ML-DSA est standardisé, les feuilles de route s'accélèrent — mais attention au raccourci. Le NIST autorise le déploiement de la cryptographie post-quantique « pure », et la NSA, via CNSA 2.0, vise à terme cette même cible. En France et plus largement en Europe, la doctrine est différente : l'ANSSI recommande l'hybridation — un mécanisme classique et un mécanisme post-quantique, combinés — pendant toute la phase de transition, pour les signatures comme pour l'établissement de clés. Conséquence directe pour les PKI : un produit qui ne sait faire que du ML-DSA pur ne répond pas aux attentes ANSSI en contexte réglementé. Cet article explique la divergence des doctrines, la justification technique de l'hybride, et se termine par une checklist de conformité actionnable.
Le contexte : la migration post-quantique n'est plus optionnelle
La standardisation par le NIST des premiers algorithmes post-quantiques — dont ML-DSA pour la signature, standardisé dans FIPS 204 (août 2024) et issu de CRYSTALS-Dilithium — a transformé un sujet de veille en projet d'ingénierie. Les éditeurs annoncent leur support, les autorités de certification testent des chaînes de confiance post-quantiques, et les DSI commencent à recevoir des questionnaires d'audit mentionnant explicitement la crypto-agilité.
Pour une PKI, l'enjeu est double. D'abord l'établissement de clés : les données chiffrées aujourd'hui avec des mécanismes classiques (RSA, ECDH) peuvent être capturées et déchiffrées plus tard par un attaquant disposant d'un ordinateur quantique pertinent — le scénario « store now, decrypt later ». Ensuite les signatures : contrairement au chiffrement, une signature n'est pas menacée rétroactivement de la même manière, mais les ancres de confiance à longue durée de vie — AC racines, AC intermédiaires, signatures de code, horodatage — engagent la sécurité de tout un écosystème sur dix ou vingt ans. Une AC racine émise aujourd'hui doit rester digne de confiance à l'horizon où la menace quantique devient crédible.
Face à cela, la tentation est forte de raisonner en simple substitution : remplacer RSA/ECDSA par ML-DSA, et considérer le sujet clos. C'est précisément ce raccourci que les doctrines européennes invitent à éviter.
Deux doctrines, deux stratégies de risque : ANSSI vs NSA
Il faut poser les choses clairement, car la confusion est fréquente dans les appels d'offres et les argumentaires commerciaux.
Côté américain, la NSA a publié la suite CNSA 2.0 (Commercial National Security Algorithm Suite 2.0), qui définit la cible cryptographique pour les systèmes de sécurité nationale américains. Cette doctrine vise une migration vers le post-quantique pur : à terme, les algorithmes post-quantiques standardisés par le NIST remplacent les mécanismes classiques, sans obligation d'hybridation. Le calendrier CNSA 2.0 (publié par la NSA en 2022) prévoit par exemple la préférence pour la signature de logiciels et de firmwares dès 2025 et son usage exclusif en 2030, et vise des systèmes de sécurité nationale entièrement quantiques-résistants d'ici 2035.
Côté français, l'ANSSI a publié des avis sur la transition vers la cryptographie post-quantique qui recommandent une approche différente : pendant la phase de transition, les mécanismes post-quantiques doivent être déployés en hybridation avec des mécanismes classiques éprouvés. Cette recommandation est formalisée dans le document « ANSSI views on the Post-Quantum Cryptography transition » (position du 4 janvier 2022, suivi du 30 mars 2022, mise à jour en 2023) et vaut pour l'établissement de clés comme pour les signatures ; l'hybridation y est requise pendant les premières phases de la transition.
Il est important de le dire sans caricature : ce n'est pas une contradiction, ce sont deux stratégies de gestion du risque. La NSA privilégie la simplicité de migration et parie sur la maturité des algorithmes standardisés par le NIST, dont elle a suivi de près le processus de sélection. L'ANSSI privilégie la défense en profondeur face à des schémas cryptographiques jeunes, quitte à accepter un surcoût d'implémentation pendant la transition. Les deux positions sont argumentées ; mais pour un acteur soumis au référentiel français ou européen, c'est la seconde qui fait foi.
Pourquoi l'hybride, techniquement : deux risques distincts, une seule parade
La justification de l'hybridation n'est pas bureaucratique, elle est cryptographique. Une PKI en transition fait face à deux risques de nature différente :
-
Le risque quantique : un ordinateur quantique cryptographiquement pertinent casse les mécanismes classiques fondés sur la factorisation et le logarithme discret — RSA et les courbes elliptiques. C'est le risque qui motive toute la migration.
-
Le risque cryptanalytique classique sur les schémas post-quantiques eux-mêmes : ML-DSA et ses cousins reposent sur des problèmes de réseaux euclidiens (et en particulier des hypothèses de type MLWE, Module Learning With Errors). Ces constructions sont prometteuses et ont résisté à un processus de sélection long et public — mais elles restent jeunes à l'échelle de l'histoire de la cryptanalyse. RSA et ECC bénéficient de plusieurs décennies d'attaques publiques infructueuses ; les schémas à base de réseaux n'ont pas encore ce recul. L'histoire récente du processus NIST — où des candidats ont été cassés tardivement par des attaques purement classiques — rappelle que ce risque n'est pas théorique : SIKE, finaliste du tour 4 du processus NIST, a été cassé en 2022 sur un simple ordinateur portable (attaque Castryck-Decru), et le schéma multivarié Rainbow est tombé la même année. Ces deux schémas ne reposent pas sur les réseaux euclidiens comme ML-DSA — mais ils rappellent qu'un candidat longuement étudié peut s'effondrer d'un coup, par une attaque purement classique.
Le mécanisme hybride couvre simultanément ces deux risques : la construction combine un mécanisme classique et un mécanisme post-quantique de telle sorte que la sécurité globale tient tant que l'un des deux tient. Pour qu'une signature hybride soit forgeable, il faudrait que l'attaquant casse à la fois ECDSA (ou RSA) et ML-DSA. C'est la définition même de la défense en profondeur appliquée à la cryptographie : l'hybride ne tombe que si les deux composants tombent.
Le coût de cette assurance existe — tailles de signatures et de certificats accrues, complexité de validation, gestion de deux cycles de vie de clés — mais il est borné dans le temps : l'hybridation est une mesure de transition, pas un état final. Le jour où le recul cryptanalytique sur les réseaux euclidiens sera jugé suffisant par les agences, le composant classique pourra être retiré.
Le niveau européen : l'ECCG déconseille le MLWE « standalone »
La position française n'est pas isolée. Au niveau européen, le groupe ECCG, dans la version 2 (mai 2025) de son document « Agreed Cryptographic Mechanisms » (édité par l'ANSSI), déconseille explicitement l'usage autonome (standalone) des mécanismes fondés sur MLWE pendant la période de transition. Autrement dit : au niveau UE également, un mécanisme de type ML-DSA ou ML-KEM utilisé seul, sans composant classique, n'est pas considéré comme conforme aux mécanismes cryptographiques agréés pour la transition.
Pour les organisations qui visent des certifications européennes — Critères Communs sous le schéma d'un État membre, qualifications nationales, futurs schémas de certification cybersécurité européens — cette position a un poids direct : elle irrigue les référentiels d'évaluation que les laboratoires et les certificateurs appliquent. Un produit « ML-DSA pur uniquement » se présentant à une évaluation en Europe pendant la transition part avec un écart de conformité identifié d'entrée de jeu.
Ce que « hybride » veut dire concrètement dans une PKI
Le mot « hybride » recouvre plusieurs réalités d'implémentation, et c'est là que les projets PKI se jouent. Sans entrer dans tous les détails — le sujet mérite un article dédié « hybride vs composite », à venir — posons les deux grandes familles :
-
Certificats parallèles (duaux) : l'entité finale possède deux certificats et deux clés — un couple classique (RSA ou ECDSA) et un couple post-quantique (ML-DSA). Les deux chaînes de confiance coexistent, éventuellement liées entre elles. Avantage : chaque chaîne reste standard et interopérable avec l'existant ; les clients qui ne comprennent pas encore le post-quantique continuent de valider la chaîne classique. Inconvénient : il faut orchestrer deux cycles de vie — émission, renouvellement, révocation — de manière cohérente, et définir la politique de validation côté applicatif.
-
Certificat composite : un certificat unique porte les deux clés publiques et les deux signatures, combinées selon les formats en cours de spécification à l'IETF (travaux du groupe LAMPS, encore à l'état de drafts). Avantage : un seul objet à gérer, une sémantique de validation « les deux ou rien » plus proche de l'esprit de l'hybridation. Inconvénient : l'interopérabilité dépend de standards non finalisés, et le comportement des piles TLS, HSM et middlewares existants face à ces objets doit être vérifié au cas par cas.
Chacune de ces approches a des implications distinctes en matière d'interopérabilité, de taille des objets cryptographiques, de compatibilité HSM et de conformité aux référentiels. Le choix n'est pas anodin et doit être posé tôt dans le projet de migration — idéalement au moment de la conception de la future hiérarchie d'AC, pas après.
L'enjeu de qualification : RGS, eIDAS, visa de sécurité
En France, la question dépasse la bonne pratique : elle conditionne l'accès à certains marchés. Les organisations soumises au RGS (Référentiel Général de Sécurité), les prestataires de services de confiance visant la qualification eIDAS, et les éditeurs candidats à un visa de sécurité ANSSI (qualification ou certification de leurs produits) évoluent dans un cadre où la doctrine de l'agence n'est pas une opinion parmi d'autres : c'est le référentiel opposable de l'évaluation.
Concrètement, cela signifie que la stratégie post-quantique d'un produit ou d'un service évalué en France pendant la transition devra suivre la doctrine d'hybridation. Un vendeur qui n'offre que du ML-DSA pur — aussi conforme soit-il aux standards NIST — risque de ne pas passer l'évaluation, ou de voir son périmètre de qualification amputé du volet post-quantique. Pour une DSI qui construit sa feuille de route, la conclusion pratique est simple : exiger contractuellement la capacité d'hybridation de ses fournisseurs PKI, et ne pas se contenter d'une case « ML-DSA : oui » dans une grille d'appel d'offres.
C'est aussi un critère de tri efficace face au marketing post-quantique ambiant : la question à poser à un éditeur n'est pas « supportez-vous ML-DSA ? » mais « comment supportez-vous la coexistence et la combinaison de mécanismes classiques et post-quantiques, et selon quelle trajectoire vers les formats hybrides standardisés ? ». La différence entre les deux réponses mesure la maturité réelle du produit.
Où en sont les outils
Note de l'éditeur, pour transparence. ZetaCA, notre autorité de certification orientée post-quantique, supporte l'approche hybride par certificats duaux : des couples classique + ML-DSA ont été validés en bout-en-bout, avec les opérations ML-DSA réalisées côté HSM. ZetaCA implémente également le mode composite (certificat unique combinant les deux mécanismes, suivant les drafts IETF LAMPS pq-composite-sigs), au rythme de leur évolution — couvrant ainsi les deux stratégies d'hybridation, dual et composite, sous une même autorité. PKIFactor, notre orchestrateur CLM, gère quant à lui la coexistence classique/post-quantique à l'échelle du parc : inventaire, émission, renouvellement et révocation des deux familles de certificats dans un même cycle de vie.
Aucun outil ne dispense de la réflexion d'architecture décrite plus haut — mais disposer d'une chaîne capable d'émettre, de suivre et de faire coexister les deux mondes est la condition d'entrée. Pour évaluer où en est votre propre parc, un point de départ : audit.zetacert.com.
Checklist de conformité ANSSI
Pour une DSI ou un RSSI préparant sa migration post-quantique en contexte réglementé français ou européen :
- Cartographier les usages cryptographiques et leur durée de vie : identifier les données et signatures dont la sécurité doit tenir au-delà de l'horizon de la menace quantique (AC racines, signature de code, archivage, données chiffrées à longue conservation). Ce sont vos priorités de migration.
- Inscrire l'hybridation — pas le PQ pur — comme cible de transition dans la feuille de route, pour l'établissement de clés et pour les signatures, conformément aux avis de l'ANSSI (« ANSSI views on the Post-Quantum Cryptography transition », 2022, mis à jour en 2023).
- Exiger la capacité hybride dans les appels d'offres : demander aux fournisseurs PKI/CLM/HSM comment ils combinent classique et post-quantique (certificats duaux, trajectoire composite), pas seulement s'ils « supportent ML-DSA ».
- Vérifier la chaîne matérielle : s'assurer que les opérations post-quantiques (génération de clés, signature ML-DSA) peuvent être réalisées dans le HSM, au même niveau d'exigence que les clés classiques, et non en logiciel à côté.
- Tester l'interopérabilité en conditions réelles : valider le comportement des clients TLS, middlewares, annuaires et outils de validation face aux certificats post-quantiques et hybrides (tailles accrues, algorithmes inconnus) avant tout déploiement en production.
- Construire la crypto-agilité comme exigence permanente : la transition comportera plusieurs étapes (retrait du composant classique à terme, évolutions des formats composites IETF) ; l'architecture doit permettre de changer d'algorithme ou de format sans refonte.
- Aligner le calendrier sur les référentiels applicables : si vous visez RGS, eIDAS ou un visa de sécurité ANSSI, faire valider la stratégie d'hybridation avec votre évaluateur ou l'agence en amont du projet, pas au moment du dépôt du dossier.



