En vertu du décret présidentiel de Trump, les agences fédérales doivent faire évoluer leurs systèmes à forte valeur ajoutée et à fort impact vers la cryptographie post-quantique d’ici 2031. Cette directive impose la désignation de responsables de la migration, la mise à jour des procédures d’approvisionnement et la coordination avec les infrastructures critiques afin de faire face aux risques quantiques.
Un décret de Trump fixe des échéances pour le passage du gouvernement fédéral à un chiffrement résistant à l'informatique quantique
ÉCRIT PAR
PARTAGER
Points clés
- Les ministères fédéraux doivent faire évoluer leurs systèmes sensibles vers des normes cryptographiques résistantes à l’informatique quantique.
- Les nouvelles exigences définissent les responsables au sein des agences, les inventaires, les tâches de planification et les responsabilités en matière de supervision.
- Une mise en œuvre à plus grande échelle pourrait avoir des répercussions sur les sous-traitants, les opérateurs d’infrastructures et la coordination internationale en matière de cybersécurité.
Les agences doivent respecter les échéances de 2030 et 2031 pour les systèmes fédéraux sensibles
Le président Donald Trump a ordonné aux agences fédérales de faire passer les actifs de grande valeur et les systèmes à fort impact à la cryptographie post-quantique, en fixant les échéances du 31 décembre 2030 pour l’établissement des clés et du 31 décembre 2031 pour les signatures numériques. Le décret du 22 juin s’applique aux systèmes fédéraux sensibles, aux règles de passation de marchés et à la planification dans tous les secteurs d’infrastructures critiques.
Ce décret met l’accent sur les risques posés par l’informatique quantique. Il met en garde contre le fait que des adversaires pourraient collecter aujourd’hui des données américaines chiffrées pour les déchiffrer ultérieurement, une fois que la technologie quantique aura progressé. La cryptographie post-quantique désigne les algorithmes ou méthodes cryptographiques conçus pour résister aux attaques provenant aussi bien d’ordinateurs quantiques que d’ordinateurs classiques. Le décret présidentiel stipule :
« Les États-Unis doivent prendre des mesures pour renforcer les protections cryptographiques des données sensibles, des infrastructures critiques et de l’économie numérique du pays. »
Les responsables des agences doivent désigner, dans un délai de 30 jours, un responsable de la migration vers la cryptographie post-quantique. Ces responsables rendront compte aux directeurs des systèmes d’information de leur agence et seront chargés de gérer les inventaires cryptographiques, d’élaborer des plans de migration et de coordonner la mise en œuvre au sein de leur ministère.
Dans un délai de 90 jours, le Bureau de la gestion et du budget (OMB) doit publier des lignes directrices en coordination avec l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et le directeur national de la cybersécurité. Les agences devront passer en revue leurs actifs de grande valeur et leurs systèmes à fort impact, à l’exclusion des systèmes de sécurité nationale, et soumettre des plans détaillés pour la transition vers les nouvelles normes.
Le NIST, la CISA et les prestataires se voient attribuer des rôles précis dans la mise en œuvre
Plusieurs agences fédérales se voient confier des responsabilités spécifiques en vertu de ce décret. L’Institut national des normes et des technologies (NIST) doit lancer, dans un délai de 180 jours, un projet pilote de migration sur certains systèmes qu’il contrôle, dont l’achèvement est prévu pour le 31 décembre 2027. Ce projet pilote servira de guide pour une adoption à plus grande échelle avant les échéances de 2030 et 2031. Le décret met également en évidence les risques à long terme liés aux données. Il stipule :
« Les cyberattaques dont notre nation fait actuellement l’objet présentent également le risque que des adversaires collectent dès à présent des informations sur les États-Unis pour les déchiffrer ultérieurement, une fois que des ordinateurs quantiques à grande échelle seront opérationnels. »
Les modifications en matière de marchés publics feront l’objet d’une procédure réglementaire. Le Conseil fédéral de réglementation des marchés publics (Federal Acquisition Regulatory Council) dispose de 180 jours pour publier un projet de règlement qui exigerait des prestataires concernés qu’ils se conforment aux normes du NIST, y compris aux algorithmes post-quantiques, d’ici le 31 décembre 2030. Les infrastructures critiques sont également concernées : les agences de gestion des risques sectoriels sont chargées de collaborer avec la CISA pour aider les opérateurs à préparer des plans de migration, tandis que la CISA et le NIST disposent de 270 jours pour publier des lignes directrices sur les éléments minimaux devant figurer dans une nomenclature cryptographique.
Le décret va au-delà des systèmes nationaux en chargeant le secrétaire d’État de coordonner ses efforts avec les agences fédérales et les responsables du renseignement afin de promouvoir l’adoption des normes post-quantiques du NIST à l’étranger. Les systèmes de sécurité nationale suivront une voie distincte, le directeur de la NSA étant tenu de rendre compte des progrès réalisés au président dans un délai de 180 jours, puis chaque année par la suite.
Cet article a été traduit de l'anglais à l'aide de l'IA. La version originale en anglais fait foi ; les traductions automatiques peuvent contenir des inexactitudes, en particulier dans la terminologie juridique et réglementaire.
