Foire aux questions

La cryptographie post-quantique (PQC) regroupe des algorithmes résistants aux attaques par ordinateurs quantiques. Contrairement à RSA et ECC, ces algorithmes s'appuient sur des problèmes mathématiques (réseaux euclidiens, codes correcteurs) considérés comme résistants même face à l'algorithme de Shor. Le NIST a standardisé ML-KEM et ML-DSA en août 2024.

Parce que la menace « Harvest Now, Decrypt Later » est active dès aujourd'hui. Des acteurs étatiques interceptent et stockent des communications chiffrées pour les déchiffrer le jour où un ordinateur quantique sera disponible. Si vos données ont une durée de vie de 10 ou 20 ans (secrets industriels, données de défense, plans stratégiques), elles sont déjà exposées. L'ANSSI recommande de commencer la transition PQC dès maintenant, et n'acceptera plus de produits sans PQC pour la délivrance de visas de sécurité à partir de 2027.

Le NIST a finalisé trois standards en août 2024 : ML-KEM (FIPS 203) pour l'échange de clés, ML-DSA (FIPS 204) pour les signatures numériques, et SLH-DSA (FIPS 205) comme signature alternative basée sur les fonctions de hachage. Un quatrième standard, FN-DSA, est en cours de finalisation. Nos chiffreurs PQC implémentent ML-KEM-1024 en mode hybride.

Chaque session de chiffrement utilise à la fois AES-256 (classique, éprouvé) et ML-KEM-1024 (post-quantique, FIPS 203). Les deux clés sont combinées — si l'un des deux algorithmes tombe, l'autre maintient la confidentialité. C'est l'approche recommandée par l'ANSSI et le BSI allemand pendant toute la période de transition. On ne mise pas tout sur un seul algorithme.

Les chiffreurs FPGA offrent un traitement wire-speed sans impact sur la latence réseau, contrairement aux solutions logicielles qui consomment des ressources CPU et introduisent de la latence variable. Le FPGA permet aussi une mise à jour des algorithmes cryptographiques sans remplacement matériel — un avantage décisif pour la crypto-agilité post-quantique.

Jusqu'à 800 Gbps par chiffreur (8 ports à 100 Gbps), avec une latence ajoutée inférieure à 5 microsecondes. Le FPGA traite les paquets à débit ligne — pas de file d'attente, pas de dégradation sous charge. En stackant des châssis, on monte à 6,4 Tbps et au-delà sans plafond architectural.

Oui, directement. NIS 2 est applicable depuis octobre 2024 et impose des mesures de chiffrement aux entités essentielles et importantes (article 21). En pratique, si vous êtes un opérateur critique en France, vos liens inter-sites et inter-DC doivent être chiffrés avec des produits certifiables. Nos chiffreurs couvrent les articles 21 (gestion des risques) et 23 (notification d'incidents), et notre architecture zero-knowledge garantit que même Cryptosphere n'accède pas à vos données en transit.

DORA est un règlement européen directement applicable depuis janvier 2025 — pas besoin d'attendre la transposition. L'article 9 exige des mesures de protection cryptographique pour les données en transit. Nos chiffreurs PQC répondent aux articles 6 (risques TIC) et 9 (protection), avec failover actif-actif et basculement automatique. Pour une banque ou un assureur, c'est la brique de résilience crypto qui manque souvent au dossier.

Pas encore — la certification est en cours. Nos chiffreurs sont conçus pour la qualification ANSSI au niveau DR (Diffusion Restreinte). L'architecture FPGA et le chiffrement hybride post-quantique suivent les recommandations du référentiel ANSSI sur la migration PQC (publié en janvier 2025). Deux dossiers CSPN sont en préparation, avec un objectif de qualification courant 2026.

Comptez 8 à 12 semaines en 4 phases : d'abord un audit de votre posture crypto actuelle (2 semaines), puis la conception de l'architecture cible avec votre équipe réseau (2-3 semaines), ensuite le déploiement pilote sur un lien réel puis la bascule en production (3-4 semaines), et enfin la formation de vos opérateurs (1-2 semaines). Pour les réseaux multi-sites ou les environnements classés, on rallonge le calendrier et on adapte.

Oui. Les chiffreurs fonctionnent en mode transparent Layer 2 ou Layer 3 — ils se branchent sur le lien sans toucher à votre routage ou votre adressage. MPLS, SD-WAN, liens dédiés : on s'insère sans reconfiguration. C'est précisément pour ça qu'on parle de déploiement « transparent ».

Chaque chiffreur génère ses clés localement via un TRNG matériel (True Random Number Generator) — pas de clé qui transite sur le réseau en clair. GARANCE distribue les clés hybrides (classique + post-quantique) de manière automatisée. La rotation est configurable — on recommande toutes les heures pour les clés de session, mais c'est ajustable selon votre politique de sécurité.

C'est précisément pourquoi nous utilisons le chiffrement hybride et une architecture FPGA. Si un algorithme post-quantique est compromis, la couche classique (AES-256) maintient la protection. Le FPGA permet une mise à jour de l'algorithme par reconfiguration à distance, sans remplacement matériel ni interruption de service.

Support 24/7 avec un SLA de 4h pour les incidents critiques. Concrètement, cela inclut le monitoring proactif de vos chiffreurs, les mises à jour de sécurité, la veille sur les avancées cryptographiques (NIST, ANSSI, ENISA), et un interlocuteur technique dédié qui connaît votre architecture. On ne vous renvoie pas vers un centre d'appels générique.

L'équipe R&D à Rouen suit les publications du NIST, de l'ANSSI et de l'ENISA en continu. Quand un nouveau standard sort (comme ML-KEM en août 2024), on l'intègre dans nos cycles trimestriels. L'avantage du FPGA, c'est justement la crypto-agilité : un nouvel algorithme se déploie par mise à jour firmware, sans déplacement d'un technicien et sans remplacement matériel.