Community Trust ScoreVérifié
Les agences fédérales ont reçu un délai strict. Sous un décret de Donald Trump, chaque système gouvernemental de haute valeur et à fort impact doit terminer sa transition vers la cryptographie post-quantique d’ici 2031. Le compte à rebours a commencé.
Le décret établit un calendrier en deux étapes. D’ici 2030, les systèmes fédéraux ciblés doivent déjà avoir commencé le processus de migration. La conformité totale est attendue un an plus tard. Les agences doivent également désigner des responsables de la migration spécifiques — des personnes chargées de gérer la transition, de coordonner entre les départements, et de s’assurer que les systèmes de sécurité nationale les plus sensibles sont sécurisés avant que l’informatique quantique ne devienne une véritable arme offensive. C’est une grande demande. Et le décret ne facilite pas les choses en omettant de nombreux détails que les agences auraient probablement souhaités.
Aucun financement. Aucune technologie spécifique.
La directive ne nomme pas de sources de financement. Elle ne dirige pas les agences vers des technologies ou des fournisseurs particuliers. Elle fixe la destination sans donner de carte à quiconque. Ce manque va compter. Les services informatiques fédéraux fonctionnent sur des cycles d’approvisionnement, des approbations budgétaires, et des contrats pluriannuels — aucun d’entre eux ne bouge rapidement. Dire à une agence de devenir résistante aux technologies quantiques d’ici 2031 sans lui dire comment financer cette transition, ou quelles normes cryptographiques adopter, revient à lui renvoyer la partie difficile.
Ce que les agences sont réellement tenues de faire
Au-delà du délai principal, le décret inclut plusieurs obligations spécifiques. Les agences doivent mettre à jour leurs processus d’approvisionnement pour que toute nouvelle technologie entrant déjà réponde aux normes résistantes aux technologies quantiques. Elles ne peuvent pas simplement remplacer l’ancienne cryptographie à la fin — elles doivent intégrer cette exigence dans les achats dès maintenant. C’est un changement significatif dans la manière dont fonctionne l’acquisition informatique fédérale, et cela signifie probablement une vague de mise à jour des langages contractuels dans des dizaines d’agences dans les prochaines années.
Les agences doivent également effectuer des évaluations de risque régulières. L’idée est de cartographier où les vulnérabilités quantiques existent déjà dans les systèmes actuels, afin que les pires lacunes soient comblées en premier. Les responsables de la migration seront chargés de suivre ce travail, de rendre compte des progrès, et de maintenir les délais. C’est un travail de coordination autant que technique.
Le décret appelle également à la collaboration avec les secteurs des infrastructures critiques. Cela signifie travailler avec l’industrie privée — services publics, réseaux financiers, fournisseurs de communications — pour s’assurer que les solutions résistantes aux technologies quantiques ne sont pas seulement une affaire de gouvernement fédéral. La préoccupation est évidente : un adversaire capable de technologies quantiques ne se soucie pas de savoir s’il attaque un serveur gouvernemental ou privé. Les maillons faibles dans les infrastructures critiques sont des maillons faibles dans la sécurité nationale, point final.
L’application est floue, les enjeux ne le sont pas
Voici la partie inconfortable. Il n’y a pas de mécanismes d’application dans le décret. Pas de pénalités pour non-conformité. Aucun auditeur externe nommé pour tenir les agences responsables si 2031 arrive et que leurs systèmes ne peuvent toujours pas gérer une attaque quantique. Les agences sont essentiellement censées s’autoréguler et traiter cela comme une priorité dans les limites budgétaires et opérationnelles qu’elles gèrent déjà.
Ce n’est pas inhabituel pour les décrets exécutifs — ils fixent souvent une direction sans intégrer de sanctions. Mais cela signifie que le résultat réel dépend fortement de la mesure dans laquelle la direction des agences prend le mandat au sérieux, et si le Congrès finit par le soutenir avec des crédits. Aucune de ces choses n’est garantie.
La menace quantique elle-même n’est plus théorique. L’informatique quantique a progressé régulièrement, et les normes cryptographiques qui protègent la plupart des données fédérales aujourd’hui ont été conçues pour un monde où les casser prendrait des milliers d’années à des ordinateurs classiques. Une machine quantique suffisamment puissante pourrait potentiellement le faire en quelques heures. C’est le scénario que le décret essaie de devancer.
Le NIST travaille déjà sur des normes cryptographiques post-quantiques depuis des années, et certaines ont atteint la finalisation. Donc, les blocs de construction techniques existent. Le fossé réside dans la mise en œuvre — amener les agences à évaluer, prioriser, financer, et exécuter réellement les migrations à travers des environnements informatiques extrêmement complexes et souvent lourds en héritage.
Les agences sont également censées continuer à mettre à jour leurs protocoles de sécurité de manière continue à mesure que la technologie quantique elle-même évolue. Ce n’est pas une solution ponctuelle. Le décret le présente comme un processus continu, avec des évaluations régulières qui alimentent des défenses mises à jour.
Les responsables de la migration coordonneront entre les départements, géreront les relations avec les fournisseurs, et rendront compte des progrès. Que ces responsables obtiennent le budget et l’autorité pour avancer suffisamment rapidement est, selon le décret, incertain.
La date limite d’initiation de 2030 est dans moins de quatre ans.
Questions Fréquentes
Quelle est la date limite pour que les agences fédérales achèvent la transition vers la cryptographie quantique?
Le décret exécutif exige une conformité totale aux normes de cryptographie post-quantique d’ici 2031, avec des processus de migration devant commencer d’ici 2030.
Le décret précise-t-il quelles technologies résistantes aux technologies quantiques les agences doivent utiliser?
Non — le décret ne nomme pas de technologies spécifiques ni de sources de financement, laissant aux agences le soin de déterminer leur propre approche dans les délais indiqués.
