Prochain webinar : Votre stratégie de transition post-quantique est-elle sur les bons rails ? RDV le 04/12. S'inscrire

CryptoNext
Contact
Fr
  • Page d'accueil
  • Blog
  • DORA et NIS2 : Ce que la régulation européenne exige en matière de cryptographie post-quantique
Article de Blog

DORA et NIS2 : Ce que la régulation européenne exige en matière de cryptographie post-quantique

Dora and NIS2

L’arrivée annoncée dans les prochaines années d’ordinateurs quantiques, capables de casser les algorithmes de cryptographie asymétrique classiques (RSA, ECC), impose aux organisations de repenser la sécurité de leurs communications et de leurs données. Les fondements mêmes de la cybersécurité sont remis en question. Comment les institutions européennes ont-elles pris position au travers de la réglementation DORA (Digital Operational Resilience Act) ou de la directive NIS2 (Network and Information Systems Directive 2) récemment entrées en vigueur ?

Dans cet article, nous décryptons la façon dont ces deux textes posent les bases d’une migration vers des systèmes crypto-agiles et résistants à l’ordinateur quantique. Nous revenons aussi sur les implications pour les entreprises, et les mesures concrètes à prendre pour anticiper les risques et se conformer aux nouvelles obligations européennes.

Pourquoi la cryptographie est-elle au cœur des préoccupations réglementaires ?

La cryptographie est à la racine de la confiance numérique. Elle garantit la confidentialité, l’intégrité et l’authenticité des données et des communications numériques. Mais l’émergence de l’informatique quantique bouleverse ce socle de sécurité : les ordinateurs quantiques pourront, à terme, casser les algorithmes de cryptographie asymétrique utilisés aujourd’hui (RSA, ECC), mettant en péril l’ensemble de l’écosystème numérique actuel.

Il était donc essentiel pour les institutions Européennes d’intégrer la cryptographie dans les textes réglementaires pour garantir le maintien de la confiance.

 

1. DORA : Une obligation de gestion proactive des risques cryptographiques

Le règlement européen DORA, devenu applicable en janvier 2025, impose à l’ensemble du secteur financier européen de renforcer sa résilience opérationnelle face aux risques numériques. Il s’applique à plus de 21 types d’entités, dont les banques, compagnies d’assurance, prestataires de services d’investissement ou encore infrastructures de marché.

Le règlement DORA est complété par une dizaine de RTS (Regulatory Technical Standards) et ITS (Implementing Technical Standards). Ces textes ont pour objectif de  préciser et compléter les exigences opérationnelles et techniques du règlement.

L’un de ces RTS, intitulé “ICT (Information & Communication Technologies) Risk Management Framework” traite notamment de la cryptographie et introduit plusieurs obligations concrètes.

Quantum computing et cryptographie : une menace explicitement mentionnée

Le préambule du RTS mentionne clairement le risque associé aux avancées en matière de calcul quantique :

« Les entités financières doivent adopter une approche flexible de gestion et de surveillance des menaces cryptographiques, y compris celles provenant des progrès quantiques. »

Ainsi, le cadre réglementaire impose aux entités de considérer la migration vers la PQC comme une composante stratégique de leur politique de cybersécurité.

Ce que le RTS impose aux entités financières :

  1. Élaborer une politique formelle sur le chiffrement et les contrôles cryptographiques ;
  2. Réaliser et maintenir un inventaire cryptographique ;
  3. S’appuyer sur les standards et pratiques recommandées par des organismes de normalisation reconnus (ISO, ETSI, NIST, etc.) ;
  4. La politique établie doit prévoir une capacité de remplacement rapide des algorithmes en cas de faille : c’est le principe de l’agilité cryptographique ;
  5. Justifier toute impossibilité à mettre en œuvre les points précédents (raisonnement documenté). En particulier, si elles utilisent encore de la cryptographie classique, elles doivent en établir l’inventaire et justifier les raisons pour lesquelles elles acceptent de continuer à l’utiliser.
    L’évaluation du risque résiduel doit être renouvelée au moins une fois par an, en tenant compte des évolutions du risque, des mesures d’atténuation disponibles, etc.

Les exigences de DORA ne sont pas simplement des recommandations mais des obligations.

 

<H2> 2. NIS2 : Une exigence renforcée par le règlement d’application

La directive NIS2, qui remplace la directive NIS de 2016, vise à renforcer la cybersécurité des entités jugées critiques au sein de l’Union européenne : infrastructures critiques, fournisseurs de services essentiels, administrations publiques, etc.

Chaque État membre était tenu de la transposer dans son droit national avant octobre 2024. NIS2 oblige les organisations à mettre en place :

  • des politiques de gestion des risques,
  • des mécanismes de gouvernance de la sécurité,
  • des plans de continuité d’activité,
  • et des procédures de reporting d’incidents.

Cryptographie et NIS2 : où en est-on ?

Contrairement à DORA, la directive NIS2 ne mentionne pas explicitement la menace quantique, bien qu’elle stipule que les politiques de sécurité doivent « prendre en compte l’état de l’art » notamment pour la cryptographie.

Mais la véritable avancée réside dans le règlement d’exécution (UE) 2024/2690, entré en vigueur en novembre 2024, qui vient préciser les exigences techniques pour certains fournisseurs de services numériques (cloud, DNS, datacenters, etc.).

Ce règlement impose un certain nombre d’obligations liées à la cryptographie :

  • Une politique cryptographique basée sur l’état de l’art ;
  • L’intégration de mécanismes d’agilité cryptographique permettant le remplacement rapide des algorithmes ;
  • Un alignement avec les standards internationaux (ISO/IEC 27001, NIST CSF, ETSI, etc.) ;
  • Une obligation de documentation et de preuve de conformité.

Ces exigences sont obligatoires et s’imposent directement aux entités concernées.

Enfin, l’agence européenne ENISA a publié en juin 2025 un règlement d’exécution de NIS2, dans lequel elle recommande explicitement de sécuriser durablement les systèmes en adoptant des algorithmes résistants aux ordinateurs quantiques, notamment pour les données sensibles vulnérables aux attaques de type “harvest now, decrypt later”.

 

3. Les implications concrètes pour les entreprises : agir maintenant

Pour se conformer à ces nouvelles exigences, les entreprises doivent structurer leur démarche de migration vers la PQC selon trois axes complémentaires :

1. Inventorier ses actifs cryptographiques

La première étape est de découvrir et cartographier l’ensemble des clés, certificats, algorithmes, protocoles et usages cryptographiques dans l’organisation. Cette tâche est d’autant plus critique que la plupart de ces actifs sont mal documentés, dispersés dans des infrastructures hétérogènes.

2. Mettre en place une politique d’agilité cryptographique

Le déploiement de la PQC ne doit pas être réalisé en simple remplacement des algorithmes de cryptographie classiques en place, les régulateurs exigent la mise en place d’une stratégie de crypto-agilité :

  • Centralisation de la gouvernance cryptographique
  • Capacité à changer d’algorithme à tout moment
  • Documentation et gestion des politiques cryptographiques à travers l’ensemble du cycle de vie

3. Planifier la migration vers des algorithmes PQC standardisés

En août 2024, le NIST a publié les premiers standards de cryptographie post-quantique. Ils constituent une base solide sur laquelle les organisations peuvent bâtir une stratégie de transition vers une architecture résistante aux attaques de l’ordinateur quantique. Mais c’est un projet de transformation majeur, équivalent à une refonte complète de la gestion des clés, certificats, protocoles et flux numériques. Il doit être abordé avec une vision stratégique, des outils adaptés, et un accompagnement expert.

Adopter ces standards dès maintenant permet de :

  • Se mettre en conformité avec les exigences à venir (2035 étant une échéance structurante)
  • Assurer la résilience de ses données sur le long terme
  • Anticiper les demandes de clients et partenaires souhaitant travailler avec des acteurs « quantum-safe »

 

Conclusion : L’urgence de la migration vers la cryptographie post-quantique

Imposée par DORA et NIS2, la migration vers la PQC est désormais une exigence réglementaire, un impératif stratégique et une opportunité technologique.

Ne pas agir aujourd’hui, c’est prendre le risque :

  • D’exposer ses données à un déchiffrement futur
  • De devenir non-conforme
  • De perdre la confiance de ses clients

À l’inverse, anticiper la migration vers la cryptographie post-quantique permet de bâtir une posture de cybersécurité solide, évolutive et pérenne.

Webinar le 04/12 : Votre transition post-quantique est-elle sur la bonne trajectoire ?

Inscription

Plus de catégories :

Blog Post Communiqué de Presse Livre blanc Post-Quantum Cryptography

Vous souhaitez plus d'informations sur la société, nos produits, les programmes de partenariat ou encore les postes ouverts ?

Contactez-nous

Articles similaires

Voir tous les articles
Cryptography and the Quantum Era: What is the IT Risk for Our Organizations
Article de Blog
Blog Post

Cryptographie et ère quantique : quels risques pour les organisations ?

La cryptographie est la colonne vertébrale de la cybersécurité. Mais l’arrivée de l’ordinateur quantique remet en cause une sécurité considérée comme inviolable depuis 40 ans. Face à ce risque systémique, la cryptographie post-quantique (PQC) est comme la seule voie crédible pour préserver la confidentialité, l’intégrité et la confiance numérique.

Voir l'article

Face au risque quantique : adoptez la crypto-agilité

Contactez-nous