des données chiffrées pour les déchiffrer avec les futurs ordinateurs quantiques – toutes les grandes autorités de sécurité confirment la menace
- La Bundeswehr comme pionnière: 13.000 kilomètres de réseau de fibres optiques sécurisé avec des algorithmes quantiques sécurisés
- Coûts de migration: Le gouvernement américain estime à 7,1 milliards de dollars pour les agences fédérales d’ici 2035
Pourquoi la menace est réelle aujourd’hui – pas demain
L’idée fausse la plus répandue sur les ordinateurs quantiques et la cryptographie est : « Nous avons encore le temps. » C’est techniquement exact – les ordinateurs quantiques d’intérêt cryptographique n’existent pas encore. IBM prévoit un système d’environ 200 qubits logiques pour 2028/2029, Google vise des tailles similaires. Pour casser un RSA‑2048, plusieurs millions de qubits logiques sont nécessaires. Le BSI estime l’horizon temporel à éventuellement 16 ans, voire moins.
Mais la menace n’est pas le jour où un ordinateur quantique brisera RSA. La menace est aujourd’hui. La stratégie s’appelle « Harvest Now, Decrypt Later » (HNDL) : des acteurs étatiques collectent dès maintenant les communications chiffrées et le trafic de données, les stockent et attendent de les déchiffrer avec les futurs ordinateurs quantiques. Le Département de la Sécurité intérieure des États‑Unis, le NCSC britannique, l’ENISA et l’ASD australien confirment cette menace dans leurs recommandations officielles sur la PQC. La Commission européenne a averti en avril 2024 que les données nécessitant une confidentialité à long terme sont déjà exposées à un risque HNDL.
Pour les entreprises disposant de données sensibles à long terme – brevets, données de santé, secrets d’État, contrats financiers – cela signifie : chaque jour sans chiffrement quantique‑sûr est un jour où ces données peuvent être interceptées et conservées pour une future décryption. Les exigences Supply‑Chain‑Security du NIS2 renforcent encore cette pression.
Sources : NIST FIPS août 2024, DGAP Policy Brief 2024, White House PQC Report juillet 2024
Les nouveaux standards : ce que signifient ML‑KEM, ML‑DSA et SLH‑DSA
Les 13 et 14 août 2024, le NIST a publié les trois premiers standards de cryptographie post‑quantique en tant que Federal Information Processing Standards. Ils sont entrés en vigueur immédiatement et définissent la base algorithmique de la migration mondiale.
FIPS 203 (ML‑KEM) repose sur CRYSTALS‑Kyber et constitue le nouveau standard d’encapsulation de clé – c’est‑à‑dire l’échange de clés sécurisé. Chaque fois que deux systèmes établissent un canal chiffré (TLS, VPN, messagerie), ce mécanisme est requis. ML‑KEM remplacera progressivement RSA et Diffie‑Hellman dans ce domaine.
FIPS 204 (ML‑DSA) repose sur CRYSTALS‑Dilithium et devient le standard principal pour les signatures numériques. Mises à jour de firmware, certificats logiciels, signatures d’e‑mail et transactions blockchain – partout où RSA ou ECDSA sont utilisés aujourd’hui, ML‑DSA apparaît comme l’alternative quantique‑sûre.
FIPS 205 (SLH‑DSA) repose sur SPHINCS+ et est un algorithme de signature basé sur le hachage. Il sert d’option de secours au cas où ML‑DSA présenterait des faiblesses – un concept de redondance volontaire. Un quatrième standard (FN‑DSA, basé sur FALCON) est en cours de préparation.
Pour les entreprises, les trois standards signifient : la base technique est en place. La question n’est plus « quel algorithme choisir ? » mais « quand commencer ? ». Et la réponse du BSI est claire : dès maintenant.
BSI : approche hybride et crypto-agilité comme stratégie
Le BSI a, pour la première fois, entièrement complété sa directive technique TR-02102-1 (Procédés cryptographiques : recommandations et longueurs de clés) dans la version 2026-01 avec les normes NIST-PQC. Procédés recommandés pour le Key Encapsulation : ML-KEM, FrodoKEM et Classic McEliece. Pour les signatures numériques : ML-DSA, SLH-DSA, LMS/HSS et XMSS.
Deux concepts sont au cœur de la stratégie du BSI. Premièrement, l’approche hybride : jusqu’à ce que la PQC soit pleinement établie, le BSI recommande la combinaison d’un procédé classique et d’un procédé quantique sécurisé. L’avantage : la communication est sécurisée tant qu’au moins l’un des deux procédés est sécurisé. La mise en œuvre technique suit la spécification ETSI TS 103 744 (« Cat-then-KDF »).
Deuxièmement, la crypto-agilité : les systèmes doivent être conçus de manière à permettre un changement d’algorithme sans refonte complète. Cela semble évident, mais ce n’est pas le cas. De nombreux systèmes existants ont des algorithmes cryptographiques si profondément intégrés dans leur architecture qu’un changement équivaut à une reconstruction. Le BSI recommande donc d’ancrer la crypto-agilité comme principe de conception pour chaque nouveau système et chaque mise à jour de système – une exigence que le Cyber Resilience Act rendra obligatoire à partir de 2027.
En novembre 2024, le BSI a publié, conjointement avec 17 autorités partenaires européennes, une déclaration appelant l’industrie, les opérateurs KRITIS et l’administration publique à commencer activement la transition vers la PQC. Pour les cas d’application les plus sensibles, le BSI recommande la migration d’ici la fin de l’année 2030. Le NIST fixe l’objectif de déploiement généralisé à 2035.
L’avance de la recherche allemande : CISPA, HGI, Fraunhofer
Dans le domaine de la recherche sur la PQC, l’Allemagne fait partie des leaders mondiaux. Fraunhofer AISEC exploite un centre de compétence pour la cryptographie post-quantique avec environ 100 experts en PQC issus d’autorités, d’entreprises, d’universités et d’instituts de recherche. Lors de la conférence PQC Update 2024 en mai, Fraunhofer a formulé le message clé : « Migrez maintenant pour être sécurisé plus tard ». L’institut travaille sur des mises en œuvre concrètes : de l’approche Impeccable-Keccak pour sécuriser SPHINCS+ au projet KBLS (bibliothèques cryptographiques quantiques durables) en passant par le projet Aquorypt pour la PQC sur des systèmes à ressources limitées comme les cartes à puce et les contrôles industriels.
L’Institut Horst Görtz (HGI) de l’Université de la Ruhr à Bochum a directement participé au développement des algorithmes qui figurent aujourd’hui dans les normes NIST. CRYSTALS-Kyber et CRYSTALS-Dilithium – la base de ML-KEM et ML-DSA – ont été développés avec la participation significative de chercheurs du HGI. Le CISPA à Sarrebruck, numéro un mondial en matière de sécurité informatique, travaille sur la prochaine génération de protocoles post-quantiques. Et le SFB CROSSING de la TU Darmstadt mène des recherches depuis 2014 sur des solutions cryptographiques pour l’ère post-quantique.
L’Allemagne possède donc la compétence en recherche. Le problème réside dans le transfert.
La Bundeswehr a sécurisé son réseau de fibres optiques de 13 000 kilomètres avec des algorithmes quantiques sécurisés – l’un des rares déploiements concrets de PQC au monde. Aucune grande entreprise technologique allemande n’a mis en place quelque chose de comparable en production.
DGAP Policy Brief 2024
Le secteur public en tête, le secteur privé à la traîne
La Deutsche Gesellschaft für Auswärtige Politik (DGAP) a publié en 2024 un état des lieux impitoyable. Le constat : le secteur public allemand est au niveau des nations leaders en matière de PQC. Le secteur privé, quant à lui, est nettement en retard par rapport aux entreprises américaines.
La Bundeswehr a sécurisé son réseau de fibres optiques de 13.000 kilomètres avec des algorithmes quantiques – un déploiement concret qui fait de l’Allemagne un pionnier mondial dans la mise en œuvre de la PQC par l’État. Le BSI a été la première autorité européenne à développer des directives PQC complètes. Et la coordination étroite avec les normes NIST garantit l’interopérabilité OTAN/UE.
Le secteur privé, en revanche : SAP a réalisé des tests de preuve de concept, mais n’a pas encore déployé de PQC dans des systèmes productifs. Siemens confirme des activités dans le domaine de la PQC, sans publier de détails sur le déploiement. La Deutsche Telekom travaille sur des projets de recherche pour des réseaux quantiques sécurisés (DemoQuanDT, QSNP, EuroQCI), mais aucun déploiement commercial n’est attesté. Le constat de la DGAP est clair : aucune grande entreprise technologique allemande n’a déployé de PQC de manière productive – alors qu’Amazon (AWS), IBM et Apple aux États-Unis ont déjà commencé à implémenter activement.
Particulièrement critique : les fournisseurs de messagerie allemands n’offrent pas de solutions quantiques sécurisées. Les logiciels d’accès à distance (la pire catégorie selon la DGAP) n’ont pas un seul fournisseur avec une annonce PQC. Et même BWMessenger et BundesMessenger – les services de messagerie officiels de la Bundeswehr et de l’administration fédérale – sont encore sans protection quantique.
CRA et NIS2 : la réglementation comme moteur de migration
Le Cyber Resilience Act (en vigueur depuis décembre 2024) rendra la PQC effectivement obligatoire à partir de 2027. Les produits doivent être conçus avec une crypto-agilité et pouvoir signer des mises à jour de firmware avec des algorithmes quantiques sécurisés. Le CRA exige un chiffrement « state-of-the-art » – et dès que les normes NIST existent et que le BSI les recommande, la PQC fait partie de l’état de l’art.
La Commission européenne a publié en avril 2024 une feuille de route de mise en œuvre coordonnée (C(2024) 2393) avec des jalons pour 2026, 2030 et 2035. Une feuille de route EU finale coordonnée était prévue pour juin 2025. NIS2 augmente la pression : l’exigence de mesures de sécurité « state-of-the-art » s’étend également à la cryptographie utilisée. Pour les plus de 30.000 entreprises régulées par NIS2 en Allemagne, la préparation à la PQC devient ainsi une exigence de conformité, et non une mesure volontaire.
La cascade réglementaire est claire : quiconque vend des produits sur le marché de l’UE à partir de 2027 doit supporter la crypto-agilité et les mises à jour de firmware quantiques sécurisées (CRA). Quiconque est soumis à NIS2 doit utiliser une cryptographie state-of-the-art – et cela inclut la PQC dès que les normes sont établies. Le BSI a déjà inclus ces normes dans ses recommandations. Pour les CISOs et CTOs, cela signifie : la migration vers la PQC n’est pas pour demain. C’est le prochain sprint de conformité réglementaire après la mise en œuvre de NIS2.
Ce que coûte la migration – et combien de temps elle dure
Le gouvernement américain estime le coût de la migration vers la PQC pour les agences fédérales américaines à environ 7,1 milliards de dollars pour la période 2025-2035. Pour les entreprises, les estimations varient fortement : les petites organisations nécessitent 5 à 7 ans, les moyennes 8 à 12 ans et les grandes entreprises 12 à 15 ans ou plus.
Les coûts surviennent en quatre phases. Premièrement : l’inventaire cryptographique – un inventaire complet de tous les procédés de cryptage utilisés. C’est l’étape la plus complexe, car de nombreuses organisations ignorent où la cryptographie est utilisée. Deuxièmement : les mises à jour logicielles et les nouvelles bibliothèques. Troisièmement : le remplacement du matériel pour les systèmes qui ne supportent pas la PQC par mise à jour. Quatrièmement : l’effort de test, pour garantir que les procédés hybrides et nouveaux fonctionnent correctement dans tous les systèmes.
Ceux qui veulent avoir migré d’ici 2030 (recommandation du BSI pour les systèmes les plus sensibles) doivent commencer maintenant. L’inventaire cryptographique à lui seul peut prendre six à douze mois dans une grande entreprise. Ensuite, la migration proprement dite commence – et cela prend du temps, car elle doit être testée et validée dans chaque système.
Allemagne vs. USA vs. Chine : Trois stratégies
Les trois nations leaders en PQC suivent des stratégies différentes. Les États-Unis misent sur le secteur privé comme moteur : Amazon, IBM et Apple implémentent déjà activement la PQC. Le National Security Memorandum NSM-10 prescrit la migration pour les systèmes de sécurité nationale. En Allemagne, c’est le secteur public qui mène la danse : le BSI, la Bundeswehr et les autorités sont en tête, tandis que le secteur privé suit.
La Chine développe ses propres normes PQC indépendamment du NIST. Cela signifie une divergence algorithmique : les systèmes chinois et occidentaux seront incompatibles à l’ère post-quantique. La Chine est également considérée comme la principale menace HNDL pour les données à long terme de l’Occident et investit bien plus dans la recherche quantique que la plupart des États occidentaux.
Pour l’Allemagne, cela signifie : la compétence en recherche est là (le HGI a co-développé CRYSTALS-Kyber). L’infrastructure gouvernementale est là (normes BSI, déploiement Bundeswehr). Ce qui manque, c’est le transfert vers le secteur privé. Les 1.700 Hidden Champions des PME allemandes n’ont même pas ce problème sur leur radar.
Ce que les entreprises doivent faire maintenant
1. Établir un inventaire cryptographique. Chaque entreprise doit savoir où chaque type de cryptage est utilisé. Cela inclut les connexions TLS, les tunnels VPN, le cryptage des bases de données, les signatures d’e-mails, la signature de code et tous les composants cryptographiques intégrés dans les produits.
2. Classifier les données selon les besoins de protection. Toutes les données n’ont pas le même risque HNDL. Les brevets, les données de santé et les contrats à long terme ont un horizon de protection de 10 à 30 ans et nécessitent une migration immédiate. Ce n’est pas le cas des e-mails marketing.
3. Introduire le cryptage hybride. L’approche hybride recommandée par le BSI (classique plus PQC) est le chemin de migration le plus sûr. Elle protège immédiatement contre les attaques HNDL et reste sûre même si un algorithme PQC montre des faiblesses.
4. Ancrer la crypto-agilité comme principe de conception. Chaque nouveau système et chaque mise à jour de système doit permettre le changement d’algorithme sans refonte. Le CRA en fera une obligation à partir de 2027.
5. Utiliser l’expertise de Fraunhofer. Le centre de compétence PQC de Fraunhofer AISEC offre des conseils, des projets de preuve de concept et un soutien concret à la mise en œuvre. Pour les PME, c’est le point d’entrée le plus pragmatique.
Foire aux questions
Qu’est-ce que la cryptographie post-quantique ?
Méthodes de chiffrement qui ne peuvent pas être cassées par les ordinateurs quantiques. Le chiffrement standard actuel (RSA, Diffie-Hellman, ECDSA) est théoriquement vulnérable aux attaques des ordinateurs quantiques. Les nouveaux standards NIST ML-KEM, ML-DSA et SLH-DSA reposent sur des problèmes mathématiques que même les ordinateurs quantiques ne peuvent pas résoudre efficacement.
Quand les ordinateurs quantiques pourront-ils casser le chiffrement actuel ?
Des études commandées par le BSI estiment que cela pourrait prendre 16 ans, voire moins. IBM prévoit un système avec environ 200 qubits logiques pour 2028/2029, mais RSA-2048 nécessite des millions de qubits logiques. Le NIST recommande la migration d’ici 2030 pour les systèmes critiques et un déploiement large d’ici 2035.
Que signifie « Harvest Now, Decrypt Later » ?
Les acteurs étatiques collectent aujourd’hui des données chiffrées et les stockent pour les déchiffrer avec les futurs ordinateurs quantiques. Cela concerne particulièrement les données nécessitant une confidentialité à long terme comme les brevets, les données de santé ou les secrets d’État. Toutes les grandes autorités de sécurité occidentales confirment cette menace.
Que recommande le BSI pour la migration vers la PQC ?
Une approche hybride (classique plus quantique) comme solution de transition, la crypto-agilité comme principe de conception et une migration des systèmes les plus sensibles d’ici la fin de 2030. En novembre 2024, le BSI et 17 autorités partenaires européennes ont conjointement demandé le début de la migration active.
Où en est l’Allemagne dans la mise en œuvre de la PQC ?
Le secteur public est en tête : la Bundeswehr a sécurisé 13.000 kilomètres de fibre optique de manière quantique. Le secteur privé est à la traîne : aucune grande entreprise technologique allemande n’a déployé la PQC de manière productive. La compétence en recherche (CISPA, HGI, Fraunhofer) est de premier ordre, mais le transfert fait défaut.
Lire la suite
- Professionnels de la sécurité : pourquoi les talents allemands en cybersécurité sont un exportateur secret
- Sécurité de la chaîne d’approvisionnement : de l’obligation de conformité à l’avantage concurrentiel
- Reboot Germany : 735 milliards, trois PME et la question de savoir si la crise est vraiment si grave
Source de l’image de couverture : Pexels / Markus Spiske (px:1089438)
