Vous êtes ici : Accueil > ACTUALITÉS > Le CEA-Leti obtient deux nouveaux agréments majeurs en tant que CESTI

Actualité | A la une | Cybersécurité

Le CEA-Leti obtient deux nouveaux agréments majeurs en tant que CESTI


En 2025, le CEA-Leti a renforcé son rôle d'évaluateur en cybersécurité en obtenant deux nouveaux agréments. Il est ainsi notamment devenu le premier CESTI français habilité à évaluer la cryptographie post-quantique, cryptographie résistante à la menace quantique en passe de devenir indispensable.

Publié le 9 décembre 2025

Un Centre d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) est un laboratoire chargé de s'assurer de la conformité de produits ou de systèmes d'information avec un ensemble de règles de sécurité établies à l'échelle mondiale. Une certification obligatoire pour certains dispositifs tels que les cartes à puce utilisées dans les documents d'identité, les systèmes de paiement ou les contrôles d'accès. En France, plusieurs CESTI sont agréés par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), à l'instar du CEA-Leti, qui réalise des évaluations d'équipements matériels depuis 2000.

EUCC : un schéma de certification de sécurité harmonisé à l'échelle européenne

Dans le cadre de cette activité, le CEA-Leti a franchi un nouveau palier en obtenant deux nouveaux agréments, accordés par l'ANSSI. Le premier, intitulé « EUCC », suit une évolution réglementaire à l'échelle de l'Union européenne. Il s'agit d'un schéma de certification s'appuyant sur les Critères Communs (CC), afin d'harmoniser les procédures de certification en matière de cybersécurité au sein de toute l'UE.

« Le schéma EUCC a été adopté en 2024 et, à compter de février 2026, toutes les évaluations des CESTI européens devront s'y conformer », précise Mikael Carmona, responsable du service Sécurité du matériel au CEA-Leti. « Autrement dit, pour poursuivre son activité d'évaluateur, un CESTI doit désormais impérativement être agréé EUCC. » Le CEA-Leti a donc procédé à une mise à jour de ses méthodologies d'évaluation et, après un audit réalisé par le Comité français d'accréditation (Cofrac) et l'ANSSI, a reçu l'agrément en avril 2025.

PQC : le CEA-Leti premier CESTI agréé pour l'évaluation de la cryptographie post-quantique

Le second porte le nom de « PQC » (« Post-Quantum Cryptography ») et s'intéresse à la cybersécurité face à la menace que représente l'informatique quantique. En effet, dans les années 1990, il a été démontré que si un tel ordinateur était opérationnel, il serait capable de déchiffrer des données considérées aujourd'hui comme indéchiffrables à partir d'ordinateurs classiques. Si, à l'époque de cette découverte, le risque associé n'était pas encore tangible, il se matérialise désormais davantage, avec les progrès réalisés en la matière.

C'est pourquoi il convient, dès à présent, de se préparer en amorçant une transition vers une cryptographie post-quantique. Un objectif pleinement intégré au sein de l'UE, comme en témoigne la feuille de route publiée à ce sujet par la Commission européenne. En France, celle-ci se traduit notamment par la mise en place de l'agrément PQC par l'ANSSI, que l'agence a accordé en septembre 2025 au CEA-Leti, devenant ainsi le premier CESTI français habilité à évaluer la cryptographie post-quantique.

Une première carte à puce Thales certifiée PQC

« En tant que CESTI avec l'agrément PQC, notre rôle est de vérifier la sécurité de l'implémentation de la cryptographie post-quantique », détaille Mikael Carmona. « À ce stade, les algorithmes ont déjà été développés et sont censés résister aux capacités de calcul des ordinateurs quantiques. Mais une fois implémentés, même s'ils sont théoriquement robustes, ils peuvent faire l'objet d'attaques : nous nous assurons donc qu'ils ne sont pas vulnérables à de telles menaces. »

C'est le travail qu'a réalisé le CEA-Leti dans le cadre d'une première évaluation pilote – une étape requise pour l'obtention de l'agrément PQC. Si la réussite de ce travail d'évaluation a permis au CESTI de valider ses compétences dans le domaine de la PQC, elle a aussi abouti à un verdict favorable pour le produit évalué. Elle a donc conduit à la délivrance du premier certificat PQC accordé à une carte à puce : un composant microélectronique embarquant une plateforme logicielle développée par Thales et destinée notamment à des applications de protection de l'identité – cartes d'identité et passeports électroniques, cartes de santé, permis de conduire…

Anticiper les prochaines réglementations

Avec ces deux agréments, le CEA-Leti a déjà permis la certification d'autres produits, notamment EUCC et PQC pour SAMSUNG. Cela renforce le rôle clé du CEA-Leti au sein de l'écosystème mondial de la cybersécurité. Son activité d'évaluateur lui permet, en outre, d'intégrer davantage les problématiques de cybersécurité dans la fabrication des composants et de se préparer, dès à présent, aux futures évolutions, technologiques comme réglementaires.

« Dans les prochaines années, de nouvelles exigences seront imposées aux fabricants », souligne Bernard Strée, responsable commercial CESTI au CEA-Leti. « Ainsi, à partir d'octobre 2027, le Cyber Resilience Act entrera en application. Dès lors, tout composant électronique devra être certifié en fonction de son niveau de sécurité, à la façon du marquage CE, avant d'être mis sur le marché. Une évolution majeure dans l'industrie pour laquelle le CEA-Leti se tient déjà prêt, à travers son rôle de CESTI. »

Haut de page