Le gouvernement américain avance la date limite de migration PQC à 2031 : implications pour les entreprises

Le gouvernement américain a avancé la date limite de migration vers la cryptographie post-quantique (PQC) de 2035 à 2031, imposant une adoption plus précoce pour les systèmes à forte valeur ajoutée et à fort impact. Ce décret s’aligne sur les normes du NIST et donne la priorité à l’établissement des clés avant les signatures numériques afin de faire face aux risques immédiats liés au principe « collecter maintenant, décrypter plus tard ». Les organisations doivent commencer à planifier dès maintenant en dressant l’inventaire de leurs actifs cryptographiques, en hiérarchisant les systèmes sensibles et en renforçant leur agilité cryptographique pour respecter ce nouveau calendrier.

Table des matières

Que prévoit concrètement ce décret ?
Prochaines étapes : mesures immédiates
Pourquoi la date butoir pour la PQC est-elle passée de 2035 à 2031 ?
Comment entamer dès aujourd’hui votre transition vers la cryptographie post-quantique (PQC)

Par Jason Soroko, Fellow26 juin 2026

Le 22 juin 2026, la Maison Blanche a publié le décret 14409, intitulé « Protéger la nation contre les attaques cryptographiques avancées », avançant la date limite de migration vers la cryptographie post-quantique (PQC) de 2035 à 2031. Ce décret va au-delà des directives fédérales antérieures en fixant des échéances à court terme et contraignantes, et en les liant directement aux marchés publics fédéraux. Il met effectivement en œuvre les normes PQC 2024 du NIST et les inscrit dans un calendrier précis.

Que prévoit concrètement ce décret ?

Les agences doivent :

Faire en sorte que tous les actifs de grande valeur et tous les systèmes à fort impact utilisent la PQC pour l'établissement des clés d'ici le 31 décembre 2030
Utiliser la PQC pour les signatures numériques d’ici le 31 décembre 2031

Deux précisions sont importantes :

Premièrement, ces échéances ne s’appliquent qu’aux actifs de grande valeur et aux systèmes à fort impact, et non à l’ensemble des systèmes fédéraux. Les systèmes de sécurité nationale restent soumis à un cadre distinct sous l’égide de la NSA, avec des obligations de reporting indépendantes.

Deuxièmement, le décret n’introduit pas de nouvelle cryptographie. Il codifie les normes existantes du NIST :

ML-KEM pour l’établissement des clés
ML-DSA et SLH-DSA pour les signatures numériques

Prochaines étapes : mesures immédiates

L'arrêté fixe un calendrier d'exécution rapide :

Dans un délai de 30 jours : les agences doivent nommer un responsable de la migration PQC relevant du directeur des systèmes d’information (CIO)
Dans un délai de 90 jours : l’OMB doit exiger la réalisation d’inventaires des systèmes critiques et l’élaboration de plans de migration officiels

D’ici fin 2027 : le NIST mènera à bien une migration pilote qui servira de modèle.

Pourquoi l’ordre des étapes importe davantage que les dates

Les deux échéances sont espacées d’un an, et le décret a raison de les distinguer. L’établissement des clés est prioritaire en 2030, car la menace pesant sur la confidentialité est celle qui est déjà bien réelle.

Le principe « Harvest now, decrypt later » (HNDL, « Récolter maintenant, déchiffrer plus tard ») fait de la mise en place des clés une priorité urgente. Une clé de session protégée par la cryptographie classique protège aujourd’hui des données qui devront peut-être rester secrètes pendant dix, vingt ou trente ans. Si ce trafic est capturé et stocké dès maintenant, la migration est déjà en retard.

Les signatures numériques sont différentes. Une signature falsifiée constitue une attaque en temps réel. On ne peut pas falsifier rétroactivement une mise à jour logicielle livrée en 2026. C’est précisément pour cette raison que les signatures peuvent être traitées en second lieu. L’authentification est un événement de signature, mais aussi un événement en temps réel. L’ordre consiste à séquencer les tâches de manière à résoudre en premier lieu le problème exploitable rétroactivement. Cette distinction est importante, car l’urgence est bien réelle ici, sans qu’il soit nécessaire d’exagérer ce que l’on sait réellement des échéances quantiques.

Pourquoi la date butoir pour la PQC est-elle passée de 2035 à 2031 ?

Soyons clairs. Ce changement n’est pas le signe de percées quantiques soudaines. Il reflète plutôt trois réalités :

Les normes PQC sont désormais finalisées
Les délais de migration sont longs et complexes
Les données sensibles dépassent déjà les durées de vie cryptographiques considérées comme sûres

En d’autres termes, ce n’est pas la politique qui s’est accélérée ; c’est elle qui s’est alignée sur les réalités mathématiques.

Comment entamer dès aujourd’hui votre transition vers la cryptographie post-quantique (PQC)

Dressez un inventaire cryptographique : vous ne pouvez pas protéger ce que vous ne voyez pas
Identifiez les systèmes contenant des données sensibles à longue durée de vie et classez-les par ordre de priorité
Exigez dès maintenant de vos fournisseurs qu’ils fassent preuve d’agilité en matière de cryptographie, et demandez-leur l’équivalent d’une nomenclature cryptographique (CBOM)
Commencez par l’établissement des clés, là où le risque HNDL est le plus concentré
Considérez 2031 comme une échéance immédiate pour votre planification

Commencez dès aujourd’hui votre transition vers la cryptographie post-quanta (PQC) grâce à une consultation gratuite : https://www.sectigo.com/fr/quantum-labs

Ressources connexes

Voir toutes les ressources

Rapport 2025 sur l'état de l'agilité cryptographique : comment les organisations se préparent à la cryptographie post-quantique

18 août 2025

Qu'est-ce que l'agilité cryptographique et comment l'atteindre ?

9 novembre 2023