À partir de 2027, l’ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant aux ordinateurs quantiques. Annoncé récemment à la conférence France Quantum, ce calendrier oblige administrations françaises et opérateurs d’importance vitale à engager leur migration cryptographique. Les entreprises ont jusqu’en 2030 pour n’acheter que des solutions dites quantum-safe.

Le visa de l'agence est obligatoire pour toutes les administrations françaises et l'ensemble des opérateurs d'importance vitale, notamment dans la défense, l'armement et les organismes gouvernementaux - ©ANSSI droits réservés
Le visa de l'agence est obligatoire pour toutes les administrations françaises et l'ensemble des opérateurs d'importance vitale, notamment dans la défense, l'armement et les organismes gouvernementaux - ©ANSSI droits réservés

Samih Souissi, chef de cabinet de l’ANSSI, a annoncé deux dates lors de la conférence : 2027 pour l’arrêt des certifications aux produits sans cryptographie post-quantique (PQC), 2030 pour que les achats des administrations et des entreprises n’incluent plus que des solutions résistantes.

Le visa de l’agence est obligatoire pour toutes les administrations françaises et l’ensemble des opérateurs d’importance vitale, notamment dans la défense, l’armement et les organismes gouvernementaux.

Ces deux dates programment l’obsolescence réglementaire des algorithmes classiques comme RSA et l’ECC, qui protègent aujourd’hui les communications numériques, des réseaux gouvernementaux aux systèmes bancaires. « Ce n’est pas seulement un sujet de technologies, a déclaré Samih Souissi. C’est une question de gouvernance, de planification industrielle, de régulation et de souveraineté ».

BitdefenderBitdefender
8.4/10

Sponsorisé

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Economisez 30% en ce moment

Sponsorisé

Après ses recommandations en 2022, l’ANSSI impose ses règles

L’agence avait publié ses premières recommandations sur la PQC en 2022. En mars 2025, une étude conduite auprès de 38 bénéficiaires avait révélé qu’aucun plan de transition n’existait et que les travaux d’analyse des risques n’étaient « ni engagés, ni planifiés, ni budgétés » dans la quasi-totalité des organisations sondées. Plus de la moitié présentaient des pratiques vulnérables aux attaques rétroactives, par exemple l’usage de VPN pour transmettre des données sensibles dont la confidentialité doit tenir sur plus de dix ans. C’est ce scénario dit « récolter maintenant, déchiffrer plus tard » qui motive l’urgence du calendrier : des acteurs malveillants interceptent et archivent des données chiffrées aujourd’hui dans l’attente de les déverrouiller dès qu’un ordinateur quantique suffisamment puissant sera disponible. Jerry Chow, cadre chez IBM, a situé cette menace au milieu des années 2030 lors de la conférence France Quantum. La startup Qperfect a averti que l’algorithme ECDSA, norme utilisée dans la blockchain et les cryptomonnaies, pourrait être parmi les premiers systèmes compromis.

La France a lancé un plan de 3 milliards d’euros dédié à la technologie quantique. Le NIST américain a finalisé ses premiers standards PQC en août 2024 ; la Commission européenne a publié en juin 2025 une feuille de route pour une transition coordonnée entre États membres.

Carte à puce de Thales résistant aux attaques quantiques - ©Thales

Thales, Samsung, OVHcloud : les acteurs industriels confrontés aux ultimatums de l’ANSSI

En octobre 2025, Thales et Samsung ont obtenu les premières certifications Critères Communs PQC délivrées en France, à l’issue d’évaluations conduites par le CEA-Leti. La carte à puce MultiApp 5.2 Premium PQC de Thales protège les documents d’identité (cartes nationales, permis de conduire, cartes vitales). Le microcontrôleur S3SSE2A de Samsung, distingué au CES 2026 dans la catégorie cybersécurité, intègre le schéma de signature ML-DSA. D’autres laboratoires sont en cours d’agrément auprès de l’ANSSI : Amossys, Quarkslab, Synacktiv, Serma Safety & Security.

Pascal Brier, directeur de l’innovation chez Capgemini, a indiqué à Reuters que les banques et les services publics évaluent déjà les changements nécessaires. « Ce marché prend de l’ampleur. Il va devenir très important », a-t-il déclaré. Fanny Bouton, responsable du quantique chez OVHcloud, a précisé qu’un acteur français et européen cumule trois contraintes simultanées. « Nous devons relever deux défis : auditer nos produits et sécuriser toutes les données que nous détenons afin de satisfaire aux exigences de l’ANSSI », a-t-elle expliqué, ajoutant que les normes européennes et américaines s’ajoutent en parallèle.

Les fournisseurs dont les produits n’intègrent que RSA et ECDSA classiques ont moins de deux ans pour ajouter une composante PQC, sous peine de perdre leur éligibilité aux marchés publics. Les fabricants de modules de sécurité matériels (HSM), de VPN d’entreprise, de pare-feux nouvelle génération et d’infrastructures de gestion de clés sont les plus exposés à court terme.

Source : Reuters