La France prépare un changement de doctrine en matière de cybersécurité industrielle. Selon les orientations annoncées, l’Agence nationale de la sécurité des systèmes d’information, l’Anssi, compte bloquer à partir de 2027 la certification de produits qui n’intègrent pas de mécanismes de chiffrement post-quantique. Le calendrier vise une adoption généralisée d’ici 2030, ce qui place les fabricants de matériels, d’équipements connectés et de solutions logicielles face à une contrainte réglementaire progressive, mais structurante.
La certification, dans l’écosystème français, sert de repère aux administrations, aux opérateurs d’importance vitale et à de nombreuses entreprises qui s’appuient sur des référentiels nationaux pour qualifier des produits de sécurité, ou des briques techniques intégrées à des systèmes sensibles. En rendant le chiffrement résistant aux attaques quantiques un prérequis, la France cherche à anticiper un risque déjà documenté par les experts, celui du collect now, decrypt later, où des données chiffrées aujourd’hui sont interceptées et conservées, dans l’espoir d’être déchiffrées demain grâce à des capacités quantiques suffisantes.
Le sujet dépasse le débat technologique. Il touche aux chaînes d’approvisionnement, aux cycles de développement, aux coûts de validation, et aux arbitrages entre performance, compatibilité et sécurité. Pour les industriels, l’enjeu se résume à une question concrète, quels produits seront encore certifiables en France à partir de 2027, et quels investissements devront être engagés avant l’échéance de 2030 pour rester éligible aux marchés les plus exigeants.
L’Anssi fixe 2027 pour refuser la certification sans post-quantique
Le principe annoncé est direct, à compter de 2027, l’Anssi prévoit de ne plus certifier les produits qui ne proposent pas de chiffrement post-quantique. La mesure vise la certification, donc l’accès à un label de confiance utilisé dans des appels d’offres et des politiques de sécurité. Elle ne signifie pas une interdiction immédiate de vente, mais elle modifie la capacité d’un produit à être référencé, recommandé ou déployé dans des environnements où la certification est requise.
Derrière ce levier, l’État utilise un mécanisme déjà éprouvé, faire évoluer les exigences de qualification pour orienter le marché. La certification française a souvent servi d’outil de structuration, en imposant des niveaux d’assurance, des tests, des audits de conception et des preuves de robustesse. En introduisant l’exigence post-quantique, le message envoyé aux éditeurs et fabricants est que le cycle de transition doit commencer avant l’arrivée d’ordinateurs quantiques capables de casser les schémas de chiffrement classiques largement déployés.
Pour les entreprises, la difficulté tient au périmètre exact des produits concernés. Les briques cryptographiques peuvent être intégrées à des systèmes d’exploitation, des VPN, des solutions de messagerie, des cartes à puce, des modules matériels de sécurité ou des équipements réseau. Un même produit peut embarquer plusieurs usages de la cryptographie, chiffrement des données, signatures, échanges de clés, authentification, mises à jour sécurisées. La bascule post-quantique ne se résume donc pas à changer un algorithme mais à revoir des protocoles, des bibliothèques, et parfois des composants matériels.
Le calendrier 2027 a aussi un effet sur les cycles de certification eux-mêmes. Obtenir une certification implique des délais de préparation, de tests et d’instruction. Les industriels qui visent des marchés publics ou des secteurs régulés devront intégrer le post-quantique dans leurs versions à certifier suffisamment tôt, sous peine d’arriver hors fenêtre. La contrainte est forte pour les produits à longue durée de vie, comme certains équipements industriels ou systèmes embarqués, dont les mises à jour majeures sont plus rares et plus coûteuses.
Objectif 2030, la France veut généraliser les algorithmes post-quantiques
La cible de 2030 correspond à une adoption complète attendue du post-quantique dans les produits destinés aux usages critiques. Cette date sert de cap politique et industriel. Elle laisse une période de transition où des approches hybrides, combinant cryptographie classique et mécanismes post-quantiques, peuvent être privilégiées pour limiter les risques de compatibilité et sécuriser les migrations.
La logique est celle d’une transformation progressive, commencer par les produits qui entrent en certification à partir de 2027, puis étendre l’exigence à l’ensemble du parc au fil des renouvellements et des mises à jour. Dans de nombreux environnements, l’inertie est importante. Des systèmes sont déployés pour dix à vingt ans, des certificats et infrastructures à clés publiques sont intégrés à des processus métier, et des dépendances logicielles s’accumulent. Fixer 2030 revient à donner un horizon pour planifier les budgets, la R& D et la montée en compétence.
Le post-quantique pose aussi des questions de performance. Certains schémas résistants aux attaques quantiques impliquent des clés ou des signatures plus volumineuses, ce qui peut augmenter la bande passante, la latence ou la charge processeur, surtout sur des appareils contraints. Les industriels devront mesurer l’impact sur l’expérience utilisateur, l’autonomie des objets connectés et la capacité des infrastructures à absorber des échanges cryptographiques plus lourds.
Cette généralisation s’inscrit dans un mouvement plus large de standardisation internationale. Les acteurs attendent des algorithmes stabilisés, des implémentations éprouvées et des recommandations d’intégration dans les protocoles courants. Le calendrier français peut accélérer l’adoption, mais il peut aussi créer un effet de tension si certains segments du marché ne disposent pas, à temps, de solutions matures et certifiables. La réussite dépendra de la clarté des référentiels, des guides techniques, et de la capacité à industrialiser les tests de conformité.
Les industriels face aux migrations, coûts et compatibilités des produits certifiés
Pour les fabricants, la contrainte la plus immédiate est organisationnelle. Intégrer du chiffrement post-quantique suppose de revoir des feuilles de route, de sélectionner des bibliothèques cryptographiques, de mettre à jour des protocoles et de renforcer les procédures de validation. Dans les grandes entreprises, cela implique une coordination entre équipes produit, sécurité, conformité et support. Dans les PME, la charge peut être plus lourde faute d’équipes dédiées, avec un risque de dépendance accrue à des fournisseurs de composants cryptographiques.
La question des compatibilités est centrale. Beaucoup de produits doivent interopérer avec des systèmes plus anciens, des partenaires, des clients, et parfois des équipements déployés en grand nombre. Les approches hybrides, où l’échange de clés ou la signature combine un algorithme classique et un algorithme post-quantique, peuvent servir de pont. Elles ajoutent de la complexité, mais elles réduisent le risque de rupture. Les industriels devront aussi gérer des contraintes de conformité, notamment lorsque des produits sont vendus dans plusieurs pays, avec des exigences de certification différentes.
Le coût ne se limite pas au développement. Les audits, les tests de sécurité, la documentation et les campagnes de certification représentent une part significative. La cryptographie post-quantique étant encore en phase d’industrialisation, les outils d’analyse, de test et de vérification formelle sont en montée en puissance. Les erreurs d’implémentation, les failles liées aux canaux auxiliaires et les mauvaises intégrations de protocoles resteront des risques concrets. Le passage au post-quantique ne garantit pas la sécurité si la mise en uvre est fragile.
Un autre point concerne les cycles de mise à jour. Les produits déjà déployés, notamment dans l’industrie, la santé ou les infrastructures, ne peuvent pas toujours être mis à jour facilement. Certains dispositifs ont des contraintes matérielles, de certification médicale, ou d’arrêt de production. La stratégie industrielle pourrait passer par la segmentation, mise à jour logicielle quand c’est possible, remplacement planifié quand c’est nécessaire, et priorisation des données à longue durée de sensibilité, comme les secrets industriels, les identités, ou les archives chiffrées.
Le risque collect now, decrypt later accélère les choix de cryptographie
Le moteur de cette transition est le scénario collect now, decrypt later. Des acteurs malveillants peuvent intercepter des communications chiffrées aujourd’hui, les stocker, puis tenter de les déchiffrer plus tard si des capacités quantiques rendent certains algorithmes vulnérables. Ce risque est particulièrement critique pour les informations qui gardent de la valeur sur une longue période, dossiers sensibles, données stratégiques, secrets de défense, ou informations personnelles dont l’exposition future aurait des conséquences durables.
Le chiffrement classique repose largement sur des hypothèses de difficulté mathématique. Les ordinateurs quantiques, s’ils atteignent un niveau suffisant, pourraient réduire drastiquement la complexité de certaines attaques. Le débat porte moins sur la date exacte d’un basculement que sur l’asymétrie du risque. Les défenseurs doivent migrer des systèmes complexes, tandis que les attaquants peuvent se contenter de collecter et d’attendre. De ce fait, les autorités de cybersécurité privilégient une posture d’anticipation.
La transition vers le post-quantique ne concerne pas seulement le chiffrement des flux. Elle touche aussi la signature numérique, donc l’intégrité des mises à jour logicielles, la confiance dans les certificats, et la vérification des identités. Dans des chaînes logicielles modernes, la signature est partout, dépôts de code, mises à jour d’objets connectés, images de conteneurs, firmwares. Une faiblesse future des signatures classiques aurait un impact direct sur la sécurité opérationnelle.
Ce contexte explique pourquoi la certification devient un instrument de politique publique. En conditionnant l’accès à une reconnaissance officielle, la France incite les éditeurs à investir dans des implémentations robustes, testées et maintenables. La période 2027-2030 servira de test grandeur nature, avec des arbitrages entre maturité technologique, exigences de sécurité, et contraintes économiques. L’évolution reste incertaine sur le rythme exact de l’informatique quantique, mais la trajectoire réglementaire, elle, se précise.
Questions fréquentes
- Qu’est-ce que la France prévoit de changer sur la certification en 2027 ?
- À partir de 2027, l’Anssi prévoit de refuser la certification des produits qui n’intègrent pas de mécanismes de chiffrement résistants aux attaques quantiques. La mesure agit comme un filtre d’accès aux marchés où la certification est exigée, notamment dans des environnements sensibles.
- Pourquoi l’échéance de 2030 est-elle mise en avant ?
- L’objectif 2030 sert d’horizon pour une adoption généralisée du post-quantique, en laissant une période de transition aux industriels. Cette fenêtre doit permettre de planifier les migrations, gérer les compatibilités et intégrer des solutions plus matures, parfois via des approches hybrides.
- SIREN bondit de 54%, après une chute de 95%, résistance à 0,14 $ déjà ciblée, ce que les données on-chain révèlent - 19 juin 2026
- Tether ferme Alloy, son stablecoin adossé à l’or, et révèle les limites du prêt tokenisé - 19 juin 2026
- Grande rotation en Bourse : les capitaux quittent Magnificent 7 et bitcoin, visent les goulots IA - 19 juin 2026
