{"id":198,"date":"2026-06-17T12:33:55","date_gmt":"2026-06-17T12:33:55","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/17\/kyber-vs-dilithium\/"},"modified":"2026-06-17T12:35:25","modified_gmt":"2026-06-17T12:35:25","slug":"kyber-vs-dilithium","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/17\/kyber-vs-dilithium\/","title":{"rendered":"Kyber vs Dilithium : 1 Ko vs 3,3 Ko, le duel PQC [2026]"},"content":{"rendered":"\n

Depuis l’\u00e9t\u00e9 2024, la cryptographie post-quantique n’est plus un sujet de laboratoire. Le NIST a publi\u00e9 les normes finales, les navigateurs les d\u00e9ploient, et l’ANSSI presse les organisations fran\u00e7aises de planifier leur migration avant 2030. Au c\u0153ur de cette transition, deux noms reviennent sans cesse : Kyber<\/strong> et Dilithium<\/strong>. On les oppose souvent comme s’il s’agissait de concurrents. C’est une erreur. Ce comparatif d\u00e9taill\u00e9, mis \u00e0 jour le 17 juin 2026, explique ce qui s\u00e9pare ces deux algorithmes, ce qui les rapproche, et lequel choisir selon votre cas d’usage.<\/p>\n\n\n\n

La r\u00e9ponse courte : Kyber chiffre, Dilithium signe. Ils ne r\u00e9solvent pas le m\u00eame probl\u00e8me. La plupart des architectures s\u00e9rieuses, du chiffrement de votre prochain handshake TLS \u00e0 la signature de firmware embarqu\u00e9, utilisent les deux \u00e0 la fois. La vraie question n’est donc pas \u00ab Kyber ou Dilithium \u00bb, mais \u00ab comment les combiner correctement \u00bb. Voici les chiffres, les benchmarks et les retours d’experts pour d\u00e9cider.<\/p>\n\n\n\n

Kyber vs Dilithium : le tableau comparatif complet<\/h2>\n\n\n\n

Avant d’entrer dans le d\u00e9tail, voici la comparaison c\u00f4te \u00e0 c\u00f4te des deux algorithmes. Les noms entre parenth\u00e8ses (ML-KEM et ML-DSA) sont les appellations officielles donn\u00e9es par le NIST apr\u00e8s standardisation. Les tailles sont exprim\u00e9es en octets, telles que publi\u00e9es dans les normes FIPS 203 et FIPS 204.<\/p>\n\n\n\n

\n
Crit\u00e8re<\/th>Kyber (ML-KEM)<\/th>Dilithium (ML-DSA)<\/th><\/tr><\/thead>
Type de primitive<\/td>Encapsulation de cl\u00e9 (KEM)<\/td>Signature num\u00e9rique<\/td><\/tr>\n
Probl\u00e8me math\u00e9matique<\/td>Module-LWE (r\u00e9seaux euclidiens)<\/td>Module-LWE + Module-SIS<\/td><\/tr>\n
Norme NIST<\/td>FIPS 203 (ao\u00fbt 2024)<\/td>FIPS 204 (ao\u00fbt 2024)<\/td><\/tr>\n
Famille<\/td>CRYSTALS<\/td>CRYSTALS<\/td><\/tr>\n
R\u00f4le principal<\/td>\u00c9tablir une cl\u00e9 de session secr\u00e8te<\/td>Authentifier un message ou un certificat<\/td><\/tr>\n
Niveaux NIST propos\u00e9s<\/td>1, 3, 5<\/td>2, 3, 5<\/td><\/tr>\n
Cl\u00e9 publique (niveau 3)<\/td>1 184 octets<\/td>1 952 octets<\/td><\/tr>\n
Livrable (niveau 3)<\/td>Chiffr\u00e9 : 1 088 octets<\/td>Signature : 3 309 octets<\/td><\/tr>\n
Comparaison classique<\/td>Remplace ECDH \/ X25519<\/td>Remplace ECDSA \/ RSA<\/td><\/tr>\n
Op\u00e9ration la plus rapide<\/td>Encapsulation<\/td>V\u00e9rification<\/td><\/tr>\n
Surco\u00fbt vs \u00e9quivalent classique<\/td>~1 \u00e0 2 % de latence en TLS hybride<\/td>Signature ~50x plus lourde qu’ECDSA<\/td><\/tr>\n
Licence<\/td>Domaine public, sans redevance<\/td>Domaine public, sans redevance<\/td><\/tr>\n
D\u00e9ploiement r\u00e9el 2025-2026<\/td>Chrome, Cloudflare, Signal, iMessage<\/td>Firmware, PKI, certificats X.509<\/td><\/tr>\n<\/tbody><\/table>
Synth\u00e8se Kyber vs Dilithium d’apr\u00e8s FIPS 203, FIPS 204 et les d\u00e9ploiements 2025-2026.<\/figcaption><\/figure>\n\n\n\n

Premi\u00e8re le\u00e7on de ce tableau : les deux algorithmes partagent une base math\u00e9matique commune, les r\u00e9seaux euclidiens (lattices), mais ils visent des objectifs oppos\u00e9s. Kyber transporte un secret, Dilithium prouve une identit\u00e9. Garder cette distinction en t\u00eate \u00e9vite 90 % des confusions sur la cryptographie post-quantique<\/a>.<\/p>\n\n\n\n

Qu’est-ce que Kyber (ML-KEM) et \u00e0 quoi sert-il ?<\/h2>\n\n\n\n

Kyber est un m\u00e9canisme d’encapsulation de cl\u00e9, ou KEM. Son travail tient en une phrase : permettre \u00e0 deux parties qui ne se connaissent pas d’\u00e9tablir un secret partag\u00e9 sur un canal public, sans qu’un espion puisse le reconstruire, m\u00eame \u00e9quip\u00e9 d’un ordinateur quantique. C’est exactement le r\u00f4le que jouent aujourd’hui Diffie-Hellman sur courbes elliptiques (ECDH) et X25519 dans chaque connexion HTTPS.<\/p>\n\n\n\n

Le NIST a retenu Kyber comme unique KEM de sa premi\u00e8re vague de standardisation, puis l’a rebaptis\u00e9 ML-KEM dans la norme FIPS 203 publi\u00e9e en ao\u00fbt 2024. Le \u00ab ML \u00bb signifie Module-Lattice, en r\u00e9f\u00e9rence au probl\u00e8me Module-LWE (Learning With Errors) sur lequel repose sa s\u00e9curit\u00e9. Ce probl\u00e8me consiste \u00e0 retrouver un secret noy\u00e9 dans un syst\u00e8me d’\u00e9quations lin\u00e9aires bruit\u00e9es : facile \u00e0 poser, calculatoirement infaisable \u00e0 inverser, y compris pour l’algorithme de Shor qui casse RSA et ECC.<\/p>\n\n\n\n

Comment fonctionne l’encapsulation Kyber<\/h3>\n\n\n\n

Le m\u00e9canisme se d\u00e9roule en trois temps. Le destinataire g\u00e9n\u00e8re une paire de cl\u00e9s et publie sa cl\u00e9 publique. L’\u00e9metteur appelle la fonction d’encapsulation : elle produit un chiffr\u00e9 (ciphertext) et un secret partag\u00e9. Il envoie le chiffr\u00e9. Le destinataire le d\u00e9chiffre avec sa cl\u00e9 priv\u00e9e et retrouve le m\u00eame secret partag\u00e9. Ce secret sert ensuite de cl\u00e9 sym\u00e9trique pour AES-256, par exemple. Aucun des deux n’a jamais transmis la cl\u00e9 sym\u00e9trique en clair.<\/p>\n\n\n\n

\/\/ Pseudo-code de l'\u00e9change Kyber (ML-KEM-768)\n(pk, sk)        = ML-KEM.KeyGen()        \/\/ c\u00f4t\u00e9 serveur\n(ct, secret_A)  = ML-KEM.Encaps(pk)      \/\/ c\u00f4t\u00e9 client\nsecret_B        = ML-KEM.Decaps(ct, sk)  \/\/ c\u00f4t\u00e9 serveur\nassert(secret_A == secret_B)             \/\/ 32 octets partag\u00e9s<\/code><\/pre>\n\n\n\n
Les cas d’usage typiques de Kyber<\/h3>\n\n\n\n
Kyber brille partout o\u00f9 il faut n\u00e9gocier une cl\u00e9 : poign\u00e9es de main TLS 1.3, VPN, messageries chiffr\u00e9es, tunnels IPsec, objets connect\u00e9s \u00e0 bande passante limit\u00e9e. Sa l\u00e9g\u00e8ret\u00e9 (un chiffr\u00e9 de 1 088 octets au niveau 3) le rend d\u00e9ployable m\u00eame sur des microcontr\u00f4leurs. C’est pour cette raison que Signal, Apple iMessage et Google Chrome l’ont adopt\u00e9 d\u00e8s 2024 pour prot\u00e9ger leurs \u00e9changes contre les attaques dites \u00ab harvest now, decrypt later \u00bb : capturer le trafic chiffr\u00e9 aujourd’hui pour le casser une fois l’ordinateur quantique disponible. Pour comprendre la m\u00e9canique d’\u00e9change de cl\u00e9s classique que Kyber vient compl\u00e9ter, notre guide sur OpenSSL, cl\u00e9s et certificats<\/a> pose les bases.<\/p>\n\n\n\n
Qu’est-ce que Dilithium (ML-DSA) et \u00e0 quoi sert-il ?<\/h2>\n\n\n\n
Dilithium r\u00e9pond \u00e0 un besoin diff\u00e9rent : prouver qu’un message provient bien de son auteur et qu’il n’a pas \u00e9t\u00e9 alt\u00e9r\u00e9. C’est le r\u00f4le d’une signature num\u00e9rique. L\u00e0 o\u00f9 Kyber remplace ECDH, Dilithium remplace ECDSA et RSA. Le NIST l’a standardis\u00e9 sous le nom ML-DSA dans la norme FIPS 204, publi\u00e9e le m\u00eame jour que FIPS 203 en ao\u00fbt 2024. Il en a fait son algorithme de signature post-quantique par d\u00e9faut, celui \u00e0 privil\u00e9gier dans la grande majorit\u00e9 des d\u00e9ploiements.<\/p>\n\n\n\n
Comme Kyber, Dilithium repose sur les r\u00e9seaux euclidiens, mais il combine deux probl\u00e8mes difficiles : Module-LWE et Module-SIS (Short Integer Solution). Cette double assise lui donne une marge de s\u00e9curit\u00e9 confortable. Un d\u00e9tail contre-intuitif m\u00e9rite attention : chez Dilithium, la v\u00e9rification est plus rapide que la signature, l’inverse exact de RSA. Pour les syst\u00e8mes qui v\u00e9rifient des millions de signatures par seconde (cha\u00eenes de blocs, mises \u00e0 jour logicielles massives), c’est un atout d\u00e9cisif.<\/p>\n\n\n\n
Comment fonctionne une signature Dilithium<\/h3>\n\n\n\n
Le sch\u00e9ma suit le paradigme Fiat-Shamir avec abandon (rejection sampling). Le signataire g\u00e9n\u00e8re un engagement al\u00e9atoire, calcule un d\u00e9fi \u00e0 partir du message, puis produit une r\u00e9ponse. Si la r\u00e9ponse fuit trop d’information sur la cl\u00e9 secr\u00e8te, l’algorithme la rejette et recommence. Ce m\u00e9canisme d’abandon explique pourquoi la signature est l\u00e9g\u00e8rement plus lente que la v\u00e9rification, et pourquoi le temps de signature varie d’une ex\u00e9cution \u00e0 l’autre.<\/p>\n\n\n\n
Les trois variantes de Dilithium<\/h3>\n\n\n\n
Dilithium se d\u00e9cline en trois jeux de param\u00e8tres : ML-DSA-44 (niveau NIST 2), ML-DSA-65 (niveau 3) et ML-DSA-87 (niveau 5). Plus le niveau monte, plus la signature grossit : 2 420 octets pour ML-DSA-44, 4 627 octets pour ML-DSA-87. \u00c0 titre de comparaison, une signature ECDSA tient en 64 octets. Cette inflation est le vrai prix de la r\u00e9sistance quantique. Les signatures num\u00e9riques classiques et leur lien avec les fonctions de hachage sont d\u00e9taill\u00e9s dans notre article sur les signatures num\u00e9riques<\/a>.<\/p>\n\n\n\n
Kyber vs Dilithium : pourquoi ils ne font pas le m\u00eame travail<\/h2>\n\n\n\n
C’est le point que les comparatifs grand public ratent le plus souvent. Opposer Kyber et Dilithium revient \u00e0 opposer une serrure et une signature manuscrite : les deux s\u00e9curisent, mais pas le m\u00eame maillon. Kyber garantit la confidentialit\u00e9<\/strong> en \u00e9tablissant une cl\u00e9 secr\u00e8te. Dilithium garantit l’authenticit\u00e9<\/strong> et l’int\u00e9grit\u00e9<\/strong> en prouvant l’origine d’un message.<\/p>\n\n\n\n
Prenons une connexion HTTPS vers une banque fran\u00e7aise. Le serveur pr\u00e9sente un certificat. Ce certificat doit \u00eatre sign\u00e9 par une autorit\u00e9 : c’est le r\u00f4le de Dilithium. Une fois l’identit\u00e9 du serveur \u00e9tablie, client et serveur n\u00e9gocient une cl\u00e9 de session pour chiffrer les donn\u00e9es : c’est le r\u00f4le de Kyber. Retirez l’un, et l’attaque devient possible. Sans Kyber, un espion enregistre tout pour d\u00e9chiffrer plus tard. Sans Dilithium, un attaquant se fait passer pour la banque. Les deux sont n\u00e9cessaires, et c’est pr\u00e9cis\u00e9ment pour cela que les piles cryptographiques post-quantiques les embarquent ensemble.<\/p>\n\n\n\n
Cette compl\u00e9mentarit\u00e9 se retrouve dans la strat\u00e9gie de la NSA. Son r\u00e9f\u00e9rentiel CNSA 2.0 remplace explicitement ECDH et RSA par ML-KEM pour l’\u00e9tablissement de cl\u00e9s, et ECDSA\/RSA par ML-DSA pour les signatures. M\u00eame logique c\u00f4t\u00e9 ANSSI, qui recommande l’hybridation : associer un algorithme classique \u00e9prouv\u00e9 et un algorithme post-quantique, afin qu’une faille th\u00e9orique dans l’un ne compromette pas l’ensemble. La question \u00ab Kyber ou Dilithium \u00bb n’a donc pas de sens dans une architecture compl\u00e8te. La vraie d\u00e9cision porte sur les niveaux de s\u00e9curit\u00e9 et le mode hybride.<\/p>\n\n\n\n
Performances et benchmarks : Kyber vs Dilithium<\/h2>\n\n\n\n
Les deux algorithmes ont \u00e9t\u00e9 con\u00e7us pour la vitesse. Contrairement \u00e0 une id\u00e9e re\u00e7ue, la cryptographie sur r\u00e9seaux euclidiens n’est pas lente : elle s’appuie sur des multiplications de polyn\u00f4mes et du hachage, des op\u00e9rations que les processeurs modernes ex\u00e9cutent tr\u00e8s vite, souvent acc\u00e9l\u00e9r\u00e9es par les instructions vectorielles SIMD (AVX2). Dans bien des cas, Kyber \u00e9gale ou d\u00e9passe ECDH (X25519) parce qu’il \u00e9vite les co\u00fbteuses op\u00e9rations sur grands entiers.<\/p>\n\n\n\n
Le tableau ci-dessous agr\u00e8ge des ordres de grandeur issus de trois sources : les mesures de r\u00e9f\u00e9rence de l’\u00e9quipe CRYSTALS (pq-crystals.org), un benchmark sur r\u00e9seau de test relay\u00e9 par la communaut\u00e9, et l’\u00e9tude comparative publi\u00e9e sur arXiv en 2025. Les valeurs d\u00e9pendent fortement du mat\u00e9riel ; prenez-les comme des ordres de grandeur, pas comme des constantes universelles.<\/p>\n\n\n\n
\n
Op\u00e9ration<\/th>Kyber (ML-KEM-768)<\/th>Dilithium (ML-DSA-65)<\/th>R\u00e9f\u00e9rence classique<\/th><\/tr><\/thead>
G\u00e9n\u00e9ration de cl\u00e9<\/td>~30 \u00e0 60 \u00b5s<\/td>~0,7 ms<\/td>~50 \u00b5s (X25519)<\/td><\/tr>\n
Encapsulation \/ Signature<\/td>~40 \u00e0 70 \u00b5s<\/td>~0,7 ms (variable)<\/td>~60 \u00b5s (signature ECDSA)<\/td><\/tr>\n
D\u00e9capsulation \/ V\u00e9rification<\/td>~30 \u00e0 60 \u00b5s<\/td>~0,12 ms<\/td>~150 \u00b5s (v\u00e9rif. ECDSA)<\/td><\/tr>\n
D\u00e9bit signatures (1 c\u0153ur)<\/td>Sans objet (KEM)<\/td>Plusieurs milliers\/s<\/td>Comparable (RSA\/ECC)<\/td><\/tr>\n
Surco\u00fbt latence TLS hybride<\/td>~1 \u00e0 2 %<\/td>D\u00e9pend de la cha\u00eene de certificats<\/td>R\u00e9f\u00e9rence 0 %<\/td><\/tr>\n
Acc\u00e9l\u00e9ration SIMD<\/td>Oui (AVX2)<\/td>Oui (AVX2)<\/td>Partielle<\/td><\/tr>\n<\/tbody><\/table>
Ordres de grandeur d’apr\u00e8s pq-crystals.org, un benchmark de r\u00e9seau de test et l’\u00e9tude arXiv 2508.00832 (2025). Valeurs d\u00e9pendantes du mat\u00e9riel.<\/figcaption><\/figure>\n\n\n\n
Trois enseignements ressortent. D’abord, Kyber op\u00e8re \u00e0 l’\u00e9chelle de la dizaine de microsecondes : son impact sur un handshake TLS est imperceptible, de l’ordre de 1 \u00e0 2 % de latence suppl\u00e9mentaire selon les mesures de Cloudflare. Ensuite, Dilithium est plus lourd mais reste largement suffisant pour un serveur : plusieurs milliers de signatures par seconde sur un seul c\u0153ur. Enfin, la v\u00e9rification Dilithium (~0,12 ms) est environ six fois plus rapide que la signature, ce qui en fait un excellent choix pour les usages o\u00f9 l’on signe peu mais v\u00e9rifie \u00e9norm\u00e9ment, comme la distribution de mises \u00e0 jour logicielles.<\/p>\n\n\n\n
Tailles de cl\u00e9s et de signatures : le vrai co\u00fbt de la transition<\/h2>\n\n\n\n
Si la vitesse n’est pas un probl\u00e8me, la taille en est un. C’est le talon d’Achille de la cryptographie post-quantique, et c’est l\u00e0 que Kyber et Dilithium divergent le plus. Le tableau suivant reprend les tailles officielles des normes FIPS 203 et FIPS 204, par niveau de s\u00e9curit\u00e9, compar\u00e9es \u00e0 leurs \u00e9quivalents classiques.<\/p>\n\n\n\n
\n
Algorithme \/ Variante<\/th>Niveau NIST<\/th>Cl\u00e9 publique<\/th>Chiffr\u00e9 ou signature<\/th><\/tr><\/thead>
Kyber ML-KEM-512<\/td>1<\/td>800 octets<\/td>768 octets (chiffr\u00e9)<\/td><\/tr>\n
Kyber ML-KEM-768<\/td>3<\/td>1 184 octets<\/td>1 088 octets (chiffr\u00e9)<\/td><\/tr>\n
Kyber ML-KEM-1024<\/td>5<\/td>1 568 octets<\/td>1 568 octets (chiffr\u00e9)<\/td><\/tr>\n
Dilithium ML-DSA-44<\/td>2<\/td>1 312 octets<\/td>2 420 octets (signature)<\/td><\/tr>\n
Dilithium ML-DSA-65<\/td>3<\/td>1 952 octets<\/td>3 309 octets (signature)<\/td><\/tr>\n
Dilithium ML-DSA-87<\/td>5<\/td>2 592 octets<\/td>4 627 octets (signature)<\/td><\/tr>\n
X25519 (classique)<\/td>~128 bits<\/td>32 octets<\/td>32 octets (cl\u00e9 publique)<\/td><\/tr>\n
ECDSA P-256 (classique)<\/td>~128 bits<\/td>64 octets<\/td>64 octets (signature)<\/td><\/tr>\n
RSA-3072 (classique)<\/td>~128 bits<\/td>384 octets<\/td>384 octets (signature)<\/td><\/tr>\n<\/tbody><\/table>
Tailles officielles FIPS 203 \/ FIPS 204 compar\u00e9es aux primitives classiques.<\/figcaption><\/figure>\n\n\n\n
Le contraste est saisissant. Un chiffr\u00e9 Kyber au niveau 3 p\u00e8se 1 088 octets contre 32 pour une cl\u00e9 X25519, soit un facteur 34. Une signature Dilithium niveau 3 atteint 3 309 octets contre 64 pour ECDSA, un facteur sup\u00e9rieur \u00e0 50. Ces kilo-octets suppl\u00e9mentaires se paient \u00e0 chaque connexion, chaque certificat, chaque mise \u00e0 jour. Pour un serveur web qui \u00e9tablit des millions de sessions par jour, l’addition se chiffre en t\u00e9raoctets de bande passante annuelle.<\/p>\n\n\n\n
Cons\u00e9quence pratique : Kyber, plus compact, s’impose dans les environnements contraints (IoT, mobile, IPsec). Dilithium, plus lourd, pose surtout probl\u00e8me dans les cha\u00eenes de certificats X.509, o\u00f9 chaque certificat interm\u00e9diaire ajoute sa propre signature. C’est l’un des grands chantiers de 2026 : adapter les formats de certificats et les protocoles TLS pour absorber ces signatures volumineuses sans fragmenter les paquets.<\/p>\n\n\n\n
S\u00e9curit\u00e9 : niveaux NIST 1, 3 et 5 d\u00e9crypt\u00e9s<\/h2>\n\n\n\n
Kyber et Dilithium offrent plusieurs niveaux de s\u00e9curit\u00e9, align\u00e9s sur une \u00e9chelle NIST de 1 \u00e0 5. Le niveau 1 \u00e9quivaut \u00e0 la r\u00e9sistance d’AES-128 face \u00e0 une recherche exhaustive, le niveau 3 \u00e0 AES-192, le niveau 5 \u00e0 AES-256. Ces niveaux int\u00e8grent d\u00e9j\u00e0 la menace quantique : ils mesurent la difficult\u00e9 de casser l’algorithme avec les meilleures attaques connues, classiques et quantiques confondues.<\/p>\n\n\n\n
Pour Kyber, l’analyse de r\u00e9f\u00e9rence attribue \u00e0 ML-KEM-512 environ 118 bits de s\u00e9curit\u00e9 sur la partie cl\u00e9 publique et 112 bits sur le chiffr\u00e9, au-dessus de la cible de 128 bits une fois certaines subtilit\u00e9s d’attaque prises en compte. ML-KEM-768 (niveau 3) constitue le choix recommand\u00e9 par d\u00e9faut pour la plupart des usages, \u00e9quilibrant marge de s\u00e9curit\u00e9 et taille. ML-KEM-1024 vise les donn\u00e9es ultra-sensibles \u00e0 tr\u00e8s longue dur\u00e9e de conservation.<\/p>\n\n\n\n
Pour Dilithium, ML-DSA-87 au niveau 5 garantit au moins 256 bits de s\u00e9curit\u00e9 quantique, avec une signature de 4 627 octets et une cl\u00e9 publique de 2 592 octets, le tout restant plus compact qu’une signature RSA-15360 \u00e9quivalente. Point rassurant soulign\u00e9 par le NIST : apr\u00e8s plusieurs ann\u00e9es d’analyse continue par la communaut\u00e9, aucune attaque efficace n’a \u00e9t\u00e9 trouv\u00e9e contre les param\u00e8tres retenus. La marge de s\u00e9curit\u00e9 reste large. Reste la prudence d’usage : l’ANSSI et la plupart des agences europ\u00e9ennes recommandent l’hybridation classique plus post-quantique tant que le recul op\u00e9rationnel sur ces sch\u00e9mas est inf\u00e9rieur \u00e0 une d\u00e9cennie. Les principes de robustesse cryptographique sont rappel\u00e9s dans notre dossier cryptographie et hachage<\/a>.<\/p>\n\n\n\n
Tarifs et co\u00fbts de d\u00e9ploiement : Kyber vs Dilithium<\/h2>\n\n\n\n
Bonne nouvelle d’abord : ni Kyber ni Dilithium ne co\u00fbtent un centime en licence. Les deux sont dans le domaine public, sans redevance, ce qui faisait partie des crit\u00e8res du NIST. Le co\u00fbt r\u00e9el d’une migration se situe ailleurs : biblioth\u00e8ques, modules mat\u00e9riels de s\u00e9curit\u00e9 (HSM), services de gestion de cl\u00e9s dans le cloud, et surtout temps d’ing\u00e9nierie. Le tableau ci-dessous donne des rep\u00e8res de prix publics constat\u00e9s en 2025-2026.<\/p>\n\n\n\n
\n
Brique de d\u00e9ploiement<\/th>Solution<\/th>Co\u00fbt indicatif 2026<\/th><\/tr><\/thead>
Algorithmes (licence)<\/td>Kyber et Dilithium<\/td>Gratuit, domaine public<\/td><\/tr>\n
Biblioth\u00e8que open source<\/td>liboqs (Open Quantum Safe)<\/td>Gratuit (MIT)<\/td><\/tr>\n
Pile TLS native<\/td>OpenSSL 3.5+<\/td>Gratuit (Apache 2.0)<\/td><\/tr>\n
Gestion de cl\u00e9s cloud<\/td>AWS KMS (cl\u00e9s hybrides)<\/td>~1 $\/cl\u00e9\/mois + appels API<\/td><\/tr>\n
HSM cloud compatible PQC<\/td>Location mensuelle<\/td>~1 000 \u00e0 1 500 $\/mois<\/td><\/tr>\n
HSM physique compatible PQC<\/td>Appliance d\u00e9di\u00e9e<\/td>Plusieurs milliers d’euros \u00e0 l’achat<\/td><\/tr>\n
Certificats PQC<\/td>Autorit\u00e9s de certification<\/td>Phase pilote, souvent gratuit en 2026<\/td><\/tr>\n
Audit et int\u00e9gration<\/td>Prestation de migration<\/td>Variable selon le p\u00e9rim\u00e8tre SI<\/td><\/tr>\n<\/tbody><\/table>
Rep\u00e8res de co\u00fbts 2026. Les algorithmes sont gratuits ; le co\u00fbt r\u00e9el est l’ing\u00e9nierie et l’infrastructure.<\/figcaption><\/figure>\n\n\n\n
Le poste le plus sous-estim\u00e9 reste l’inventaire cryptographique. Avant de d\u00e9ployer Kyber ou Dilithium, une organisation doit cartographier o\u00f9 elle utilise RSA, ECDH et ECDSA : applications, protocoles, certificats, biblioth\u00e8ques tierces. Cet exercice, baptis\u00e9 \u00ab cryptographic bill of materials \u00bb (CBOM), occupe souvent plusieurs mois-personnes. C’est lui, et non le prix des algorithmes, qui d\u00e9termine le budget r\u00e9el de la transition post-quantique.<\/p>\n\n\n\n
5 exemples concrets de d\u00e9ploiement en 2025-2026<\/h2>\n\n\n\n
La th\u00e9orie suffit rarement \u00e0 convaincre. Voici cinq d\u00e9ploiements r\u00e9els o\u00f9 Kyber, Dilithium ou les deux sont d\u00e9j\u00e0 en production, ou en cours de g\u00e9n\u00e9ralisation, en 2025-2026.<\/p>\n\n\n\n