Post-quantique : le calendrier 2026-2035 et par où commencer

· 5 min de lecture · SOVALYX Technologies

PARTAGER

La migration post-quantique a quitté le terrain de la prospective : les standards de remplacement sont publiés, les dates de fin de vie de la cryptographie actuelle sont écrites, et les premières échéances réglementaires américaines tombent dès cette année. Pourtant, l'adoption reste faible et peu d'organisations sont réellement passées en production. C'est précisément la fenêtre où commencer coûte encore peu.

Ce qui est déjà acté : trois standards et une fin de vie programmée

Le point de départ officiel date du 13 août 2024 : le NIST a finalisé trois standards post-quantiques — un mécanisme d'établissement de clés (ML-KEM) et deux schémas de signature (ML-DSA et SLH-DSA). Les algorithmes cibles existent donc ; la question n'est plus « quoi », mais « quand » et « dans quel ordre ».

Le NIST a ensuite publié la trajectoire de sortie de la cryptographie actuelle (NIST IR 8547) : dépréciation programmée de RSA-2048 et ECC P-256 en 2030, puis interdiction des algorithmes vulnérables en 2035. Ces dates ne sont pas des prédictions sur l'ordinateur quantique : ce sont des décisions de normalisation, qui s'appliqueront que la machine existe ou non. Et comme les standards du NIST servent de référence mondiale aux éditeurs et équipementiers, elles structurent le marché bien au-delà des États-Unis.

2026-2027 : les échéances qui mettent le marché en mouvement

Deux jalons rapprochés accélèrent la mécanique côté fournisseurs :

L'analyse de The Quantum Insider sur les calendriers de migration montre comment ces échéances gouvernementales se propagent à l'industrie entière : un éditeur ne maintient pas deux gammes cryptographiques, donc ce qui devient obligatoire pour le fédéral américain devient le produit standard pour tout le monde. Dans le même temps, la feuille de route de la Cloud Security Alliance constate que l'adoption reste faible : peu d'organisations ont des déploiements post-quantiques en production. L'écart entre la pression réglementaire et la réalité du terrain est aujourd'hui le fait marquant du dossier.

Pourquoi ces dates vous concernent même sans client fédéral américain

Trois mécanismes rendent ce calendrier universel :

Ce n'est pas un conseil juridique : selon votre secteur et vos marchés, des exigences spécifiques peuvent s'ajouter — vérifiez avec vos conseils ce qui s'applique à votre situation.

Par où commencer : un plan de migration réaliste

La bonne nouvelle du constat d'adoption faible : personne n'a vraiment pris d'avance décisive, et la démarche peut rester méthodique. Séquence recommandée :

  1. Inventaire cryptographique : certificats, VPN, SSH, chiffrement au repos, signatures, dépendances fournisseurs. Nous détaillons la méthode dans notre article sur l'inventaire cryptographique en entreprise.
  2. Classification par durée de vie : croiser chaque usage avec la durée pendant laquelle la donnée protégée doit rester confidentielle. Ce qui doit survivre à 2030 passe en tête.
  3. Crypto-agilité : exiger dans tout nouvel achat la capacité à changer d'algorithme par configuration. C'est le critère qui coûte zéro aujourd'hui et évite les remplacements forcés demain.
  4. Pression fournisseurs : demander par écrit les feuilles de route post-quantiques (et FIPS 140-3) de vos éditeurs, hébergeurs et équipementiers. Les fondamentaux du chiffrement des données — et surtout de la gestion des clés — conditionnent la suite.
  5. Pilotes hybrides : tester les modes combinant algorithmes classiques et post-quantiques sur des flux non critiques, pour mesurer l'impact sur les performances et la compatibilité avant de généraliser.

Le calendrier en un tableau

ÉchéanceCe qui changeCe que ça implique pour vous
13 août 2024Le NIST finalise trois standards post-quantiquesLes algorithmes cibles existent ; les feuilles de route fournisseurs peuvent être exigées
21 septembre 2026Certificats FIPS 140-2 en statut « Historical » ; seules les validations FIPS 140-3 acceptées pour les nouveaux achats fédéraux américainsVague de re-certifications chez les fournisseurs ; vérifier le statut des produits que vous achetez
1er janvier 2027Les acquisitions de National Security Systems doivent supporter CNSA 2.0Les catalogues s'alignent ; la crypto-agilité devient un critère d'achat standard
2030Dépréciation programmée de RSA-2048 et ECC P-256 (NIST IR 8547)Vos usages prioritaires doivent avoir migré ; les autres ont une trajectoire datée
2035Interdiction des algorithmes vulnérables (NIST IR 8547)Fin de vie complète : plus d'exception, plus de mode de compatibilité

Le calendrier est public, les standards sont publiés, et l'adoption encore faible laisse une fenêtre pour migrer sans crise. Un état des lieux cryptographique est la première étape qui transforme ces dates en plan d'action propre à votre infrastructure.

Comment SOVALYX peut vous aider

SOVALYX aide les organisations à transformer ce calendrier en plan d'action : inventaire cryptographique dans le cadre d'un audit d'infrastructure, priorisation par durée de vie des données, puis trajectoire de migration pilotée sur son cloud privé, avec supervision 24/7 sous SLA pendant les bascules. L'objectif : arriver aux échéances de dépréciation en ayant déjà migré ce qui compte.

Parler sécurité avec un ingénieur

🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.

Relu et optimisé par IA.