Le 22 juin 2026, la Maison-Blanche a publié l’Executive Order 14409, « Securing the Nation Against Advanced Cryptographic Attacks ». Le texte fixe au gouvernement fédéral américain un calendrier contraignant de migration vers la cryptographie post-quantique (PQC, Post-Quantum Cryptography) et, ce qui est à souligner, étend cette contrainte à ses fournisseurs privés. Même s’il est publié par la Maison-Blanche, il va impacter les organisations européennes.
Aux États-Unis, la migration post-quantique reposait jusqu’ici sur des mémorandums et des recommandations techniques : le National Security Memorandum 10 (NSM-10) de 2022, le mémorandum M-23-02 de l’Office of Management and Budget (OMB), la loi Quantum Computing Cybersecurity Preparedness Act de décembre 2022, et le projet de rapport NIST IR 8547, qui prévoit la dépréciation des algorithmes vulnérables. Ces instruments étaient déjà contraignants pour le périmètre fédéral, mais le calendrier détaillé relevait largement de la recommandation technique. L’Executive Order 14409 promulgue désormais des obligations contraignantes pour les organisations concernées, assorties de dates fermes et de mécanismes opposables.
La migration PQC au cœur de l’Executive Order
La gouvernance est confiée au directeur de l’OMB et au National Cyber Director. Le NIST (National Institute of Standards and Technology), en lien avec la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA), demeure le fournisseur des recommandations techniques. Chaque agence fédérale doit désigner un responsable de la migration post-quantique dans les trente jours.
Le cœur du dispositif tient dans son calendrier. Les agences doivent migrer vers la PQC, pour l’établissement de clés, l’ensemble de leurs High Value Assets (HVA) et de leurs systèmes à fort impact, hors systèmes de sécurité nationale, d’ici le 31 décembre 2030. Pour les signatures numériques, l’échéance est fixée au 31 décembre 2031. Le NIST doit par ailleurs conduire sur ses propres systèmes un projet pilote de migration, à achever avant fin 2027.
Le volet le plus structurant pour le marché figure dans la section consacrée aux marchés publics. Le Federal Acquisition Regulatory Council (FAR Council) doit publier, dans un délai de cent quatre-vingts jours, une proposition de règle imposant aux fournisseurs concernés de se conformer aux standards FIPS intégrant les algorithmes post-quantiques d’ici fin 2030. Une seconde règle, attendue sous deux cent soixante-dix jours, portera sur les programmes de divulgation de vulnérabilités, ou VDP (Vulnerability Disclosure Policies), afin que les rapports de vulnérabilités cryptographiques, y compris la détection d’absence de chiffrement et l’usage d’algorithmes non conformes aux FIPS, y soient intégrés.
Le décret traite enfin de l’outillage. La CISA et le NIST doivent définir, sous deux cent soixante-dix jours, les éléments minimaux d’un cryptographic bill of materials (CBOM) permettant l’évaluation automatisée des actifs cryptographiques d’un composant matériel ou logiciel. Le NIST doit aussi réviser le Cryptographic Module Validation Program (CMVP) pour en accélérer les validations.
De la recommandation à l’obligation
Trois éléments méritent d’être distingués de ce qui n’est qu’une reformulation de positions américaines déjà connues.
Le premier est le changement de statut juridique. En inscrivant des dates dans un ordre présidentiel et en déclenchant des règles fédérales d’achat opposables, le décret fait sortir le calendrier de migration du registre de la recommandation technique. La distinction entre obligation et recommandation, centrale pour qui suit ce dossier, bascule ici nettement du côté de l’obligation pour le périmètre fédéral civil.
Le deuxième est l’extension explicite aux fournisseurs privés. Par le mécanisme de la réglementation fédérale des achats, l’échéance de fin 2030 cesse d’être une affaire interne au gouvernement pour devenir une condition d’accès à la commande publique américaine. Tout fournisseur du gouvernement fédéral, y compris non américain, se trouve concerné. C’est le canal de transmission le plus puissant du texte vers le marché commercial.
Le troisième est l’élévation du CBOM au rang d’instruction présidentielle. La nomenclature des actifs cryptographiques existait déjà, intégrée à la spécification CycloneDX depuis fin 2023 et travaillée par plusieurs consortiums. Qu’un décret charge la CISA et le NIST d’en définir les éléments minimaux pour une évaluation automatisée institutionnalise l’inventaire cryptographique outillé comme socle réglementaire, et non plus seulement comme bonne pratique.
À l’inverse, plusieurs éléments du décret relèvent de la continuité. Le cadrage par la menace « harvest now, decrypt later » (récolter maintenant, déchiffrer plus tard), le rôle pivot du NIST, l’objectif de conformité aux standards FIPS 203, 204 et 205 finalisés en août 2024, et l’horizon 2030 comme année de bascule figuraient déjà dans le corpus américain depuis 2022.
Un point de vigilance mérite d’être relevé pour éviter les confusions. Le décret retient 2030 pour l’établissement de clés et 2031 pour les signatures, sur le périmètre des actifs de grande valeur et des systèmes à fort impact civils. Ces dates ne se confondent ni avec l’horizon 2035 du référentiel NSA CNSA 2.0, qui couvre les systèmes de sécurité nationale exclus de ce décret, ni avec la date de mise hors d’usage envisagée à 2035 par le projet de rapport NIST IR 8547. Le paysage américain comporte désormais deux horizons coexistants : 2030-2031 pour le fédéral civil sensible, 2035 pour les systèmes de sécurité nationale.
Les impacts pour le marché européen
L’effet d’entraînement par la chaîne d’approvisionnement constitue la première conséquence. La clause d’achat fédéral fixée à fin 2030 oblige tout fournisseur du gouvernement américain à être prêt pour la PQC, ce qui diffuse la contrainte bien au-delà du périmètre fédéral et des frontières américaines. Une entreprise européenne travaillant avec une agence fédérale américaine, ou intégrée à une chaîne d’approvisionnement qui y aboutit, héritera de l’échéance.
La deuxième conséquence est une convergence transatlantique autour de l’horizon 2030. Le décret aligne de fait le fédéral civil américain sur la borne qui structure déjà l’Europe. La feuille de route du groupe de coopération NIS de l’Union européenne vise une transition des systèmes à haut risque pour fin 2030. Les déclarations conjointes de l’ANSSI en France et du BSI en Allemagne, signées par vingt et un États, recommandent de protéger les cas d’usage les plus sensibles contre la récolte de données au plus tard fin 2030. La feuille de route de la DINUM (Direction interministérielle du numérique en France) prévoit le déploiement de la PQC pour tous les systèmes en diffusion restreinte d’ici fin 2030. Des deux côtés de l’Atlantique, 2030 est passé du statut de recommandation à celui d’échéance opérationnelle.
Pour les organisations européennes, cette convergence rejoint un cadre réglementaire déjà contraignant. Le règlement DORA, applicable depuis janvier 2025, impose au secteur financier européen d’établir une politique de chiffrement, de maintenir un inventaire cryptographique et de prévoir une capacité de remplacement rapide des algorithmes. Son standard technique mentionne explicitement la menace quantique comme un risque à surveiller. La directive NIS2, via son règlement d’exécution (UE) 2024/2690, impose à certaines entités une politique cryptographique fondée sur l’état de l’art et des mécanismes d’agilité cryptographique. Pour les OIV (organisations d’importance vitale) et les fournisseurs concernés, l’échéance américaine ajoute une pression commerciale à un cadre de conformité préexistant.
La troisième conséquence touche la maturité du marché de l’inventaire et de la nomenclature cryptographiques. En faisant de l’évaluation automatisée des actifs cryptographiques un objet d’instruction présidentielle, le décret conforte un segment où la demande reste largement en retard sur les ambitions affichées. Les études sectorielles convergent sur ce constat : une minorité d’organisations ont achevé un inventaire cryptographique complet. Or l’inventaire est l’étape préalable à toute migration. Sans cartographie complète du parc cryptographique, ni la priorisation ni la remédiation ne peuvent commencer. L’accélération du programme de validation des modules cryptographiques réduit par ailleurs un goulot d’étranglement connu pour la mise sur le marché des modules certifiés.
En conclusion, bien que publié par la Maison-Blanche, ce décret a un impact qui va bien au-delà des frontières des États-Unis. Il vient confirmer la tendance qui se dessine au niveau mondial : un horizon 2030 qui se durcit et un inventaire cryptographique qui s’impose comme première étape. Pour les organisations européennes, cet Executive Order vient renforcer une tendance déjà dessinée par DORA et NIS2.
Plus de catégories :
