L'ordonnance exécutive de Trump fixe des délais pour le passage fédéral à un chiffrement résistant quantique

Les agences fédérales doivent faire passer leurs systèmes à haute valeur et à fort impact à la cryptographie post-quantique d'ici 2031 conformément à l'ordre exécutif de Trump. La directive exige des responsables de la migration, des mises à jour des achats et une coordination avec les infrastructures critiques pour faire face aux risques quantiques.

Principaux points à retenir :

• Les départements fédéraux doivent transférer leurs systèmes sensibles vers des normes cryptographiques résistantes aux quanta.
• De nouvelles exigences attribuent des responsables de la migration, des inventaires, des devoirs de planification et des responsabilités de supervision.
• Une mise en œuvre plus large pourrait affecter les contractants, les opérateurs d'infrastructures et la coordination en cybersécurité internationale.

Les agences doivent respecter les échéances de 2030 et 2031 pour les systèmes fédéraux sensibles

Le président Donald Trump a ordonné aux agences fédérales de transférer leurs actifs à forte valeur et leurs systèmes à fort impact vers la cryptographie post-quantique, fixant comme échéances le 31 décembre 2030 pour l'établissement de clés et le 31 décembre 2031 pour les signatures numériques. L'ordre exécutif du 22 juin s'applique aux systèmes fédéraux sensibles, aux règles d'approvisionnement et à la planification dans tous les secteurs d'infrastructure critique.

L'ordre se concentre sur les risques posés par l'informatique quantique. Il avertit que des adversaires pourraient collecter aujourd'hui des données cryptées américaines et les déchiffrer plus tard lorsque la technologie quantique aura progressé. La cryptographie post-quantique désigne des algorithmes ou méthodes cryptographiques conçus pour résister aux attaques des ordinateurs quantiques et classiques.

L'ordre exécutif déclare :

> « Les États-Unis doivent prendre des mesures pour renforcer la protection cryptographique des données sensibles de la Nation, des infrastructures critiques et de l'économie numérique. » > >

Les responsables des agences doivent désigner un responsable de la migration vers la cryptographie post-quantique dans les 30 jours. Ces responsables rendront compte aux responsables de l'information de l'agence et géreront les inventaires cryptographiques, élaboreront des plans de migration et coordonneront la mise en œuvre entre départements.

Dans les 90 jours, le Bureau de la gestion et du budget doit publier des directives en coordination avec l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et le Directeur national de la cybersécurité. Les agences devront examiner leurs actifs à haute valeur et leurs systèmes à fort impact, à l'exception des systèmes de sécurité nationale, et soumettre des plans détaillés pour la transition vers de nouvelles normes.

NIST, CISA et les contractants ont des rôles définis dans la mise en œuvre

Plusieurs agences fédérales ont des responsabilités spécifiques en vertu de l'ordre. L'Institut national des normes et de la technologie (NIST) doit commencer un projet pilote de migration dans les 180 jours sur certains systèmes qu'il contrôle, avec une achèvement prévu pour le 31 décembre 2027. Ce pilote aidera à guider une adoption plus large avant les échéances de 2030 et 2031.

L'ordre met également en évidence les risques à long terme liés aux données. Il indique :

> « L'activité cybernétique continue contre notre Nation présente également le risque que des adversaires collectent des informations des États-Unis maintenant, puis les déchiffrent plus tard lorsque des ordinateurs quantiques à grande échelle seront opérationnels. » > >

Les changements dans les achats publics seront effectués par le biais d'une réglementation. Le Conseil de réglementation des acquisitions fédérales dispose de 180 jours pour publier une règle proposée qui obligerait les contractants concernés à respecter les normes du NIST, y compris les algorithmes post-quantiques, d'ici le 31 décembre 2030. Les infrastructures critiques sont également incluses, avec pour mission aux agences de gestion des risques sectoriels de travailler avec la CISA pour aider les opérateurs à préparer leurs plans de migration, tandis que la CISA et le NIST ont 270 jours pour publier des directives sur les éléments minimaux d'une liste de matériaux cryptographiques.

L'ordre va au-delà des systèmes domestiques en enjoignant au secrétaire d'État de coordonner avec les agences fédérales et les responsables du renseignement pour promouvoir l'adoption des normes post-quantiques du NIST à l'étranger. Les systèmes de sécurité nationale suivront une voie séparée, le directeur de la NSA devant rendre compte des progrès au président dans les 180 jours et chaque année par la suite.