Certifications et conformité
L'état des certifications, énoncé avec précision
Cette page sépare ce que BCrypto a obtenu de ce sur quoi nous travaillons. Rien ici n'implique une certification que nous ne détenons pas. Les validations formelles sont séquencées selon des jalons de financement et de pilotes, et chaque affirmation datée de cette page est revue trimestriellement.
Obtenu à ce jour
NIST FIPS 203 (ML-KEM-1024) implémenté en hardware
ML-KEM-1024 s'exécute en hardware et chaque build est conditionné en CI par des known-answer tests (KAT) : les mêmes vecteurs de test identiques à l'octet doivent passer sur Android, iOS et Desktop avant toute livraison.
Trois demandes de brevet déposées auprès de l'UIBM
Trois demandes de brevet couvrant l'architecture de sécurité vocale imposée par le matériel ont été déposées auprès de l'UIBM, l'office italien des brevets, en 2026. Déposées signifie déposées — l'examen et la délivrance sont des étapes ultérieures et distinctes.
TRL 6 — firmware feature-complete
Le firmware est feature-complete et démontré en environnement représentatif, ce qui correspond au TRL 6. Le TRL mesure la maturité d'ingénierie ; ce n'est pas une certification, et nous le citons exactement pour ce qu'il est.
Chaîne d'approvisionnement conçue dans l'UE
La responsabilité de conception du hardware et du firmware est établie dans l'UE, avec une chaîne d'approvisionnement documentée pour la provenance et l'auditabilité — une exigence de base des marchés publics et de défense en Europe.
security.txt RFC 9116 et divulgation coordonnée
Un fichier security.txt conforme à la RFC 9116 et une politique de divulgation coordonnée des vulnérabilités sont publiés et opérationnels aujourd'hui, avec des fenêtres définies d'accusé de réception et de divulgation.
En cours et visé
Aucun élément de cette section n'est détenu aujourd'hui. Les validations formelles sont des processus longs et coûteux : chacune démarre lorsque le jalon de financement ou de pilote qui la justifie est atteint. Nous énonçons cette dépendance ouvertement plutôt que de laisser supposer des progrès qui n'ont pas eu lieu.
Validation algorithmique CAVP
Validation indépendante de l'implémentation ML-KEM-1024 dans le Cryptographic Algorithm Validation Program du NIST — confirmation par un tiers des vecteurs que notre CI impose déjà, et prérequis pour FIPS 140-3.
Validation de module FIPS 140-3
Validation formelle du module cryptographique complet — rôles, interfaces, gestion des clés, sécurité physique — par un laboratoire accrédité. Elle va bien au-delà de la conformité algorithmique et commence après la CAVP.
Évaluation Common Criteria
Évaluation du produit selon les Common Criteria. Le périmètre et le niveau d'assurance seront fixés avec les premiers clients institutionnels, afin que la configuration évaluée corresponde aux déploiements réels.
Certification ISO 27001
Certification du système de management de la sécurité de l'information de BCrypto selon ISO 27001. La préparation avance en parallèle du produit ; l'audit lui-même est planifié en fonction des jalons de croissance de l'entreprise.
Qualification d'interopérabilité STANAG de l'OTAN
Qualification au regard des exigences d'interopérabilité STANAG applicables. Cette étape suit les pilotes menés par les clients : ce sont les nations acheteuses qui déterminent les normes et régimes d'essai applicables ; les pilotes viennent donc nécessairement d'abord.
Préparation au CRA de l'UE
Alignement du produit et des processus sur le Cyber Resilience Act (CRA) de l'UE avant ses dates d'application — évaluation de conformité, gestion des vulnérabilités et obligations de mise à jour.
Cartographie d'alignement NIS2
Une cartographie documentée de la manière dont les déploiements Q-Audion soutiennent les obligations NIS2 de nos clients. BCrypto n'est pas ici l'entité réglementée ; cette cartographie existe pour raccourcir le travail de conformité de nos clients.
La conformité algorithmique n'est pas la validation de module
La conformité algorithmique FIPS 203 n'est pas la validation de module FIPS 140-3. La première signifie que notre implémentation ML-KEM-1024 produit les résultats standardisés — vérifiés à chaque build par une CI conditionnée par les KAT. La seconde est une évaluation formelle et distincte du module cryptographique complet par un laboratoire accrédité. BCrypto détient la première aujourd'hui ; la seconde est en feuille de route, pas encore acquise.
Chaque affirmation datée de cette page est revue trimestriellement. Le travail de certification est séquencé selon des jalons de financement et de pilotes ; lorsqu'un jalon bouge, l'entrée est mise à jour plutôt que de laisser supposer des progrès qui n'ont pas eu lieu.
Prêt à sécuriser votre souveraineté numérique ?
Rejoignez la révolution européenne de la sécurité post-quantique. Contactez notre équipe pour des partenariats institutionnels et des collaborations stratégiques.