Checklist Quantum Readiness Entreprise 2026 : 50 Points

L'évaluation de la maturité post-quantique d'une organisation — sa quantum readiness — est désormais incontournable dans tout audit de sécurité sérieux. Avec la standardisation NIST PQC finalisée en 2024, les entreprises ne peuvent plus reporter cette évaluation. Cette checklist en 50 points couvre l'ensemble des dimensions : gouvernance, inventaire cryptographique, priorisation des actifs, capacités techniques de migration et formation des équipes. Chaque point est accompagné du niveau de maturité attendu et des actions correctives prioritaires pour les organisations qui doivent progresser rapidement.

Comment utiliser cette checklist

Cette checklist est structurée en 7 domaines. Pour chaque point, évaluez votre niveau de maturité sur une échelle de 0 à 3 :

• 0 — Non initié : le point n'est pas adressé, aucune action en cours
• 1 — En cours : des actions ont été initiées mais ne sont pas complètes
• 2 — Établi : le point est adressé avec une couverture partielle (>50% des systèmes)
• 3 — Optimisé : couverture complète, processus formalisé et maintenu

Score total maximum : 150 points. Interprétation :

• 0-30 : Niveau débutant — risque élevé, démarrage immédiat requis
• 31-75 : Niveau en développement — base présente, lacunes importantes
• 76-120 : Niveau établi — bonne progression, optimisations nécessaires
• 121-150 : Niveau avancé — préparation solide, maintien de la vigilance

Domaine 1 : Gouvernance et stratégie (10 points)

1. Responsabilité PQC désignée : Un RSSI ou responsable PQC est formellement désigné et dispose d'un mandat pour coordonner la migration.
2. Politique cryptographique formalisée : Une politique de gestion de la cryptographie existe, est approuvée par la direction et documentée.
3. Plan de migration PQC approuvé : Un plan de migration vers la cryptographie post-quantique est formellement approuvé par la direction générale avec un budget alloué.
4. Veille réglementaire active : Un processus de suivi des publications ANSSI, NIST, ENISA en matière de PQC est en place.
5. Intégration dans le plan stratégique SI : La migration PQC est intégrée dans la feuille de route SI à 3-5 ans.
6. Évaluation des risques PQC documentée : Une analyse de risques spécifique à la menace quantique (HNDL inclus) a été réalisée et documentée.
7. Budget dédié à la migration PQC : Un budget spécifique est alloué sur les 3 prochaines années.
8. Formation direction générale : La direction générale a reçu une sensibilisation sur la menace quantique et les enjeux de la migration.
9. Implication des partenaires clés : Les partenaires stratégiques et fournisseurs critiques ont été informés et leurs capacités PQC évaluées.
10. Reporting PQC au COMEX : Un tableau de bord de suivi de la migration PQC est présenté régulièrement au comité exécutif.

Domaine 2 : Inventaire cryptographique (10 points)

11. CBOM (Cryptography Bill of Materials) établi : Un inventaire structuré de tous les algorithmes, clés et certificats utilisés est maintenu.
12. Inventaire des bibliothèques cryptographiques : Toutes les bibliothèques crypto (OpenSSL, BouncyCastle, NSS, etc.) et leurs versions sont inventoriées.
13. Cartographie des protocoles chiffrés : Tous les protocoles utilisant la cryptographie asymétrique (TLS, SSH, IPSec, S/MIME, JWT) sont cartographiés.
14. Inventaire des certificats X.509 : Tous les certificats (internes et externes), leurs autorités émettrices et leurs dates d'expiration sont documentés.
15. Inventaire des HSM et matériels cryptographiques : Les HSM, TPM, cartes à puce et tokens hardware sont inventoriés avec leur support PQC évalué.
16. Cartographie des données chiffrées au repos : Les bases de données, archives et stockages chiffrés sont identifiés avec les algorithmes utilisés.
17. Processus de mise à jour du CBOM : Le CBOM est mis à jour automatiquement à chaque déploiement (intégration CI/CD).
18. Découverte automatisée des usages crypto : Des outils d'analyse statique ou dynamique scannent régulièrement les nouvelles applications pour détecter les usages crypto non inventoriés.
19. Inventaire des PKI internes : Les autorités de certification internes, leur hiérarchie et les processus de renouvellement sont documentés.
20. Identification des dépendances tierces : Les composants tiers (SaaS, partenaires, APIs) utilisant de la cryptographie vulnérable sont identifiés.

Domaine 3 : Analyse de risques et priorisation (8 points)

21. Classification des données par durée de sensibilité : Les données sont classifiées selon leur durée de vie de confidentialité requise (court terme <3 ans, moyen terme 3-10 ans, long terme >10 ans).
22. Identification des systèmes prioritaires à migrer : Une liste priorisée des systèmes à migrer en premier est établie sur la base de la criticité des données et de l'exposition HNDL.
23. Évaluation de la fenêtre HNDL : Pour chaque catégorie de données sensibles, la fenêtre d'exposition HNDL (durée résiduelle de sensibilité) a été calculée.
24. Cartographie des contraintes de migration : Les systèmes legacy, les contraintes d'interopérabilité et les dépendances entre systèmes sont documentés.
25. Évaluation des fournisseurs et partenaires : La quantum readiness des fournisseurs critiques a été évaluée et intégrée dans l'analyse de risques.
26. Scénarios de risque documentés : Des scénarios de compromission post-quantique (avec probabilité et impact) sont documentés dans le plan de gestion des risques.
27. Intégration dans la cartographie des risques SI : La menace quantique figure dans la cartographie des risques cyber de l'organisation.
28. Révision annuelle des priorités : L'analyse de priorisation est révisée annuellement en fonction des avancées de l'informatique quantique.

Domaine 4 : Capacités techniques (10 points)

29. Environnement de test PQC déployé : Un environnement de laboratoire ou pré-production avec les algorithmes NIST PQC est opérationnel.
30. Bibliothèques PQC intégrées : Les bibliothèques OpenSSL avec OQS provider (ou équivalent) sont disponibles dans les environnements de développement.
31. Tests d'interopérabilité réalisés : Des tests d'interopérabilité PQC ont été conduits avec les partenaires et fournisseurs principaux.
32. Benchmarks de performance établis : L'impact des algorithmes PQC sur les performances des applications critiques a été mesuré.
33. Processus de crypto-agility implémenté : L'architecture permet de changer d'algorithme cryptographique sans intervention majeure dans le code applicatif.
34. Support PQC des équipements réseau : Les équipements réseau critiques (firewalls, VPN, load balancers) supportent ou ont une roadmap de support des suites TLS hybrides PQC.
35. PKI prête pour les certificats PQC : L'infrastructure PKI interne supporte l'émission de certificats avec des algorithmes post-quantiques (ML-DSA).
36. Processus de déploiement documenté : Des runbooks de migration PQC par type de système existent et sont testés.
37. Automatisation de la gestion des certificats : Un système de gestion du cycle de vie des certificats (type Venafi, Keyfactor) est en place et compatible PQC.
38. Pilote de migration réussi : Au moins un système de production a été migré avec succès vers des algorithmes PQC hybrides.

Domaine 5 : Conformité réglementaire (6 points)

39. Mapping réglementaire PQC réalisé : Les exigences PQC des réglementations applicables (ANSSI, NIS2, DORA, sectorielles) ont été identifiées et mappées.
40. Engagement avec les autorités de tutelle : Des échanges avec les autorités de tutelle sur les exigences PQC ont été initiés si applicable.
41. Conformité FIPS 203/204/205 : La feuille de route de migration intègre l'adoption des standards NIST finalisés.
42. Audit externe PQC planifié : Un audit externe de la maturité PQC est planifié ou réalisé.
43. Clauses contractuelles PQC : Les contrats avec les fournisseurs critiques incluent des exigences de migration PQC et des délais.
44. Documentation pour les assureurs cyber : La démarche PQC est documentée pour les questionnaires de renouvellement des polices cyber.

Domaine 6 : Sensibilisation et formation (6 points)

45. Formation RSSI et architectes : L'équipe sécurité et les architectes ont reçu une formation sur la cryptographie post-quantique et les standards NIST.
46. Formation des développeurs : Les développeurs sont formés aux bonnes pratiques d'intégration des bibliothèques PQC.
47. Sensibilisation des équipes IT : Les équipes d'exploitation et d'infrastructure connaissent les impacts opérationnels de la migration PQC.
48. Exercice de tabletop PQC : Un exercice de simulation de compromission cryptographique post-quantique a été réalisé.
49. Documentation technique interne : Des guides techniques et procédures de migration PQC sont disponibles pour les équipes.
50. Programme de certification : Des membres de l'équipe sécurité ont obtenu des certifications liées à la cryptographie post-quantique (SANS FOR578, formations ANSSI).

Analyse des résultats et plans d'action

Si votre score est inférieur à 30 (Niveau débutant)

Actions immédiates à lancer en parallèle :

• Désigner un responsable PQC dans les 30 jours
• Commander un inventaire cryptographique externe (prestataire spécialisé)
• Former le RSSI et les architectes sur les standards NIST PQC
• Inscrire la migration PQC dans le budget SI 2025-2026

Si votre score est entre 31 et 75 (En développement)

Priorités pour progresser :

• Compléter l'inventaire cryptographique et établir le CBOM
• Finaliser la priorisation et identifier les 10 systèmes critiques à migrer en premier
• Déployer un environnement de test PQC et réaliser les premiers pilotes
• Structurer la gouvernance avec un reporting régulier au COMEX

Si votre score est entre 76 et 120 (Établi)

Optimisations recommandées :

• Accélérer le déploiement sur les systèmes de priorité haute
• Mettre en place la crypto-agility pour les nouvelles applications
• Étendre les exigences PQC aux fournisseurs et partenaires
• Planifier un audit externe de maturité PQC

FAQ : Quantum Readiness Entreprise

Par où commencer si je n'ai encore rien fait ?

Commencez par un inventaire cryptographique rapide (2-4 semaines) avec des outils comme SSLyze pour les endpoints TLS et une revue manuelle des applications critiques. En parallèle, désignez un responsable PQC et inscrivez le sujet à l'agenda du prochain COMITEX sécurité. L'inventaire complet peut suivre avec un prestataire spécialisé.

Les PME sont-elles concernées par la migration PQC ?

Oui, si elles traitent des données sensibles à longue durée de vie ou si elles font partie de la supply chain d'organisations critiques. Pour les PME, la priorité est de sécuriser les accès VPN, la messagerie chiffrée (S/MIME) et les connexions aux systèmes partenaires. La migration peut être simplifiée en s'appuyant sur des fournisseurs cloud qui intègrent le PQC nativement (AWS, Azure, Google Cloud proposent déjà des options PQC).

La migration PQC va-t-elle perturber les utilisateurs ?

Non, si elle est bien gérée. L'approche hybride permet une migration transparente : les navigateurs et clients modernes supportent déjà les suites TLS hybrides (Chrome, Firefox, Edge ont intégré le support ML-KEM en 2024). Les utilisateurs finaux ne voient pas de différence. Les impacts se situent côté infrastructures et développeurs.

Comment gérer les systèmes legacy qui ne supportent pas le PQC ?

Plusieurs options : isolation du système legacy derrière un proxy qui gère la cryptographie PQC (crypto proxy pattern) ; planification d'un remplacement matériel dans le cycle normal de renouvellement ; utilisation d'un gateway PQC pour les interfaces avec l'extérieur. Dans tous les cas, les flux legacy doivent être isolés des données à haute criticité HNDL.

Articles liés : plan d'action PQC complet, cryptographic agility, attaque Harvest Now Decrypt Later et implémenter CRYSTALS-Kyber et Dilithium.

Sources : NIST Post-Quantum Cryptography | ANSSI Cryptographie Post-Quantique

Domaine 7 : Continuité et résilience post-quantique (10 points)

41. Plan de réponse à une compromission crypto : Un plan de réponse à incident spécifique pour une compromission cryptographique est documenté et testé.
42. Procédures de révocation d'urgence : Des procédures de révocation massive de certificats et de clés sont documentées et peuvent être exécutées en moins de 4 heures.
43. Sauvegardes des clés et certificats : Les clés et certificats critiques sont sauvegardés de manière sécurisée et leur restauration est testée.
44. Crypto-agility testée : La capacité à changer d'algorithme cryptographique en production a été testée sur au moins un système pilote.
45. Redondance des systèmes crypto : Les HSM et systèmes cryptographiques critiques disposent de redondance géographique.
46. Gestion des incidents PQC dans le plan de continuité : Le PCA/PRA intègre des scénarios de compromission post-quantique.
47. Procédures de migration d'urgence : En cas de compromission d'un algorithme PQC, des procédures de migration accélérée vers un algorithme alternatif sont disponibles.
48. Stockage long terme des données chiffrées : Une politique de durée de vie des clés et de re-chiffrement des archives est définie et appliquée.
49. Tests de résilience crypto : Des exercices de simulation de défaillance cryptographique (ex: révocation massive) sont réalisés annuellement.
50. Assurance cyber couvrant les risques PQC : La police cyber a été examinée pour vérifier la couverture des incidents liés à des vulnérabilités cryptographiques.

Benchmark de maturité par secteur

Les niveaux de maturité PQC varient significativement selon les secteurs. Voici les benchmarks observés en 2024-2025 :

Secteur financier (banques, assurances)

• Score moyen observé : 45-65/150
• Points forts : gouvernance, conformité réglementaire, budget dédié
• Points faibles : inventaire crypto incomplet sur les applications legacy, coordination partenaires
• Objectif sectoriel recommandé pour fin 2026 : ≥ 90/150

Secteur santé (hôpitaux, laboratoires)

• Score moyen observé : 15-35/150
• Points forts : sensibilisation aux données sensibles (RGPD/HDS)
• Points faibles : systèmes legacy médicaux non-migrables, budget limité, gouvernance fragmentée
• Priorité : protéger les archives DMP par migration ou rechiffrement

Industrie et OIV

• Score moyen observé : 20-50/150
• Points forts : connaissance des contraintes des systèmes industriels (ICS/SCADA)
• Points faibles : équipements OT avec des cycles de vie de 15-25 ans impossibles à migrer rapidement
• Stratégie recommandée : segmentation réseau + proxies PQC pour les frontières IT/OT

ETI et PME

• Score moyen observé : 5-20/150
• Points forts : SI moins complexe, migration potentiellement plus rapide
• Points faibles : manque de ressources et d'expertise interne, dépendance aux prestataires
• Recommandation : s'appuyer sur les fournisseurs cloud (AWS, Azure, GCP) qui intègrent PQC nativement

Plan d'action selon votre niveau de maturité

Template de plan d'action 90 jours (niveau 0-30)

Si votre score est inférieur à 30, ce plan d'action 90 jours vous permettra de progresser rapidement :

• Semaine 1-2 : Désigner un responsable PQC, sensibiliser la direction générale (présentation 30 min), inscrire le budget PQC dans les prévisions 2026
• Semaine 3-4 : Lancer un inventaire rapide des endpoints TLS (SSLyze), inventorier les bibliothèques crypto dans les projets actifs
• Mois 2 : Réaliser un atelier de priorisation avec les architectes et les équipes sécurité, identifier les 5 systèmes les plus à risque HNDL
• Mois 3 : Déployer un environnement de test PQC, réaliser le premier pilote technique sur un système non-critique, documenter le plan de migration 3 ans

Score attendu après 90 jours : 35-50 points (niveau "en développement").

Template de plan d'action 6 mois (niveau 31-75)

• Mois 1-2 : Compléter l'inventaire crypto (CBOM complet sur 100% des systèmes critiques), former les équipes développement
• Mois 2-3 : Réaliser le premier déploiement de production sur un système de priorité haute (VPN inter-sites ou PKI interne)
• Mois 3-4 : Évaluer la quantum readiness de 10 fournisseurs clés, intégrer des clauses PQC dans les contrats à renouveler
• Mois 5-6 : Lancer la migration des 5 systèmes prioritaires identifiés, mettre en place le reporting COMEX trimestriel

Score attendu après 6 mois : 75-100 points (niveau "établi").

Outils pour automatiser l'évaluation de la quantum readiness

Plusieurs solutions du marché permettent d'automatiser tout ou partie de cette évaluation :

• IBM Quantum Safe Advisor : scan automatique des endpoints et applications, génération du CBOM, rapport de maturité PQC
• Cryptosense Analyzer : analyse dynamique des usages cryptographiques en Java et .NET, détection des usages non-conformes
• Keyfactor EJBCA : gestion du cycle de vie des certificats avec support des standards PQC NIST
• Venafi TLS Protect : découverte automatisée et gestion des certificats, roadmap de support ML-DSA annoncée
• SSLyze (open-source) : audit des endpoints TLS, détection des suites classiques à remplacer
• OWASP Dependency-Check : analyse des dépendances logicielles pour détecter les bibliothèques crypto obsolètes

Intégration de la quantum readiness dans l'audit de sécurité annuel

La quantum readiness doit désormais être intégrée systématiquement dans les audits de sécurité annuels et les revues SMSI (ISO 27001). Voici comment structurer cette intégration.

Dans l'audit ISO 27001

Le contrôle A.10.1 (Politique d'utilisation des contrôles cryptographiques) doit être étendu pour inclure :

• La liste des algorithmes autorisés avec mention explicite des standards PQC NIST
• Les délais de migration des algorithmes classiques vers les équivalents PQC
• Le processus de gestion du CBOM et de mise à jour de l'inventaire crypto
• Les procédures de crypto-agility en cas de compromission d'un algorithme

Dans les audits pentest et red team

Les audits de sécurité offensifs doivent inclure une composante de vérification de la configuration PQC :

• Vérification que les endpoints TLS acceptent les suites hybrides PQC
• Test de la robustesse des mécanismes de révocation de certificats
• Vérification de la gestion des clés dans les HSM (support algorithmique PQC)
• Test des procédures de migration d'urgence (scénario de compromission crypto)

Reporting vers les assureurs cyber

De plus en plus d'assureurs cyber intègrent des questions sur la préparation post-quantique dans leurs questionnaires de souscription. Un score de quantum readiness formalisé, basé sur cette checklist, constitue un élément de réponse structuré et crédible qui peut influencer favorablement les conditions de couverture et les franchises.

En 2025, plusieurs assureurs ont annoncé que la migration PQC serait un critère de sélection des risques à partir de 2027 pour les entreprises traitant des données sensibles à longue durée de vie. Anticipez ces évolutions en documentant votre progression sur cette checklist dès aujourd'hui.

La quantum readiness est une démarche continue, pas un projet ponctuel. Les algorithmes PQC standardisés aujourd'hui seront peut-être remplacés par de nouveaux standards dans 10-15 ans à mesure que la cryptanalyse progresse. C'est précisément pour cela que la crypto-agility — la capacité institutionnelle à changer d'algorithme rapidement — est le véritable objectif à long terme. Une organisation qui atteint un score de 120+ sur cette checklist ne l'atteint pas uniquement parce qu'elle a déployé ML-KEM : elle l'atteint parce qu'elle a construit les processus, les outils et la culture organisationnelle qui lui permettront de s'adapter à la prochaine évolution cryptographique, quelle qu'elle soit. C'est cet investissement en résilience qui justifie l'effort de migration.

Pour accompagner votre démarche d'auto-évaluation, des ressources complémentaires sont disponibles : le guide de migration post-quantique de l'ANSSI (ssi.gouv.fr), la publication NIST SP 1800-38 sur la migration PQC, et les guides sectoriels produits par l'ENISA pour les opérateurs d'infrastructure critique. Ces publications fournissent des détails techniques et des exemples concrets qui permettront à vos équipes d'approfondir chacun des 50 points de cette checklist et de les adapter à votre contexte organisationnel spécifique.