Cryptographie post-quantique - FAQ

L'ANSSI conseille aux organisations publiques et privées de démarrer dès à présent un premier travail d'inventaire, afin d'obtenir une bonne visibilité de leurs usages de la cryptographie. Les cas d'usage identifiés comme critiques devront être les premiers à être pris en compte dans une optique de transition post-quantique.

L'ANSSI indique qu'il ne sera pas raisonnable d'acheter des produits qui n'intègrent pas de la PQC après 2030. Les enjeux PQC doivent être pris en compte dans le cycle de renouvellement des systèmes d'information, afin que la transition soit anticipée, maîtrisée et coûte possiblement moins cher. 
La transition post-quantique ne se fera pas sans disponibilité de produits de confiance. Aussi, l'ANSSI œuvre dès à présent à la disponibilité d'une offre PQC de confiance (c'est-à-dire des produits certifiés/qualifiés par l'ANSSI) pour les organisations. Par ailleurs, l'ANSSI vise la mise en place d’obligations PQC pour l'entrée en qualification de produits à partir de 2027.
 

L'ANSSI encourage toutes les organisations, quels que soient les secteurs d'activité, à inclure la menace quantique dans leur analyse de risque et à envisager une transition post-quantique de leur produits et systèmes. Un processus d'inventaire doit être mené au sein des organisations afin d'identifier les données et cas d'usages critiques, nécessitant des mesures de protection cryptographiques. Les cas d'usage identifiés comme les plus critiques doivent être les premiers à être pris en compte dans une optique de transition post-quantique. 

Chaque organisation doit réaliser un inventaire afin d'obtenir une bonne visibilité sur la liste des produits et usages métier intégrant de la cryptographie, les algorithmes cryptographiques utilisés, ainsi que les données dont la confidentialité et/ou l'authenticité doivent être garanties après 2030, en précisant systématiquement cette durée. L'ANSSI encourage les organisations à démarrer ce travail d'analyse dès à présent.

Bonnes pratiques :

• Identifier les données et les cas d’usage métier menacés dès à présent par l'arrivée future d’un ordinateur quantique.
• Identifier les équipements qui vont devoir être mis à jour et contacter les fournisseurs pour connaître leur feuille de route.
• Identifier les délais de renouvellement des équipements intégrant de la cryptographie et prévoir un calendrier de renouvellement avec des solutions incluant de la PQC.
• Ne plus acheter des produits n’intégrant pas de PQC à partir de 2030 ;
• Identifier les points de blocage et les remonter à l’ANSSI ;
• Contacter l’ANSSI pour toute question ou demande d’accompagnement pour la transition.

L'ANSSI se focalise actuellement sur la mise à disposition d'une offre PQC de confiance, et ses recommandations se destinent premièrement aux offreurs de produits PQC. Dans ce cadre, l'ANSSI prévoit de mettre à jour son guide sur les mécanismes cryptographiques, son référentiel IPsec DR, ainsi que de publier différentes recommandations technniques liées à la PQC (intégration dans les protocoles, crypto-agilité, format de certificats).

Dans un second temps, l'ANSSI accompagnera certains de ses bénéficiaires, c'est-à-dire des entités soumises à des contraintes réglementaires, dans leur processus de transition post-quantique (ARI). 

Dès à présent, l'ANSSI conseille de consulter le document réalisé par ses homologues néerlandais pour l'aide à la transition : The PQC Migration handbook

L'ANSSI tient également à disposition de tous la présente foire aux questions sur son site Web, mise à jour régulièrement.

Aujourd'hui, il n'existe pas de qualification de l'ANSSI concernant les prestataires d'accompagnement à la transition post-quantique. Cependant, l'ANSSI échange avec ces prestataires et encourage le développement d'une offre de service d'aide à la transition.

Par ailleurs, l'ANSSI entretient des échanges réguliers avec fournisseurs de services de cybersécurité susceptibles de fournir une offre d'accompagnement à la transition post-quantique et a publié les résultats d’une enquête menée auprès de ces acteurs, disponible sur le site Web de l'ANSSI.

Les documents suivants, en langue anglaise, proposent une bonne base pour comprendre la thématique et les enjeux de la cryptographie post-quantique :

• Position paper et Follow-up position Paper de l'ANSSI (2022 et 2023)
• PQC migration handbook (2024)
• Securing tomorrow, today: transitioning to PQC (2024)

Par ailleurs, pour les agents publics, l’ANSSI propose, depuis le début d’année 2024, une formation dédiée à la PQC. Celle-ci est dispensée au sein de son centre de formation, le CFSSI.
 

La Commission européenne a publié une feuille de route pour la mise en œuvre coordonnée de la transition vers la PQC (juin 2025). Il est recommandé aux Etats membres de veiller à ce que la menace quantique fasse partie de la gestion des risques de toutes les entités concernées et de mettre en place une gestion mature des actifs cryptographiques afin de faciliter la transition post-quantique et d'améliorer l'agilité cryptographique en général. Le groupe de travail à l'origine du document est co-dirigé par l’ANSSI et ses homologues allemands et hollandais.

L'ANSSI, dans son Avis sur la migration vers la PQC, présente une liste non exhaustive de mécanismes d'encapsulation de clés asymétriques post-quantiques et d'algorithmes de signatures électroniques qui seraient des choix appropriés pour les produits cryptographiques courants. Le document présente également des recommandations quant à leur dimensionnement. 

L’ANSSI a également publié un Avis sur les mécanismes post-quantiques retenus par le NIST, organisme de standardisation américain qui organise depuis 2016 un concours international en vue de la standardisation d’algorithmes post-quantiques (ARI). L'ANSSI recommande de n'utiliser que des algorithmes éprouvés par la communauté académique.

L'ANSSI ne fournit traditionnellement pas de liste fermée d'algorithmes recommandés afin de ne pas proscrire des algorithmes innovants qui pourraient être bien adaptés à certains cas d'usage particuliers, d'autant plus que la cryptographie post-quantique est en constante évolution. 

À noter : Les préconisations de l'ANSSI sur la PQC (y compris sur l'hybridation) n'ont pas à ce jour de caractère d'obligation réglementaire.

La réponse dépend du type d’organisation, selon qu’elle développe des produits de sécurité, ou qu’elle les achète.

L'ANSSI rappelle que le périmètre actuellement réglementé en matière de cryptographie concerne les données classifiées de défense ou portant la mention de protection Diffusion Restreinte, les systèmes d'information vitale (dispositif SAIV), ainsi que les certifications/qualifications de produits (Visas de sécurité ANSSI). Pour ces éléments, les textes réglementaires et référentiels vont évoluer pour intégrer la PQC. Au-delà du périmètre mentionné, il n'est pas prévu à l'heure actuelle de réglementation dédiée.

1) Pour les développeurs de produits de sécurité, cela dépend du cadre réglementaire applicable à leurs produits : 

• L'ANSSI vise la mise en place d’obligations PQC pour l'entrée en qualification de produits à partir de 2027.

2) Pour les organisations qui achètent des solutions, cela dépend de leur activité et statut :

• Les organisations qui détiennent des informations portant la mention de protection Diffusion Restreinte ou classifiées de défense devront acquérir les solutions qui conviennent.
• Les opérateurs d’importance vitale doivent appliquer un chiffrement à l’état de l’art sur les SIIV (dispositif SAIV). Cet état de l’art est défini dans le guide des mécanismes cryptographiques (https://cyber.gouv.fr/publications/mecanismes-cryptographiques) et inclu aujourd'hui dans l’annexe B du Référentiel général de sécurité, édité par l’ANSSI. Il sera mis à jour pour prendre en compte la PQC.
• Pour les organisations non concernées par les deux cas précédents, il n’existe pas d’obligation réglementaire. Toutefois, l'ANSSI indique qu'il ne sera pas raisonnable d'acheter des produits qui n'intègrent pas de la PQC après 2030. Les enjeux de la PQC doivent être pris en compte dans le cycle de renouvellement des produits équipant les systèmes d'information, afin d'anticiper et de maîtriser le coût de la transition.

L'ANSSI insiste fortement sur le caractère essentiel de l'hybridation des algorithmes de cryptographie post-quantique partout où ils sont déployés, à la fois à court et moyen terme. Les seuls algorithmes post-quantiques pour lesquels l'ANSSI ne recommande pas un recours systématique à l'hybridation sont les algorithmes de signature fondés sur le hachage : SLH-DSA, XMSS et LMS.

Pour ce qui concerne le périmètre réglementé (voir question précédente), l'hybridation est obligatoire.

Dans son Avis sur la migration vers la PQC, l'ANSSI présente les différents modes d'hybridation pour les mécanismes d'encapsulation de clés, ainsi que pour les signatures. Pour ce qui concerne les mécanismes d'encapsulation de clés, les modes CatKDF et CasKDF sont recommandés par l'ANSSI. Le mode d'hybridation choisi permet d'atteindre le niveau de sécurité IND-CCA2, en supposant que les KEM sous-jacents le sont. Pour plus d'informations, veuillez vous référer à l'Avis de l'ANSSI sur la migration vers la PQC de 2023.

Pour les signatures, il est à noter que la simple concaténation de deux signatures, l'une classique et l'autre post-quantique, permet d'atteindre les exigences de l'hybridation. Certaines propriétés de sécurité additionnelles, comme celle de non-séparabilité, peuvent être atteintes en considérant des variantes, par exemple en signant le couple (message, signature classique) avec la signature post-quantique.
 

L'utilisation d'une protection hybride est recommandée en particulier pour les produits de sécurité destinés à offrir une protection durable des informations (jusqu'à après 2030) ou qui seront potentiellement utilisés après 2030 sans mise à jour. L'ANSSI insiste fortement sur la nécessité de l'hybridation partout où une protection post-quantique est nécessaire, à la fois à court et à moyen terme. Même si les algorithmes de cryptographie post-quantique ont fait l'objet d'une grande attention, le recul sur leur sécurité et leurs implémentations est insuffisant pour se passer des assurances de non-régression de la sécurité classique apportées par l'hybridation. Cette recommandation pourra éventuellement être mise à jour à plus long terme, lorsque la communauté scientifique disposera de plus de recul.

Afin de décliner sa doctrine technique vers des aspects pratiques, l'ANSSI a initié des réflexions sur des recommandations s’appliquant à la notion de crypto-agilité. Les travaux sont en cours et la publication d'un avis technique est prévue pour la fin de l'année.

L'ANSSI recommande très fortement que les produits soient capables de changer de jeux de paramètres pour les algorithmes de cryptographie post-quantique standardisés par le NIST. À terme, lorsque plusieurs standards de signature et de mécanismes d'encapsulation seront disponibles, l'ANSSI recommandera d'étudier la possibilité de changer totalement d'algorithme si nécessaire, en fonction de la durée de vie du produit et du type d'implémentation (hard, soft).

L'ANSSI prévoit de mettre à jour son guide sur les mécanismes cryptographiques, ainsi que son guide de sélection des algorithmes de cryptographie d'ici fin 2025, pour intégrer davantage la cryptographie post-quantiques.

Consultez les guides sur la cryptographie

L'ANSSI mène aujourd'hui des travaux pour définir sa posture et ses recommandations sur la PKI/IGC et notamment le format des certificats. Ces travaux dépendent notamment des activités de normalisation liées aux formats de certificats et à leur hybridation.

L'hybridation, lorsqu'elle est réalisée en signant avec un algorithme de signature classique et un aglorithme post-quantique, puis en concaténant les signatures, a en réalité un impact faible sur les performances du système lors de la signature et de la vérification. Même s'il est recommandé de commencer par transitionner les algorithmes assurant la confidentialité, les algorithmes de signature aussi devront évoluer vers les algorithmes post-quantiques, notamment en passant par une phase hybride afin d'assurer une non-régression en sécurité. On peut s'en dispenser pour les algorithmes de signature post-quantiques fondés sur le hachage (SLH-DSA, XMSS, LMS).

Dans un contexte de système embarqué, l'ANSSI rappelle que les implémentations cryptographiques sont particulièrement vulnérables face aux attaques par canaux auxiliaires et aux attaques par injection de fautes. L'ANSSI recommande alors de choisir des algorithmes et des modes d'hybridation robustes face à cette menace. 

L'ANSSI ne fournit traditionnellement pas de liste d'implémentations logicielles de référence en dehors des Visas de sécurité ANSSI délivrés par le Centre de Certification National. Toutefois, les prochaines publications de l'ANSSI (e.g. documents sur les protocoles) donneront des pointeurs sur des implémentations existantes.

L'ANSSI suit certains travaux de normalisation liés à la PQC (algorithmes et protocoles) et cela alimente son expertise.

Les produits avec de la PQC peuvent être certifiés. Les référentiels à utiliser sont le guide des mécanismes cryptographiques de l'ANSSI (PG-083) ou le « Agreed Cryptographic Mechanisms » de l'ECCG (ACM). Comme pour la cryptographie classique, l’utilisation de mécanismes cryptographiques reconnus et/ou standardisés est recommandée. 

Actuellement une bibliothèque logicielle n'est pas un produit pouvant être certifié ou qualifié. Seul un produit utilisant cette bibliothèque peut être certifié ou qualifié.

La qualification s'appuyant sur la certification et le PG-083, les produits avec de la PQC peuvent être qualifiés.

Les produits avec de la PQC peuvent être évalués par des centres d'évaluation de solutions de sécurité (dits "CESTI") ayant l’agrément pour faire l’analyse de mécanismes cryptographiques post-quantiques normalisés (ou largement déployés). Un CESTI n'ayant pas encore cet agrément pourra faire l’évaluation dans le cadre d’un projet pilote. La liste des CESTI est disponible sur le site Web de l'ANSSI à l'adresse suivante

L'agrément DR (Diffusion Restreinte) s'appuyant sur la qualification de l'ANSSI, les produits avec de la PQC peuvent être agréés DR, sauf s'ils doivent être conformes à un référentiel qui ne permet pas encore l’utilisation d’algorithmes post-quantiques, ce qui est le cas du référentiel IPsec DR. La mise à jour du référentiel IPsec DR est prévue courant 2026.

L’ANSSI s’implique sur l’évolution du cadre d’évaluation des produits de sécurité, afin que ceux-ci puissent intégrer les aspects PQC.

Ainsi, l’ANSSI accompagne les centres d'évaluation de solutions de cybersécurité (CESTI) afin que ceux-ci développent des compétences sur l'évaluation des mécanismes hybrides, l'évaluation des algorithmes PQC connus, ou encore l'évaluation de la résistance d'implémentations de certains algorithmes PQC contre les attaques par canaux auxiliaires. Le Centre de Certification National de l’ANSSI (CCN) a initié les premiers projets pilotes d’évaluation et a mis à jour sa doctrine d’agrément cryptographique.

Début octobre 2025, l’ANSSI a émis les deux premières certifications de produits comprenant des algorithmes de cryptographie post-quantique à base de réseaux euclidiens en France. Les solutions des entreprises Thales et Samsung ont ainsi été reconnues par un Visa de sécurité ANSSI, suite à des évaluations conduites par le Centre d’évaluation CEA-Leti. Cette étape clé est le fruit d’un travail collectif des différents acteurs impliqués. Pour rappel: les Visas de sécurité de l’ANSSI permettent d’identifier les solutions de sécurité fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés, selon une méthodologie rigoureuse et éprouvée. 

Comme pour la cryptographie classique, l’agrément DR s’appuiera de manière générale sur le document PG-083 et sur quelques référentiels spécifiques comme le référentiel IPsec DR.

L’ANSSI a initié des réflexions sur la révision du référentiel IPsec DR, prévue courant 2026.

Les outils d'inventaire cryptographique peuvent intervenir en complément d'un processus plus général mis en place pour inventorier les besoins et les cas d'usage de l'entité en matière de cryptographie ; ils ne se substituent pas à une démarche plus large.

Par ailleurs, l’ANSSI s'est impliquée dans le lancement du dernier appel à projets « Développement de technologies innovantes critiques » lancé par le SGPI, qui permettra d’apporter un soutien financier au développement d'outils d'aide à la transition. Elle a participé au cadrage du cahier des charges et intervient dans l’instruction des dossiers candidats.

La certification européenne ne rend pas le recours à des algorithmes PQC obligatoire. Toutefois, la certification a une place importante dans la feuille de route européenne pour la transition PQC (“A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography") publiée en juin 2025.

Par ailleurs, l'European Cybersecurity Certification Group on Cryptography de l'ENISA a publié une mise à jour du document Agreed Cryptographic Mechanisms (mai 2025). Ce document évoque la nécessité de la prise en compte de la menace quantique dans certains contextes et indique quels algorithmes PQC sont reconnus par les autorités de certification européennes, mais ne contient pas de prescription formelle de recours à la PQC. Le document souligne également la nécessité de l'hybridation.

L'ANSSI entretient des échanges réguliers avec les éditeurs de produits de cybersécurité pour connaitre leur feuille de route produits, et travaille plus généralement avec l'écosystème concerné (prestataires de services et éditeurs de produits) pour suivre l’offre en PQC sur les 10 prochaines années.

Début octobre 2025, l’ANSSI a émis les deux premières certifications de produits comprenant des algorithmes de cryptographie post-quantique à base de réseaux euclidiens en France. Les solutions des entreprises Thales et Samsung ont ainsi été reconnues par un Visa de sécurité ANSSI, suite à des évaluations conduites par le Centre d’évaluation CEA-Leti. Cette étape clé est le fruit d’un travail collectif des différents acteurs impliqués.

Fin 2024, l’ANSSI a publié les résultats d’enquêtes menées auprès de développeurs de produits de cybersécurité intégrant de la cryptographie et des prestataires de services susceptibles d'accompagner les organisations dans leur transition PQC, Etat de la prise en compte de la cryptographie post-quantique. Ces études ont permis d’identifier des freins techniques et organisationnels à la transition post-quantique.

Par ailleurs, l'ANSSI collabore avec des partenaires pour effectuer un suivi de l'offre sur la base de ses indicateurs.

• Connaissance de l'offre : industries@ssi.gouv.fr
• Financements européens : ncc-fr.anssi@ssi.gouv.fr
• Normalisation : industries@ssi.gouv.fr
• Certification : certification@ssi.gouv.fr