À partir de 2027, les produits de sécurité qui ne résistent pas aux ordinateurs quantiques perdront leur certification ANSSI. Ce calendrier, annoncé par l’agence le 16 juin à la conférence France Quantum, lance le compte à rebours pour les organisations qui n’ont pas encore engagé leur migration cryptographique.
Le chef de cabinet de l’ANSSI, Samih Souissi, l’a annoncé devant l’écosystème français du quantique réuni à Paris. À partir de 2027, l’agence cessera de certifier tout produit de sécurité dépourvu de mécanismes de chiffrement résistants aux ordinateurs quantiques. Et d’ici 2030, les achats des administrations et des opérateurs d’importance vitale devront n’inclure que des solutions dites quantum-safe. La certification ANSSI conditionne l’accès aux marchés publics français et aux infrastructures critiques : énergie, télécommunications, secteur bancaire, systèmes de paiement. Refuser cette certification à un produit revient à le bannir de facto de ces marchés. Ce qui n’était hier qu’une incitation technique devient demain un critère éliminatoire.
« Ce n’est pas seulement un sujet de technologies, a déclaré Souissi. C’est une question de gouvernance, de planification industrielle, de régulation et de souveraineté », rapporte Reuters. La formulation est délibérée : l’ANSSI ne parle plus de cryptographie, elle parle de stratégie d’État.
La menace qui n’attend pas le Q-Day
La motivation profonde de ce calendrier tient en trois mots : harvest now, decrypt later. Des acteurs malveillants, étatiques ou criminels, peuvent aujourd’hui intercepter et archiver des flux chiffrés parfaitement illisibles, dans l’attente du jour où un ordinateur quantique suffisamment puissant leur permettra de les déverrouiller. Jerry Chow, cadre chez IBM, a situé cette échéance au milieu des années 2030 lors de la même conférence. Ce n’est pas demain, mais les données sensibles captées aujourd’hui ont une durée de vie bien supérieure à dix ans. Pour les communications diplomatiques, les dossiers industriels ou les transferts bancaires, le risque n’est donc pas futur : il est déjà actif.
