De nouveaux décrets ordonnent aux agences d’accélérer leurs efforts de cryptage à résistance quantique et de jeter les bases de la conformité des sous-traitants, alors que la Maison Blanche prévient que les adversaires collectent déjà des données cryptées pour un décryptage futur.
Le président américain Donald Trump a signé lundi deux décrets visant à accélérer la transition du gouvernement fédéral vers la cryptographie post-quantique tout en augmentant les investissements américains dans les technologies quantiques, établissant ce que l’administration décrit comme une stratégie coordonnée pour se préparer aux opportunités et aux risques posés par l’informatique quantique.
Les actions comprennent un décret intitulé « Sécuriser la nation contre les attaques cryptographiques avancées » et un décret complémentaire, « Ouvertir la prochaine frontière de l’innovation quantique ». Les fiches d’information accompagnant la Maison Blanche encadrent les initiatives dans le cadre de la stratégie plus large de l’administration en matière de sécurité nationale, de compétitivité économique et de cybersécurité.
Pour les responsables de la sécurité, l’impact le plus immédiat vient de l’ordonnance sur la cryptographie, qui fixe des délais de migration fédéraux pour le cryptage à résistance quantique, ordonne aux agences d’inventorier les actifs cryptographiques et signale les futures exigences en matière d’approvisionnement pour les sous-traitants gouvernementaux.
Hickman a déclaré que les délais pourraient avoir des effets bien au-delà des agences fédérales, car les entrepreneurs et les opérateurs d’infrastructures critiques seront confrontés à une pression croissante pour démontrer leur préparation à la cryptographie post-quantique.
« De nombreux fournisseurs ne veulent pas perdre de revenus du gouvernement fédéral, il est donc temps de prendre cela au sérieux », a-t-il déclaré.
L’administration affirme que les adversaires collectent peut-être déjà des communications cryptées et des données sensibles en prévision de futures avancées qui pourraient rendre obsolète la cryptographie à clé publique actuelle.
La Maison Blanche a décrit la menace comme un scénario « récolter maintenant, décrypter plus tard » dans lequel les informations volées aujourd’hui pourraient être stockées et décryptées dans des années, une fois que des ordinateurs quantiques suffisamment puissants seront disponibles.
Bien que les experts continuent de débattre du temps qu’il faudra pour construire des ordinateurs quantiques cryptographiquement pertinents, les responsables fédéraux affirment que les organisations ne peuvent pas attendre que de tels systèmes existent avant de commencer les préparatifs.
La Maison Blanche a déclaré que ce décret s’appuie sur un programme plus large de l’administration en matière de cybersécurité, notamment un décret sur la cybersécurité de juin 2025 et la Cyber Strategy for America publiée plus tôt cette année. Les responsables ont déclaré que cet effort visait non seulement à protéger les systèmes fédéraux, mais également à accélérer l’adoption de technologies de sécurité à résistance quantique dans les secteurs des infrastructures critiques et dans l’écosystème numérique plus large.
Délais de migration fédéraux établis
Le décret ordonne aux agences fédérales d’accélérer la migration vers les normes de cryptographie post-quantique développées par l’Institut national des normes et de la technologie.
Le NIST a finalisé ses premières normes de cryptographie post-quantique en 2024 et continue d’évaluer des algorithmes supplémentaires destinés à remplacer les systèmes cryptographiques vulnérables aux futures attaques quantiques.
En vertu de cette ordonnance, les agences fédérales doivent achever la migration des mécanismes d’établissement de clés d’ici le 31 décembre 2030. La migration des systèmes de signature numérique doit être achevée d’ici le 31 décembre 2031. Dans les 30 jours, les agences doivent désigner des hauts fonctionnaires chargés de superviser les efforts de migration de la cryptographie post-quantique.
Le Bureau de la gestion et du budget doit publier des directives de mise en œuvre dans les 90 jours, tandis que les agences doivent élaborer des plans pour remplacer les systèmes cryptographiques vulnérables dans les environnements fédéraux.
Ces délais représentent l’un des mandats fédéraux les plus clairs à ce jour en ce qui concerne le calendrier d’adoption par le gouvernement de la cryptographie post-quantique.
Exigences relatives à la nomenclature cryptographique
L’ordonnance introduit également des mesures destinées à améliorer la visibilité des dépendances cryptographiques dans l’ensemble des systèmes gouvernementaux et des chaînes d’approvisionnement en logiciels.
Parmi les plus importantes figure une directive exigeant que le NIST et la Cybersecurity and Infrastructure Security Agency développent des éléments minimaux pour une nomenclature cryptographique (CBOM) dans un délai de 270 jours.
Le concept est similaire à une nomenclature logicielle, mais se concentre spécifiquement sur l’identification des algorithmes cryptographiques, des bibliothèques et des dépendances intégrées dans les produits et systèmes.
Les professionnels de la sécurité soutiennent depuis longtemps que les organisations ne peuvent pas migrer efficacement vers la cryptographie post-quantique sans d’abord comprendre où la cryptographie existe dans leurs environnements.
L’administration a également demandé au NIST d’établir un programme pilote fédéral de migration de cryptographie post-quantique d’ici la fin de 2027 afin d’identifier les défis de mise en œuvre et de développer les meilleures pratiques de migration.
Les entrepreneurs seront probablement confrontés à de nouvelles obligations de conformité
Le décret laisse également entrevoir des implications futures importantes pour les entrepreneurs fédéraux.
Le Conseil fédéral de réglementation des acquisitions a été chargé d’élaborer des exigences en matière de passation des marchés qui obligeraient les entrepreneurs couverts à se conformer aux normes de cryptographie post-quantique applicables du NIST d’ici la fin de 2030.
Bien que les détails restent à déterminer, la disposition suggère que les exigences fédérales en matière d’achat pourraient devenir un moteur majeur de l’adoption de la cryptographie post-quantique dans l’industrie technologique.
Les fournisseurs de sécurité, les fournisseurs de cloud, les développeurs de logiciels et les fournisseurs de services gérés qui font affaire avec des agences fédérales devront peut-être en fin de compte démontrer leur conformité aux exigences émergentes en matière de cryptographie post-quantique.
L’accent mis par l’ordonnance sur les inventaires cryptographiques, la planification de la migration et le respect des normes suggère que les agences fédérales s’attendront de plus en plus à ce que les fournisseurs comprennent et documentent les composants cryptographiques intégrés dans leurs produits.
L’initiative d’innovation quantique s’agrandit
Parallèlement au décret sur la cybersécurité, Trump a signé un décret distinct visant à accélérer le développement de l’informatique quantique et des technologies associées.
L’administration affirme que les technologies quantiques pourraient à terme transformer des secteurs tels que les produits pharmaceutiques, l’industrie manufacturière, la logistique, l’énergie et la défense, tout en offrant des avantages stratégiques en matière de recherche scientifique et de sécurité nationale.
Au centre de l’initiative se trouve un effort gouvernemental connu sous le nom d’informatique quantique pour une découverte et un développement accélérés pour la science (QC-ADDS), qui vise à développer au moins un ordinateur quantique capable de permettre ce que l’administration appelle « la découverte scientifique quantique ».
Le ministère de l’Énergie, le ministère du Commerce, le ministère de la Défense, la National Science Foundation, la NASA, la National Security Agency et des éléments de la communauté du renseignement sont chargés de coordonner les activités de recherche et de développement dans le cadre du programme.
Les agences sont chargées d’élaborer des exigences techniques dans un délai de 90 jours et des plans de mise en œuvre dans un délai de 180 jours.
Les dirigeants de l’industrie ont déclaré que cette commande reflète une reconnaissance croissante du fait que le leadership dans le domaine de l’informatique quantique nécessitera des investissements coordonnés sur plusieurs couches de la pile technologique.
« Les États-Unis ont une fenêtre d’opportunité pour devenir leader dans ce domaine », a déclaré Stefan Leichenauer, vice-président de l’ingénierie chez SandboxAQ, dans un communiqué. « Cela nécessite un investissement coordonné dans l’ensemble de la pile : cryptographie, infrastructure de calcul, génération de données et développement d’applications. Cela nécessite également des partenariats solides entre le gouvernement, l’industrie et le monde universitaire. »
L’ordonnance appelle également à un soutien accru aux technologies de réseautage quantique et de détection quantique et ordonne la création d’une capacité nationale d’évaluation et de comparaison des systèmes informatiques quantiques.
Priorités en matière de commercialisation, de main-d’œuvre et de sécurité
L’un des principaux objectifs de l’initiative d’innovation est de faire passer les technologies quantiques des laboratoires de recherche au déploiement commercial.
La Maison Blanche a déclaré que les États-Unis doivent renforcer leurs chaînes d’approvisionnement nationales en matière de quantum, soutenir le transfert de technologie et garantir que les découvertes financées par le gouvernement fédéral se traduisent en produits commerciaux et en croissance économique.
Ankur Saxena, directeur des investissements chez TDK Ventures, estime que cette commande reflète l’intérêt croissant de l’industrie pour transformer les avancées scientifiques en technologies déployables. « Le quantique passe d’une frontière scientifique à une course à l’ingénierie et à l’industrie », a déclaré Saxena dans un communiqué. « Le leadership américain dépendra non seulement d’un matériel révolutionnaire, mais aussi de chaînes d’approvisionnement résilientes et d’une infrastructure permettant le déploiement du quantum à grande échelle. »
L’administration a également annoncé son intention de reconstituer le Comité consultatif national de l’Initiative quantique et d’étendre les activités de l’équipe de protection contre le contre-espionnage quantique pour aider à protéger la recherche sensible et la propriété intellectuelle.
L’ordonnance met également l’accent sur le développement de la main-d’œuvre, en ordonnant aux agences de soutenir les programmes d’éducation, d’accréditation et d’apprentissage liés au quantique et de créer des instituts nationaux de développement de la main-d’œuvre en sciences et technologies de l’information quantique.
Deux faces d’une même stratégie
Les décrets reflètent un effort visant à poursuivre ce que les responsables de l’administration considèrent comme les deux faces d’un même défi : accélérer le développement des technologies quantiques tout en se préparant aux conséquences sur la sécurité que ces technologies pourraient éventuellement créer.
Pour les responsables de la cybersécurité, les dispositions relatives à la cryptographie post-quantique auront probablement l’impact le plus immédiat. La combinaison des délais de migration, des exigences en matière d’inventaire cryptographique, des programmes pilotes et des mandats d’approvisionnement anticipés indique que les agences fédérales passent de la planification de la cryptographie post-quantique à sa mise en œuvre.
Pour le secteur technologique au sens large, ces commandes soulignent un consensus croissant à Washington selon lequel l’informatique quantique n’est plus simplement un projet de recherche à long terme mais une technologie stratégique qui nécessite simultanément des investissements, une gouvernance et une gestion des risques.
