Deux documents, deux niveaux de lecture, mais une même ligne directrice : encadrer plus strictement le choix et l’usage des mécanismes cryptographiques. L’ANSSI actualise son référentiel en intégrant la menace quantique et en rappelant un point central : la sécurité ne tient pas seulement aux algorithmes, mais à leur mise en œuvre.
Des mécanismes éprouvés, mais fragilisés par l’implémentation
Le premier guide publié par l’ANSSI se concentre sur la sélection des algorithmes cryptographiques et leur implémentation. Il propose une liste de mécanismes standardisés considérés comme à l’état de l’art, tout en s’adressant directement à ceux qui les manipulent au quotidien.
Le parti pris est clair : privilégier des mécanismes standards et s’en tenir strictement à leurs spécifications. La cryptographie reste un domaine où l’expertise technique est déterminante, et les erreurs d’implémentation continuent de fragiliser des systèmes pourtant fondés sur des briques robustes.
Le document insiste d’ailleurs sur ces dérives concrètes. Certaines erreurs, observées à la fois dans des produits et dans la littérature, peuvent dégrader fortement la sécurité. Les notes d’implémentation viennent précisément documenter ces écueils, sans pour autant se substituer à une veille continue sur l’état de l’art.
Autre point assumé : un développeur non spécialiste n’a pas vocation à implémenter lui-même des mécanismes cryptographiques. Le recours à des bibliothèques éprouvées est encouragé, à condition d’en respecter les règles d’usage.
Un référentiel qui intègre pleinement la contrainte post-quantique
Le second document, évolution directe des recommandations du Référentiel Général de Sécurité, élargit le cadre. Il formalise des règles générales applicables à l’ensemble des mécanismes cryptographiques, tout en intégrant les avancées récentes, notamment sur le terrain post-quantique.
Ce référentiel distingue clairement deux niveaux : les règles, qui conditionnent la sécurité des mécanismes, et les recommandations, qui traduisent l’état de l’art technique et visent à renforcer les marges de sécurité. L’ensemble s’appuie sur des justifications techniques et tient compte des contraintes de mise en œuvre.
La mise à jour introduit explicitement la menace quantique dans le dimensionnement des mécanismes. Elle s’inscrit dans une temporalité précise : dès lors qu’un mécanisme est destiné à être utilisé au-delà du 1er janvier 2030, ou exposé à un risque d’attaque rétroactive, l’objectif de sécurité post-quantique doit être visé.
Ce point rejoint une autre recommandation structurante : s’appuyer sur des mécanismes éprouvés et reconnus par la communauté académique. Le référentiel ne cherche pas à multiplier les options, mais à cadrer les choix autour de solutions maîtrisées, en phase avec les connaissances actuelles.
