Ce que le décret impose réellement
Le 22 juin 2026, un décret américain a fixé des calendriers précis pour faire passer la cryptographie fédérale à des normes post-quantiques. Les systèmes fédéraux sensibles, décrits dans le décret comme des actifs de grande valeur et des systèmes à fort impact, doivent adopter un établissement de clés post-quantique d'ici au 31 décembre 2030, les signatures numériques, mécanisme sur lequel repose l'authentification, suivant d'ici la fin de 2031. Le décret présente cela comme une protection contre un avenir où des ordinateurs quantiques à grande échelle pourront casser le chiffrement largement utilisé aujourd'hui.
La partie qui dépasse le cadre gouvernemental concerne la passation des marchés. Le décret ordonne au conseil compétent de publier un projet de règle exigeant que les sous-traitants fédéraux concernés se conforment aux normes NIST FIPS applicables, y compris celles intégrant des algorithmes post-quantiques, d'ici au 31 décembre 2030. Cette règle applicable aux sous-traitants est encore au stade de projet, de sorte que son périmètre précis peut évoluer avant sa version définitive. La tendance de fond est toutefois claire : la préparation post-quantique passe d'un sujet de spécialistes à une condition pour travailler avec le gouvernement fédéral américain.
Pourquoi une obligation américaine atteint un dirigeant allemand
Une entreprise allemande n'est pas directement liée par un décret américain. Le mécanisme qui compte est la chaîne d'approvisionnement. Lorsqu'une exigence est inscrite dans les contrats fédéraux américains, elle tend à se répercuter des donneurs d'ordre principaux vers leurs sous-traitants et fournisseurs, où qu'ils se trouvent. Un fournisseur du Mittelstand, un prestataire de services ou un véhicule de family office en lien avec un contrat fédéral américain peut voir une clause post-quantique lui parvenir d'un client plutôt que d'un régulateur, selon le calendrier du client plutôt que celui que vous auriez choisi.
L'avertissement récolter maintenant, déchiffrer plus tard explique pourquoi on ne peut pas simplement attendre 2030. Le décret indique clairement que des adversaires peuvent collecter des informations chiffrées maintenant et les déchiffrer plus tard, une fois que les ordinateurs quantiques en seront capables. Cela transforme les données protégées aujourd'hui en données déjà exposées si elles doivent rester confidentielles pendant des années. Les contrats, les dossiers financiers, les données médicales et personnelles, ainsi que tout ce qui a une longue durée de confidentialité, constituent les catégories exposées, car elles doivent encore tenir à un moment où le chiffrement qui les entoure pourrait ne plus le faire.
Ce qu'il vaut la peine de faire maintenant, et ce sur quoi attendre
La réponse mesurée n'est pas de se précipiter pour acheter de la nouvelle cryptographie. Comme la règle applicable aux sous-traitants n'est encore qu'un projet et que les normes se stabilisent encore, la migration technique peut suivre le calendrier fixé par le décret. Ce qui ne doit pas attendre, c'est le travail d'inventaire dont dépend chaque étape ultérieure. Cela signifie savoir lesquels de vos flux de données sont réellement sensibles, combien de temps chacun doit rester confidentiel et quelles relations clients pourraient vous transmettre une exigence post-quantique. Rien de tout cela n'exige encore de décisions techniques poussées.
Il s'agit d'une question de gouvernance avant d'être un projet informatique, et c'est une question qu'un dirigeant est bien placé pour cadrer. Considérer 2030 comme l'échéance en minimise la portée, car les données que vous envoyez aujourd'hui sont précisément celles qui intéressent dès maintenant un adversaire pratiquant le déchiffrement différé. Une cartographie courte et honnête des données sensibles à longue durée de vie et des contrats exposés transforme une obligation étrangère lointaine en un ensemble de décisions que vous pouvez prendre délibérément, dans l'ordre qui convient à votre activité plutôt qu'au cycle contractuel d'un client. Il s'agit ici d'un compte rendu de ce que dit le décret et de ce qu'il implique, et non d'un avis juridique sur vos obligations spécifiques.
À lire ensuite: Le compte à rebours de 24 heures démarre · Votre devoir de cybersécurité devient personnel