L'ANSSI durcit ses règles : fin des certifications pour les produits sans chiffrement quantique dès 2027

Face à la menace que représentent les ordinateurs quantiques pour les systèmes de chiffrement actuels, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a annoncé un durcissement significatif de ses exigences de certification. À compter de 2027, l'organisme cessera d'accorder son visa aux produits de sécurité — machines comme logiciels — qui n'intégreront pas de mécanismes de cryptographie résistants à ces futures capacités de calcul. Cette décision a été dévoilée à l'occasion de la conférence France Quantum par Samih Souissi, chef de cabinet de l'agence.

Le calendrier fixé par l'ANSSI distingue deux échéances principales. Premièrement, 2027 marquera l'arrêt des certifications pour les équipements dépourvus de cryptographie post-quantique (PQC). Deuxièmement, à l'horizon 2030, l'ensemble des achats des administrations françaises et des opérateurs d'importance vitale (OIV) — secteurs de la défense, de l'armement, des infrastructures critiques — devra se porter exclusivement sur des solutions labellisées quantum-safe.

Cette obligation s'applique à tous les acteurs soumis au visa de l'ANSSI, ce qui inclut l'ensemble des administrations publiques ainsi que les opérateurs classés comme vitaux pour la sécurité nationale. Le visa de l'agence constitue en effet une condition préalable obligatoire à l'acquisition et au déploiement de tout produit de sécurité au sein de ces entités. En l'absence de cette certification, les systèmes concernés ne pourront plus être juridiquement utilisés dans les périmètres réglementés.

Une migration cryptographique inédite

La cryptographie post-quantique rassemble des algorithmes conçus pour résister à la puissance de calcul exponentielle des ordinateurs quantiques. Ces derniers, une fois suffisamment matures, pourraient en effet briser les protocoles de chiffrement asymétrique actuellement déployés (RSA, courbes elliptiques…) qui protègent les communications, les signatures électroniques ou l'authentification. L'échéance de 2027 donne aux industriels et aux éditeurs un délai de moins d'un an pour intégrer ces nouveaux standards dans leurs gammes.

Pour les entreprises et les collectivités, le calendrier implique d'engager dès maintenant des audits de leur infrastructure cryptographique et de planifier le remplacement des équipements non conformes. Le coût et la complexité d'une telle migration — qui touche aussi bien les routeurs, les pare-feu, les boîtes aux lettres sécurisées que les modules de sécurité matériels (HSM) — sont considérables. L'ANSSI a souligné, lors de ses communications, la nécessité d'anticiper cette transition pour éviter une rupture de conformité en 2030.

Un mouvement mondial de sécurisation

Cette décision française s'inscrit dans un mouvement plus large de préparation à la menace quantique. Aux États-Unis, le National Institute of Standards and Technology (NIST) a déjà sélectionné et standardisé plusieurs algorithmes post-quantiques, tandis que l'Union européenne encourage ses États membres à adopter des feuilles de route similaires. En fixant des jalons contraignants, l'ANSSI entend accélérer l'adoption des technologies de chiffrement résistantes et éviter que les données sensibles collectées aujourd'hui ne soient déchiffrées rétroactivement demain, ce que les experts appellent l'attaque « harvest now, decrypt later ».

Les fabricants d'équipements réseau et les éditeurs de solutions de sécurité sont désormais attendus sur le marché avec des offres certifiées PQC d'ici 2027. Plusieurs d'entre eux ont déjà entamé des cycles de mise à jour, mais les délais restent serrés pour l'ensemble de la filière. L'ANSSI a promis d'accompagner cette transition via des guides techniques et des mises à jour de son référentiel de certification.