S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Le plan de l’État pour renforcer la cybersécurité des ministères d’ici la fin de l’année

Dans certains cas, il serait temps de s’y mettre…

Le plan de l’État pour renforcer la cybersécurité des ministères d’ici la fin de l’année

Illustration : Flock

Depuis quelques années, les fuites de données s’enchainent à vitesse grand V et les institutions officielles ne sont pas épargnées. Le gouvernement vient de mettre en ligne sa feuille de route des efforts prioritaires en matière de sécurité numérique de l’État. Elle comporte une quarantaine d’actions à mettre en place cette année.

Dès son introduction, le document – validé en concertation interministérielle – revient sur « les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d’information des ministères et des établissements dont ils ont la tutelle ». Ces failles et fuites rappellent, s’il en est besoin, « la persistance de vulnérabilités graves dans l’ensemble de ces infrastructures ». Le document du jour vise à y apporter une réponse…

Conseiller numérique obligatoire et anticipation de NIS 2

Premier point du document : renforcer la gouvernance. Chaque ministère devra ainsi désigner un conseiller numérique en charge de la cybersécurité « dans le mois suivant la nomination du ministre »… de quoi éviter des blancs en cas de changements a répétition. Les ministères devront aussi s’assurer que la cybersécurité soit bien prise en compte à tous les niveaux. Avant le 30 juin 2026, ils devront ainsi avoir formalisé « une politique d’audit et de contrôle des systèmes d’information ». La mise en œuvre est programmée pour le 31 décembre 2026.

En vue de NIS 2, qui va bien finir par passer le cap de l’Assemblée nationale un jour ou l’autre, la politique de sécurité des systèmes d’information de l’État devra être mise à jour, au plus tard au premier trimestre 2027, pour « intégrer en anticipation le référentiel de règles ayant vocation à s’appliquer aux entités essentielles que créera NIS 2 ».

Sur l’homologation des systèmes d’information, la feuille de route précise que « tout système faisant l’objet d’une migration sur le cloud devra être considéré comme un nouveau système d’information et donc faire l’objet d’une homologation ». Avec le cloud dominé par des acteurs américains, cela soulève aussi des questions de souveraineté. La qualification SecNumCloud de l’ANSSI permet de s’assurer de l’étanchéité aux lois extraterritoriales (notamment étasuniennes et chinoises), pour rappel.

Supply chain, mise à jour, authentification… rappel des basiques

C’est dans l’air du temps avec les attaques qui se multiplient contre la « supply chain », le document demande aux ministères de mettre en place, d’ici au 30 juin 2026, « une politique de contrôle de la chaîne d’approvisionnement ».

Sur la question des mises à jour, ils devront définir des procédures d’installation des correctifs de sécurité d’ici au 30 juin 2026 et les mettre en œuvre avant la fin de l’année. Il est aussi question de « renforcer l’authentification et la gestion des accès ».

Autre mesure importante (et on pourrait presque dire qu’il est temps) : « Mettre en place d’ici le 31 décembre 2026 une authentification multi-facteur de l’ensemble des administrateurs de systèmes d’information ». Avec la gestion des mises à jour, ce sont des points basiques, qui devraient déjà être en place… mais force est de constater qu’il reste encore du travail. Le détail des manquements détaillé par la CNIL suite à la fuite et condamnation de France Travail par CNIL (5 millions d’euros d’amende) en est une preuve.

La feuille de route prévoit aussi de déployer « des dispositifs avancés de détection des attaques (EDR ou XDR) sur l’ensemble des postes de travail et sur l’ensemble des serveurs » avant la fin de l’année. Les ministères doivent aussi tester au moins une fois par an les plans de reprise d’activité.

Après un incident important (dont la définition reste à préciser), le ministère impacté « aura pour obligation de suivre les recommandations de l’ANSSI, puis 6 mois après l’incident d’adresser un point de suivi à l’ANSSI, au corps d’inspection et au Premier ministre ».

Vincent Strubel, patron de l’ANSSI, rappelait dans son bilan de la cybermenace en 2025 une autre réalité : le facteur humain et le « mode legacy » parfois laissé en place pour calmer la grogne des anciens utilisateurs. Nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents », affirmait Vincent Strubel.

À surveiller de près : DNS, messageries et quantique

La feuille de route cible ensuite les DNS et messageries, utilisés par les pirates « pour introduire des codes malveillants dans les systèmes d’information » de l’État. Là encore, la feuille de route prévoit une action en deux temps : renforcer avant le 30 septembre 2026 la sécurité des DNS, « notamment par un recours accru au service interministériel DNS », et celle des systèmes de messagerie avant le 31 décembre 2026.

Dernier point, préparer la transition vers la cryptographie post-quantique. Pour rappel, la question n’est pas tant de savoir si un ordinateur quantique capable de casser des systèmes de chiffrement verra le jour, mais quand il sera opérationnel avec suffisamment de qubits.

Il est donc demandé aux ministères de faire cette année l’inventaire « de leurs données durablement sensibles pour lesquelles une mise en place de la cryptographie post-quantique sera prioritaire »… en espérant qu’elles n’aient pas déjà fuité, sinon c’est déjà trop tard.

Ils devront ensuite « déployer de la cryptographie post-quantique pour tous les systèmes d’information traitant d’information à diffusion restreinte avant fin 2030 ». Enfin, à partir de 2030, « ne déployer que des produits de chiffrement qui intègrent de la cryptographie post-quantique ».

L’ANSSI aussi a dévoilé sa feuille de route sur le post quantique, avec deux échéances. À partir de 2027 tout d’abord, l’Agence n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique. Puis, à partir de 2030, « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

Quoi qu’il en soit, le « suivi opérationnel de la mise en œuvre de la feuille de route 2026 - 2027 sera assuré chaque mois en Comité interministériel de suivi de la sécurité numérique (CINUS), qui réunit les chaînes de sécurité des systèmes d’information des ministères sous l’égide de l’ANSSI ».

Commentaires (17)

votre avatar
Le plan de l’État pour renforcer la cybersécurité des ministères d’ici la fin de l’année
Ils vont prendre un abonnement à Mythos ?
votre avatar
Ils vont débrancher la passerelle Internet de chaque ministère. Au moins, ça marche :D
votre avatar
Se fâcher avec Microsoft => retour au papier+crayon.
job done o/
votre avatar
Chaque ministère devra ainsi désigner un conseiller[...]
Y-a-t-il des critères de sélection ? Genre être compétent dans ceci ou cela. Sinon espérons que ce soit pas un poste pour recycler du monde. Pire si c'est une personne parachuté qui croit en le firewall OpenOffice...
votre avatar
C'est pour le cabinet du ministre. Chaque ministre devra avoir un conseiller numérique de la même manière qu'ils ont tous un conseiller communication. Et comme c'est un membre du cabinet, c'est au libre choix du ministre ou de son directeur de cabinet.
votre avatar
Après, vue l'exposition, si c'est un peintre, il ne restera pas longtemps et aura du mal à retrouver un job autre qu'ambassadeur.

Pas certain que l'ANSSI n'y ai pas son mot à dire si la personne est vraiment larguée.
votre avatar
Déjà qu'en entreprise de bonne volonté, ce n'est pas forcément ultra rapide de tout bien faire, alors dans des ministères...

Je prévois un retard de 15 ans sur la feuille de route.

Si tout se passe bien.
votre avatar
le 2FA uniquement pour les administrateurs du SI. :-(
et rien pour les utilisateurs, pour la messagerie, ...
Le hameçonnage a de beaux jours devant lui.
(oui, je sais que contre le hameçonnage, un gestionnaire de mot de passe est plus efficace que le 2FA).
votre avatar
Le 2FA est prévu pour tout le monde. D'ici fin 2026 pour les administrateurs de SI, février 2027 pour les SI à enjeux, février 2028 pour les autres SI.
votre avatar
Dans ma fac, le MFA est déjà une obligation pour les étudiants depuis septembre 25, ça devient le cas pour les agents dans quelques semaines.
votre avatar
De manière générale, j'ai l'impression que c'est assez bien généralisé mais qu'il y a toujours pas mal de systèmes legacy qui n'utilisent pas l'authentification centralisée ou ne permettent pas la 2FA.
votre avatar
Il n'est pas trop compliqué d'encapsuler les systèmes peut sécuriser dans un bon VPN intégrant le MFA.
votre avatar
Pas quand on parle de systèmes historiques utilisés par des centaines voire milliers d'agents répartis partout en France. Les forcer à se connecter à un VPN alors qu'ils ne l'ont jamais fait, et que leurs machines ne sont pas forcément configurées pour ça, c'est un chantier très long. D'où les deadlines dans un an pour les systèmes sensibles et deux pour les systèmes non sensibles.
votre avatar
J'ose espérer qu'il n'y a pas des PC portables sans VPN ?

Si un utilisateur n'arrive pas à utiliser un VPN après formation, j'imagine qu'on peut facilement plaider l'inaptitude.
votre avatar
Il peut arriver que dans certains secteurs il n'y ait pas de VPN, non. Je pense notamment à l'éducation, où les matériels sont fournis par les communes, départements ou régions, et où la standardisation est plus que complexe. Ça peut également être le cas de certains systèmes historiques. C'est pour ça que c'est long à être mis en œuvre.
votre avatar
Après un incident important (dont la définition reste à préciser), le ministère impacté « aura pour obligation de suivre les recommandations de l’ANSSI, puis 6 mois après l’incident d’adresser un point de suivi à l’ANSSI, au corps d’inspection et au Premier ministre ».
J'espère avoir mal compris cette phrase : est-ce que ça veut dire qu'ils vont attendre un « incident important » pour mettre en place des recommandations qui auraient permis d'éviter ledit incident ? 😵‍💫
votre avatar