fr.wedoany.com Rapport : Samih Souissi, directeur du bureau de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France, a récemment précisé deux échéances obligatoires : à partir de 2027, la certification des produits ne comportant pas de composants de cryptographie post-quantique (PQC) cessera ; à partir de 2030, les achats publics et privés n'accepteront que des solutions résistantes aux attaques quantiques. La certification de cette agence est obligatoire pour toutes les institutions gouvernementales françaises et les opérateurs d'infrastructures critiques, notamment dans les domaines de la défense et de l'armement.
Ces deux échéances marquent l'abandon réglementaire des algorithmes classiques tels que RSA et ECC. Samih Souissi souligne qu'il ne s'agit pas seulement d'une question technique, mais aussi de gouvernance, de planification industrielle, de réglementation et de souveraineté. Dès 2022, l'ANSSI a publié ses premières recommandations PQC. Une étude menée en mars 2025 auprès de 38 organisations montre qu'aucune n'a élaboré de plan de transition, et que les analyses de risques sont « non lancées, non planifiées et non budgétisées ». Plus de la moitié des organisations adoptent des pratiques vulnérables à la menace « collecter maintenant, déchiffrer plus tard », par exemple en utilisant des VPN pour transmettre des données sensibles devant rester confidentielles pendant plus de dix ans. Jerry Chow, cadre d'IBM, a indiqué lors d'une conférence quantique en France que cette menace devrait apparaître vers le milieu des années 2030. La start-up Qperfect prévient que l'algorithme ECDSA, largement utilisé dans les domaines de la blockchain et des cryptomonnaies, pourrait être le premier à être compromis.
La France a lancé un programme quantique de 3 milliards d'euros. L'Institut national des normes et de la technologie (NIST) des États-Unis a défini les premières normes PQC en août 2024 ; la Commission européenne a publié en juin 2025 une feuille de route pour une transition coordonnée entre les États membres.
Face à l'ultimatum de l'ANSSI, l'industrie a commencé à agir. En octobre 2025, après une évaluation menée par Thales et Samsung au Commissariat à l'énergie atomique et aux énergies alternatives - Institut de recherche technologique (CEA-Leti), les premières certifications PQC selon les Critères Communs (CC) ont été obtenues en France. La carte à puce MultiApp 5.2 Premium PQC de Thales est utilisée pour sécuriser les documents d'identité, les permis de conduire, les cartes d'assurance maladie, etc. ; le microcontrôleur S3SSE2A de Samsung intègre le schéma de signature ML-DSA et a reçu un prix dans la catégorie cybersécurité au CES 2026. Des laboratoires tels qu'Amossys, Quarkslab, Synacktiv et Serma Safety & Security sont en cours de certification par l'ANSSI. Pascal Brier, directeur de l'innovation chez Capgemini, indique que les banques et les services publics évaluent déjà les changements nécessaires : « Ce marché est en croissance, il deviendra très important. » Fanny Bouton, responsable quantique chez OVHcloud, mentionne que les normes européennes et américaines augmentent simultanément, obligeant les entreprises à relever le double défi de l'audit des produits et de la protection des données. Pour les produits ne contenant que des algorithmes classiques RSA et ECDSA, les fournisseurs devront ajouter des composants PQC dans un délai de deux ans, sous peine de perdre l'accès au marché public. Les fabricants de modules de sécurité matériels (HSM), de VPN d'entreprise, de pare-feu de nouvelle génération et d'infrastructures de gestion de clés sont les plus exposés à court terme.
Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com
