## Réglementation de la cryptographie en France : obligations et contrôles de l'ANSSI

La cryptographie est un pilier fondamental de la sécurité numérique. En France, son utilisation, sa fourniture et son exportation sont encadrées par une réglementation stricte dont l'ANSSI est le garant.

### Le cadre réglementaire français

Le décret n°2007-663 du 2 mai 2007 définit les obligations relatives aux moyens et prestations de cryptologie. Trois régimes coexistent :

- Utilisation libre : l'utilisation de moyens de cryptographie est libre en France pour la protection de la confidentialité. - Déclaration obligatoire : la fourniture, l'importation et le transfert intracommunautaire de moyens de cryptographie sont soumis à déclaration préalable auprès de l'ANSSI. - Autorisation requise : l'exportation de certains moyens de cryptographie nécessite une autorisation explicite de l'ANSSI.

### Les contrôles à l'export

Le règlement européen 2021/821 sur les biens à double usage s'applique aux produits cryptographiques. L'ANSSI est l'autorité compétente pour :

- Évaluer les demandes d'autorisation d'export dans un délai de un à deux mois. - Vérifier que les produits cryptographiques ne sont pas destinés à des usages militaires ou de surveillance. - Délivrer les licences d'exportation conformément aux engagements internationaux de la France (Arrangement de Wassenaar).

### Qui est concerné ?

Toute entreprise qui développe, commercialise ou exporte des solutions intégrant de la cryptographie doit se conformer à cette réglementation :

- Éditeurs de logiciels utilisant des algorithmes de chiffrement. - Fabricants de matériel intégrant des modules cryptographiques (VPN, pare-feu, IoT sécurisé). - Prestataires de services proposant des solutions de chiffrement de bout en bout.

### Les recommandations de l'ANSSI en matière de cryptographie

L'ANSSI publie régulièrement des guides de recommandations sur les algorithmes et protocoles cryptographiques à privilégier :

- Privilégier les algorithmes conformes au Référentiel Général de Sécurité (RGS). - Utiliser des longueurs de clé suffisantes (AES-256 pour le chiffrement symétrique, RSA-3072 minimum pour l'asymétrique). - Anticiper la transition vers la cryptographie post-quantique. - Mettre en œuvre une gestion rigoureuse du cycle de vie des clés.

### Se préparer à la cryptographie post-quantique

L'ANSSI alerte sur la menace que représentent les futurs ordinateurs quantiques pour les algorithmes actuels. Elle recommande dès maintenant une approche hybride combinant algorithmes classiques et post-quantiques pour les systèmes les plus sensibles.

---

Alcybe vous accompagne dans la mise en conformité de vos solutions cryptographiques et la préparation à la transition post-quantique. Nos experts certifiés analysent vos besoins et vous orientent vers les meilleures pratiques recommandées par l'ANSSI.