La France cessera de certifier les produits non conformes aux normes de sécurité quantique à partir de 2027, recommandant aux entreprises de passer à une autre solution d’ici 2030

L’agence française de cybersécurité (ANSSI) a annoncé le 17 juin qu’à partir de 2027, elle mettrait fin à la certification des produits de sécurité qui ne disposent pas de technologies de chiffrement résistantes aux attaques quantiques, et qu’elle recommande aux entreprises de n’acheter que des produits « quantiquement sûrs » d’ici 2030. Comme la certification ANSSI est une exigence obligatoire pour les organismes gouvernementaux français et les opérateurs d’infrastructures critiques, cette décision fixe de fait une date butoir pour l’obsolescence des systèmes de chiffrement plus anciens.

Déclaration du directeur de l’ANSSI, Souissi, lors de la conférence française sur le quantique : gouvernance, planification industrielle et enjeux de souveraineté

Le directeur de l’ANSSI, Samih Souissi, a déclaré à la conférence française sur le quantique que cette évolution de politique ne concerne pas seulement la technique : « Ce n’est pas seulement un problème technique. C’est une question de gouvernance, de planification industrielle, de régulation et de souveraineté. »

Souissi a souligné que la date limite de 2027 pour l’arrêt de la certification et la recommandation d’achat d’ici 2030 visent à laisser suffisamment de temps à l’industrie pour opérer sa transition, tout en se prémunissant contre la menace systémique que représente l’informatique quantique pour les systèmes actuels de protection par chiffrement.

Évaluation des menaces de Jerry Chow (IBM) et de Qperfect

Jerry Chow, cadre d’IBM, a déclaré à la conférence française sur le quantique que la menace de l’informatique quantique pour les techniques de chiffrement existantes pourrait se concrétiser au milieu des années 2030, en écho au calendrier 2027-2030 de l’ANSSI.

Qperfect met en garde : l’algorithme de signature numérique à courbes elliptiques (ECDSA) — une technique de chiffrement standard largement utilisée dans la blockchain — pourrait faire partie des premiers systèmes à être déchiffrés par des ordinateurs quantiques.

Réactions du secteur : OVHcloud et Capgemini

Pascal Brill, directeur de l’innovation chez Capgemini, a déclaré à Reuters que, tandis que les banques et les services publics évaluent ce qui doit être modifié, la demande augmente : « Ce marché devient très important, et l’échelle sera très considérable. »

Fanny Bouton, responsable des activités quantiques chez OVHcloud, a quant à elle indiqué que les entreprises font face à une double contrainte de conformité : à la fois satisfaire aux exigences de certification de l’ANSSI et répondre simultanément aux normes correspondantes de la Commission européenne et du NIST américain (National Institute of Standards and Technology) : « En tant qu’entreprise française et européenne, nous sommes confrontés à davantage de contraintes. »

Foire aux questions

Quelle est la portée obligatoire de la certification ANSSI pour les organismes français ?

D’après le rapport de Reuters, lorsqu’une technique de chiffrement est utilisée au sein d’organismes gouvernementaux français et d’infrastructures critiques, une certification ANSSI est requise. Par conséquent, la décision de l’ANSSI d’arrêter la certification à partir de 2027 fixe en pratique une échéance ferme à respecter pour que les acteurs du gouvernement français et des infrastructures critiques passent à des produits « quantiquement sûrs », et non seulement une orientation indicative.

Quelle est la menace des attaques « récolter, puis déchiffrer » ?

Selon un rapport, « récolter, puis déchiffrer » (Harvest Now, Decrypt Later) désigne le fait pour un attaquant de collecter et stocker des données chiffrées aujourd’hui, puis de les déchiffrer une fois que des ordinateurs quantiques auront une puissance suffisante pour casser le chiffrement actuel. Jerry Chow (IBM) indique que cette menace pourrait se concrétiser au milieu des années 2030, et qu’elle fait partie des principaux facteurs ayant conduit l’ANSSI à fixer d’avance la date limite de certification de 2027.

Quel impact les enjeux liés à l’ECDSA et au quantique ont-ils sur les cryptomonnaies ?

D’après l’avertissement de Qperfect lors de la conférence française sur le quantique, l’ECDSA pourrait être l’une des premières normes de chiffrement à être déchiffrées par des ordinateurs quantiques, et l’ECDSA constitue une norme de signature numérique largement adoptée dans des blockchains majeures comme Bitcoin et Ethereum. Des systèmes d’IA tels que Claude Mythos d’Anthropic ont également évoqué ce point dans des recherches associées. La décision de l’ANSSI française ainsi que la tendance mondiale à la transition vers la sécurité quantique influencent directement l’architecture de sécurité de long terme de l’industrie blockchain.