← Tous les articles

redaction

ENISA met à jour ses mécanismes crypto: revue publique jusqu’à juillet

L’ENISA ouvre la consultation publique de la v3 des Agreed Cryptographic Mechanisms (ACM) jusqu’à fin juillet 2026. Les entreprises peuvent commenter les suites et tailles clés qui guideront EUCC et l’“état de l’art” en Europe.

Par Veille Luxgap 09/06/2026

Le 2 juin 2026, l’ENISA a lancé la consultation publique de la version 3 des Agreed Cryptographic Mechanisms (ACM), la liste de mécanismes « préférés » qui sert de référence opérationnelle pour les évaluations des produits visant une certification EUCC. La consultation est ouverte jusqu’à fin juillet 2026 ; la v2 reste applicable jusqu’à la finalisation de la v3.

Les faits

L’ACM v3 (projet) est publiée avec un changelog complet par rapport à la v2 (mi‑2025). Elle couvre les suites TLS, tailles de clés, modes d’opération, KDF, PRNG, signatures et échanges de clés considérés comme recommandés dans le cadre des évaluations EUCC.

Cadre légal et fondement

  • Cybersecurity Act et schéma EUCC : l’ENISA coordonne des schémas et guides pour harmoniser les évaluations. Les ACM sont la référence cryptographique « préférée » pour EUCC.
  • RGPD (art. 32) : l’adoption de mécanismes reconnus facilite la démonstration de mesures proportionnées et de l’« état de l’art ». Voir aussi notre page dédiée au RGPD et aux obligations de sécurité.
  • NIS 2 (art. 21) : les choix alignés ACM soutiennent les preuves de maturité et de proportionnalité des contrôles. Plus d’informations sur les exigences NIS 2.
  • DORA : pour les institutions financières, se référer à l’ACM/EUCC renforce la justification de la robustesse des contrôles techniques. Consultez le cadre DORA.

Impact pour les entreprises luxembourgeoises

  • IT/Produit : commenter la v3 permet d’influer sur des choix structurants (suites, tailles, modes, signatures) qui guideront vos roadmaps, migrations et l’interopérabilité.
  • Fournisseurs sécurisés : se caler tôt sur l’ACM v3 réduit les écarts en certification EUCC et audits réglementaires ; éviter les mécanismes en dépréciation limite les ré‑implémentations coûteuses.
  • RSSI/CTO : anticipez l’obsolescence et préparez les trajectoires de migration (incluant, à terme, le post‑quantique lorsque référencé). Chiffrement au repos/en transit, signature d’artefacts, HSM/enclaves et gouvernance du cycle de vie des clés sont directement concernés. Pour cadrer ces chantiers, un pilotage cyber par un CISO externalisé peut accélérer l’alignement technique et réglementaire.

Actions concrètes à entreprendre cette semaine

  • Cartographier vos usages crypto et comparer avec l’ACM v3 (TLS, tailles de clés, signatures/échanges, PRNG, AEAD, stockage chiffré, signature de code). Identifier les écarts à risque.
  • Participer à la consultation ENISA avant fin juillet : commentaires sur faisabilité industrielle, interopérabilité et performance (y compris environnements contraints/embarqués).
  • Ajuster vos roadmaps conformité : aligner politiques et exigences d’achat, planifier migrations (bibliothèques, HSM, certificats), mettre à jour la documentation de sécurité (preuve art. 32), et intégrer ces évolutions dans vos programmes NIS 2/DORA et vos plans de tests.

Sources

Besoin d’aide pour prioriser vos migrations cryptographiques et documenter vos preuves réglementaires ? Contactez‑nous via la page contact.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

veille actualite enisa eucc cryptographie rgpd nis-2
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →