Cryptographie post-quantique : les échéances d'avril 2026 sont arrivées

Publié le mars 3, 2026 · Dernière mise à jour mars 14, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

D'ici avril 2026, chaque agence fédérale américaine doit soumettre des plans de transition PQC, et les sous-traitants du DoD font face à une échéance de conformité en janvier 2027. L'UE, le Canada, le Royaume-Uni et la France ont émis des mandats parallèles ciblant 2030-2035 pour la migration complète. Seuls 8 % des décideurs informatiques fédéraux ont pleinement intégré les normes PQC, tandis que les fournisseurs cloud ont déjà livré des produits compatibles PQC.

En résumé : Assurez-vous que les nouveaux achats informatiques incluent des exigences de crypto-agilité — les mises à jour des fournisseurs apporteront les capacités PQC passivement.

Lire l’analyse complète ↓

🧭 Radar de Décision (Perspective Algérie)

Pertinence pour l’AlgérieMoyenne-Élevée

La stratégie nationale de sécurité des systèmes d’information 2025-2029 de l’Algérie témoigne d’une prise de conscience croissante en cybersécurité, mais la PQC n’est pas encore abordée. Les systèmes gouvernementaux, l’infrastructure bancaire et les réseaux énergétiques de Sonatrach reposent tous sur la cryptographie à clé publique vulnérable aux menaces quantiques.

Infrastructure prête ?Non

L’Algérie ne dispose pas d’installations de test PQC nationales, de centres de recherche cryptographique ni d’organismes de normalisation équivalents au NIST. La dépendance au matériel et aux logiciels importés signifie que les calendriers de migration suivront les feuilles de route des fournisseurs plutôt que la planification nationale.

Compétences disponibles ?Non

L’expertise en cryptographie en Algérie est concentrée dans les milieux académiques (USTHB, ESI) avec des connaissances PQC appliquées limitées. Aucune main-d’oeuvre dédiée à la migration cryptographique n’existe dans les services informatiques gouvernementaux.

Calendrier d’action12-24 mois

L’Algérie devrait commencer la planification de l’inventaire cryptographique et surveiller les exigences internationales d’approvisionnement PQC qui affecteront les produits informatiques importés. D’ici 2028, les produits disponibles sur le marché intégreront de plus en plus la PQC par défaut, rendant la transition partiellement automatique pour les nouvelles acquisitions.

Parties prenantes clésANPDP (autorité de protection des données), ministère de l’Économie numérique, CERIST, division informatique de Sonatrach, Banque d’Algérie, Algérie Telecom, services de défense et de renseignement

Type de décisionStratégique / Éducatif

Les décideurs doivent comprendre le calendrier PQC, commencer l’inventaire des dépendances cryptographiques et s’assurer que les nouveaux approvisionnements informatiques incluent des exigences de crypto-agilité.

Le compte à rebours est lancé

La menace théorique des ordinateurs quantiques brisant le chiffrement actuel est discutée dans les cercles de cybersécurité depuis plus de deux décennies. En 2026, cette menace théorique se traduit en mandats gouvernementaux concrets avec des échéances fermes, et l’écart entre les attentes réglementaires et la préparation des organisations devient dangereusement visible.

D’ici avril 2026, chaque agence fédérale américaine doit soumettre un plan de transition complet vers la cryptographie post-quantique (PQC). Dans le cadre de la feuille de route parallèle du Canada, les ministères doivent également disposer de plans initiaux de migration PQC d’ici avril 2026 et s’assurer que tous les nouveaux contrats comportant une composante numérique incluent des clauses d’approvisionnement PQC. Les plans doivent inventorier tous les systèmes cryptographiques, prioriser les actifs par sensibilité et risque, identifier les voies de migration pour chaque système et établir des calendriers pour achever la transition vers les algorithmes résistants au quantique.

Ce n’est pas un exercice de planification que les agences peuvent ranger et oublier. Le mandat, enraciné dans le National Security Memorandum 10 (NSM-10) signé le 4 mai 2022, et renforcé par le OMB Memorandum M-23-02 publié en novembre 2022, inclut des revues de progrès annuelles et lie les décisions de financement aux progrès de migration démontrés. Les agences qui échouent à montrer des progrès adéquats font face à des conséquences budgétaires — un levier qui s’est historiquement avéré efficace pour stimuler la modernisation informatique fédérale.

Les États-Unis n’agissent pas seuls. La feuille de route coordonnée de l’Union européenne pour la mise en oeuvre de la PQC, publiée par le NIS Cooperation Group, recommande que les États membres lancent des stratégies nationales de transition PQC d’ici fin 2026, avec les infrastructures critiques migrées d’ici 2030 et la transition complète d’ici 2035. Le Centre canadien pour la cybersécurité a publié sa propre feuille de route de migration PQC, exigeant des clauses d’approvisionnement alignées PQC dans tous les nouveaux contrats à partir d’avril 2026 et ciblant la migration des systèmes hautement prioritaires d’ici 2031. Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié une feuille de route de migration en trois phases en mars 2025 avec des jalons en 2028, 2031 et 2035. L’ANSSI française a émis des exigences PQC sectorielles mettant l’accent sur les approches cryptographiques hybrides pour les opérateurs d’infrastructures critiques.

La convergence de ces mandats à travers de multiples grandes économies signale que la migration post-quantique n’est plus une préoccupation abstraite pour le futur — c’est une obligation réglementaire actuelle avec des implications de conformité immédiates.

Ce que le mandat fédéral américain exige

Le mandat américain de migration PQC a évolué à travers une série de directives, chacune ajoutant de la précision et de l’urgence à l’exigence.

Le NSM-10, signé le 4 mai 2022, a établi le cadre politique et ordonné aux agences de commencer l’inventaire de leurs systèmes cryptographiques, fixant un objectif de 2035 pour l’achèvement de la transition vers la cryptographie résistante au quantique. Le OMB Memorandum M-23-02, publié le 18 novembre 2022, a fixé les exigences initiales pour l’achèvement de l’inventaire cryptographique et la planification de la migration, ordonnant aux agences de désigner un responsable de l’inventaire cryptographique et de la migration dans un délai de 30 jours. Les documents d’orientation ultérieurs de CISA ont fourni les spécificités techniques de mise en oeuvre.

L’échéance d’avril 2026 exige que les agences soumettent des plans de transition comprenant quatre éléments essentiels.

Premièrement, un inventaire cryptographique complet. Les agences doivent documenter chaque système, application et canal de communication utilisant la cryptographie à clé publique, incluant les algorithmes spécifiques en usage (RSA, ECC, Diffie-Hellman, etc.), les tailles de clés, les autorités de certification et les versions de protocole. Cet inventaire doit s’étendre aux systèmes exploités par les sous-traitants et les fournisseurs de services cloud pour le compte de l’agence.

Deuxièmement, une feuille de route de migration priorisée par les risques. Tous les systèmes n’ont pas besoin de migrer simultanément. Les agences doivent catégoriser leurs actifs cryptographiques en fonction de la sensibilité des données qu’ils protègent, de la durée de vie opérationnelle prévue du système et de la faisabilité de la migration. Les systèmes protégeant des données à sensibilité à long terme — informations classifiées, dossiers médicaux, données financières, propriété intellectuelle — sont prioritaires car ils sont vulnérables aux attaques « harvest now, decrypt later », où les adversaires collectent des données chiffrées aujourd’hui avec l’intention de les déchiffrer une fois que les ordinateurs quantiques en seront capables.

Troisièmement, un plan de sélection technologique. Les agences doivent identifier quels algorithmes post-quantiques approuvés par le NIST elles prévoient d’adopter pour chaque catégorie de système. Le NIST a finalisé son premier ensemble de normes cryptographiques post-quantiques le 13 août 2024, publiant trois Federal Information Processing Standards : FIPS 203 pour ML-KEM (anciennement CRYSTALS-Kyber) pour l’encapsulation de clés, FIPS 204 pour ML-DSA (anciennement CRYSTALS-Dilithium) pour les signatures numériques, et FIPS 205 pour SLH-DSA (anciennement SPHINCS+) comme schéma de signature de secours. Un quatrième algorithme, FN-DSA (anciennement FALCON), est en développement en tant que projet FIPS 206 et devrait être finalisé fin 2026 ou début 2027.

Quatrièmement, un plan de calendrier et de ressources. Les agences doivent fournir des calendriers réalistes pour l’achèvement de la migration, identifier les besoins en ressources (budget, personnel, support technique) et documenter les dépendances envers les mises à jour des produits fournisseurs, la finalisation des normes et les tests d’interopérabilité.

La posture de résistance quantique du DoD

Le Department of Defense a adopté l’approche la plus agressive de migration PQC au sein du gouvernement fédéral, reflétant à la fois la sensibilité des communications militaires et la prise de conscience précoce de la menace quantique par le département.

Le DoD a émis un mémorandum de migration PQC ordonnant à toutes les composantes de transitionner rapidement vers la cryptographie post-quantique, citant les avancées en sciences de l’information quantique et la nécessité de protéger les systèmes d’information, les communications et le personnel. La directive allait au-delà des exigences de l’OMB à deux égards significatifs. Premièrement, elle a explicitement interdit l’utilisation de la distribution quantique de clés (QKD) dans les systèmes du DoD. Cette interdiction reflète l’évaluation de longue date de la NSA selon laquelle la QKD présente des limitations fondamentales, notamment sa dépendance à une infrastructure de fibre optique dédiée, sa vulnérabilité aux attaques d’implémentation et son incapacité à fournir une authentification sans recourir à la cryptographie conventionnelle. La NSA a déclaré ne pas prévoir de certifier ou d’approuver des produits QKD pour une utilisation en sécurité nationale.

Deuxièmement, la directive du DoD a établi que les solutions cryptographiques obsolètes doivent être remplacées par des algorithmes PQC approuvés par le NIST d’ici le 31 décembre 2030. Toutes les technologies liées à la PQC doivent être approuvées par le DoD CIO PQC Directorate avant tout test, évaluation ou déploiement. Le Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) de la NSA spécifie en outre qu’à partir du 1er janvier 2027, toutes les nouvelles acquisitions d’équipements de systèmes de sécurité nationale doivent être conformes au CNSA 2.0.

Pour les sous-traitants de la défense, les implications sont immédiates. Un décret exécutif de juin 2025 exige que les sous-traitants atteignent la préparation PQC d’ici le 4 janvier 2027. Les fournisseurs lents à adopter la PQC pourraient être entièrement exclus des contrats fédéraux. Les sous-traitants incapables de démontrer un parcours de migration PQC crédible risquent de perdre leur éligibilité contractuelle.

Les orientations d’approvisionnement de CISA

Le rôle de CISA dans la transition PQC s’étend au-delà des agences fédérales vers l’écosystème plus large des infrastructures critiques. Le 23 janvier 2026, CISA a publié « Product Categories for Technologies That Use Post-Quantum Cryptography Standards » — une liste requise par l’Executive Order 14306 (émis le 6 juin 2025) identifiant les catégories de produits où les produits compatibles PQC sont largement disponibles.

Les orientations divisent le marché des technologies de l’information en deux classifications.

« Largement disponible » s’applique aux catégories de produits où les produits compatibles PQC sont commercialement matures. Cela inclut notamment les services cloud (PaaS/IaaS), les navigateurs web et la sécurité des terminaux. Pour ces catégories, CISA a effectivement signalé que les agences fédérales devraient cesser l’approvisionnement en produits hérités non conformes.

« En transition » s’applique aux catégories de produits où l’adoption PQC est en cours mais pas encore universelle. Les fournisseurs dans ces catégories doivent fournir des parcours de mise à niveau documentés et des calendriers de livraison des capacités PQC.

Les orientations d’approvisionnement ont des effets d’entraînement significatifs au-delà du marché fédéral. De nombreux fournisseurs de technologies maintiennent une gamme de produits unique pour les clients gouvernementaux et commerciaux, ce qui signifie que les capacités PQC développées pour la conformité fédérale se diffuseront probablement dans les produits commerciaux. Cette dynamique pourrait accélérer l’adoption PQC dans le secteur privé même en l’absence de mandats pour le secteur privé.

CISA a également publié des ressources de migration soulignant l’importance de la crypto-agilité — la conception de systèmes de sorte que les algorithmes cryptographiques puissent être remplacés sans changements architecturaux fondamentaux. La General Services Administration (GSA) américaine a publié un PQC Buyer’s Guide offrant des étapes pratiques pour que les agences et les sous-traitants évaluent les systèmes cryptographiques, planifient les migrations et se procurent des solutions résistantes au quantique. Les organisations qui ont investi dans des architectures crypto-agiles trouveront la transition PQC significativement plus facile que celles ayant des dépendances cryptographiques codées en dur.

Le paysage européen et allié

La migration PQC est une entreprise véritablement mondiale, avec des mandats coordonnés émergeant dans les principales économies.

L’approche de l’Union européenne est structurée à travers la feuille de route coordonnée de mise en oeuvre PQC du NIS Cooperation Group, publiée début 2025. La feuille de route recommande que les États membres lancent des stratégies nationales de transition PQC d’ici fin 2026, transitionnent les infrastructures critiques d’ici fin 2030, et achèvent la transition pour autant de systèmes que possible d’ici fin 2035. En janvier 2026, la Commission européenne a publié un projet de directive modifiant NIS2 avec des changements ciblés qui incluent, pour la première fois, une exigence explicite de cryptographie post-quantique inscrite directement dans le texte de la directive. L’ENISA a publié des orientations recommandant des schémas hybrides PQ/T — combinant des algorithmes conventionnels comme X25519 avec des schémas PQC comme ML-KEM — pour faciliter l’interopérabilité pendant la transition.

L’approche de l’UE diffère de celle des États-Unis par son accent sur la diversité algorithmique. Alors que les États-Unis se sont concentrés sur les algorithmes approuvés par le NIST, l’ENISA a recommandé que les implémentations européennes prennent en charge plusieurs familles d’algorithmes post-quantiques pour réduire le risque de point de défaillance unique si une famille d’algorithmes se révélait vulnérable. Cette recommandation ajoute de la complexité à l’implémentation mais offre une couverture contre les incertitudes mathématiques qui entourent encore certaines constructions post-quantiques.

Le Centre canadien pour la cybersécurité a publié une feuille de route de migration PQC complète avec des jalons concrets : avril 2026 pour les plans de migration départementaux initiaux et les clauses d’approvisionnement, fin 2031 pour l’achèvement de la migration des systèmes hautement prioritaires, et fin 2035 pour les systèmes restants. D’ici fin 2026, les modules cryptographiques implémentant des schémas de signature numérique doivent prendre en charge les algorithmes PQC appropriés. Le Centre a également développé des clauses contractuelles recommandées pour les systèmes contenant des modules cryptographiques.

Le NCSC du Royaume-Uni a publié sa feuille de route de migration en trois phases en mars 2025. D’ici 2028, les organisations devraient achever la découverte des dépendances cryptographiques. D’ici 2031, les migrations les plus prioritaires devraient être terminées. D’ici 2035, la migration devrait être achevée sur tous les systèmes. Le NCSC a été le premier organisme réglementaire majeur à approuver les algorithmes PQC standardisés par le NIST après leur publication en août 2024, recommandant ML-KEM, ML-DSA et SLH-DSA.

L’ANSSI française a été la plus techniquement prescriptive des agences nationales européennes. La feuille de route PQC en trois phases de l’ANSSI met l’accent sur les approches hybrides pendant la transition : la Phase 1 (maintenant) se concentre sur l’hybridation pour une défense en profondeur supplémentaire ; la Phase 2 (pas avant 2025) cible les schémas hybrides offrant une assurance complète de sécurité post-quantique ; la Phase 3 (pas avant 2030) permet la PQC autonome optionnelle. Fait notable, à partir de 2027, l’ANSSI n’acceptera plus de produits pour son visa de sécurité qui n’intègrent pas la cryptographie post-quantique.

Préparation de l’industrie : le fossé

Malgré des années d’avertissement préalable, la préparation de l’industrie technologique à la migration PQC reste inégale.

Les grands fournisseurs cloud ont réalisé les plus grands progrès. AWS a déployé ML-KEM pour l’échange de clés hybride post-quantique sur ses points de terminaison de services publics, avec AWS KMS, Certificate Manager et Secrets Manager prenant désormais en charge la PQC. Les équilibreurs de charge applicatifs et réseau prennent en charge le TLS post-quantique sans coût supplémentaire. Microsoft a rendu ML-KEM et ML-DSA disponibles via son Cryptography API: Next Generation (CNG), avec Windows Server 2025 et Windows 11 recevant la prise en charge des algorithmes PQC par les mises à jour de novembre 2025. Le navigateur Chrome de Google est passé à ML-KEM pour l’échange de clés hybride post-quantique dans Chrome 131 (novembre 2024), et Cloudflare a rapporté qu’environ 38 % du trafic HTTPS sur son réseau utilisait des poignées de main PQC hybrides en mars 2025. Apple a déployé PQ3, son protocole de chiffrement post-quantique pour iMessage, à partir d’iOS 17.4 début 2024.

Les éditeurs de logiciels d’entreprise présentent un tableau plus mitigé. Les éditeurs de bases de données, les fournisseurs de planification des ressources d’entreprise et les entreprises de plateformes collaboratives en sont à divers stades d’intégration PQC, beaucoup étant encore en phase de test. Le défi pour ces éditeurs n’est pas seulement l’implémentation algorithmique mais l’interopérabilité — s’assurer que les communications protégées par PQC fonctionnent correctement dans des environnements multi-fournisseurs complexes.

Le matériel présente le plus grand défi. Le matériel cryptographique — incluant les modules de sécurité matériels (HSM), les modules de plateforme sécurisée (TPM) et les cartes à puce — a souvent des capacités cryptographiques codées en dur qui ne peuvent pas être mises à jour par des correctifs logiciels. Les organisations dépendant du matériel cryptographique peuvent faire face à des cycles de remplacement mesurés en années.

Une enquête de 2025 menée par GDIT auprès de 200 décideurs informatiques fédéraux a révélé que seuls 8 % avaient pleinement intégré les normes PQC, tandis que 50 % développaient activement des stratégies et 35 % en étaient encore à définir des plans et des budgets. 46 % avaient identifié les risques clés mais n’avaient pas encore commencé d’évaluations formelles. Les résultats suggèrent que la transition PQC sera un effort pluriannuel, possiblement pluridécennal, les échéances de 2026 servant de catalyseurs pour la planification plutôt que de jalons d’achèvement.

En bref : Le secteur bancaire algérien, les systèmes de paiement électronique d’Algerie Poste et les réseaux opérationnels de Sonatrach reposent tous sur des standards cryptographiques que l’informatique quantique finira par casser. L’Algérie important la majeure partie de son infrastructure IT auprès de fournisseurs conformes aux mandats NIST américain et UE, le matériel et les logiciels compatibles PQC arriveront passivement via les cycles d’approvisionnement, mais l’ANDI et l’autorité nationale de cybersécurité devraient imposer des exigences de crypto-agilité dans tous les nouveaux appels d’offres IT gouvernementaux pour s’assurer que l’Algérie ne se retrouve pas enfermée dans des systèmes vulnérables au quantique.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que post-quantum cryptography ?

Cet article couvre les aspects essentiels de ce sujet, en examinant les tendances actuelles, les acteurs clés et les implications pratiques pour les professionnels et les organisations en 2026.

Pourquoi post-quantum cryptography est-il important ?

Ce sujet est important car il a un impact direct sur la façon dont les organisations planifient leur stratégie technologique, allouent leurs ressources et se positionnent dans un paysage en évolution rapide.

Quels sont les points clés à retenir de cet article ?

L’article analyse les mécanismes clés, les cadres de référence et les exemples concrets qui permettent de comprendre le fonctionnement de ce domaine, en s’appuyant sur des données actuelles et des études de cas.