ML-KEM-1024 | FIPS 203 | CSPN ANSSI Chiffrement souverain post-quantique
GUIDE PRATIQUE

Guide de migration post-quantique

La migration vers la cryptographie post-quantique est un processus structuré en cinq étapes. Ce guide, basé sur les recommandations ANSSI et notre expérience terrain, vous accompagne de l'audit initial à la maintenance opérationnelle.

01
Audit
02
Planification
03
POC
04
Déploiement
05
Maintenance
01

Audit cryptographique

Durée estimée : 2 à 4 semaines

L'audit cryptographique est la fondation de toute migration PQC réussie. Il s'agit d'établir un inventaire exhaustif de l'utilisation de la cryptographie dans votre infrastructure, d'identifier les composants vulnérables aux attaques quantiques et de prioriser les flux à protéger.

Livrables de l'audit

Inventaire cryptographique
Cartographie de tous les protocoles, algorithmes et certificats utilisés sur votre réseau.
Cartographie des flux
Identification des flux réseau chiffrés, non chiffrés, et chiffrés avec des algorithmes vulnérables.
Analyse de risque HNDL
Évaluation de l'exposition de chaque flux à l'attaque Harvest Now, Decrypt Later selon la durée de vie des données.
Matrice de priorisation
Classement des flux par criticité et urgence de migration, basé sur la sensibilité et la durée de vie des données.
Rapport de conformité
Analyse de l'écart par rapport aux exigences NIS2, DORA et aux recommandations ANSSI sur la migration PQC.
Feuille de route
Plan de migration chiffré avec jalons, budget estimatif et recommandations techniques.
cryptops-audit

$ cryptops audit --network 10.0.0.0/8 --deep

Scanning 2,847 endpoints...

CRITICAL: 127 TLS 1.2 with RSA-2048 (quantum-vulnerable)

CRITICAL: 34 IPsec tunnels with ECDH-P256

WARNING: 89 SSH connections with ECDSA keys

OK: 12 internal links (not exposed)

HNDL Risk Assessment:

HIGH: 161 flows (data lifetime > 10 years)

MEDIUM: 89 flows (data lifetime 5-10 years)

LOW: 12 flows (data lifetime < 5 years)

Report saved: audit-2026-03-06.pdf

02

Planification de la migration

Durée estimée : 2 à 3 semaines

Sur la base de l'audit, nous élaborons un plan de migration détaillé et réaliste. La stratégie repose sur le principe de protection progressive : les flux les plus critiques et les plus exposés au risque HNDL sont migrés en premier.

Architecture cible

  • Positionnement des chiffreurs sur le réseau
  • Topologie PKI post-quantique (ML-DSA-65)
  • Politique de rotation des clés PQC
  • Intégration monitoring (Prometheus/Grafana)
  • Plan de haute disponibilité (actif-actif)

Gestion du changement

  • Formation des équipes SOC/NOC
  • Procédures opérationnelles documentées
  • Plan de rollback en cas d'incident
  • Critères de go/no-go par phase
  • Communication interne et parties prenantes
03

Proof of Concept (POC)

Durée : 30 jours

Le POC est une étape cruciale qui valide l'intégration du chiffreur dans votre environnement réel. Nous déployons une paire de chiffreurs sur un lien réseau représentatif et mesurons les performances, la compatibilité applicative et l'impact opérationnel.

Déroulement du POC

Sem. 1
Installation et configuration
Déploiement physique des chiffreurs en mode bridge, configuration de la PKI PQC, intégration monitoring. Tests de connectivité et validation du passage du trafic.
Sem. 2
Tests de performance
Benchmark débit (iperf3), mesure de latence, test de charge avec trafic réel. Validation du line-rate 10 Gbps et de la latence sous 1 ms.
Sem. 3
Tests de compatibilité
Validation avec vos applications métier, protocoles spécifiques, tests de failover HA, validation des alertes monitoring.
Sem. 4
Bilan et décision
Rapport de performance détaillé, analyse des incidents éventuels, recommandations pour le déploiement en production. Go/no-go.
POC gratuit et sans engagement

Le POC de 30 jours est proposé gratuitement. Aucun engagement d'achat n'est requis. Vous ne payez que si vous décidez de passer en production après la phase de validation.

04

Déploiement en production

Durée : 1 à 4 semaines selon le périmètre

Le déploiement en production suit un processus rigoureux, par vagues successives, en commençant par les flux les plus critiques identifiés lors de l'audit. Chaque vague est validée avant de passer à la suivante, minimisant les risques opérationnels.

VAGUE 1

Liens critiques

Inter-datacenters, liens SCADA, flux financiers — les données à plus longue durée de vie.

VAGUE 2

Liens essentiels

Backbone réseau, interconnexions partenaires, flux administratifs sensibles.

VAGUE 3

Extension

Liens secondaires, sites distants, connexions VPN — couverture complète de l'infrastructure.

Checklist déploiement

Installation physique rack 1U
Configuration réseau bridge
Déploiement PKI ML-DSA-65
Négociation clés ML-KEM-1024
Tests de débit et latence
Validation applicative
Configuration HA actif-actif
Intégration monitoring
Test de failover
Documentation opérationnelle
Formation équipe SOC/NOC
Mise en production validée
05

Maintenance et évolution

Continu

La migration PQC n'est pas un projet ponctuel mais un processus continu. Les algorithmes évoluent, les menaces se précisent, la réglementation se renforce. Notre contrat de maintenance couvre l'ensemble du cycle de vie de votre infrastructure PQC.

Maintenance proactive

  • Mises à jour firmware et sécurité
  • Rotation automatique des clés PQC
  • Renouvellement certificats ML-DSA-65
  • Monitoring continu des performances
  • Alertes de sécurité en temps réel

Évolution continue

  • Mise à jour vers les futurs standards NIST (HQC)
  • Extension à de nouveaux liens réseau
  • Veille réglementaire (NIS2, DORA, ANSSI)
  • Rapports trimestriels de conformité
  • Accompagnement certification (CSPN, EAL4+)

Prêt à lancer votre migration PQC ?

Commencez par un audit cryptographique gratuit de votre infrastructure. Notre équipe vous accompagne à chaque étape de la migration.

Demander un audit gratuit Voir le parcours client