« Nous devons agir maintenant ». À Monaco, lors des Assises de la cybersécurité 2025, Vincent Strubel a posé un jalon net : sortir du déni et préparer l’économie française au choc cryptographique et à la dépendance technologique. En trois jours, le débat s’est cristallisé autour d’un double défi que les comités exécutifs ne peuvent plus différer.

Q-Day : calendrier ANSSI et obligations à venir

Le directeur général de l’ANSSI a formalisé une trajectoire qui change la donne pour tous les acteurs publics et critiques, et, par ricochet, pour leurs écosystèmes de fournisseurs. Dès 2027, aucune solution de sécurité ne sera certifiée si elle n’intègre pas la cryptographie post-quantique. Et une seconde échéance, encore plus structurante, a été posée : en 2030, les entités publiques et critiques ne pourront plus acquérir d’outils dépourvus de protections post-quantiques (ANSSI).

Cette feuille de route, détaillée aux Assises, a été confirmée par des publications de référence du secteur. Elle accélère le passage d’un discours prudent à des décisions d’investissement irréversibles. L’objectif est clair : éviter le piège du « lift and shift » cryptographique réalisé dans l’urgence, et imposer une cartographie des actifs cryptographiques suffisamment tôt pour planifier des migrations d’algorithmes sans interruption de service.

Plusieurs experts saluent ce durcissement des exigences. Ils y voient une opportunité d’industrialiser des plans de remédiation jusque-là laissés au niveau de la veille. D’autres voix, plus sceptiques, estiment la menace encore distante et craignent une surpondération du chiffrement dans les budgets 2026-2028. Le débat n’enlève rien au fait que la fenêtre de transformation se referme rapidement.

Q-Day est le point à partir duquel un ordinateur quantique à grande échelle pourra casser les schémas cryptographiques aujourd’hui dominants, en particulier ceux basés sur les problèmes d’arithmétique modulaire. Conséquence directe : déchiffrement de données archivées ou interceptées aujourd’hui, attaques de signature et rupture d’authenticité. Pour une entreprise, cela signifie la perte de confidentialité, la mise à mal des chaînes d’approvisionnement et la non-conformité réglementaire potentielle sur des périmètres critiques.

La dimension temporelle est, elle aussi, stratégique. Des estimations d’experts cités ces derniers jours situent le Q-Day à l’horizon 2030 (Journal du Net). Même si ce jalon est incertain, la logique « harvest now, decrypt later » transforme immédiatement la valeur des données à long cycle de vie comme les secrets industriels, les archives sensibles et les identités machine.

Cryptographie post-quantique : choix techniques, gouvernance et dépendance

Le volet technologique ne se résume pas à un remplacement d’algorithmes. Il s’agit d’un changement de paradigme cryptographique à piloter avec méthode.

L’ANSSI encourage l’adoption d’algorithmes normalisés par le NIST en 2024, notamment Kyber (chiffrement) et Dilithium (signature), tout en rappelant l’importance d’une adaptation aux impératifs de souveraineté et d’implémentations de confiance. La priorité n’est pas seulement d’être conforme à une norme, mais d’intégrer des briques interopérables, auditées et maîtrisées.

La gouvernance est la pièce manquante de nombreux dispositifs. Les entreprises rapportent que leurs PKI, inventaires de certificats et « secrets stores » sont souvent fragmentés, avec des cycles de renouvellement et des dépendances applicatives mal documentés. Pour tenir les échéances 2027-2030, il faut trouver des leviers de massification : automatiser la découverte, aligner les choix cryptographiques avec les politiques d’achat, et préparer des systèmes « hybrides » combinant schémas classiques et post-quantiques pendant une période transitoire.

Les étapes critiques incluent :

  • Inventaire des usages cryptographiques par flux, par application et par dépendance tiers.
  • Détection des algorithmes et tailles de clé réellement employés en production, et non uniquement ceux « prescrits » par les politiques internes.
  • Analyse des cycles de renouvellement des certificats et des versions de bibliothèques cryptographiques.
  • Plan de migration avec des mécanismes hybrides, pour limiter les ruptures de compatibilité.

Ce travail est itératif et doit être révisé à chaque évolution logicielle et à chaque changement de périmètre fournisseur.

Normalisation NIST et adaptation souveraine

Kyber et Dilithium ont été normalisés par le NIST en 2024. L’ANSSI recommande de s’appuyer sur ces standards, tout en veillant à la qualité des implémentations, aux chaînes d’outillage et à la conformité aux exigences françaises sur les environnements sensibles. L’enjeu : concilier interopérabilité internationale et maîtrise des composants déployés.

Souveraineté numérique : des choix d’achat qui reconfigurent le marché

Aux Assises, la souveraineté est sortie du registre symbolique pour devenir un critère d’achat explicite. Juridiquement et opérationnellement, la dépendance à des technologies extraterritoriales introduit des risques de conflits de lois, de localisation des données et de réversibilité contractuelle. Les exposants ont multiplié les offres « durcies » en France et les garanties de contrôle.

La tonalité s’est aussi durcie côté institutions. Des prises de position de l’ANSSI en octobre 2025 rappellent l’impératif de réduire les dépendances critiques pour protéger les fonctions essentielles. La Gendarmerie nationale a, pour sa part, documenté en juin 2025 la montée en puissance de la coordination nationale face aux menaces cyber et l’importance des capacités souveraines.

Trois axes structurent les exigences :

  • Hébergement sur des infrastructures maîtrisées ou qualifiées en France.
  • Localisation des données et des métadonnées, avec des engagements contractuels et techniques vérifiables.
  • Contrôle de la chaîne logicielle, incluant la provenance, l’auditabilité et la réversibilité des composants.

Ces critères peuvent être intégrés en amont dans les appels d’offres, pour éviter des surcoûts de remédiation ultérieurs.

Indicateurs clés 2024-2025 : adoption, financements et seuils réglementaires

Plusieurs jalons économiques et réglementaires éclairent la trajectoire.

Métriques Valeur Évolution
Part des infrastructures critiques ayant lancé une évaluation du risque quantique fin 2024 20 % Non communiqué
OVHcloud : chiffre d’affaires 2024 932 M€ +12 %
Bpifrance : projets cybersécurité financés en 2024 150 projets (200 M€) Non communiqué
France 2030 : enveloppe dédiée au quantique 1 Md€ Non applicable
Sanction maximale pour manquements OIV (code de la défense) 750 000 € Non applicable

Ces repères chiffrés mettent en perspective la vitesse d’exécution requise. L’adoption reste limitée côté infrastructures critiques, alors que la pression de la demande pour des offres souveraines se manifeste chez les fournisseurs établis et les startups spécialisées.

Entreprises françaises : stratégies de marché et signaux de demande

Derrière les slogans, la traction commerciale se lit dans les chiffres et les feuilles de route. Les témoignages d’acteurs français et européens convergent : la souveraineté est devenue un avantage compétitif tangible, et la post-quantique un critère émergent des cahiers des charges.

OVHcloud : traction commerciale sur les offres souveraines

OVHcloud décrit une demande accrue pour des solutions « localisées et contrôlées » en France et en Europe. Le chiffre d’affaires 2024 a atteint 932 M€, avec une croissance de 12 %, portée notamment par la recherche de solutions souveraines selon son rapport annuel publié en mars 2025. Le message de marché est limpide : les comités exécutifs arbitrent en faveur d’environnements qui limitent l’exposition aux législations extraterritoriales.

Bitdefender : positionnement et adaptation au besoin de souveraineté

Du côté de Bitdefender, l’augmentation des sollicitations pour des outillages non dépendants des États-Unis a façonné l’offre. L’éditeur protège plus de 500 millions d’utilisateurs dans le monde, dont environ 10 % en France selon ses communications 2025. Cette empreinte permet d’adresser une base installée importante, avec des garanties de conformité et de localisation plus exigeantes.

Itrust : croissance sur des déploiements on-premise

Le managed security service provider toulousain Itrust revendique une progression alimentée par des installations locales maîtrisées. Fondée en 2007, l’entreprise de 50 collaborateurs a réalisé en 2024 un chiffre d’affaires de 5 M€, en hausse de 15 % grâce à des déploiements on-premise. Le mouvement s’inscrit dans une logique de contrôle intégral de la donnée et des chaînes d’analyse.

Astran : fragmentation, chiffrement et continuité multi-cloud

Lauréate du prix de l’innovation aux Assises 2025, Astran illustre la convergence entre cybersécurité et souveraineté. La startup créée en 2022 a levé 2 M€ en 2024 auprès d’investisseurs français.

Sa technologie fragmente et chiffre les données avant de les répartir sur plusieurs clouds, y compris américains, de sorte que les fournisseurs ne puissent pas les lire. Des prospects poussent déjà vers des architectures de stockage pleinement souveraines, signe d’une demande prête à financer des options renforcées de maîtrise.

Discipline réglementaire et leviers fiscaux : OIV, LPM et CIR

La conformité ne se limite pas aux meilleures pratiques. Elle s’impose par le droit. La loi de programmation militaire 2024-2030 durcit les exigences à l’égard des opérateurs d’importance vitale. En cas de manquement, des amendes pouvant atteindre 750 000 € sont prévues par le code de la défense. Pour les directions générales, l’arbitrage coût/risque se déplace au niveau du risque juridique, qui devient aussi critique que le risque technique.

Sur le plan financier, les entreprises qui investissent dans des travaux de R&D liés à la cryptographie post-quantique peuvent activer le crédit d’impôt recherche. Le CIR couvre 30 % des dépenses éligibles, un levier non négligeable pour structurer des programmes pluriannuels et amortir les coûts d’industrialisation des migrations cryptographiques.

Pour préparer 2027-2030, intégrer dès maintenant :

  • Clauses d’échéancier cryptographique dans les contrats fournisseurs, avec engagements de mise à niveau PQC.
  • Exigences de transparence sur les bibliothèques cryptographiques utilisées et leur maintenance.
  • Tests d’interopérabilité et pilotes hybrides avant bascule en production.

Ce socle contractuel évite des renégociations tardives et sécurise les plans de migration.

Feuille de route d’exécution 2025-2030 pour les DSI et RSSI

La meilleure réponse au Q-Day et à la souveraineté consiste à industrialiser la préparation. Les étapes ci-dessous reflètent les priorités répandues parmi les organisations avancées, avec une attention aux contraintes d’achats publics et de production continue.

  1. 2025 : cadrage exécutif. Nommer un sponsor, budgéter un programme pluriannuel, lancer l’inventaire cryptographique outillé. Prioriser les périmètres à forte valeur et longue durée de vie des données.
  2. 2025-2026 : pilotes techniques. Déployer des preuves de concept hybrides Kyber et Dilithium sur des flux ciblés. Vérifier les impacts latence, taille de clés et compatibilité réseau.
  3. 2026 : contractualisation fournisseurs. Intégrer des clauses PQC dans les marchés, exiger un plan de migration, demander des roadmaps détaillées et des engagements de support.
  4. 2026-2027 : industrialisation progressive. Renouveler les PKI, préparer les outils de gestion du cycle de vie des certificats, automatiser le déploiement et le monitoring.
  5. 2027 : conformité certification. Anticiper la fin des certifications sans PQC et aligner les périmètres critiques sur les exigences ANSSI.
  6. 2028-2029 : extension à l’ensemble du parc applicatif. Démarrer la bascule sur les systèmes à dépendances multiples et sur les intégrations tierces.
  7. 2030 : verrou d’achat. Sécuriser que l’ensemble des acquisitions respectent l’interdiction des outils non PQC pour les entités publiques et critiques.

Capacités nationales et financement public

Le socle public s’étoffe : 1 Md€ alloué au quantique dans France 2030 et des financements Bpifrance ciblant 150 projets cybersécurité en 2024 pour 200 M€. Par ailleurs, le plan de relance 2021-2027 a injecté 500 M€ dans des projets de cloud souverain, avec des partenariats structurants pour des acteurs français.

Lignes de faille à surveiller : dépendances, talents et mesure de performance

Trois angles morts ressortent des échanges aux Assises. D’abord, la dépendance aux bibliothèques et aux chaînes d’outillage.

Même si les algorithmes sont normalisés, la sécurité dépendra de l’implémentation, du compilateur aux modules cryptographiques matériels. Ensuite, la pénurie de compétences sur la PQC et la gouvernance des clés machine risque de ralentir la bascule. Enfin, la mesure de performance reste hétérogène : latence réseau, ressources CPU et tailles de messages varient selon les schémas, affectant les SLA.

Dans ce contexte, l’éco-système français a une carte à jouer : proposer des solutions packagées mêlant intégration, conformité ANSSI et interopérabilité, afin de réduire le coût global de transition pour les administrations, OIV et ETI. Les annonces, du côté des startups comme des leaders du cloud, laissent entrevoir une massification de ces offres en 2026-2027.

Assises 2025 : une inflexion stratégique pour les dirigeants

Les messages portés par l’ANSSI ont eu un effet immédiat : donner un cap, une horloge et une responsabilité. Les dirigeants disposent désormais d’un calendrier opposable et d’un langage d’investissement qui articule sécurité, conformité et souveraineté. L’économie française s’y prépare avec des signaux clairs côté fournisseurs et une montée en puissance des financements publics.

Reste à transformer l’essai : passer de la veille à l’action, structurer les portefeuilles projets, et inscrire la cryptographie post-quantique au rang des programmes de transformation d’entreprise. Le point d’inflexion est là. Ceux qui planifient tôt achèteront mieux et migrement plus vite.