La France impose l’adoption de la cryptographie résistante aux ordinateurs quantiques d’ici 2030

La France franchit une étape décisive dans la préparation à l’ère quantique. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé qu’à partir de 2027, elle refusera de certifier tout produit ou service de sécurité ne disposant pas de mécanismes de chiffrement résistants aux attaques des futurs ordinateurs quantiques. L’objectif est clair : généraliser l’usage de la cryptographie post-quantique dans les infrastructures critiques et les systèmes gouvernementaux d’ici 2030. Cette décision s’inscrit dans une stratégie plus large de souveraineté technologique et de protection des données sensibles face à une menace désormais considérée comme imminente par les experts.

L’annonce a été officialisée lors du sommet France Quantum 2026 par Samih Souissi, directeur de cabinet de l’ANSSI. Cette mesure marque un tournant dans la politique de cybersécurité française, car la certification ANSSI est un prérequis indispensable pour toute solution destinée aux administrations publiques et aux opérateurs d’importance vitale (OIV). Sans cette certification, les entreprises perdront l’accès aux marchés publics et aux contrats gouvernementaux. Pour les acteurs du secteur, cela signifie qu’ils doivent dès à présent intégrer des algorithmes de chiffrement post-quantique dans leurs offres, sous peine d’exclusion progressive des appels d’offres nationaux. La transition ne se limite pas à une exigence technique : elle engage aussi une refonte des processus de développement, des cycles de maintenance et des stratégies commerciales des éditeurs de logiciels et des fabricants de matériel.

Une réponse à l’urgence quantique

Le calendrier fixé par l’ANSSI n’est pas arbitraire. Il s’aligne sur les directives américaines, notamment celles de la National Security Agency (NSA), qui impose depuis 2025 l’utilisation de sa suite d’algorithmes résistants aux quantiques, CNSA 2.0, pour tous les systèmes relevant de la sécurité nationale. Aux États-Unis, l’échéance pour l’adoption complète est fixée à 2030, avec une obligation d’intégration des nouveaux algorithmes dès 2027 pour les systèmes nouvellement acquis. La France, en adoptant un calendrier similaire, renforce sa position dans l’écosystème international de la cybersécurité et évite un décalage technologique qui pourrait affaiblir sa souveraineté numérique.

Cette synchronisation entre les deux grandes puissances occidentales reflète une prise de conscience mondiale : les ordinateurs quantiques, même s’ils n’existent pas encore à grande échelle, représentent une menace existentielle pour les infrastructures cryptographiques actuelles. Les algorithmes asymétriques comme RSA ou ECC, largement utilisés pour sécuriser les communications et les transactions, seraient vulnérables à l’algorithme de Shor, capable de factoriser rapidement de grands nombres. Sans protection, les données chiffrées aujourd’hui pourraient être interceptées et déchiffrées demain par des acteurs malveillants disposant de ressources quantiques. L’ANSSI souligne que cette transition n’est pas seulement une question de sécurité, mais aussi de gouvernance, d’industrialisation et de planification stratégique.

Quels secteurs seront concernés ?

La portée de cette décision est vaste. L’obligation de certification ANSSI s’applique à tous les produits et services utilisés par les administrations publiques, les opérateurs d’importance vitale (énergie, santé, transports, banques, etc.) et les infrastructures critiques. Cela inclut les solutions de chiffrement, les protocoles de communication sécurisés, les systèmes de gestion des identités et des accès, ainsi que les plateformes de cloud souverain. Les entreprises privées qui souhaitent vendre à l’État ou collaborer avec des acteurs publics devront donc adapter leurs offres pour répondre aux nouveaux critères.

Les conséquences se feront sentir bien au-delà des frontières françaises. De nombreux pays et organisations internationales s’appuient sur les certifications ANSSI comme référence en matière de cybersécurité. Une adoption généralisée de la cryptographie post-quantique en France pourrait donc servir de modèle à d’autres agences européennes, accélérant ainsi la transition à l’échelle continentale. Les fournisseurs de solutions de sécurité, qu’ils soient locaux ou internationaux, devront donc anticiper cette demande et proposer des produits compatibles pour ne pas perdre de parts de marché en Europe.

Les défis techniques et économiques de la transition

Passer à la cryptographie post-quantique représente un défi majeur pour les éditeurs de logiciels et les fabricants de matériel. Contrairement aux algorithmes classiques, les solutions post-quantiques reposent souvent sur des approches mathématiques différentes, comme les réseaux euclidiens, les codes correcteurs d’erreurs ou les signatures basées sur les hachages. Cela nécessite une refonte partielle des infrastructures existantes, avec des implications sur les performances, la compatibilité et la gestion des clés.

Les premiers tests montrent que certains algorithmes post-quantiques, comme CRYSTALS-Kyber pour le chiffrement ou CRYSTALS-Dilithium pour les signatures, peuvent entraîner une augmentation de la taille des clés ou des temps de calcul plus longs. Pour les systèmes embarqués ou les applications mobiles, ces surcoûts peuvent poser problème. Les entreprises devront donc évaluer soigneusement le compromis entre sécurité et performance, tout en garantissant une interopérabilité avec les systèmes existants. Cette transition représente également un investissement financier important, notamment pour les PME qui devront former leurs équipes et adapter leurs outils.

Comment les entreprises peuvent-elles se préparer ?

Pour les acteurs concernés, la première étape consiste à identifier les produits et services qui seront impactés par la nouvelle réglementation. Une analyse de risque doit être menée pour déterminer quels systèmes utilisent des algorithmes vulnérables et quelles données doivent être protégées en priorité. Les entreprises peuvent ensuite se tourner vers des solutions déjà certifiées ou en cours de certification par l’ANSSI, comme celles proposées par des acteurs français ou européens spécialisés dans la cryptographie post-quantique.

Des initiatives comme le projet européen OpenQKD ou les programmes de recherche financés par l’État français offrent des ressources et des partenariats pour faciliter cette transition. Les développeurs doivent se former aux nouveaux standards, notamment ceux publiés par le NIST (National Institute of Standards and Technology) aux États-Unis, qui a finalisé plusieurs algorithmes post-quantiques en 2024. Des frameworks open source, comme Liboqs ou OpenQuantumSafe, permettent déjà d’intégrer ces algorithmes dans des applications existantes. Enfin, une veille technologique constante est indispensable, car les normes et les meilleures pratiques évoluent rapidement dans ce domaine.

Un enjeu de souveraineté technologique

Au-delà de la sécurité, cette décision s’inscrit dans une logique de souveraineté numérique. La France et l’Europe cherchent à réduire leur dépendance aux technologies étrangères, notamment américaines et chinoises, dans un domaine aussi stratégique que la cryptographie. En imposant ses propres standards et en accélérant l’adoption de solutions locales, l’ANSSI encourage l’émergence d’un écosystème européen de la cryptographie post-quantique. Cela pourrait favoriser l’émergence de champions technologiques capables de rivaliser avec les géants américains et asiatiques.

Cette approche rejoint les objectifs du Digital Europe Programme et du European Quantum Flagship, qui visent à renforcer l’autonomie stratégique de l’UE dans les technologies quantiques. Les investissements publics dans la recherche et le développement, couplés à des incitations réglementaires, devraient permettre à la France et à l’Europe de combler une partie de leur retard face aux États-Unis et à la Chine. Cependant, la réussite de cette transition dépendra aussi de la capacité des acteurs industriels à innover rapidement et à collaborer efficacement.

Ce que les utilisateurs finals doivent savoir

Pour les particuliers et les entreprises qui ne sont pas directement concernés par la certification ANSSI, cette transition aura des répercussions indirectes mais significatives. Les services en ligne, les applications bancaires, les plateformes de messagerie et les outils de collaboration devront progressivement intégrer des mécanismes de chiffrement post-quantique pour garantir la confidentialité des données à long terme. Les utilisateurs peuvent s’attendre à des mises à jour logicielles régulières, avec des changements parfois invisibles mais essentiels pour la sécurité future.

Il est conseillé de privilégier les services qui affichent une politique transparente de mise à jour des algorithmes de chiffrement. Les utilisateurs professionnels, notamment ceux qui manipulent des données sensibles, devraient exiger des garanties de leurs fournisseurs quant à leur conformité avec les nouvelles normes. Enfin, cette transition est l’occasion de renforcer les bonnes pratiques en matière de cybersécurité : gestion des mots de passe, authentification multifactorielle et sauvegardes régulières restent des piliers incontournables, même à l’ère post-quantique.

La transition vers la cryptographie post-quantique est désormais une réalité incontournable. En fixant des échéances claires et en imposant des exigences strictes, la France envoie un signal fort à l’industrie et à ses partenaires internationaux. Pour les entreprises, l’enjeu est double : se conformer aux nouvelles réglementations tout en saisissant l’opportunité de moderniser leurs infrastructures. Pour les utilisateurs, cette évolution garantit une meilleure protection des données à long terme, même face aux menaces futures. L’horizon 2030 approche rapidement : ceux qui auront anticipé cette transition seront les mieux armés pour naviguer dans l’ère quantique.