Imaginez ceci. Votre équipe juridique entre et vous dit : vous avez cinq ans pour remplacer toutes les serrures du bâtiment. Pas parce que les serrures actuelles sont cassées. Parce qu'un nouveau type de crochetage arrive — et une fois qu'il sera là, vos serrures actuelles s'ouvriront en quelques secondes.

C'est la situation dans laquelle se trouvent les entreprises européennes avec le chiffrement. L'UE le sait. Les régulateurs le savent. Et en juin 2025, ils ont publié une feuille de route avec une échéance claire : 2030.

La question est de savoir si votre entreprise le sait aussi.

Que dit concrètement la feuille de route de l'UE ?

En juin 2025, l'Agence de l'Union européenne pour la cybersécurité (ENISA) a publié sa Feuille de route pour la cryptographie post-quantique — un plan détaillé pour que les infrastructures critiques européennes migrent vers un chiffrement résistant aux ordinateurs quantiques.

Le message central est clair : RSA et ECC — les algorithmes qui protègent la plupart de vos systèmes aujourd'hui — sont mathématiquement vulnérables aux ordinateurs quantiques. L'ENISA veut que les infrastructures critiques achèvent cette migration d'ici 2030.

Ce n'est pas une suggestion. C'est une politique coordonnée, et le cadre réglementaire qui la soutient est déjà en vigueur.

Qui est exactement concerné ?

Vous pensez peut-être que cela ne concerne que les agences gouvernementales ou les contractants de défense. Ce n'est pas le cas.

NIS2 — la directive européenne de cybersécurité mise à jour, entrée en vigueur en octobre 2024 — couvre un large éventail de secteurs :

Énergie : électricité, pétrole et gaz, chauffage urbain
Finance : banques, assurances et infrastructures de marché
Santé : hôpitaux, fabricants pharmaceutiques et laboratoires
Transport : aviation, chemins de fer, transport maritime et logistique routière
Infrastructure numérique : fournisseurs cloud, centres de données, DNS et opérateurs CDN
Administration publique : organismes gouvernementaux centraux et régionaux

DORA — le règlement sur la résilience opérationnelle numérique pour les services financiers — est entré en vigueur en janvier 2025 et exige explicitement des entreprises qu'elles évaluent et traitent les risques liés aux technologies émergentes, y compris l'informatique quantique. Si votre entreprise opère dans l'un de ces secteurs dans l'UE, la migration quantique n'est pas un choix.

Pourquoi 2030 est plus proche qu'il n'y paraît

Cinq ans, ça semble beaucoup. Ce n'est pas le cas.

Migrer une infrastructure cryptographique n'est pas comme mettre à jour une application. Chaque système utilisant le chiffrement doit être inventorié, évalué et migré : certificats TLS, jetons JWT, clés API, certificats de signature, champs de base de données chiffrés, chiffrement des sauvegardes — c'est partout, et la plupart des organisations n'ont même pas d'inventaire complet.

En pratique, les organisations qui ont commencé ce travail indiquent qu'il faut deux à quatre ans du premier audit à la migration complète. Certaines travaillent dessus depuis 2022 et n'ont toujours pas terminé.

Faites le calcul. Si vous commencez en 2027, vous arrivez en 2030 avec un travail inachevé et un régulateur qui attend des réponses.

Trois choses que vous pouvez faire maintenant

La bonne nouvelle, c'est que vous n'avez pas besoin de tout résoudre d'un coup. La migration post-quantique est un programme, pas un projet ponctuel. Voici un point de départ pratique :

Cartographiez votre inventaire cryptographique. Où utilisez-vous RSA ou ECC aujourd'hui ? C'est dans votre configuration TLS, vos clés de signature JWT, votre accès SSH, vos certificats de signature de code — presque certainement partout. Vous ne pouvez pas prioriser ce que vous n'avez pas cartographié.
Classifiez vos données par longévité. Quelles données seront encore sensibles en 2030 ou au-delà ? Dossiers clients, données médicales, transactions financières, secrets commerciaux — tout ce dont la durée de vie dépasse l'arrivée des ordinateurs quantiques est déjà exposé aux attaques de collecte différée.
Commencez les nouveaux systèmes correctement. Quand vous construisez de nouvelles API, services ou intégrations, utilisez des algorithmes post-quantiques dès le premier jour. FIPS 203 (ML-KEM) et FIPS 204 (ML-DSA) sont finalisés, standardisés et prêts pour la production. Il n'y a aucune raison de démarrer un nouveau système avec RSA aujourd'hui.

C'est exactement pour ça qu'on a construit QuantumAPI

Chez Kovimatic, nous avons construit QuantumAPI spécifiquement pour cette transition. Pas comme projet de recherche. Pas comme preuve de concept. Comme infrastructure de production que vous pouvez utiliser dès aujourd'hui.

QuantumKeys vous donne ML-KEM et ML-DSA via une API REST — un chiffrement post-quantique sans avoir besoin d'expertise cryptographique en interne. QuantumVault gère vos secrets et clés en utilisant les mêmes standards post-quantiques. QuantumID gère l'authentification et le MFA avec des protocoles résistants à l'informatique quantique.

Le tout déployé sur infrastructure européenne, sous juridiction de l'UE, avec un journal d'audit complet qui satisfait aux exigences NIS2.

L'échéance de 2030 est réelle. Les régulateurs sont sérieux. Et les organisations qui commencent maintenant seront dans une position très différente de celles qui attendront la dernière année.