/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2Fimg_531c13354b96642c-3-scaled.jpeg)
Les échéances non négociables gravées dans le décret
Le texte d’EO 14409, publié par la Maison-Blanche le 22 juin 2026, est d’une précision chirurgicale. Dans les 90 jours suivant la signature, le directeur du Bureau de la gestion et du budget (OMB) doit émettre des directives contraignantes exigeant de chaque agence : un audit de ses actifs à haute valeur (HVA) et systèmes à fort impact ; la migration de tous ces systèmes vers une cryptographie PQC pour l’établissement de clés d’ici le 31 décembre 2030 ; et la migration vers PQC pour les signatures numériques d’ici le 31 décembre 2031. Chaque agence doit également soumettre un plan de migration à l’OMB et au directeur national de la cybersécurité. Dans les 30 jours, chaque chef d’agence doit désigner un « responsable de la migration PQC » rattaché au CIO de l’agence.
Les systèmes de sécurité nationale restent sous le régime CNSA 2.0 — c’est-à-dire que le Pentagone, qui travaille déjà à la migration PQC depuis des années, conserve sa propre feuille de route accélérée. EO 14409 rattrape en réalité le reste du gouvernement civil sur un chantier que les militaires ont commencé bien avant. Comme l’a noté Breaking Defense, Trump ordonne essentiellement au reste du gouvernement fédéral de « rattraper son retard sur le Pentagone en matière de cybersécurité quantique ».
Les sous-traitants dans le viseur : la chaîne d’approvisionnement sous pression
La portée d’EO 14409 dépasse largement les agences gouvernementales. Dans les 180 jours, le Federal Acquisition Regulatory Council (FAR Council) devra publier une règle proposée modifiant la réglementation fédérale des acquisitions pour exiger des contractants couverts la conformité aux normes FIPS du NIST intégrant les algorithmes PQC d’ici le 31 décembre 2030. Concrètement : tout prestataire privé qui travaille avec le gouvernement américain devra avoir migré ses systèmes vers la cryptographie post-quantique avant la fin de cette décennie. Les contractants principaux répercuteront cette obligation sur leurs sous-traitants, et ainsi de suite tout au long de la chaîne d’approvisionnement.
Garfield Jones, vice-président exécutif de la stratégie chez QuSecure, a résumé l’urgence sans détour : « Les agences et les contractants qui n’ont pas encore commencé un inventaire cryptographique ont déjà du retard. Les organisations qui agissent maintenant auront des options. Celles qui attendent se retrouveront à gérer une crise. » C’est un signal d’alarme, et il est justifié.
Ce qui me frappe dans EO 14409, c’est que Trump — qui n’est pas l’incarnation du technocrate prévoyant — a signé quelque chose d’une sophistication réelle. Je ne lui en fais pas crédit : c’est le travail de Michael Kratsios, de Sean Cairncross et des équipes de la NSA. Mais le fait que la machine administrative ait réussi à produire un texte aussi précis, avec des échéances nommées, des responsables désignés et une chaîne contractuelle complète, c’est une victoire institutionnelle rare dans ce contexte de chaos politique.
Le spectre du « Harvest Now, Decrypt Later » : la menace invisible déjà en cours
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_1020895812-Personnalise-10.jpeg)
L’adversaire collecte aujourd’hui pour déchiffrer demain
EO 14409 cite explicitement dans son préambule une menace que les experts de cybersécurité connaissent bien : « l’activité cybernétique en cours contre notre nation présente le risque que des adversaires collectent des informations américaines aujourd’hui, pour les déchiffrer ultérieurement une fois que de grands ordinateurs quantiques seront opérationnels. » Ce vecteur d’attaque porte un nom dans la communauté : Harvest Now, Decrypt Later (HNDL). Et il est actif maintenant — pas dans dix ans.
La logique est implacable : si un adversaire étatique dispose aujourd’hui de la capacité d’intercepter des communications chiffrées en RSA ou en ECDSA — les algorithmes cryptographiques classiques utilisés par l’essentiel de l’infrastructure numérique occidentale — il peut les stocker pendant cinq ou dix ans, le temps que la puissance de calcul quantique soit suffisante pour casser ces clés en quelques heures. Des données classifiées du gouvernement américain exfiltrées en 2023 pourraient ainsi être déchiffrées en 2031. Le NIST a finalisé ses premiers standards PQC — ML-KEM (ex-CRYSTALS-Kyber) pour l’établissement de clés et ML-DSA (ex-CRYSTALS-Dilithium) pour les signatures — précisément pour couper cette capacité d’attaque à la racine.
La NSA confirme l’alerte depuis 2021
En 2021, la NSA a publié une évaluation sans ambiguïté sur la menace HNDL. L’évaluation 2023 des menaces de l’ODNI a renchéri, précisant que la Chine « presque certainement » exploite des opérations cyber pour des objectifs stratégiques à horizon pluriannuel explicitement cité. En 2023, un avis conjoint des Five Eyes — incluant les États-Unis, le Royaume-Uni, l’Australie, le Canada et la Nouvelle-Zélande (avis CISA AA23-144A) — a documenté que des acteurs sponsorisés par la République populaire de Chine avaient obtenu un accès persistant à des opérateurs de télécommunications, des réseaux gouvernementaux et des entités d’infrastructure critique, maintenant cet accès sur des périodes prolongées pour la collecte de renseignements.
Ce n’est pas de la paranoia. C’est de la documentation. L’EO 14409 est la réponse légale à ce que la communauté du renseignement observe depuis plusieurs années. La question n’est pas de savoir si la Chine collecte des données américaines chiffrées — elle le fait. La question est : combien de temps l’Amérique se donnait-elle pour agir ? La réponse vient de tomber : jusqu’au 31 décembre 2030.
Il y a quelque chose de vertigineux à réaliser que les données chiffrées de 2022 ou 2023 sont peut-être déjà sur des serveurs à Pékin, à Wuhan ou à Chengdu, attendant patiemment que la puissance de calcul soit là. On parle de communications gouvernementales, de secrets industriels, de renseignements diplomatiques. Cela ne vient pas d’un thriller technologique — cela vient des bulletins officiels des agences de renseignement de l’alliance la plus solide de la planète. Je trouve ça profondément inquiétant, et je pense qu’on n’en parle pas assez.
La Chine construit en parallèle : la fragmentation cryptographique mondiale
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_1802757823-Personnalise-6.jpeg)
Pékin développe son propre écosystème PQC indépendant
Pendant que Washington impose sa migration vers les standards du NIST, la Chine construit en parallèle un écosystème de cryptographie post-quantique indépendant et incompatible. Selon l’analyse de PostQuantum.com publiée le 23 juin 2026, la Chine développe son propre écosystème PQC à travers l’ICCS (Institute of Command Communication Systems), avec des standards propriétaires distincts des algorithmes validés par le NIST. L’objectif politique d’EO 14409 ne se limite donc pas à migrer les agences américaines : le décret demande également au Secrétaire d’État d’engager des gouvernements étrangers et des groupes industriels pour encourager l’adoption internationale des algorithmes PQC standardisés par le NIST, et ainsi étendre l’empreinte mondiale de l’approche américaine avant que la fragmentation cryptographique ne se solidifie.
L’enjeu est colossal. Si la Chine réussit à imposer ses propres standards PQC à une partie du monde — les nations qui s’alignent sur Pékin dans le cadre de la Belt and Road Initiative, par exemple — cela créera deux sphères cryptographiques incompatibles à l’échelle planétaire. Les échanges sécurisés entre ces deux blocs deviendront techniquement et politiquement problématiques, renforçant la fracture numérique géopolitique déjà perceptible avec les guerres technologiques sur les semi-conducteurs et l’intelligence artificielle.
L’investissement colossal de la Chine dans le quantique
PostQuantum.com rapportait en avril 2026 que la Chine a investi entre 4 milliards et plus de 25 milliards de dollars en technologie quantique au cours des deux dernières décennies, à travers des programmes nationaux, des fonds provinciaux, des initiatives municipales, des entreprises d’État, des sociétés privées et des recherches militaires. Le Laboratoire national des sciences de l’information quantique à Hefei représente entre 1 et 10 milliards de dollars selon ce qu’on y inclut. Et les dépenses militaires quantiques chinoises sont, selon les propres termes de l’analyse, « complètement invisibles ». Les nouvelles sous-filiales du Fonds national de capital-risque allouent jusqu’à 17,5 milliards de dollars supplémentaires.
Face à cela, les États-Unis mobilisent plus de 2 milliards de dollars en incitations de financement fédéral pour neuf entreprises quantiques dans le cadre du CHIPS and Science Act, comme l’a annoncé le département du Commerce lors de la cérémonie de signature du 22 juin 2026. IBM et Google ont salué les décrets. L’IBM CEO Arvind Krishna a déclaré que « une politique solide, un investissement soutenu et un partenariat public-privé sont vitaux pour maintenir le leadership quantique américain et la résilience technologique ». La course est engagée — mais elle est loin d’être gagnée.
La Chine qui développe ses propres standards PQC en dehors du cadre NIST : voilà une information qui aurait dû provoquer davantage de réactions dans les capitales européennes. Parce que si Pékin réussit à fragmenter le monde en deux sphères cryptographiques incompatibles, l’Europe devra choisir un camp — et ce choix devra être fait avant que les standards soient gravés dans le marbre des contrats industriels. L’Union européenne dort-elle encore sur ce dossier ?
L'ordinateur quantique d'État : la mission impossible de 2028
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_1211606978-Personnalise-6.jpeg)
Le QC-ADDS : un ordinateur quantique pour la science avant tout
Le premier décret, « Ushering in the Next Frontier of Quantum Innovation » (EO 14411), établit le Quantum Computer for Application Development and Discovery Science Effort (QC-ADDS), coordonné par le conseiller du Président pour la science et la technologie (APST). La mission : développer au moins un ordinateur quantique à une échelle destinée à « initier l’ère de la découverte scientifique permise par le quantique », à livrer dans une installation du Département de l’Énergie, et à mettre à disposition de la communauté scientifique dans la mesure du possible. Le directeur de l’OSTP, Michael Kratsios, a précisé lors de la cérémonie de signature que « le calculateur quantique pourrait être achevé d’ici 2028 ».
Le secrétaire à l’Énergie Chris Wright a tempéré l’enthousiasme avec une franchise rare pour un membre du cabinet Trump : « C’est compliqué. Nous n’y sommes pas encore. Nous sommes proches, mais avec ce décret et cet effort coordonné, nous aurons un calcul quantique scientifiquement pertinent — c’est-à-dire corrigé d’erreurs — pendant cette administration. » La prudence est de mise. Un ordinateur quantique corrigé d’erreurs et suffisamment puissant pour briser RSA-2048 n’existe nulle part aujourd’hui. Ce que l’EO vise, c’est un machine capable d’applications scientifiques réelles, pas encore un cryptanalyseur de classe militaire.
Les capteurs quantiques : l’avantage militaire sous-estimé
EO 14411 s’intéresse également aux capteurs quantiques — une technologie militaire aux applications profondes. Dans les 60 jours suivant la signature, le Secrétaire à la Guerre (la dénomination secondaire du Département de la Défense utilisée dans l’EO) doit identifier au moins trois projets de capteurs quantiques de prochaine génération à prioriser pour un déploiement opérationnel avant le 30 septembre 2028. Selon Breaking Defense, le Pentagone teste déjà des capteurs quantiques dans les airs et dans l’espace. L’avantage tactique est significatif : la sensibilité hyper-élevée des particules quantiques aux interférences extérieures leur permet de détecter des signaux subtils que les méthodes conventionnelles manquent.
Applications concrètes : navigation de précision alternative au GPS en cas de brouillage électronique — comme cela a été observé en Ukraine et au Moyen-Orient — et détection de sous-marins hostiles sans sonar actif. La société SandBoxAQ, citée par Breaking Defense, a déjà testé cette technologie pour la Force aérienne américaine. Pendant ce temps, l’APL chinoise développe des applications de radar et de navigation quantiques pour améliorer ses capacités ISR (intelligence, surveillance, reconnaissance), et considère les capteurs quantiques comme des outils pour améliorer la détection de sous-marins, selon le rapport 2024 du DoD sur la Chine cité par HPCwire.
Les capteurs quantiques dans le contexte ukrainien : je n’y avais pas pensé sous cet angle avant de lire l’EO. Si les Russes — ou les Chinois — développent des capacités de brouillage GPS de plus en plus sophistiquées, et que l’Occident peut contourner ce brouillage avec une navigation basée sur les capteurs quantiques, cela change fondamentalement l’équation tactique. C’est le genre d’avantage asymétrique discret qui gagne les guerres de demain sans faire la une des journaux aujourd’hui.
Michael Kratsios et la doctrine de la domination technologique
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_2030887350-673-5.jpeg)
L’architecte de la politique quantique américaine
Michael Kratsios, directeur de l’Office of Science and Technology Policy de la Maison-Blanche, est l’architecte principal de cette stratégie. C’est lui qui a présenté les deux décrets lors de la cérémonie de signature, décrivant le premier comme celui qui « appelle au développement du premier ordinateur quantique assez puissant pour la recherche scientifique, inaugurant une nouvelle ère de capacités commerciales ». Kratsios a articulé la vision globale en des termes qui ne laissent aucun doute sur la rivalité géostratégique sous-jacente : « Ensemble, ces politiques conduiront une croissance transformationnelle dans des industries existantes et entièrement nouvelles — en fabrication, en découverte de médicaments, en énergie, en agriculture. »
Pour Kratsios, ces deux décrets sont le volet technologique d’une stratégie de puissance plus large. Le premier EO précise explicitement que « les États-Unis doivent maintenir un avantage technique stratégique dans les QIST » (technologies et sciences de l’information quantique) et diriger le développement d’un « écosystème quantique robuste et de confiance » à travers la recherche, la fabrication, la commercialisation et les applications. Ce n’est pas du discours corporatif — c’est la traduction politique d’une course technologique à somme nulle avec la Chine.
Sean Cairncross : « L’innovation et la sécurité doivent être équilibrées »
Le directeur national de la cybersécurité, Sean Cairncross, présent à la cérémonie, a apporté une nuance essentielle lors du discours de signature : « Ces deux décrets exécutifs, qui associent innovation et sécurité, aborderont ces questions à mesure que nous avançons. L’innovation et la sécurité doivent être équilibrées. » Cette formulation simple cache une tension réelle : les mêmes ordinateurs quantiques que les États-Unis veulent construire pourraient, une fois opérationnels, constituer une menace pour leur propre infrastructure cryptographique si la migration PQC n’est pas complétée à temps. C’est la raison d’être du binôme EO 14411 / EO 14409 : accélérer la puissance et, simultanément, se protéger contre les conséquences de cette puissance.
L’expansion du Quantum Information Science and Technology Counterintelligence Protection Team — mandatée par EO 14411 — pour étudier les menaces adversariales sur l’écosystème quantique domestique américain est également révélatrice. Washington sait que ses laboratoires de recherche quantique sont des cibles d’espionnage prioritaires pour la Chine. Plusieurs cas d’universitaires et chercheurs liés à des programmes de recrutement chinois comme le Thousand Talents Plan ont défrayé la chronique ces dernières années. Les deux EO renforcent donc simultanément l’offensif et le défensif.
Cairncross a raison sur le fond : l’équilibre entre innovation et sécurité est réel et difficile. Mais dans la formulation américaine actuelle, cet équilibre est d’abord pensé de façon nationale — voire nationaliste. L’Union européenne, qui n’a pas ses propres ambitions de calculateur quantique d’État à la même échelle, risque de se retrouver dans une position inconfortable : dépendante des standards américains pour la sécurité, et des standards chinois pour certaines technologies. C’est le risque d’un satellite technologique. Et personne ne semble vouloir le nommer clairement à Bruxelles.
La race vers le Q-Day : quand l'ordinateur quantique cassera tout
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2Fimg_eeb7c734c4b14724-scaled.jpeg)
Qu’est-ce que le Q-Day et pourquoi 2030 n’est pas excessif
Le Q-Day — le moment où un ordinateur quantique suffisamment puissant sera capable de casser les algorithmes de chiffrement classiques comme RSA-2048 ou ECDSA — n’est pas encore une date connue avec précision. Les estimations d’experts varient entre 5 et 15 ans à partir de maintenant. Mais cette incertitude elle-même est au cœur du problème. Si le Q-Day survient en 2032 et que la migration PQC des agences fédérales n’est pas complétée, des années de communications gouvernementales chiffrées stockées par des adversaires deviendront lisibles en quelques heures. L’horizon 2030 pour l’établissement de clés n’est donc pas une date choisie au hasard — c’est la fenêtre de sécurité dans laquelle les experts pensent que la migration doit être achevée pour rester en avance sur la courbe.
NIST IR 8547, encore en draft public initial, propose de déprécier la cryptographie à clé publique vulnérable aux attaques quantiques après 2030 et de l’interdire complètement après 2035. EO 14409 s’aligne précisément sur ce calendrier, créant une cohérence entre la réglementation fédérale exécutive et les standards techniques du NIST. Les algorithmes retenus par le NIST pour la migration PQC sont désormais standardisés : ML-KEM (anciennement CRYSTALS-Kyber) pour l’encapsulation de clés, ML-DSA (anciennement CRYSTALS-Dilithium) et SLH-DSA (anciennement SPHINCS+) pour les signatures numériques.
La différence entre 2030 et 2035 : ce que Biden n’avait pas fait
Avant EO 14409, l’horizon de référence pour la migration PQC du gouvernement américain était 2035 — un délai fixé sous l’administration Biden qui avait la vertu d’exister mais l’inconvénient de n’être assorti d’aucune obligation contraignante pour les agences civiles. Selon CyberScoop, le second décret de Trump « exige que les réseaux civils fédéraux adoptent le chiffrement résistant au quantique plus rapidement que l’échéance de 2035 actuelle ». Les agences qui manqueront la nouvelle échéance devront s’expliquer auprès de l’OMB — ce n’est pas une sanction dramatique, mais c’est une obligation de transparence et de responsabilisation qui n’existait pas.
L’EO précise également qu’un projet pilote de migration PQC sur les systèmes du NIST lui-même doit être lancé dans les 180 jours et achevé au plus tard le 31 décembre 2027 — une démarche pratique pour tester les procédures et les outils avant de les déployer à l’échelle gouvernementale. Le Cryptographic Module Validation Program (CMVP) du NIST doit également être révisé pour accélérer les validations de modules. Tout cela dessine un calendrier serré mais cohérent, à condition que les ressources humaines et financières suivent.
Le passage de 2035 à 2030 peut sembler anodin pour qui ne suit pas ce dossier. Ce n’est pas cinq années de délai en moins : c’est potentiellement la différence entre agir avant le Q-Day et réagir après. Parce que si un adversaire dispose d’un ordinateur quantique opérationnel en 2033, et que les agences fédérales n’ont pas encore migré leurs systèmes de haute valeur, on parle d’une brèche de sécurité d’une ampleur sans précédent dans l’histoire de la cryptographie. Cinq ans, dans ce contexte, c’est une éternité.
NIST, NSA, CISA : l'architecture institutionnelle de la migration
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2Fimg_b726d7a23ebe82a1-3-scaled.jpeg)
Un système de gouvernance à plusieurs niveaux
EO 14409 confie la coordination stratégique et la supervision de la politique nationale de migration PQC au directeur de l’OMB et au directeur national de la cybersécurité, en consultation avec le conseiller pour la sécurité nationale et l’administrateur de l’Office of Electronic Government. Le NIST fournit les orientations techniques en consultation avec la NSA et la CISA. Ce triptyque OMB / NIST / CISA est désormais la colonne vertébrale institutionnelle d’une migration qui touche l’ensemble du gouvernement civil américain.
Dans les 270 jours, la CISA et le NIST doivent publier des lignes directrices publiques définissant les éléments minimaux d’un « cryptographic bill of materials » (CBOM) — un inventaire automatisé des actifs cryptographiques dans les matériels et logiciels. C’est l’équivalent du software bill of materials (SBOM) popularisé après l’affaire SolarWinds, appliqué cette fois au domaine cryptographique. Savoir exactement quels algorithmes cryptographiques tournent sur quels systèmes est la condition préalable à toute migration : on ne peut pas migrer ce qu’on n’a pas cartographié.
La NSA et les systèmes de sécurité nationale : CNSA 2.0
Les systèmes de sécurité nationale — le cœur du dispositif militaire et du renseignement américain — sont explicitement exclus du périmètre d’EO 14409. Ils restent soumis à CNSA 2.0 (Commercial National Security Algorithm Suite 2.0), la feuille de route de migration PQC de la NSA publiée en 2022 pour les systèmes de sécurité nationale. Cette feuille de route prévoyait déjà des migrations à horizon 2030 pour certaines catégories. EO 14409 crée donc une cohérence : les systèmes militaires et de renseignement ont commencé à migrer en avance, et le reste du gouvernement civil les rejoint maintenant avec des obligations légales fermes. La NSA doit rendre un rapport au Président sur l’état de la migration PQC pour les systèmes de sécurité nationale dans les 180 jours, puis annuellement.
Garfield Jones, de QuSecure, a qualifié EO 14409 de « signal sans ambiguïté » de la nécessité universelle de migrer les réseaux numériques avant l’avènement d’un ordinateur quantique à tolérance de pannes. « L’échéance de 2030 pour l’établissement de clés est une date limite de conformité tangible, et l’écart entre là où se trouvent la plupart des organisations aujourd’hui et là où elles doivent être est significatif », a-t-il déclaré. Le sous-texte est brutal : la plupart des agences et contractants sont en retard avant même d’avoir commencé.
La structure institutionnelle décrite dans EO 14409 me rappelle, dans sa logique de cascade de responsabilités, les mécanismes de conformité réglementaire après le RGPD en Europe. Sauf que là, les enjeux ne sont pas la protection des données personnelles des consommateurs — ils sont la survie de l’infrastructure cryptographique d’une superpuissance dans un contexte de rivalité militaire. L’amplitude est d’un tout autre ordre. Et pourtant, l’attention médiatique grand public reste désespérément faible sur ce dossier.
Les entreprises technologiques dans la course : IBM, Google, SandBoxAQ
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_1419921344-Personnalise-7.jpeg)
IBM et Google saluent les décrets — avec des nuances
La cérémonie de signature du 22 juin 2026 à la Maison-Blanche a réuni un parterre d’industriels du quantique. IBM était représenté par son PDG Arvind Krishna, qui a déclaré qu’IBM « applaudit » l’administration Trump pour les deux décrets. Il a également affirmé que « une politique solide, un investissement soutenu et un partenariat public-privé sont vitaux pour maintenir le leadership quantique américain et la résilience technologique ». Google était présent avec sa présidente et directrice des investissements, Ruth Porat, qui a déclaré que le calcul quantique est « une technologie transformationnelle » pouvant faire avancer la sécurité nationale, la découverte de médicaments, les solutions énergétiques et davantage.
À noter : selon Yahoo Finance, Google a choisi de ne pas participer au programme de financement quantique de 2 milliards de dollars de Trump. Ce choix, qui reflète probablement les priorités stratégiques et le rythme propre de Google sur ses projets quantiques internes — notamment Willow — indique que même le secteur privé ne se mobilise pas uniformément derrière l’agenda gouvernemental. Le paysage industriel est plus fragmenté qu’il n’y paraît à la surface des communiqués de presse enthousiastes.
SandBoxAQ et les opportunités de la transition forcée
La société SandBoxAQ, spin-off d’Alphabet spécialisée dans les applications de l’IA quantique, a publié un communiqué de soutien à EO 14409 le jour même de la signature, rappelant avoir déjà testé des capteurs quantiques pour la Force aérienne américaine. Son fondateur et PDG, Jack Hidary, est nommé dans l’article de Breaking Defense comme l’un des acteurs industriels directement impliqués dans les discussions stratégiques autour de ces décrets. Pour SandBoxAQ comme pour d’autres entreprises du secteur — IonQ, Quantinuum, QuSecure — les décrets de Trump représentent une opportunité de marché fédéral considérable, chiffrable en dizaines de milliards de dollars de contrats de migration PQC et de déploiement de capteurs quantiques dans la décennie à venir.
Le Département du Commerce a également annoncé des lettres d’intention pour plus de 2 milliards de dollars d’incitations de financement fédéral pour neuf entreprises quantiques dans le cadre du CHIPS and Science Act. Cette mobilisation de capital public reflète la conviction de l’administration que les États-Unis ne peuvent pas se permettre de laisser le secteur privé seul financer la course quantique face à un adversaire — la Chine — qui dispose de ressources d’État pratiquement illimitées sur ce dossier.
Le fait que Google ait décliné les 2 milliards de Trump me fascine. Soit Google pense que son programme quantique interne est suffisamment avancé pour ne pas avoir besoin de l’argent fédéral avec les contraintes réglementaires qui l’accompagnent, soit — et j’aurais tendance à penser que c’est en partie ça — l’entreprise préfère conserver son autonomie stratégique dans une course dont elle veut définir les règles elle-même. Dans les deux cas, cela montre que la relation entre la Silicon Valley et Washington reste complexe, même sur les dossiers de sécurité nationale.
La réaction des alliés et le risque de fragmentation des standards
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_1867508344-Personnalise-8.jpeg)
L’Europe en retard sur la migration PQC
EO 14409 demande explicitement au Secrétaire d’État d’engager des gouvernements étrangers et des groupes industriels pour encourager l’adoption internationale des algorithmes PQC standardisés par le NIST. Cela révèle en creux une préoccupation réelle : si les alliés et partenaires des États-Unis n’adoptent pas les mêmes standards, la sécurité des communications alliées sera inégale, créant des maillons faibles exploitables. L’Union européenne, qui travaille sur ses propres orientations PQC à travers l’ENISA (Agence européenne pour la cybersécurité), n’a pas encore produit de mandats légaux comparables à ceux d’EO 14409 en termes d’obligations contraignantes avec dates limite.
L’enjeu pour l’Europe est double. D’un côté, un alignement naturel sur les standards NIST paraît logique — ces algorithmes ont été testés par une communauté cryptographique mondiale de premier plan depuis 2016. De l’autre, une dépendance exclusive aux standards américains pour la sécurité des communications de l’Union soulève des questions d’autonomie stratégique, particulièrement dans un contexte de relations transatlantiques sous tension sous Trump. La fragmentation cryptographique mondiale — avec un camp américain-NIST et un camp sino-ICCS — est le scénario que l’Occident doit absolument empêcher.
Les Five Eyes et la coordination alliée
Le premier EO mentionne explicitement la nécessité pour les États-Unis de travailler avec leurs alliés afin d’empêcher les adversaires d’utiliser les technologies quantiques pour miner la sécurité nationale. Le Secrétaire d’État et le Secrétaire du Commerce sont chargés d’aligner les engagements internationaux pour empêcher les pays préoccupants d’acquérir des technologies quantiques critiques, notamment par l’harmonisation des politiques de sécurité de la recherche et de contrôle des exportations avec les alliés. L’avis conjoint des Five Eyes de 2023 (CISA AA23-144A) avait déjà établi un cadre de coordination sur les menaces cyber chinoises. Ces EO s’inscrivent dans cette continuité.
La réalité, cependant, est que la migration PQC est une entreprise de titan pour chacun des alliés. Le Royaume-Uni, l’Australie et le Canada ont tous des programmes PQC en développement, mais à des rythmes variables. La pression américaine — via les obligations contractuelles sur les sous-traitants qui travaillent avec le gouvernement fédéral — pourrait en pratique accélérer indirectement la migration dans les entreprises alliées qui ont des contrats américains. La mécanique réglementaire de la FAR pourrait ainsi irradier l’impératif PQC bien au-delà des frontières américaines.
J’observe que les EO de Trump sur le quantique parlent d’alliés et de coordination internationale, mais dans une logique fondamentalement américaine : adoptez nos standards, alignez-vous sur notre calendrier, respectez nos contrôles à l’exportation. C’est le multilatéralisme version Trump : unilatéral dans la direction, bilatéral dans l’exécution. Pour l’Europe, qui aimerait avoir son mot à dire sur les standards techniques qui structureront la sécurité numérique mondiale, c’est une invitation à s’aligner, pas à co-décider. Ce n’est pas satisfaisant — mais c’est la réalité du rapport de forces.
Le calendrier de la migration : 2027, 2030, 2031 — une course contre le Q-Day
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2Fimg_72b6ae751608b6b6-2-scaled.jpeg)
Les jalons intermédiaires qui structurent la transition
EO 14409 ne se contente pas de fixer deux dates finales. Il structure un calendrier de jalons intermédiaires qui dessine une migration par étapes. Dans les 30 jours : désignation des responsables migration PQC dans chaque agence. Dans les 90 jours : émission par l’OMB de lignes directrices contraignantes sur la migration, incluant l’inventaire des actifs. Dans les 180 jours : lancement du projet pilote de migration PQC du NIST sur ses propres systèmes ; rapport de la NSA sur les systèmes de sécurité nationale ; révision du CMVP ; publication de la règle FAR proposée sur les contractants. Dans les 270 jours : publication des lignes directrices CBOM par la CISA et le NIST ; publication de la règle FAR sur les programmes de divulgation des vulnérabilités cryptographiques. 31 décembre 2027 : achèvement du projet pilote NIST. 31 décembre 2030 : migration complète pour l’établissement de clés. 31 décembre 2031 : migration complète pour les signatures numériques.
Ce calendrier est ambitieux. À titre de comparaison, la migration vers IPv6 — une transition technique bien moins complexe — a duré plus de vingt ans et n’est toujours pas totalement complète à l’échelle mondiale. La migration PQC nécessite de remplacer des algorithmes cryptographiques profondément enracinés dans des milliers de systèmes, de protocoles réseau, de logiciels, de matériels et de processus organisationnels. L’inventaire cryptographique lui-même est une tâche colossale : la plupart des agences ne savent pas exactement quels algorithmes tournent sur quels systèmes. C’est précisément ce que le CBOM est censé permettre de cartographier.
Qui risque de manquer les échéances — et quelles conséquences
La réalité est que certaines agences manqueront les échéances de 2030 et 2031. EO 14409 l’anticipe explicitement : les agences qui ne respectent pas la nouvelle échéance doivent rendre compte à l’OMB en expliquant pourquoi. Ce mécanisme de reporting est plus une incitation à la transparence qu’une sanction réelle — mais il crée une pression politique et institutionnelle qui n’existait pas sous l’ancien régime. Les agences les plus en retard seront visibles, et leur retard documenté. Dans un contexte de surveillance du Congrès et d’audits des inspecteurs généraux, cette visibilité a une valeur coercitive non négligeable.
Pour les contractants privés, le risque est différent : la non-conformité aux nouvelles règles FAR pourrait entraîner la perte de contrats fédéraux — une sanction économique autrement plus dissuasive que le reporting à l’OMB. Les entreprises technologiques qui vendent au gouvernement américain ont maintenant une date butoir légale pour migrer leur infrastructure. Et comme l’a souligné PostQuantum.com, les contractants principaux répercuteront cette obligation sur leurs sous-traitants, créant une onde de choc réglementaire qui touchera des milliers d’entreprises à travers toute la chaîne d’approvisionnement de la défense et de l’IT fédéral.
Je suis sceptique sur la capacité de la bureaucratie américaine à tenir les échéances de 2030. Non pas parce que les acteurs manquent de bonne volonté — beaucoup ont travaillé dur sur la PQC pendant des années — mais parce que l’inventaire cryptographique d’un seul grand système gouvernemental peut prendre des mois. Multiplié par des dizaines d’agences et des milliers de contractants, le défi logistique est vertigineux. Cela dit, avoir une échéance contraignante, même imparfaitement tenue, vaut infiniment mieux que l’absence d’échéance. Le perfect est l’ennemi du bien dans ce domaine.
La doctrine Trump sur le quantique : opportuniste ou stratégique ?
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_2030887350-942-5.jpeg)
Une rupture réelle avec l’inertie de Biden sur la PQC
Soyons honnêtes sur Trump : sa signature sur ces deux décrets ne reflète pas une vision personnelle profonde de la cryptographie post-quantique. Le président n’a probablement jamais lu un papier académique sur ML-KEM. Ce qui a produit ces textes remarquablement précis, c’est l’appareil technocratique de la Maison-Blanche — Kratsios, Cairncross, les équipes de la NSA et du NIST — qui a saisi l’intérêt politique de Trump pour la domination technologique américaine face à la Chine et y a greffé une agenda réglementaire cohérent. Le résultat est un texte qui, objectivement, marque une rupture réelle avec l’inertie de la période Biden.
Biden avait établi les fondations avec NSM-10 en 2022 et avait été le premier à évoquer la menace PQC au niveau présidentiel. Mais NSM-10 manquait d’échéances fermes pour les agences civiles. L’EO 14306 de Trump en juin 2025 avait même supprimé certains déclencheurs d’approvisionnement de l’EO 14144 de Biden. La stratégie nationale de cybersécurité de mars 2026 avait nommé la PQC comme pilier de modernisation, mais sans fixer de dates. EO 14409, selon PostQuantum.com, « remplace le patchwork de directives de l’ère Biden » par des obligations datées avec des responsables nommément désignés. C’est un progrès institutionnel réel, quel que soit l’auteur.
La rivalité Chine-USA comme moteur de l’urgence quantique
U.S. News & World Report a titré son article du 22 juin 2026 : les décrets de Trump « visent à renforcer l’avantage compétitif des États-Unis face à la Chine dans un domaine technologique qui a le potentiel de révolutionner à la fois la science et la cybersécurité ». C’est la lecture correcte. Ces décrets ne sont pas simplement de la politique intérieure de cybersécurité — ils sont un acte dans une rivalité géostratégique à long terme. Et dans cette rivalité, la Chine n’est pas un acteur passif en attente des démarches américaines.
Selon HPCwire, dans son analyse du rapport 2024 du DoD sur la Chine, « l’industrie de défense et les universités de la RPC développent des applications de radar quantique, de navigation et de ciblage pour améliorer les capacités ISR », et « l’APL considère les capacités de capteurs quantiques comme des outils pour améliorer la détection de sous-marins ». La Chine n’attend pas 2030. Elle investit, développe et teste maintenant. Chaque mois que Washington passe sans politique cohérente est un mois que Pékin utilise pour progresser. EO 14409 et EO 14411 referment partiellement cette fenêtre d’inaction — partiellement seulement, car la mise en œuvre reste à construire.
Trump comme mal nécessaire : je résiste à cette formulation facile, mais dans ce dossier spécifique, elle s’applique. Un président plus idéologique aurait peut-être bloqué ces décrets par défiance envers les agences de renseignement qu’il méprise ostensiblement. Qu’il les ait signés, poussé par son obsession de battre la Chine et de paraître fort technologiquement, est une forme de bonne fortune accidentelle pour la sécurité occidentale. Je prends le résultat, même si je n’aime pas l’homme.
L'enjeu des sous-traitants de défense : quand la sécurité nationale dépend du maillon le plus faible
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2Fimg_580bbbcb049c221c-2-scaled.jpeg)
La règle FAR et l’onde de choc sur la chaîne d’approvisionnement
L’une des dispositions les plus structurantes d’EO 14409 est peut-être celle qui concerne les sous-traitants privés. Dans les 180 jours suivant la signature, le FAR Council doit publier une règle proposée modifiant la réglementation fédérale des acquisitions pour exiger des contractants couverts la conformité aux normes FIPS du NIST intégrant les algorithmes PQC d’ici le 31 décembre 2030. Cette disposition crée une mécanique de cascade : les contractants principaux — Lockheed Martin, Raytheon, Boeing, mais aussi des milliers de PME technologiques — devront migrer leurs systèmes, puis exiger la même conformité de leurs fournisseurs. En théorie, l’ensemble de la chaîne d’approvisionnement de la défense américaine devra être PQC-conforme avant la fin de 2030.
La réalité pratique est cependant plus complexe. PostQuantum.com note que « chaque grand vendeur IT qui vend sur les marchés fédéraux, y compris la plupart des entreprises technologiques de grande entreprise, devra produire des produits validés PQC dans les quatre ans ». Pour les grands acteurs — IBM, Microsoft, Cisco — ce délai est gérable, même serré. Pour les sous-traitants de deuxième et troisième rang, souvent de petites entreprises avec des ressources limitées en cybersécurité, la migration PQC représente un défi organisationnel et financier considérable. Le risque est que le maillon le plus faible de la chaîne reste non migré, créant une vulnérabilité précisément là où l’adversaire cherchera à s’introduire.
Le CBOM : cartographier l’invisible avant de le chiffrer
Dans les 270 jours, la CISA et le NIST doivent publier des lignes directrices définissant les éléments minimaux d’un « cryptographic bill of materials » (CBOM). Ce concept, calqué sur le software bill of materials popularisé après la catastrophe SolarWinds de 2020, vise à permettre aux organisations de savoir exactement quels algorithmes cryptographiques tournent sur quels systèmes, dans quels logiciels, sur quels matériels. Sans cette cartographie, la migration est impossible à piloter. Le problème fondamental est qu’une grande partie de la cryptographie est enfouie dans des couches logicielles et matérielles que personne ne surveille activement — des bibliothèques cryptographiques héritées, des composants embarqués, des protocoles réseau de bas niveau.
Le CBOM est donc à la fois une condition préalable à la migration et un outil de gouvernance continue. Selon la logique d’EO 14409, une seconde règle FAR, attendue dans les 270 jours, imposera aux contractants couverts d’intégrer dans leurs programmes de divulgation des vulnérabilités les rapports sur les failles cryptographiques — y compris l’absence de chiffrement et l’utilisation d’algorithmes non approuvés par FIPS. Cela crée une obligation de surveillance permanente, pas seulement une migration ponctuelle. La cryptographie post-quantique n’est pas une destination — c’est un régime opérationnel permanent dans un monde où les menaces évoluent plus vite que les standards.
La question du maillon faible dans la chaîne d’approvisionnement me hante depuis que j’ai commencé à documenter ce dossier. SolarWinds nous a appris que l’adversaire ne frappe pas toujours la cible principale — il contourne par le fournisseur de niveau trois que personne ne surveille. Dans le contexte de la migration PQC, ce risque est amplifié par l’ampleur de la tâche : des milliers de PME devront migrer des systèmes qu’elles ne comprennent pas toujours pleinement, avec des budgets qu’elles n’ont pas nécessairement. C’est là que se jouera une partie décisive de la bataille cryptographique de cette décennie.
Conclusion : 2030, un horizon serré pour une migration vitale
/https%3A%2F%2Fdosequotidienne.ca%2Fapp%2Fuploads%2F2026%2F06%2FAdobeStock_2030887350-394-7.jpeg)
Ce que ces décrets signifient vraiment pour l’Occident
Le 22 juin 2026, Trump a fait quelque chose d’important pour la sécurité occidentale, probablement sans en mesurer pleinement la profondeur. EO 14409 et EO 14411 ne sont pas de simples textes réglementaires — ils sont la traduction légale d’une réalité géostratégique que la communauté du renseignement américaine documente depuis des années : la cryptographie classique est condamnée, le Q-Day approche à une vitesse incertaine mais réelle, et les adversaires de l’Occident n’attendent pas pour en tirer parti. Imposer des échéances contraignantes — 2030 pour les clés, 2031 pour les signatures — à l’ensemble du gouvernement civil américain et à ses sous-traitants est une décision stratégique majeure.
La domination technologique occidentale n’est pas acquise. Elle se construit, se défend et se maintient par des décisions difficiles, prises à temps. Dans la course quantique, le temps est la ressource la plus rare. Ces deux décrets tentent de compenser des années d’inertie bureaucratique avec une urgence institutionnelle nouvelle. Ils y parviennent imparfaitement, avec les contradictions et les limites d’une administration dont l’instabilité politique est chronique. Mais ils posent le cadre réglementaire sans lequel aucune migration ne peut s’organiser à l’échelle nécessaire. C’est un début indispensable — en espérant que ce n’est pas trop tard.
Ce que l’Europe doit retenir et faire immédiatement
L’Europe doit regarder EO 14409 comme un miroir inconfortable. L’Union européenne ne dispose pas d’un équivalent législatif — pas encore. L’ENISA publie des recommandations, le ETSI travaille sur des standards, mais aucun État membre n’a imposé d’échéances légalement contraignantes de migration PQC comparables à celles de Trump. Le risque est que les partenaires de l’OTAN se retrouvent à des niveaux très inégaux de préparation cryptographique, créant des vulnérabilités systémiques dans l’interopérabilité de l’alliance. La Chine observera ces disparités avec intérêt. L’Europe doit agir vite, sur ses propres termes, mais dans la même direction que Washington. Il n’y a pas de temps à perdre en débats d’autonomie stratégique pendant que l’adversaire collecte nos données.
La migration PQC n’est pas un projet informatique. C’est un impératif de sécurité nationale de premier rang, aussi vital que le budget de défense ou la capacité industrielle militaire. Qui contrôle les standards cryptographiques du monde contrôlera une part décisive de son infrastructure de pouvoir numérique. L’Occident doit remporter cette bataille — avec ou sans Trump, mais de préférence avec des alliés alignés, des standards communs et une volonté politique à la hauteur de l’enjeu.
Signé Maxime Marquette, chroniqueur
Sources
Sources primaires
Sources secondaires
Ce contenu a été créé avec l'aide de l'IA.
