La transition mondiale vers la cryptographie post-quantique (PQC) est un défi majeur pour les gouvernements, les institutions et les organisations, d'autant plus que la sécurité des systèmes vitaux en dépend de plus en plus.
Afin de faire avancer cette transition et d'établir un calendrier précis, les États membres de l'UE, soutenus par la Commission européenne, ont adopté une feuille de route commune en juin 2025. Cette initiative, élaborée par un groupe de travail dédié à la cryptographie postquantique au sein du groupe de coopération NIS (NIS CG), présente des recommandations clés et des étapes concrètes pour la migration.
Ce billet de blog met en évidence les principales conclusions et échéances de la feuille de route de l'UE pour la cryptographie post-quantique.
Vous pouvez accéder à la publication complète ici
Première étape : Objectifs clés et résultats attendus de la CQP d'ici au 31 décembre 2026
D'ici à la fin de 2026, la Commission européenne attend de tous les États membres qu'ils aient élaboré un plan national complet pour la mise en œuvre de la cryptographie post-quantique.
Ce plan devrait comprendre les étapes fondamentales suivantes :
- Identifier et impliquer les parties prenantes
- Soutenir une gestion mature des actifs cryptographiques
- Créer des cartes de dépendance
- Effectuer une analyse des risques quantiques
- Inclure la chaîne d'approvisionnement
- Créer un programme national de sensibilisation et de communication
- Partager les connaissances et s'impliquer dans le groupe de travail du CG NIS sur le PQC
- Élaborer un calendrier et un plan de mise en œuvre
Résultats attendus à l'échéance (31.12.2026) :
- Les États membres ont lancé la planification de la transition vers la CQP et des projets pilotes pour les cas d'utilisation à risque élevé et moyen
- Tous les États membres ont publié des feuilles de route nationales initiales pour la migration vers la CQP
Deuxième étape : Objectifs clés et résultats attendus de la CQP d'ici au 31 décembre 2030
D'ici à la fin de l'année 2030, l'UE invite ses États membres à franchir de nouvelles étapes décisives dans la transition vers la CQP. Ces actions devraient commencer le plus tôt possible et ne nécessitent pas l'achèvement complet des objectifs de 2026 avant d'être mises en œuvre.
Les domaines d'action suivants sont recommandés :
- Soutenir l'agilité cryptographique et une voie de mise à niveau à sécurité quantique (alignée sur la loi sur la cyber-résilience, attendue pour décembre 2027)
- Allouer des ressources pour la transition
- Adapter les systèmes de certification
- Faire évoluer les règles
- Rechercher des opportunités dans l'écosystème
- Envisager des activités transversales tout au long de la création et de la mise en œuvre de la feuille de route
- Mettre en œuvre des cas d'utilisation pilotes et contribuer aux centres d'essai
Résultats attendus à l'échéance (31.12.2030) :
- La transition vers la CQP pour les cas d'utilisation à haut risque est entièrement achevée
- La planification de la CQP et les projets pilotes pour les cas d'utilisation à risque moyen sont finalisés
- Les mises à jour de logiciels et de microprogrammes à sécurité quantique sont prises en charge par défaut
Troisième étape : Objectifs clés et résultats attendus de la PQC d'ici au 31 décembre 2035
D'ici à la fin de l'année 2035, les États membres devraient avoir achevé la phase finale de leur transition vers la cryptographie post-quantique (PQC) pour les catégories de risque suivantes :
- Achèvement complet de la migration vers la PQC pour les cas d'utilisation à risque moyen
- Achèvement substantiel de la migration vers la PQC pour les cas d'utilisation à faible risque, dans la mesure où cela est techniquement et économiquement possible
Recommandations stratégiques supplémentaires de l'UE pour la mise en œuvre de PQC
- Adopter une approche fondée sur les risques pour hiérarchiser les efforts de migration vers la CQP
- Utiliser des solutions cryptographiques normalisées et hybrides pour garantir l'interopérabilité et la flexibilité transitoire
- Considérer la cryptographie symétrique comme une alternative viable, le cas échéant
- Commencer à planifier à l'avance les systèmes complexes, en tenant compte des délais de migration prolongés
- Veiller à ce que tous les nouveaux produits entrant sur le marché avec un cycle de vie au-delà de 2030 soient :
- Peuvent être mis à jour à l'aide d'algorithmes à sécurité quantique
- Capables d'effectuer des mises à jour sécurisées du micrologiciel à l'aide de la PQC
- Maintenir un inventaire cryptographique en utilisant des formats normalisés, tels que la nomenclature cryptographique (CBOM)
Comment Utimaco soutient la mise en œuvre de PQC
En tant que fournisseur de cybersécurité de premier plan mettant l'accent sur la recherche et le développement, Utimaco a depuis longtemps anticipé la menace quantique - et pris des mesures proactives pour y faire face.
Notre module de sécurité matériel phare - u.trust General Purpose HSM Se-Series - est conçu pour être agile sur le plan cryptographique et peut être mis à niveau avec des algorithmes PQC normalisés par le NIST dès aujourd'hui. Grâce à notre progiciel Quantum Protect, nous prenons en charge une gamme d'algorithmes à sécurité quantique, notamment :
- ML-KEM (encapsulation de clés basée sur des treillis)
- ML-DSA (signatures numériques basées sur des treillis)
- LMS, HSS, XMSS et XMSS-MT (schémas de signature basés sur le hachage)
Le module de sécurité matériel peut également être déployé en tant que service.
Pour soutenir les organisations dans leur parcours de migration vers la PQC, Utimaco offre également des services de conseil et collabore avec InfoSec Global pour fournir une solution complète de découverte cryptographique - aidant les clients à identifier, évaluer et moderniser leurs actifs cryptographiques pour un avenir sûr sur le plan quantique.
Pour en savoir plus :
The PQC Migration Handbook - Guidelines for migrating to Post Quantum Cryptography (en anglais)
