● Next INpact Télécom 📅 30/04/2026 à 20:31

Cybersécurité de l’État : le plan du gouvernement pour (essayer de) stopper l’hémorragie

Cybersécurité 👤 Mickael Bazoge

🏷️ Tags : fuite de données vulnérabilités cert olt pto rag rte sanctions stoc

Cybersécurité de l’État : le plan du gouvernement pour (essayer de) stopper l’hémorragie Non Christine, le pare-feu d’Open Office ne peut pas sauver la France ! Illustration : Flock Mickael Bazoge Le 30 avril à 20h31 Fuites de données, cyberattaques, failles de sécurité : pas un jour ne se passe sans que l’actualité rappelle la vulnérabilité des infrastructures numériques. C’est le cas dans les entreprises privées, mais aussi dans l’administration publique et notoirement en France. Sébastien Lecornu a annoncé plusieurs mesures pour essayer de remettre d’aplomb les capacités de cyberdéfense de l’Hexagone. Une erreur ? La fuite de données chez France Titres avec ses 11,7 millions de comptes touchés a rappelé la fragilité des systèmes informatiques de l’État. La garde à vue d’un ado de 15 ans soupçonné de l’effraction ne fait que souligner l’urgence de renforcer la défense des infrastructures publiques. Sébastien Lecornu, en visite dans les locaux de l’ANTS et surfant sur cette arrestation, a fait plusieurs annonces dans ce sens. Le Premier ministre va débloquer la semaine prochaine 200 millions d’euros (prélevés sur les crédits de France 2030) pour investir dans des outils de cybersécurité, d’IA et sur la crypto post-quantique… un bel enchainement de buzzwords, mais on attend plus. Il ajoute : « La plupart des entreprises françaises consacrent quelque chose comme 10 % de leur budget global aux infrastructures numériques. L’État en est davantage proche de 1 % que de 10 % ». La question est maintenant de savoir où trouver cet argent, dans un contexte économique déjà très difficile. Le gouvernement veut réallouer les amendes infligées par la CNIL Un fonds dédié à la modernisation des infrastructures numériques va être créé. Il sera abondé par les amendes infligées par la CNIL, dans une logique assumée de « pollueur-payeur ». Une drôle de comparaison, à l’opposé de celle de Vincent Strubel, le patron de l’ANSSI, qui refuse de stigmatiser les entités victimes de fuites affirmant qu’il y a une différence fondamentale « entre alerter sur la menace et donner des leçons, voire taper sur les victimes, ce que l’ANSSI ne fera jamais ». Sécurité Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée Sécurité Mercredi 11 mars 2026 à 13h13 11/03/2026 13h13 1 Quoi qu’il en soit, cet argent représentait l’année dernière « quelque chose comme 500 millions d’euros, un demi-milliard d’euros, on est sur des sommes qui sont tout à fait considérables ». C’est vrai pour 2025, mais en 2024 c’était 10x moins avec 55 millions d‘euros et 89 millions en 2023. Ces sommes pourraient donc ne plus repartir dans le budget général de l’État. « On va faire un effet de levier pour obliger les différents ministères à remettre un peu d’argent sur la table », ajoute le Premier ministre. Que dire des 5 millions d’euros d’amende de France Travail de début 2026… Une nouvelle manière de définir l’argent circulaire ? France Travail proposait alors que, « plutôt que de prononcer une amende administrative, lui enjoindre d’allouer une certaine somme à la sécurisation de son système d’information ». L’annonce de Sébastien Lecornu va dans ce sens. Droit France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données Droit Jeudi 29 janvier 2026 à 12h28 29/01/2026 12h28 39 DINUM + DITP = DIDFD (Direction interministérielle des fuites de données) ? Sur un plan plus structurel, Sébastien Lecornu veut accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), tous deux placés sous l’autorité du ministre de la Fonction publique. L’objectif de cette autorité sera de standardiser et mieux organiser les infras numériques : « [Actuellement], c’est un jardin à l’anglaise […], dans une forme de désorganisation désormais dangereuse ». Il y a trois semaines seulement, l’État dévoilait pour rappel un plan pour renforcer la cybersécurité des ministères. Le gouvernement va également travailler sur une clarification des responsabilités : « Quand vous êtes cambriolé chez vous, il est clair pour tout le monde que vos portes, vos fenêtres, votre système d’alarme, il est pour vous. Il ne viendrait à l’esprit de personne de se dire que c’est à l’État de payer mes serrures et mes portes. Et en même temps, vous êtes cambriolé, vous faites le 17, et l’État apporte une solution régalienne. C’est exactement pareil pour la gestion des données ». Les acteurs, qu’il s’agisse des collectivités, des établissements, des entreprises, doivent sécuriser leurs systèmes, avec l’État qui vient en appui pour la détection, la réponse et l’enquête. L’ANSSI est déjà sur ses sujets et verra son rôle renforcé avec NIS2… dont le projet de loi est en attente de validation à l’Assemblée nationale et déjà largement en retard sur le calendrier. Droit NIS 2 : l’ANSSI publie son ReCyf, la CSNP s’impatiente et le fait savoir Droit Jeudi 19 mars 2026 à 08h41 19/03/2026 08h41 8 « Il y a des fuites qui sont graves et des fuites qui ne sont pas graves » Autre volet des annonces : une clarification de la « doctrine de protection » inscrite dans la stratégie 2026 - 2030. « Il y a des fuites qui sont graves et des fuites qui ne sont pas graves », assume le Premier ministre. Des données qu’on pouvait trouver jadis dans le bottin ne sont pas la même chose que les données de Parcoursup, « ce sont des données qui peuvent intéresser un service étranger ». « L’enjeu important [est] de bien clarifier le rôle de chacun, ce qui dépend d’un investissement propre et ce que l’État doit prendre en charge », indique-t-il. Dans le même temps, le Premier ministre rappelle qu’« on a une dette numérique assez importante […] Depuis le début de l’année, on est sur quelque chose comme trois vols de données par jour […] On est donc au fond sur un casse du siècle, mais qui a pratiquement lieu tous les mois. Et donc, ça dit quelque chose de nos vulnérabilités, ça dit quelque chose de nos fragilités sur lesquelles, effectivement, il nous faut réagir ». Une déclaration forte… mais on se demande du coup pourquoi l’attente a été aussi longue. Les infras publiques vont subir des « stress tests » pour éprouver leur résistance face aux cyberattaques. Il y a aussi le côté humain et le « mode legacy », comme le rappelait Vincent Strubel. Parfois, d’anciens systèmes sont laissés en place pour calmer la grogne de certains (anciens) utilisateurs : nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents ». Souveraineté mon amour « Qu’est-ce qui se passe si nous avions, par exemple, une administration américaine qui décidait de nous priver d’un certain nombre d’outils, parce que beaucoup de choses sont quand même sous licence américaine », ajoute-t-il. Quelles seraient les conséquences d’un « black-out numérique » ? Il s’agit d’assurer la continuité des services de l’État en cas de crise. La réponse, pourtant, on la connait déjà avec le juge français de la Cour pénale internationale, Nicolas Guillou, qui n’a plus la possibilité d’accéder aux services numériques états-uniens ou bancaires tels que Visa et Mastercard. Droit Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains Droit Mercredi 29 octobre 2025 à 08h17 29/10/2025 08h17 57 Par conséquent, « j’ai donné des instructions aux différents services de sécurité de l’État pour nous attaquer nous-mêmes »… sans faire « n’importe quoi », rassure-t-il. Il faut « stresser les vulnérabilités, et plutôt que d’attendre de voir comment un adversaire peut le faire, autant le faire nous-mêmes avec nos propres capacités ». Ces opérations permettront d’identifier les « axes importants ». Il s’agit là encore de mettre en œuvre ce que la communauté de la cybersécurité fait depuis des années, mais à l’échelle de tout un pays. Il n’apporte pas de précision sur les moyens d’y arriver. Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Omerlablonde Premium Il y a 5 minutes Message 1 Signaler Bloquer cet utilisateur Si ce sont les mêmes qui sont censé gérer la sécurité qui vont "stresser les vulénaribilités", ils sont dans la merde lansing Premium À l'instant Message 2 Signaler Bloquer cet utilisateur Est ce qu'il y a besoin de faire encore des pentests, vu le nombre d’attaques quotidiennes sur le service public ? nicodvnt Premium À l'instant Message 3 Signaler Bloquer cet utilisateur Même si c’est peut-être plutôt adapté aux entités privées, récolter moins d’informations personnelles non nécessaires, ou les anonymiser dès la fin du traitement, ça réduirait aussi la gravité des fuites puisque les données seraient moins nombreuses et moins intéressantes… Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 1 lecture

← Retour