Cryptographie post-quantique : Plan Algérie 2026

Publié le mai 2, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Le NIST a finalisé ses trois standards de cryptographie post-quantique (FIPS 203/204/205) en août 2024, et le cadre CNSA 2.0 de la NSA exige des algorithmes quantiques-sécurisés dans tous les nouveaux systèmes de sécurité nationale d’ici janvier 2027. Le marché mondial de la PQC est projeté à dépasser 15 milliards de dollars d’ici 2030. Les banques, télécoms et agences gouvernementales algériennes utilisant l’infrastructure RSA/ECDH font face à une menace « récolter maintenant, déchiffrer plus tard » qui fait de 2026 l’année de planification critique.

En résumé: Les banques, télécoms et DSI gouvernementaux algériens devraient lancer des inventaires cryptographiques au 3ème trimestre 2026 et intégrer les exigences ML-KEM/ML-DSA dans tout nouvel approvisionnement d’infrastructure avant que les cycles matériels 2027 ne les bloquent.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

L’infrastructure bancaire, télécom et PKI gouvernementale algérienne repose sur RSA/ECDH — précisément les algorithmes que les standards PQC remplacent. Les attaques HNDL sur le trafic financier et gouvernemental algérien constituent une menace réaliste au regard de l’horizon de confidentialité à 10 ans de ces données.

Calendrier d’action
6-12 mois
▾

Le délai NSA de janvier 2027 pour les nouveaux systèmes crée une exigence immédiate d’approvisionnement. Les inventaires cryptographiques devraient démarrer au 3ème trimestre 2026 pour alimenter les cycles d’approvisionnement 2027 pour les HSM, pare-feux et équipements réseau.

Parties prenantes clés
CISO/DSI des banques et télécoms, Ministère de la Transformation Numérique, DZ-CERT, ANSSI Algérie, DSI d’entreprise

Type de décision
Stratégique
▾

Il s’agit d’un investissement en capital sur plusieurs années nécessitant l’implication au niveau du conseil d’administration, pas d’un changement de configuration tactique. La fenêtre stratégique de planification est 2026 ; l’exécution court jusqu’en 2030.

Niveau de priorité
Élevé
▾

La menace est réelle (les attaques HNDL sont confirmées), les standards sont finalisés, les délais sont fixés, et les cycles d’approvisionnement matériels signifient que les décisions de 2026 déterminent l’état de préparation en 2030.

En bref: Les banques, télécoms et directions informatiques gouvernementales algériennes devraient lancer des inventaires cryptographiques au 3ème trimestre 2026, intégrer les exigences de prise en charge ML-KEM/ML-DSA dans tout nouvel approvisionnement d’infrastructure, et présenter à la direction générale la migration PQC comme programme de capital 2026-2030 — pas un projet IT futur.

L’horloge qu’on ne peut pas mettre en pause : pourquoi 2026 est l’année d’action

La transition vers la cryptographie post-quantique a longtemps été décrite comme un problème futur. En 2026, c’est un problème présent d’approvisionnement et d’ingénierie. Le NIST a finalisé FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) et FIPS 205 (SLH-DSA) en août 2024 — concluant un processus amorcé en 2016 avec 82 soumissions de chercheurs de 25 pays. Ce sont maintenant les standards. La période d’évaluation est terminée.

Le cadre CNSA 2.0 de la NSA fixe des délais contraignants pour les systèmes de sécurité nationale américains : des algorithmes quantiques-sécurisés doivent être utilisés dans tous les nouveaux systèmes de sécurité nationale d’ici janvier 2027, avec une migration complète des applications d’ici 2030 et une migration totale de l’infrastructure d’ici 2035. L’ANSSI française a annoncé qu’à partir de 2027, les produits ne recevront pas le visa de certification de cybersécurité français s’ils n’incorporent pas la cryptographie post-quantique — ce qui affecte directement les fournisseurs qui vendent aux agences gouvernementales algériennes s’approvisionnant en France.

La menace derrière cette urgence n’est pas celle d’ordinateurs quantiques théoriques cassant le chiffrement aujourd’hui. C’est l’attaque « récolter maintenant, déchiffrer plus tard » (HNDL) : des adversaires capturant du trafic chiffré maintenant pour le déchiffrer quand l’informatique quantique maturera. Boston Consulting Group a averti que « commencer en 2030 sera déjà trop tard » pour les données devant rester confidentielles jusqu’en 2035 ou au-delà. Pour les communications gouvernementales algériennes, les enregistrements de transactions bancaires et le trafic de dorsale des télécommunications, cet horizon de confidentialité de dix ans est tout à fait réaliste.

L’exposition spécifique de l’Algérie : RSA dans les banques, TLS partout

Le secteur bancaire algérien — Sonatrach, CPA, BEA, BNA, BADR et la couche croissante de banque numérique — s’appuie sur TLS 1.2 et 1.3 avec échange de clés RSA ou ECDH pour la sécurité des transactions. Ces algorithmes ne sont pas quantiques-sécurisés. Chaque transfert interbancaire, chaque appel d’API client, chaque tunnel VPN de succursale utilisant la cryptographie classique est une cible potentielle d’attaque HNDL.

Algérie Télécom et les opérateurs privés (Mobilis, Ooredoo, Djezzy) gèrent une infrastructure dorsale sécurisée avec des protocoles cryptographiques classiques. Les équipements PKI utilisés pour la signature électronique de documents — l’infrastructure de signature électronique du Ministère de la Transformation Numérique, les systèmes notariaux et les flux de travail judiciaires — sont soumis à la même exposition.

Le défi d’ingénierie ne consiste pas simplement à remplacer un algorithme. Meta a publié son cadre de migration PQC en avril 2026, décrivant le processus comme une démarche en six étapes sur plusieurs années : prioriser les applications selon le risque HNDL, effectuer un inventaire cryptographique avec des outils automatisés, adresser les dépendances externes, concevoir des implémentations hybrides (classique + PQC en parallèle), mettre en place des garde-fous contre la génération de nouvelles clés vulnérables, et enfin déployer. Meta recommande ML-KEM768 (niveau de sécurité NIST 3) pour l’échange de clés et ML-DSA65 pour les signatures numériques.

Ce que les organisations algériennes doivent faire maintenant

1. Réaliser un inventaire cryptographique avant la fin 2026

Vous ne pouvez pas migrer ce que vous ne trouvez pas. La première étape pour toute banque, télécom ou direction informatique gouvernementale algérienne est un inventaire cryptographique complet : quelles applications, services, API, VPN et composants d’infrastructure utilisent RSA ou ECDH, à quelles longueurs de clé et dans quelles configurations.

L’approche de Meta utilisait des outils de découverte automatisés combinés à un inventaire déclaratif par les développeurs. Pour les organisations algériennes sans outillage cryptographique dédié, un point de départ pratique est l’analyse des certificats TLS sur les services publics — cela révèle immédiatement les algorithmes d’échange de clés. Pour les services internes, des outils d’analyse du trafic réseau peuvent identifier les handshakes RSA/ECDH au niveau des paquets.

La sortie doit être une liste priorisée segmentée par risque HNDL : Niveau 1 (données devant rester confidentielles 10+ ans — secrets gouvernementaux, archives financières à long terme), Niveau 2 (exigences de confidentialité de 5-10 ans — transactions bancaires, dossiers médicaux), Niveau 3 (moins de 5 ans — trafic web standard).

2. Adopter une approche cryptographique hybride pour les nouveaux déploiements dès maintenant

Tout nouveau certificat TLS, configuration VPN ou passerelle API déployé aujourd’hui devrait utiliser une approche hybride : ECDH classique combiné avec ML-KEM dans un schéma de double encapsulation. C’est le schéma que Meta utilise en interne et ce que la feuille de route en trois phases de l’ANSSI appelle « hybridation pour une défense en profondeur supplémentaire. »

L’implication pratique : lorsque les organisations algériennes acquièrent de nouveaux pare-feux, équilibreurs de charge, HSM ou infrastructure de terminaison TLS en 2026-2027, elles doivent inclure la prise en charge de ML-KEM/ML-DSA comme exigence d’approvisionnement. Les modules de sécurité matériels (HSM) méritent une attention particulière — ils ont des cycles de remplacement de 5 à 7 ans, ce qui signifie que les HSM achetés en 2026 doivent intégrer la prise en charge PQC.

3. Présenter à la direction la migration PQC comme projet de capital 2030

La migration post-quantique n’est pas une mise à jour logicielle — c’est un projet de capital sur plusieurs années. Le marché mondial de la migration PQC est projeté à dépasser 15 milliards de dollars d’ici 2030, avec des entreprises budgétisant 2 à 5 % de leurs dépenses annuelles de sécurité IT sur quatre ans pour la transition. Pour une grande banque ou un opérateur télécom algérien avec un budget de sécurité IT annuel de 10 à 15 millions de dollars, cela représente 200 000 à 750 000 dollars par an alloués à la migration PQC.

La conversation de gouvernance doit se tenir au niveau du conseil d’administration, pas seulement de l’IT. Le risque de ne pas migrer est l’exposition HNDL sur le trafic actuel et historique. Le risque de retarder la migration après 2028 est le verrouillage des fournisseurs.

Où l’Algérie se situe dans le panorama régional de la migration

Aucun avis DZ-CERT spécifique sur la migration PQC n’a été publié à mai 2026. Cela place l’Algérie en retard par rapport à ses pairs : l’Agence de cybersécurité de Singapour a publié des orientations de migration PQC en 2024, le NCSC britannique a émis une feuille de route détaillée en 2025, et l’ANSSI (France) a émis des exigences sectorielles avec des délais stricts en 2027.

L’absence d’un mandat national de migration PQC ne réduit pas l’exposition de l’Algérie — elle réduit la réponse coordonnée. Les banques et télécoms ne devraient pas attendre un mandat national avant de commencer leurs inventaires cryptographiques. Les délais NSA et ANSSI créent une réalité de marché : d’ici 2027-2028, les contreparties en finance internationale et marchés publics gouvernementaux exigeront la cryptographie quantiques-sécurisée dans les paramètres de connexion.

DZ-CERT et l’ANSSI algérienne devraient envisager de publier une feuille de route nationale de migration PQC d’ici le 4ème trimestre 2026, alignée sur les standards NIST et utilisant les délais CNSA 2.0 de la NSA comme cadre de référence. Le secteur privé ne devrait pas attendre. Les banques algériennes qui compensent des transactions internationales, les télécoms qui s’interconnectent avec des opérateurs européens, et les agences gouvernementales engagées dans une coopération numérique bilatérale avec la France ou l’UE seront confrontées à des pressions d’interopérabilité lorsque les contreparties appliqueront des exigences de connexion quantiques-sécurisées. Les organisations qui complètent leurs inventaires cryptographiques en 2026 seront en mesure de répondre à cette pression par une migration planifiée.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Quand les ordinateurs quantiques seront-ils réellement capables de casser le chiffrement RSA ?

La plupart des estimations d’experts situent les « ordinateurs quantiques cryptographiquement pertinents » (CRQC) dans la fenêtre 2030-2035. Cependant, la menace ne concerne pas uniquement l’arrivée des CRQC — elle porte sur les attaques « récolter maintenant, déchiffrer plus tard » où les adversaires collectent du trafic chiffré aujourd’hui. Les données capturées en 2026 avec une exigence de confidentialité de dix ans pourraient être déchiffrées par un CRQC en 2035. Le calendrier de migration doit tenir compte de la longévité des données, pas seulement de la date d’arrivée de l’ordinateur quantique.

Quelle est la différence pratique entre ML-KEM, ML-DSA et SLH-DSA ?

Ce sont les trois algorithmes post-quantiques normalisés par le NIST. ML-KEM (FIPS 203) remplace RSA et ECDH pour l’encapsulation de clés — il sécurise l’étape d’échange de clés dans les connexions TLS et VPN. ML-DSA (FIPS 204) remplace RSA et ECDSA pour les signatures numériques — il sécurise la signature de documents, la signature de code et l’authentification par certificat. SLH-DSA (FIPS 205) est une alternative de signature basée sur les fonctions de hachage. Pour la plupart des organisations algériennes, ML-KEM pour l’échange de clés et ML-DSA pour les signatures couvrent les cibles de migration les plus prioritaires.

L’adoption des algorithmes PQC nécessite-t-elle de remplacer tout le matériel existant ?

Pas nécessairement, mais les HSM (modules de sécurité matériels) méritent une attention particulière. Des implémentations purement logicielles de ML-KEM et ML-DSA peuvent s’exécuter sur des serveurs existants — OpenSSL 3.5 inclut déjà la prise en charge de ML-KEM. Cependant, les HSM utilisés pour la gestion des clés dans les infrastructures bancaires et PKI nécessitent généralement des mises à jour de firmware ou un remplacement matériel pour prendre en charge les algorithmes PQC. Comme les HSM ont des cycles de remplacement de 5 à 7 ans, ceux achetés en 2026 devraient inclure la prise en charge PQC comme spécification obligatoire.

—