● Silicon.fr Télécom 📅 14/04/2026 à 10:34

Cybersécurité 👤 Clément Bohic

🏷️ Tags : cert edr pto rte xdr

Une fois n’est pas coutume : « dans un contexte de menace élevée », l’État a rendu publique sa nouvelle feuille de route en matière de sécurité numérique. Cette feuille de route est prévue par une instruction interministérielle de 2022. Elle est établie annuellement. Chaque ministère doit la décliner. La version 2026-2027 « prend en compte les contraintes budgétaires qui ont pesé sur la mise en œuvre de la précédente ». Elle en reprend les actions – la plupart correspondant aux objectifs généraux que la NIS 2 fixe en ses articles 20 et 21 – et y ajoute une préparation à la transition vers la cryptographie post-quantique. En parallèle, elle « affermit certaines échéances ». Voici un aperçu du calendrier. Pour mi-2026 Au 30 juin 2026, les ministères devront avoir décliné la feuille de route et formalisé une politique d’audit et de contrôle des SI. Lire aussi : Europa.eu piraté : le mode opératoire se précise Ils devront aussi avoir identifié leurs SI à enjeux, formalisé une politique d’hébergement dans le cloud, mis en place une politique de contrôle de la chaîne d’approvisionnement et défini des procédures d’installation des correctifs de sécurité. Il leur incombe également d’avoir défini un calendrier de généralisation de ProConnect (fédération des identités) et mis en place des revues des droits d’accès au moins une fois par an pour les comptes d’administration technique sur les SI à enjeux. Autre consigne : porter et maintenir au niveau 3 de l’indicateur ADS la sécurité des annuaires importants. Devra s’y ajouter la réalisation d’un test des sauvegardes des SI. Pour fin septembre 2026 Les ministères devront avoir renforcé la sécurité de leur DNS. « Notamment par un recours accru au service interministériel DNS. » Pour fin 2026 La politique d'audit et de contrôle des SI devra être mise en œuvre à cette échéance. Il s'agira aussi d'avoir homologué les SI soutenant les missions essentielles. Les ministères ont aussi jusqu'au 31 décembre 2026 pour s'assurer, sur les marchés numériques, que les documents contractuels intègrent bien les exigences de cybersécurité. Également attendu pour fin 2026 : mettre en œuvre les procédures d'installation des correctifs de sécurité. Ainsi qu'un processus de remplacement des éléments obsolètes au fil de l'eau, « en donnant la priorité aux briques de sécurité ». Et un renforcement des systèmes de messagerie. La revue des droits d'accès appliquée pour juin 2026 aux comptes d'administration technique devra être étendue aux comptes d'administration fonctionnelle. ProConnect devra quant à lui avoir été déployé sur les SI à enjeux. Ces derniers auront par ailleurs basculé sur une gestion automatique du cycle de vie des identités et des accès. Lire aussi : [Spécial Forum InCyber] "Maîtriser nos dépendances numériques" Même timing pour l'authentification multifacteur pour tous les administrateurs de SI. Et pour la mise en œuvre de postes dédiés à l'administration des SI à enjeux et des SI nationaux (hors SI propres aux services déconcentrés et SI non soumis à NIS 2). On attend aussi des ministères qu'ils améliorent leur capacité de collecte, de centralisation et d'analyse des traces. Tout en déployant des EDR ou des XDR sur tous les postes de travail et les serveurs. Ils devront de surcroît avoir fait l'inventaire des données « durablement sensibles » pour lesquelles la cryptographie post-quantique sera prioritaire. Pour fin février 2027 À cette échéance, il faudra avoir déployé une authentification multifacteur des utilisateurs sur les SI à enjeux. Pour fin 2027 L'intégration des exigences de cybersécurité dans les contrats devra avoir été étendue aux marchés ayant une composante numérique ou nécessitant l'échange d'informations sensibles. Il s'agira aussi d'étendre la gestion automatisée des identités et des accès à un périmètre... encore inconnu (il « sera précisé en 2026 lors de groupes de travail »). Autres consignes : généraliser le déploiement de ProConnect et étendre aux SI des services déconcentrés l'usage de postes d'administration dédiés. Lire aussi : Forum INCYBER : les 4 lauréats du Prix de la Start-Up En matière de cryptographie post-quantique, les ministères devront avoir identifié les briques techniques impliquées. Pour fin février 2028 C'est la date butoir pour généraliser l'authentification multifacteur des utilisateurs sur tous les SI. Et pour remplacer les éléments obsolètes des SI à enjeux (consigne applicable dès fin 2026 pour les équipements de sécurité). Pour fin 2028 Le ministères devront avoir homologué l'ensemble de leurs SI à enjeux*. Pour fin 2030 L'État demande qu'à cette échéance, tous les SI à diffusion restreinte soient couverts en cryptographie post-quantique. À partir de là, les ministères ne devront déployer que des produits de chiffrement qui embarquent de la cryptographie post-quantique. * Certaines composantes peuvent être dispensées d'homologation. Dans les grandes lignes : Évolutions mineures qui n'augmentent pas le niveau de risque Modifications qui s'imposent par contraintes de sécurité ou d'urgence, dès lors qu'elles ne remettent pas en cause la validité de l'homologation Infrastructures et logiciels dont la création s'impose du fait de ces mêmes contraintes et qu'elles impliquent des délais incompatibles avec la démarche d'homologation Infrastructures et logiciels mis en œuvre à titre expérimental, ouverts à un nombre limité d'utilisateurs, dont les impacts d'une attaque informatique sont « négligeables et surmontables sans difficulté » Illustration générée par IA

🔗 Lire l'article original 👁️ 0 lecture