Le 16 juin 2026, lors de la conférence France Quantum à Paris, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a posé une date butoir qui va forcer toute l’industrie de la cybersécurité à accélérer sa migration : à partir de 2027, l’ANSSI cessera de certifier les produits de sécurité qui n’intègrent pas de chiffrement résistant aux ordinateurs quantiques. Les entreprises ont jusqu’en 2030 pour n’acheter que des solutions quantiques-sûres. Cette décision, inédite en Europe, transforme une recommandation technique en obligation réglementaire de facto pour tout acteur souhaitant vendre aux administrations françaises ou aux opérateurs d’importance vitale.
Ce que l’ANSSI a annoncé le 16 juin 2026
Samih Souissi, chef de cabinet de l’ANSSI, a pris la parole devant les participants de la conférence France Quantum pour formuler une position sans ambiguïté : l’agence cessera d’accorder ses certifications aux produits de sécurité dépourvus de chiffrement post-quantique à compter de 2027. La formule qu’il a employée résume l’ampleur du défi : “Ce n’est pas seulement une question technique. C’est une question de gouvernance, de planification industrielle, de régulation et de souveraineté.”
La portée concrète de cette annonce est immédiate. La certification ANSSI est une condition sine qua non pour qu’un produit soit utilisé dans les ministères, les services de l’État et les opérateurs d’importance vitale (OIV). En cessant de certifier les solutions non-PQC, l’agence ferme l’accès au marché public français à tout éditeur qui ne s’est pas mis en conformité. Il ne s’agit plus d’une invitation à la transition, mais d’un signal de marché contraignant.
L’annonce a été rapportée par Reuters le 16 juin 2026, soulignant son impact international. Des fabricants américains, asiatiques et européens qui commercialisent des pare-feux, des VPN, des passerelles de chiffrement ou des modules de sécurité matériels (HSM) à destination de la France devront désormais intégrer des algorithmes post-quantiques validés pour conserver leur éligibilité à la certification.
La menace quantique : “harvest now, decrypt later” expliquée
Pour comprendre pourquoi l’ANSSI agit maintenant, il faut saisir la logique de l’attaque dite “harvest now, decrypt later” (HNDL, collecter maintenant, déchiffrer plus tard). Le principe est simple : un adversaire étatique ou criminel intercepte et stocke dès aujourd’hui des flux chiffrés, par exemple des communications diplomatiques, des dossiers médicaux ou des transferts bancaires. Ces données sont illisibles avec les ordinateurs classiques d’aujourd’hui. Elles deviennent lisibles le jour où un ordinateur quantique suffisamment puissant est disponible pour casser les clés RSA ou ECDSA utilisées.
Jerry Chow, directeur de la recherche en informatique quantique chez IBM, a estimé lors de la conférence France Quantum que cette menace pourrait se matérialiser dès le milieu des années 2030. IBM dispose actuellement de processeurs quantiques dépassant 1 000 qubits, et la progression est rapide. Les calculs les plus optimistes des cryptologues, basés sur l’algorithme de Shor, indiquent qu’une clé RSA-2048 pourrait être cassée avec environ 4 000 qubits logiques stables, un seuil que plusieurs feuilles de route industrielles visent dans la prochaine décennie.
La startup française Qperfect, spécialisée dans les logiciels de simulation quantique, a averti que l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm), massivement utilisé dans la blockchain, les certificats TLS et les tokens JWT, pourrait être parmi les premiers systèmes compromis. ECDSA repose sur la difficulté du problème du logarithme discret sur courbe elliptique, un problème que l’algorithme de Shor résout en temps polynomial sur un ordinateur quantique.
Pourquoi RSA, ECDSA et ECC sont dans le viseur
Toute la cryptographie à clé publique classique repose sur la difficulté de deux problèmes mathématiques : la factorisation des grands entiers (RSA) et le logarithme discret (ECDSA, DH, ECDH). Ces deux problèmes sont résolus efficacement par l’algorithme de Shor sur un ordinateur quantique. L’ensemble de l’infrastructure cryptographique mondiale basée sur RSA-2048, RSA-4096, P-256, P-384, secp256k1 ou X25519 devient donc théoriquement vulnérable à terme.
La cryptographie symétrique est beaucoup moins exposée. L’algorithme de Grover réduit la sécurité effective d’AES-256 de 256 bits à 128 bits, ce qui reste largement suffisant. C’est pourquoi l’ANSSI, comme le NIST américain, ne remet pas en cause AES-256 ou SHA-3, mais cible exclusivement la cryptographie asymétrique : les échanges de clés et les signatures numériques.
| Algorithme | Usage courant | Vulnérable au quantique ? | Solution PQC recommandée |
|---|---|---|---|
| RSA-2048 / RSA-4096 | Chiffrement, signatures PKI | Oui (algorithme de Shor) | ML-KEM (Kyber), ML-DSA (Dilithium) |
| ECDSA (P-256, secp256k1) | TLS, JWT, blockchain | Oui (algorithme de Shor) | FN-DSA (FALCON), SLH-DSA (SPHINCS+) |
| ECDH / X25519 | Échange de clés TLS 1.3 | Oui (algorithme de Shor) | ML-KEM en mode hybride |
| AES-256 | Chiffrement symétrique | Non (Grover réduit de moitié, reste sûr) | Aucun changement requis |
| SHA-256 / SHA-3 | Hachage, HMAC | Non (légèrement affaibli, reste sûr) | SHA-384 ou SHA-512 si marge souhaitée |
Les normes post-quantiques que l’ANSSI reconnaît
En août 2024, le NIST a finalisé trois normes post-quantiques issues de son processus de standardisation lancé en 2016 : ML-KEM (CRYSTALS-Kyber), ML-DSA (CRYSTALS-Dilithium) et SLH-DSA (SPHINCS+). Un quatrième standard, FN-DSA (FALCON), a également été publié. Ces normes constituent le socle technique sur lequel l’ANSSI et l’Europe fondent leurs recommandations.
L’ANSSI avait publié un premier avis sur la migration PQC en 2022, actualisé en 2023. Cet avis préconisait une approche hybride : combiner un algorithme pré-quantique classique (RSA ou ECDH) avec un algorithme post-quantique supplémentaire. Cette hybridation protège contre deux scénarios opposés, à savoir une faiblesse imprévue dans un algorithme PQC encore récent, ou l’avènement d’un ordinateur quantique plus tôt que prévu. La logique est la même que celle d’une ceinture portée avec des bretelles.
En pratique, une connexion TLS 1.3 compatible PQC utilisera à la fois X25519 (ECDH classique) et ML-KEM-768 pour l’échange de clés. Chrome, Firefox et les principales bibliothèques cryptographiques, dont OpenSSL 3.5 et BoringSSL, supportent déjà ces combinaisons hybrides en 2026.
Le calendrier ANSSI : 2027, 2030, et au-delà
La feuille de route qui se dégage des annonces de l’ANSSI et des textes européens est articulée en trois grandes échéances :
- 2027 : L’ANSSI cesse de délivrer de nouvelles certifications aux produits sans composante PQC. Les certifications existantes restent valides jusqu’à leur date d’expiration, mais leur renouvellement sera conditionné à la conformité PQC.
- 2030 : Samih Souissi a fixé cette date comme horizon pour que les entreprises n’achètent plus que des produits quantiques-sûrs. Les cas d’usage à haut risque (communications classifiées, systèmes de paiement critiques, infrastructures d’énergie) doivent avoir migré.
- 2035 : Le calendrier européen coordonné par la Commission et l’ENISA vise une transition complète pour l’ensemble des systèmes, dans la limite de ce qui est techniquement faisable.
Pour les OIV et les administrations, ce calendrier n’est pas indicatif. L’ANSSI peut conduire des audits et des inspections, et l’absence de certifications valides pour des produits critiques expose les entités concernées à des mises en demeure. La pression réglementaire est réelle, même si aucune sanction pécuniaire directe n’est aujourd’hui attachée au seul critère de non-conformité PQC.
Impact sur les entreprises et les opérateurs d’importance vitale
En France, les opérateurs d’importance vitale couvrent 12 secteurs : énergie, télécommunications, santé, finance, transports, défense et autres. Ces organisations sont légalement tenues d’utiliser des produits de sécurité qualifiés ou certifiés par l’ANSSI pour protéger leurs systèmes les plus sensibles. L’annonce du 16 juin 2026 crée donc une pression de mise en conformité directe sur plusieurs milliers d’organisations.
Pour les éditeurs de solutions de cybersécurité, l’enjeu est commercial autant que technique. Un pare-feu, un VPN ou un HSM non certifié ANSSI perd l’accès au marché public français et aux appels d’offres des OIV. Selon SafeLogic, spécialisé dans les certifications cryptographiques, la migration vers le PQC pour une grande entreprise représente un projet de 18 à 36 mois, impliquant l’inventaire de toutes les dépendances cryptographiques, la mise à jour des bibliothèques, la revalidation des modules et les tests de performance.
SafeLogic recommande une approche en quatre étapes : “Construire une agilité cryptographique, cartographier les dépendances cryptographiques, prioriser les systèmes avec des besoins de sécurité à long terme, et adopter des implémentations validées qui résistent à l’examen des clients et des régulateurs.” Cette agilité cryptographique, c’est la capacité d’un système à changer d’algorithme sans refonte complète de l’architecture, un prérequis pour toute organisation qui veut migrer sereinement d’ici 2030.
La position de l’Europe face à la menace quantique
La France n’agit pas en solitaire. Le 23 juin 2025, les États membres de l’Union européenne, avec le soutien de la Commission, ont adopté une feuille de route coordonnée pour la transition PQC :
- 31 décembre 2026 : Chaque État membre doit avoir publié sa stratégie nationale de transition PQC et réalisé les premières étapes d’identification et de sensibilisation.
- 31 décembre 2030 : Les cas d’usage à haut risque doivent avoir migré vers des algorithmes post-quantiques, avec le PQC activé par défaut dans les nouvelles installations.
- 31 décembre 2035 : Transition complète pour l’ensemble des systèmes dans la limite du faisable.
L’ENISA, l’agence européenne pour la cybersécurité, recommande explicitement les mécanismes hybrides PQ/T (post-quantique et classique) pour éviter les risques liés à de nouvelles vulnérabilités éventuelles dans les algorithmes PQC récents. L’événement Cyber Europe 2026, lancé le 11 juin 2026, s’inscrit dans ce contexte de planification collective de la résilience européenne.
L’annonce française anticipe la deadline européenne du 31 décembre 2026 pour les feuilles de route nationales. En fixant 2027 comme date de début pour ses certifications PQC, l’ANSSI place la barre plus haut que le calendrier européen et envoie un signal aux autres agences. L’Allemagne (BSI) et les Pays-Bas (NCSC-NL) ont publié des orientations similaires, mais sans l’échéance contraignante que représente la suspension des certifications.
Ce que font les États-Unis : NIST et NSA CNSA 2.0
Les États-Unis ont pris de l’avance sur le calendrier institutionnel. La NSA a publié en 2022 sa suite CNSA 2.0 (Commercial National Security Algorithm Suite), qui fixe des dates précises de migration pour les systèmes de sécurité nationale :
- 2025 : Nouvelles signatures de logiciels et firmware, navigateurs web, serveurs cloud.
- 2026 : Équipements réseau traditionnels (VPN, routeurs).
- 2027 : Nouveaux systèmes d’exploitation, accès réseau sécurisé.
- 2030 : Systèmes de communication classifiés et plateformes de défense.
La décision de l’ANSSI en 2027 pour les VPN et les produits réseau s’aligne précisément sur le calendrier NSA pour les équipements réseau. Ce n’est pas une coïncidence : les agences occidentales coordonnent leurs signaux pour éviter qu’un marché fragmenté ne retarde la transition globale. Le NIST, avec ses standards ML-KEM, ML-DSA et SLH-DSA publiés en 2024, fournit le socle algorithmique commun.
Comparatif des exigences PQC mondiales
| Pays / Organisation | Autorité | Date clé | Nature de l’obligation | Secteurs ciblés |
|---|---|---|---|---|
| France | ANSSI | 2027 | Fin des certifications sans PQC (contraignant) | Gouvernement, OIV |
| Union européenne | ENISA / Commission | 2030 | Systèmes à haut risque migrés (coordonné) | Tous secteurs critiques |
| États-Unis | NSA (CNSA 2.0) | 2026-2030 | Migration progressive par type (mandatoire NSS) | Défense, gouvernement fédéral |
| Allemagne | BSI | 2026 | Recommandations PQC publiées (indicatif) | Industrie, administration |
| Australie | ASD | 2028-2035 | Inventaire 2028, migration critique 2031 (planifié) | Gouvernement, infrastructure |
L’impact sur le marché de la cybersécurité
La décision de l’ANSSI va redistribuer les cartes sur le marché français et européen de la cybersécurité. Les éditeurs qui ont investi tôt dans la PQC, comme Thales, PQShield ou IBM, se trouvent en position avantageuse. À l’inverse, les fournisseurs dont les produits reposent exclusivement sur RSA et ECDSA classiques doivent lancer des mises à jour majeures sous peine de perdre leur éligibilité aux marchés publics.
Le marché mondial de la cryptographie post-quantique est en forte croissance, porté précisément par ce type de pression réglementaire. Pour la France seule, les investissements cumulés en mise en conformité PQC pour l’ensemble des OIV et administrations pourraient représenter plusieurs centaines de millions d’euros sur la période 2026-2030.
Les acteurs les plus exposés à court terme sont les fournisseurs de HSM, de VPN d’entreprise, de pare-feux nouvelle génération et d’infrastructures PKI. Ces produits, au coeur de la gestion des clés et des certificats, doivent être mis à jour ou remplacés pour intégrer ML-KEM et ML-DSA. Les éditeurs de solutions de gestion de certificats, comme DigiCert ou Sectigo, proposent déjà des certificats hybrides PQC/classique en 2025-2026, anticipant la demande.
Comment migrer vers le chiffrement post-quantique
La migration PQC n’est pas un simple remplacement d’algorithme. C’est une transformation de l’architecture cryptographique d’un système. Les experts du secteur s’accordent sur une méthodologie en plusieurs phases.
Phase 1 : inventaire et cartographie cryptographique
Avant toute migration, il faut identifier l’ensemble des bibliothèques cryptographiques utilisées, des protocoles (TLS, SSH, IPsec, S/MIME), des certificats et des clés. Des outils comme le CBOM (Cryptography Bill of Materials) proposé par IBM permettent de générer automatiquement cet inventaire dans des bases de code complexes. Sans cette étape, la migration risque de laisser des angles morts vulnérables.
Phase 2 : priorisation par niveau de risque
Tous les systèmes ne présentent pas le même niveau d’exposition. Les communications contenant des données à durée de vie longue (données médicales, secrets industriels, informations diplomatiques) doivent migrer en premier. À l’inverse, un site web institutionnel sans données sensibles peut attendre une mise à jour de routine.
Phase 3 : déploiement en mode hybride
L’ANSSI recommande de ne pas basculer directement vers un algorithme PQC seul. Le mode hybride (X25519 + ML-KEM-768 pour TLS, ou ECDSA + ML-DSA pour les signatures) offre une protection maximale pendant la période de transition. Les bibliothèques OpenSSL 3.5, liboqs et BoringSSL permettent ce déploiement sans refonte complète de l’architecture existante.
Les défis techniques de la transition
La transition vers le PQC comporte des obstacles techniques réels. Les algorithmes post-quantiques produisent des clés et des signatures plus volumineuses que leurs équivalents classiques. Une clé publique ML-KEM-768 fait 1 184 octets, contre 65 octets pour une clé ECDH P-256. Une signature ML-DSA-65 fait 3 309 octets, contre 64 octets pour une signature Ed25519.
Ces différences de taille ont un impact sur la bande passante, les délais de handshake TLS, la taille des certificats et la capacité des systèmes embarqués. Dans un contexte IoT ou de carte à puce, ces contraintes peuvent imposer des arbitrages architecturaux importants. FN-DSA (FALCON), plus compact (897 octets de signature pour le niveau 512), est souvent préféré dans ces contextes, mais son implémentation correcte et sécurisée contre les attaques temporelles est plus complexe.
Les performances de calcul, en revanche, ne posent pas de problème sur les serveurs modernes. ML-KEM-768 génère et encapsule des clés en quelques microsecondes sur un processeur x86-64, sans impact mesurable sur le débit des connexions TLS à haute fréquence. La contrainte principale reste donc la taille des messages, pas la vitesse de calcul.
5 prédictions pour la période 2026-2030
Sur la base des annonces réglementaires, des feuilles de route industrielles et de l’état de l’art quantique, voici cinq évolutions probables :
- Fin 2026 : L’ANSSI publiera une liste officielle des algorithmes PQC approuvés pour ses certifications, incluant ML-KEM, ML-DSA, SLH-DSA et FN-DSA, avec les niveaux de sécurité minimaux acceptés (niveau 3 NIST, équivalent 128 bits classiques).
- 2027-2028 : L’Allemagne (BSI) et les Pays-Bas (NCSC-NL) adopteront des mesures contraignantes similaires à celles de l’ANSSI, créant une zone de certification PQC harmonisée en Europe occidentale.
- 2028 : Les fournisseurs de solutions PKI commenceront à émettre exclusivement des certificats hybrides (ECDSA + ML-DSA) pour les certificats de longue durée, rendant obsolètes les certificats RSA-only dans les nouvelles PKI d’entreprise.
- 2029-2030 : Les blockchains gouvernementales et les registres distribués utilisés par les États membres de l’UE remplaceront ECDSA par FN-DSA ou ML-DSA, sous l’impulsion du règlement eIDAS 2.0 et des exigences de l’ANSSI.
- Après 2030 : Un premier incident de type HNDL sera rendu public, révélant que des communications chiffrées en RSA collectées dans les années 2020 ont été déchiffrées par un acteur étatique disposant de capacités quantiques. Cet événement accélérera les migrations encore en retard dans les secteurs moins exposés.
Couverture connexe
Pour approfondir les sujets liés à cette actualité :
- Kyber vs Dilithium : 1 Ko vs 3,3 Ko, le duel PQC : comparatif technique des deux principaux algorithmes post-quantiques standardisés par le NIST.
- OpenSSL : clés et certificats en 12 étapes : guide pratique pour générer et gérer des clés cryptographiques, base indispensable avant d’intégrer les variantes PQC.
- DORA : 3 383 incidents TIC dans la finance UE : comment le règlement DORA impose une résilience opérationnelle qui inclut la conformité cryptographique.
- Let’s Encrypt + Nginx : HTTPS en 12 étapes : les fondamentaux du déploiement TLS, première couche à mettre à niveau lors de la migration PQC.
- Faille IDOR : 31 millions de comptes publics exposés : le contexte des vulnérabilités françaises qui rend urgente la modernisation cryptographique des services publics.
Sources
Cette analyse s’appuie sur les sources primaires suivantes : l’annonce Reuters du 16 juin 2026 sur la décision de l’ANSSI, la page officielle de l’ANSSI sur la cryptographie post-quantique, l’analyse de SafeLogic sur les implications pratiques de la politique française, la feuille de route PQC de PQShield comparant les exigences mondiales, et les publications de l’ENISA sur la résilience cybernétique européenne.
FAQ : ANSSI et chiffrement post-quantique
Qu’est-ce qu’une certification ANSSI et pourquoi est-elle importante ?
La certification ANSSI est la reconnaissance officielle qu’un produit de cybersécurité a été évalué par un laboratoire indépendant accrédité (CESTI) et respecte un niveau de sécurité défini. Elle est obligatoire pour les produits utilisés dans les ministères français et les opérateurs d’importance vitale. Sans cette certification, un éditeur ne peut pas accéder à ces marchés.
À partir de quelle date l’ANSSI cessera-t-elle de certifier les produits non-PQC ?
L’ANSSI a annoncé qu’elle cessera d’accorder de nouvelles certifications à des produits sans chiffrement résistant aux ordinateurs quantiques à partir de 2027. Les certifications existantes restent valides jusqu’à leur expiration, mais leur renouvellement sera conditionné à la conformité PQC.
Quels algorithmes cryptographiques sont visés par cette mesure ?
La mesure cible la cryptographie asymétrique classique : RSA (toutes longueurs de clé), ECDSA (toutes courbes), ECDH et DH. Ces algorithmes sont vulnérables à l’algorithme de Shor sur un ordinateur quantique. La cryptographie symétrique (AES-256) et les fonctions de hachage (SHA-256, SHA-3) ne sont pas concernées par cette obligation.
Quels algorithmes post-quantiques l’ANSSI recommande-t-elle ?
L’ANSSI s’aligne sur les normes NIST publiées en 2024 : ML-KEM (CRYSTALS-Kyber) pour l’échange de clés, ML-DSA (CRYSTALS-Dilithium) et FN-DSA (FALCON) pour les signatures numériques, et SLH-DSA (SPHINCS+) comme alternative basée sur les fonctions de hachage. L’agence préconise des mécanismes hybrides combinant un algorithme classique et un algorithme PQC pendant la période de transition.
Ma PME est-elle concernée par cette décision ?
Directement, non, si votre PME ne vend pas de produits de sécurité à l’administration ou aux OIV. Indirectement, oui : vos fournisseurs de solutions de cybersécurité (VPN, pare-feu, gestionnaire de mots de passe professionnel) devront mettre à jour leurs produits pour maintenir leur certification. Ces mises à jour vous seront proposées sous forme de nouvelles versions ou de migrations de plateforme dans les prochaines années.
Qu’est-ce qu’une attaque “harvest now, decrypt later” ?
C’est une stratégie d’attaque dans laquelle un adversaire intercepte et stocke des communications chiffrées aujourd’hui, dans l’espoir de les déchiffrer plus tard à l’aide d’un ordinateur quantique. Les données chiffrées avec RSA ou ECDSA collectées en 2026 pourraient théoriquement être déchiffrées dans les années 2030. C’est pourquoi la migration PQC est urgente même si les ordinateurs quantiques cryptographiquement pertinents n’existent pas encore.
Quel est le lien entre cette décision et la stratégie européenne ?
La décision française anticipe et dépasse le calendrier européen coordonné adopté en juin 2025, qui fixe la migration des systèmes à haut risque à fin 2030 et la transition complète à fin 2035. En agissant dès 2027 sur les certifications, l’ANSSI fait de la France le pays européen le plus avancé en matière d’exigences PQC contraignantes, et envoie un signal aux autres agences nationales (BSI, NCSC-NL, CCN) pour accélérer leurs propres calendriers.
Combien de temps prend une migration PQC pour une grande organisation ?
Selon les experts de SafeLogic et les retours d’expérience des premières organisations ayant lancé leur transition, une migration PQC complète pour une grande entreprise prend 18 à 36 mois. La phase d’inventaire cryptographique seule peut nécessiter 3 à 6 mois dans les organisations complexes. Les organisations qui commencent en 2026-2027 arriveront à temps pour le deadline 2030 de l’ANSSI.
