SoK: Post-Quantum Cryptography (PQC) Implementation in Software Systems

Cet article de systématisation des connaissances (SoK) analyse les défis de mise en œuvre de la cryptographie post-quantique (PQC) à travers le cadre Humain, Organisation et Technologie (HOT), révélant un déséquilibre critique où les facteurs humains et organisationnels sont sous-explorés, et propose le modèle PQC-HOT pour guider une transformation socio-technologique coordonnée en vue d'une intégration réussie.

L'essentiel

La vue d'ensemble : Une tempête quantique approche

Imaginez que le monde de la sécurité numérique soit comme une forteresse protégeant votre compte bancaire, vos mots de passe et vos messages privés. En ce moment, les verrous sur les portes sont faits d'un métal très solide (le chiffrement actuel comme RSA).

Cependant, des scientifiques construisent un nouveau type de « super-foreuse » appelée ordinateur quantique. Une fois que cette foreuse sera assez puissante, elle pourra briser ces verrous métalliques en quelques secondes, laissant vos données totalement exposées.

Pour empêcher cela, les cryptographes ont inventé de nouveaux verrous super résistants, fabriqués à partir d'un matériau différent appelé cryptographie post-quantique (PQC). Ces nouveaux verrous sont conçus pour que même la super-foreuse ne puisse pas les briser.

Le Problème : Nous avons les plans de ces nouveaux verrous, mais nous ne savons pas comment les installer réellement dans les millions de bâtiments existants (systèmes logiciels) que nous utilisons chaque jour. Cet article est une vaste enquête pour comprendre pourquoi l'installation de ces nouveaux verrous est si difficile.

---

L'enquête : L'examen du « tabouret à trois pieds »

Les auteurs ont réalisé que les gens n'examinaient le problème qu'à travers un seul prisme : la Technologie. Ils demandaient : « Est-ce que les mathématiques sont correctes ? » et « Est-ce que le code est rapide ? ».

Mais les auteurs soutiennent que l'installation de ces nouveaux verrous revient à essayer de faire tenir un tabouret à trois pieds. Si un pied manque ou est bancal, tout s'effondre. Ils appellent ces trois pieds HOT :

1. H - Human (Humain) : Les personnes (développeurs) qui doivent construire et installer les verrous.
2. O - Organisation : Les entreprises et les gouvernements qui financent le projet, établissent les règles et gèrent la transition.
3. T - Technology (Technologie) : Les mathématiques, le code et les outils réels utilisés pour fabriquer les verrous.

Ce qu'ils ont découvert : Le « biais technologique »

Pour mener à bien cette enquête, les chercheurs ont commencé par examiner une immense bibliothèque de plus de 10 000 publications sur le sujet. Après un processus rigoureux de sélection, ils ont réduit cette liste à 29 études clés pour leur analyse finale. Voici ce qu'ils ont découvert en étudiant ces documents :

• Le pied « Technologique » est immense : Presque toute la recherche se concentre sur la Technologie. Les gens s'occupent d'inventer de meilleures mathématiques, d'écrire des bibliothèques de code et de tester si les algorithmes fonctionnent. C'est comme avoir un entrepôt rempli de plans de verrous parfaits.
• Le pied « Humain » est minuscule : Il y a très peu de recherche sur la façon d'enseigner aux développeurs comment utiliser ces nouveaux verrous. La plupart des formations sont destinées aux étudiants universitaires, et non aux ingénieurs logiciels qui travaillent réellement en entreprise. C'est comme avoir les plans, mais sans manuel d'instruction pour l'équipe de construction.
• Le pied « Organisationnel » est totalement absent : C'est le point le plus critique. La revue a révélé qu'aucune étude (zéro) n'abordait explicitement les structures de gouvernance, la planification organisationnelle ou la conformité réglementaire pour la PQC. C'est comme avoir les verrous et l'équipe, mais sans chef de projet pour dire quand commencer, ni personne pour gérer le budget ou les règles.

L'analogie : Imaginez que vous essayiez de remplacer le moteur d'une voiture alors qu'elle roule encore sur l'autoroute.

• La Technologie est le nouveau moteur.
• L'Humain est le mécanicien qui tente de l'installer.
• L'Organisation est le contrôle du trafic et le budget pour acheter le nouveau moteur.
• La conclusion de l'article : Nous avons un excellent nouveau moteur (Technologie), mais nous n'avons pas formé les mécaniciens (Humain) et, pire encore, nous n'avons aucun plan de gestion du trafic (Organisation). Si nous installons simplement le moteur sans les deux autres éléments, la voiture s'écrasera.

Le danger « transversal »

L'article explique que ces problèmes ne restent pas dans leurs propres voies. Ils se mélangent et aggravent la situation. C'est ce qu'on appelle le couplage socio-technologique.

• Exemple : Si les outils Technologiques sont déroutants (mauvaise conception), le développeur Humain stresse et commet une erreur.
• Résultat : Comme l'Organisation n'avait aucun plan de formation ou de vérification du travail (puisque ce domaine est totalement ignoré par la recherche), cette erreur passe inaperçue jusqu'à ce que le système tombe en panne.

Les auteurs appellent cela un « cercle vicieux ». Un outil faible provoque une erreur humaine, et l'absence totale de soutien organisationnel permet à cette erreur de devenir un désastre.

La solution : Le modèle PQC-HOT

Pour corriger cela, les auteurs proposent une nouvelle façon de penser appelée le modèle PQC-HOT.

Voyez ce modèle comme une poignée de main à trois voies. Pour que la sécurité post-quantique fonctionne, vous ne pouvez pas simplement mettre à jour les mathématiques. Vous devez mettre à jour les trois éléments en même temps :

1. Construire de meilleurs outils qui sont faciles à utiliser pour les humains (Technologie).
2. Former les humains pour qu'ils comprennent comment les utiliser en toute sécurité (Humain).
3. Créer des plans d'entreprise qui accordent du temps, de l'argent et des règles pour la transition (Organisation).

L'idée principale à retenir

L'article conclut que passer à la sécurité post-quantique n'est pas seulement un problème de mathématiques. C'est un problème d'humains et de gestion déguisé en problème de mathématiques.

Si nous nous concentrons uniquement sur le « verrou » (le code) et ignorons le « serrurier » (le développeur) et le « propriétaire du bâtiment » (l'organisation), la nouvelle sécurité échouera. Pour réussir, nous devons traiter la transition comme une refonte complète du système où le code, les personnes et les plans commerciaux travaillent ensemble en harmonie.

Résumé technique

Résumé Technique : SoK sur l'implémentation de la Cryptographie Post-Quantique (PQC) dans les Systèmes Logiciels

1. Énoncé du Problème

La transition vers la cryptographie post-quantique (PQC) est cruciale pour protéger les systèmes logiciels contre les futures menaces exploitant les capacités quantiques, telles que celles posées par les algorithmes de Shor et de Grover. Bien que des algorithmes PQC standardisés soient disponibles, leur intégration sécurisée dans des systèmes logiciels réels demeure un défi majeur. La recherche actuelle se concentre principalement sur la conception algorithmique, les preuves de sécurité et l'évaluation des performances. Cependant, cette focalisation offre un aperçu limité des facteurs socio-technologiques plus larges nécessaires à une implémentation réussie.

Le problème central identifié est que l'implémentation de la PQC est souvent traitée comme une simple migration technologique. En réalité, elle implique des interactions complexes entre les mécanismes cryptographiques, l'expertise des développeurs et la gouvernance organisationnelle. La littérature existante manque d'une synthèse intégrée de la manière dont ces dimensions — Humaine, Organisationnelle et Technologique (HOT) — influencent collectivement les résultats de l'implémentation. Par conséquent, les pratiques actuelles sont caractérisées par des approches fragmentées, des intégrations expérimentales et une absence de directives unifiées, ce qui augmente le risque de mauvaise configuration et de déploiements non sécurisés.

2. Méthodologie

Cette étude emploie une approche de Systématisation des Connaissances (SoK), suivant le protocole en deux étapes de Kitchenham et Charters (planification et exécution) pour garantir une revue structurée et reproductible.

• Définition du Périmètre : La revue utilise le cadre PICOC (Population, Intervention, Comparaison, Résultat, Contexte) pour définir le périmètre, en se concentrant sur les méthodologies, les cadres, les directives, les outils et les interventions éducatives pour la PQC dans le développement logiciel.
• Sources de Données : La littérature a été extraite des principales bibliothèques numériques (ACM, IEEE Xplore, Springer, etc.) et des principales conférences de cybersécurité (USENIX, CCS, etc.).
• Critères de Sélection : La revue a inclus des publications évaluées par les pairs en anglais publiées entre janvier 2020 et février 2026, avec des critères d'inclusion spécifiques concernant l'implémentation de la PQC dans les logiciels. Deux études exceptionnelles de 2017 et 2019 ont été incluses via la méthode du "snowballing" en raison de leur pertinence.
• Processus de Sélection : Suivant le cadre PRISMA 2020, le processus a comporté trois phases : recherche dans les bibliothèques numériques, recherche ciblée dans les revues et conférences, et recherche ascendante/descendante (backward/forward snowballing). À partir d'un pool initial de plus de 10 000 publications, 29 études ont été sélectionnées pour l'analyse finale.
• Analyse : Une analyse thématique en six phases (Braun et Clarke) a été appliquée pour extraire et synthétiser les données. Les résultats ont été systématiquement cartographiés sur le cadre Human-Organisation-Technology (HOT) afin d'analyser les approches et les défis d'implémentation à travers ces trois dimensions.

3. Principales Contributions

L'article apporte quatre contributions primaires au domaine de l'implémentation de la PQC :

1. Synthèse Socio-Technologique : Les auteurs cartographient les approches d'implémentation PQC existantes (directives, cadres, outils et interventions éducatives) sur la perspective HOT, révélant un déséquilibre structurel où les solutions technologiques dominent tandis que les considérations humaines et organisationnelles sont sous-explorées.
2. Le Modèle PQC-HOT : Un cadre conceptuel est introduit pour expliquer les interdépendances entre les facteurs humains, organisationnels et technologiques. Ce modèle conceptualise l'implémentation de la PQC non pas comme des activités isolées, mais comme un système socio-technologique où les mécanismes cryptographiques, les capacités des développeurs et les processus organisationnels déterminent conjointement les résultats de sécurité.
3. Classification par Couches des Défis : L'étude construit une classification par couches des défis d'implémentation, révélant leur distribution à travers les dimensions HOT. Cela étend les catégorisations fragmentées antérieures en mettant en évidence les contraintes transversales et interdépendantes.
4. Agenda de Recherche Consolidé : Sur la base des lacunes identifiées, l'article trace des directions de recherche exploitables pour faire progresser une implémentation de la PQC efficace et orientée vers la pratique, en mettant l'accent sur la nécessité de stratégies intégrées et conscientes du cycle de vie.

4. Résultats Clés

4.1. RQ1 : Approches d'Implémentation

La revue a identifié quatre catégories d'interventions, qui sont fortement biaisées vers la dimension Technologique :

• Directives (G1) : Se concentrent principalement sur les fondements mathématiques et les preuves de sécurité formelles (Technologique).
• Cadres (F1–F3) : Incluent des cadres d'intégration, des extensions d'autorités de certification et des cadres de test/évaluation, opérant tous principalement dans la dimension Technologique.
• Outils et Bibliothèques (T1–T4) : La catégorie la plus pertinente opérationnellement, incluant des bibliothèques d'implémentation, des plugins de protocoles, des outils de test et des outils de migration. Ceux-ci sont presque exclusivement Technologiques.
• Interventions Éducatives (E1–E2) : Couvrent les stratégies pédagogiques traditionnelles et actives. Bien qu'elles s'adressent à la dimension Humaine, elles ciblent principalement un public académique et la compréhension théorique plutôt que la pratique professionnelle des développeurs.
• Dimension Organisationnelle : Notamment, aucune étude n'a explicitement abordé les structures de gouvernance, la planification organisationnelle ou la conformité réglementaire pour l'implémentation de la PQC.

4.2. RQ2 : Défis d'Implémentation

L'analyse révèle que les défis ne sont pas isolés mais émergent de désalignements structurels à travers les dimensions HOT. Ils sont organisés en cinq couches distinctes, avec des contraintes interdépendantes qui se propagent à travers ces couches et les dimensions HOT :

1. Vulnérabilités Cryptographiques et d'Implémentation : Les risques proviennent des faiblesses algorithmiques, des implémentations immatures et des attaques par canaux auxiliaires. Même des algorithmes mathématiquement sûrs peuvent échouer en raison d'erreurs de codage, d'optimisations non sécurisées ou d'un manque d'exécution en temps constant.
2. Contraintes de Système et de Cycle de Vie : La PQC introduit une surcharge significative (taille des clés, mémoire, calcul) qui entre en conflit avec les architectures héritées. Le manque d'agilité cryptographique dans les systèmes existants rend la migration incrémentale difficile, nécessitant souvent un refactoring extensif.
3. Risques liés aux Outils et à l'Écosystème : L'écosystème est fragmenté, avec une interopérabilité limitée entre les outils et les bibliothèques. Des API mal conçues, des paramètres par défaut non sécurisés et l'absence de mécanismes de validation standardisés augmentent la probabilité d'erreur du développeur.
4. Barrières Organisationnelles et de Gouvernance : Les organisations font face à l'incertitude concernant la standardisation, les calendriers de migration et la conformité réglementaire. Il y a un manque de modèles de maturité ou de cadres de gouvernance structurés pour guider les transitions à grande échelle.
5. Vulnérabilités Centrées sur l'Humain : Un décalage existe entre les connaissances théoriques et les compétences de mise en œuvre pratique. Les développeurs manquent souvent de l'expertise spécifique requise pour un codage PQC sécurisé (ex: sécurité de la mémoire, sélection des paramètres), et les initiatives éducatives répondent rarement aux besoins professionnels et pratiques.

Défis Transversaux et Interdépendances : Au-delà de ces cinq couches, l'étude souligne que les risques se propagent dynamiquement à travers les dimensions. Par exemple, une mauvaise conception d'outil (couche 3, Technologique) augmente la charge cognitive et les taux d'erreur pour les développeurs (couche 5, Humain), tandis qu'une gouvernance faible (couche 4, Organisationnelle) ne parvient pas à atténuer ces problèmes. Ces défis transversaux ne constituent pas une sixième couche isolée, mais représentent les mécanismes de propagation qui lient et amplifient les vulnérabilités à travers l'ensemble du système socio-technique.

5. Signification et Revendications

L'article affirme que l'implémentation de la PQC est fondamentalement une transformation socio-technologique plutôt qu'une simple mise à jour cryptographique. La portée de ce travail réside dans :

• Recadrage du Problème : Il déplace la perspective d'un défi purement algorithmique vers un problème d'ingénierie systémique impliquant l'architecture logicielle, le comportement des développeurs et la stratégie organisationnelle.
• Exposition des Déséquilibres : En appliquant le cadre HOT, l'étude démontre que l'état actuel des connaissances est fortement biaisé vers les solutions technologiques, laissant des lacunes critiques dans la préparation organisationnelle et le développement des capacités humaines.
• Introduction du Modèle PQC-HOT : Ce modèle fournit un prisme structuré pour analyser comment les désalignements entre les dimensions créent des risques en cascade. Il soutient qu'une implémentation sécurisée nécessite des avancées coordonnées dans les trois dimensions ; les améliorations technologiques isolées sont insuffisantes.
• Orientation des Travaux Futurs : L'article affirme que la recherche future doit aller au-delà des approches centrées sur la technologie pour développer des cadres intégrés et conscients du cycle de vie qui traitent de l'utilisabilité, de la gouvernance et de l'expérience des développeurs. Il appelle au développement de modèles de maturité organisationnelle, d'outils éducatifs orientés vers la pratique et d'abstractions de conception sécurisée pour permettre un déploiement PQC durable.

Les auteurs concluent que sans traiter les interdépendances entre les facteurs humains, organisationnels et technologiques, même les solutions PQC théoriquement sûres pourraient échouer à atteindre un déploiement fiable, scalable et sécurisé dans les systèmes logiciels réels.