Newsletters

Cybersécurité : Bruxelles vise une cryptographie post-quantique généralisée d'ici 2035

Face à la menace posée par les futurs ordinateurs quantiques, la Commission européenne a publié une feuille de route détaillée afin d'accompagner les Etats membres dans la transition vers des algorithmes cryptographiques résistants. L'objectif étant que la majorité des systèmes numériques adoptent des mécanismes post-quantiques d'ici 2035. 

Alice Vitard
Drapeau Union européenne
DR
Drapeau Union européenne

La Commission européenne a dévoilé le 23 juin sa feuille de route pour la sécurité post-quantique. Rédigé par le groupe de travail post-quantique de la Coopération NIS (instauré par la directive NIS 1), ce document est destiné à guider les Etats membres de l'Union européenne dans l'abandon progressif des algorithmes de chiffrement vulnérables. Il fixe une trajectoire claire : achever la migration des cas d'usage critiques d'ici 2030 et viser une généralisation de la cryptographie post-quantique pour les systèmes restants d'ici 2035. 

Le danger des ordinateurs quantiques

La cryptographie post-quantique répond à un enjeu majeur : les algorithmes asymétriques actuellement utilisés, comme RSA ou les courbes elliptiques, sont vulnérables face aux capacités des futurs ordinateurs quantiques. Bien que ces algorithmes reposent sur des problèmes mathématiques complexes pour les machines classiques, un ordinateur quantique pourrait les résoudre rapidement, compromettant ainsi la sécurité des communications.

Ce type de machine permettrait de casser ces clés en un temps polynomial, menaçant la confidentialité des données chiffrées et l’authenticité des signatures numériques. Le risque est d’autant plus critique que des données sensibles peuvent être interceptées aujourd’hui puis déchiffrées plus tard, lorsque ces capacités quantiques seront disponibles. La cryptographie post-quantique propose ainsi des algorithmes alternatifs, conçus pour résister aux attaques quantiques.

L'anticipation des attaques différées

Parmi les scénarios les plus critiques figurent l’attaque de type "store now, decrypt later", où des données chiffrées aujourd’hui sont stockées dans l’attente de leur déchiffrement une fois un ordinateur quantique suffisamment puissant disponible. Selon les dernières estimations du BSI (Bundesamt für Sicherheit in der Informationstechnik), l'équivalent allemand de l'Agence nationale de la sécurité des systèmes d'information (Anssi), un ordinateur quantique capable de compromettre les algorithmes asymétriques pourrait exister d’ici 2040, voire 2035. 

Face à cette menace, les Etats membres doivent donc se préparer, estime la Commission qui prévoit un calendrier découpé en trois jalons. D'ici fin 2026, chaque Etat doit avoir défini une feuille de route nationale, identifié les parties prenantes, dressé un inventaire des actifs cryptographiques et lancé les premières expérimentations des cas d'usage à risque moyen et élevé.

2035 : Les migrations doivent être finalisées

D'ici fin 2030, les transitions pour les cas les plus critiques doivent être achevées, les mises à jour logicielles doivent intégrer par défaut des signatures post-quantiques et les pilotes pour les cas à risque moyen doivent être terminés. Puis, d'ici à 2035, les migrations pour les cas à risque moyen et élevé, autant que possible faible, devront être finalisées. A noter que ces échéances s'alignent sur les trajectoires définies par les Etats-Unis et le Royaume-Uni. 

L'objectif de ce calendrier jalonné est de permettre aux Etats de prioriser leurs efforts. A cette fin, le document classe les cas d’usage en trois niveaux de risque quantique : élevé, moyen et faible. Le risque est jugé en fonction de la vulnérabilité de la cryptographie utilisée, de l’impact potentiel si elle est cassée, et de la difficulté technique à migrer. Par exemple, un cas est considéré à risque élevé si la confidentialité des données doit être garantie pendant plus de dix ans ou si une attaque future aurait de lourdes conséquences. 

Cartographier les dépendances technologiques

Par ailleurs, la feuille de route propose deux niveaux d'action. Dans un premier temps, chaque Etat doit mobiliser les parties prenantes, mettre en place une gestion des actifs cryptographiques, établir des cartes des dépendances technologiques, intégrer la menace quantique dans les analyses de risque, ainsi que sensibiliser les acteurs publics et privés. 

Dans un second temps, les mesures doivent inclure la mise en place de "la crypto-agilité", c’est-à-dire la capacité des systèmes à remplacer leurs mécanismes cryptographiques, l’allocation de ressources, la révision des schémas de certification, la mise à jour des règles nationales, l’intégration de la PQC dans les appels d’offres publics, le soutien aux centres de test et le développement de cas d’usage concrets.

Enfin, la Commission européenne, en lien avec l'Agence de l'UE pour la cybersécurité (Enisa) et les autorités nationales, accompagne cette transition par des actions de coordination, de financement et de normalisation. Les règlements NIS 2, Dora, le Cyber Resilience Act et le Cybersecurity Act constituent le socle juridique de cette mutation.

Vers une application hétérogène de la feuille de route

Si la feuille de route reconnaît que la migration vers la cryptographie post-quantique nécessitera des ressources humaines et budgétaires importantes, elle ne propose ni estimation des coûts ni mécanisme de financement commun. Les États membres sont invités à prévoir des budgets dans leurs feuilles de route nationales et à mobiliser les dispositifs existants. Mais en l’absence d’un cadre structuré à l’échelle de l’Union, la feuille de route risque d'être appliquée inégalement, selon les capacités techniques et économiques de chaque pays.

À lire aussi

Les plus lus : Cybersécurité
  1. Cybersécurité : L'Anssi lance l'enregistrement des entités soumises à NIS 2 pour préparer leur mise en conformité
  2. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  3. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  4. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  5. Cybersécurité : 55% des entreprises françaises de 50 à 500 salariés ont recours à des outils de Threat Intelligence
  6. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Ingénieur AMOA (h/f)
ADECCO - 23/02/2026 - CDI - LAVAL
Responsable Informatique (h/f)
LHH Recruitment Solutions - 24/02/2026 - CDI - MULHOUSE
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay