S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Cybersécurité de l’État : le plan du gouvernement pour (essayer de) stopper l’hémorragie

Non Christine, le pare-feu d’Open Office ne peut pas sauver la France !

Cybersécurité de l’État : le plan du gouvernement pour (essayer de) stopper l’hémorragie

Illustration : Flock

Fuites de données, cyberattaques, failles de sécurité : pas un jour ne se passe sans que l’actualité rappelle la vulnérabilité des infrastructures numériques. C’est le cas dans les entreprises privées, mais aussi dans l’administration publique et notoirement en France. Sébastien Lecornu a annoncé plusieurs mesures pour essayer de remettre d’aplomb les capacités de cyberdéfense de l’Hexagone.

La fuite de données chez France Titres avec ses 11,7 millions de comptes touchés a rappelé la fragilité des systèmes informatiques de l’État. La garde à vue d’un ado de 15 ans soupçonné de l’effraction ne fait que souligner l’urgence de renforcer la défense des infrastructures publiques. Sébastien Lecornu, en visite dans les locaux de l’ANTS et surfant sur cette arrestation, a fait plusieurs annonces dans ce sens.

Le Premier ministre va débloquer la semaine prochaine 200 millions d’euros (prélevés sur les crédits de France 2030) pour investir dans des outils de cybersécurité, d’IA et sur la crypto post-quantique… un bel enchainement de buzzwords, mais on attend plus.

Il ajoute : « La plupart des entreprises françaises consacrent quelque chose comme 10 % de leur budget global aux infrastructures numériques. L’État en est davantage proche de 1 % que de 10 % ». La question est maintenant de savoir où trouver cet argent, dans un contexte économique déjà très difficile.

Le gouvernement veut réallouer les amendes infligées par la CNIL

Un fonds dédié à la modernisation des infrastructures numériques va être créé. Il sera abondé par les amendes infligées par la CNIL, dans une logique assumée de « pollueur-payeur ». Une drôle de comparaison, à l’opposé de celle de Vincent Strubel, le patron de l’ANSSI, qui refuse de stigmatiser les entités victimes de fuites affirmant qu’il y a une différence fondamentale « entre alerter sur la menace et donner des leçons, voire taper sur les victimes, ce que l’ANSSI ne fera jamais ».

Quoi qu’il en soit, cet argent représentait l’année dernière « quelque chose comme 500 millions d’euros, un demi-milliard d’euros, on est sur des sommes qui sont tout à fait considérables ». C’est vrai pour 2025, mais en 2024 c’était 10x moins avec 55 millions d‘euros et 89 millions en 2023. Ces sommes pourraient donc ne plus repartir dans le budget général de l’État. « On va faire un effet de levier pour obliger les différents ministères à remettre un peu d’argent sur la table », ajoute le Premier ministre.

Que dire des 5 millions d’euros d’amende de France Travail de début 2026… Une nouvelle manière de définir l’argent circulaire ? France Travail proposait alors que, « plutôt que de prononcer une amende administrative, lui enjoindre d’allouer une certaine somme à la sécurisation de son système d’information ». L’annonce de Sébastien Lecornu va dans ce sens.

DINUM + DITP = DIDFD (Direction interministérielle des fuites de données) ?

Sur un plan plus structurel, Sébastien Lecornu veut accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), tous deux placés sous l’autorité du ministre de la Fonction publique.

L’objectif de cette autorité sera de standardiser et mieux organiser les infras numériques : « [Actuellement], c’est un jardin à l’anglaise […], dans une forme de désorganisation désormais dangereuse ». Il y a trois semaines seulement, l’État dévoilait pour rappel un plan pour renforcer la cybersécurité des ministères.

Le gouvernement va également travailler sur une clarification des responsabilités :

« Quand vous êtes cambriolé chez vous, il est clair pour tout le monde que vos portes, vos fenêtres, votre système d’alarme, il est pour vous. Il ne viendrait à l’esprit de personne de se dire que c’est à l’État de payer mes serrures et mes portes. Et en même temps, vous êtes cambriolé, vous faites le 17, et l’État apporte une solution régalienne. C’est exactement pareil pour la gestion des données ».

Les acteurs, qu’il s’agisse des collectivités, des établissements, des entreprises, doivent sécuriser leurs systèmes, avec l’État qui vient en appui pour la détection, la réponse et l’enquête. L’ANSSI est déjà sur ses sujets et verra son rôle renforcé avec NIS2… dont le projet de loi est en attente de validation à l’Assemblée nationale et déjà largement en retard sur le calendrier.

« Il y a des fuites qui sont graves et des fuites qui ne sont pas graves »

Autre volet des annonces : une clarification de la « doctrine de protection » inscrite dans la stratégie 2026 - 2030. « Il y a des fuites qui sont graves et des fuites qui ne sont pas graves », assume le Premier ministre. Des données qu’on pouvait trouver jadis dans le bottin ne sont pas la même chose que les données de Parcoursup, « ce sont des données qui peuvent intéresser un service étranger ». « L’enjeu important [est] de bien clarifier le rôle de chacun, ce qui dépend d’un investissement propre et ce que l’État doit prendre en charge », indique-t-il. 

Dans le même temps, le Premier ministre rappelle qu’« on a une dette numérique assez importante […] Depuis le début de l’année, on est sur quelque chose comme trois vols de données par jour […] On est donc au fond sur un casse du siècle, mais qui a pratiquement lieu tous les mois. Et donc, ça dit quelque chose de nos vulnérabilités, ça dit quelque chose de nos fragilités sur lesquelles, effectivement, il nous faut réagir ». Une déclaration forte… mais on se demande du coup pourquoi l’attente a été aussi longue.

Les infras publiques vont subir des « stress tests » pour éprouver leur résistance face aux cyberattaques. Il y a aussi le côté humain et le « mode legacy », comme le rappelait Vincent Strubel. Parfois, d’anciens systèmes sont laissés en place pour calmer la grogne de certains (anciens) utilisateurs : nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents ».

Souveraineté mon amour

« Qu’est-ce qui se passe si nous avions, par exemple, une administration américaine qui décidait de nous priver d’un certain nombre d’outils, parce que beaucoup de choses sont quand même sous licence américaine », ajoute-t-il. Quelles seraient les conséquences d’un « black-out numérique » ? Il s’agit d’assurer la continuité des services de l’État en cas de crise.

La réponse, pourtant, on la connait déjà avec le juge français de la Cour pénale internationale, Nicolas Guillou, qui n’a plus la possibilité d’accéder aux services numériques états-uniens ou bancaires tels que Visa et Mastercard.

Par conséquent, « j’ai donné des instructions aux différents services de sécurité de l’État pour nous attaquer nous-mêmes »… sans faire « n’importe quoi », rassure-t-il. Il faut « stresser les vulnérabilités, et plutôt que d’attendre de voir comment un adversaire peut le faire, autant le faire nous-mêmes avec nos propres capacités ». Ces opérations permettront d’identifier les « axes importants ». Il s’agit là encore de mettre en œuvre ce que la communauté de la cybersécurité fait depuis des années, mais à l’échelle de tout un pays. Il n’apporte pas de précision sur les moyens d’y arriver.

Commentaires (32)

votre avatar
Si ce sont les mêmes qui sont censé gérer la sécurité qui vont "stresser les vulénaribilités", ils sont dans la merde :D
votre avatar
Est ce qu'il y a besoin de faire encore des pentests, vu le nombre d’attaques quotidiennes sur le service public ?
votre avatar
2026, les décideurs se décident à engager un programme de test pour lutter les fuites. Retour vers le futur
votre avatar
Ils vont demander à Claude Mythos :mad2:
votre avatar
Même si c’est peut-être plutôt adapté aux entités privées, récolter moins d’informations personnelles non nécessaires, ou les anonymiser dès la fin du traitement, ça réduirait aussi la gravité des fuites puisque les données seraient moins nombreuses et moins intéressantes…
votre avatar
Soyons fous, supprimer quand c'est terminé. Quand on voit tout ce qui stockée alors qu'on te demande de redonner encore et tpukours, autant que ça disparaisse pour de vrai.
votre avatar
Soyons fous, supprimer quand c'est terminé.
Attention, il y a des cas où la loi oblige à la conservation des données pendant une certaine durée.

Exemple : une entreprise doit conserver un contrat de vente pendant 5 ans (10 si conclus en ligne à partir de 120 €), la facture pendant 10 ans.

C'est le côté équilibriste à gérer justement entre le droit à l'oubli et l'obligation de conservation des documents : supprimer le compte client à sa demande (+ les consentements marketing), ou au-delà du délai annoncé (souvent 3 ans), tout en devant conserver et être en capacité de retrouver ces documents en cas de nécessité. Par exemple, un produit qui est déclaré comme dangereux (ex : une chaudière dont le risque est reconnu par le fabricant qui déclenche un rappel / remplacement), le vendeur se doit de contacter les clients concernés.
votre avatar
Y'a un truc qui s'appelle l'archivage : que le document soit accessible pendant 10ans pour des raisons légales est une chose, qu'il soit accessible à n'importe quel utilisateur "au cas où", c'est un gros problème...

le gros des failles c'est simplement un compte standard usurpé cumulé à une absence total de gestion des droits dans le SI.
votre avatar
Je répondais au fait de supprimer, pas d'archiver.

Ce sont deux opérations bien différentes.
votre avatar
E qué s’appelerio RGPD 🥳
votre avatar
Même réfection...
Minimalisation des données je crois que ca s'appelle
votre avatar
Le sous-titre :dix:
votre avatar
Il disait quoi, déjà, l'autre ?
"Préparez-vous au burnout ?!"
votre avatar
Pour reprendre la comparaison, si la réponse à la gestion des données perdues/volées est aussi bien gérée que la réponse de l'État lorsqu'on appelle la police quand on se fait cambrioler, autant continuer à ne rien faire et économiser de l'argent, vu comment la police gère ne fait rien...

François Fillon avait raison, ce pays est en faillite, mais pas à cause de sa dette (qui d'ailleurs à quasi doublée depuis qu'il a prononcé ces mots, comme quoi...), mais bien parce qu'il est géré par des infirmes du bulbe, élus par de non moins décérébrés...
votre avatar
C'est marrant comme il semble découvrir et s'accaparer l'idée des tests d'attaques préventifs...
votre avatar
C'est beau: "France 2030" donnant pour sauver "France Travail, France Famille, France Patrie Titres"!!!
En attendant je trouve l'ANSSI un peu légère, peut-être car un peu juge et partie étant un organisme étatique qui ressemblerait presque, niveau rôle préventif faisant partie de ses mission, à un "France Passoire".
votre avatar
affirmant qu’il y a une différence fondamentale « entre alerter sur la menace et donner des leçons, voire taper sur les victimes, ce que l’ANSSI ne fera jamais ».
a un moment, faut qu'ils se rappellent que les "victimes", c'est pas les boîtes qui se font tipiak mais les utilisateurs qui se retrouvent a poil sur brixhub et autres...
PS: fRance patrie, c'est l'armée, pas l'ants :p
votre avatar
Rien de nouveau sous le soleil. Pas de budget pour mettre à jour toutes les infras vetustes, pas de suivi des recommendation de la CNIL (le peu de données possibles...) et on fera encore et toujours reposer sur l'usager le poids de la cybersecurité plutôt que de penser de manière plus globale
"c'est la faute de x si on a eu un ransomware" vs "Pourquoi le ransomware a réussi à passer?"
votre avatar
L'argent magique n'existe pas .... pour les gueux !!
votre avatar
On ne devrait pas laisser circuler des services en ligne sur les autoroutes de l'information sans un contrôle technique obligatoire et régulier...

Plus de contrôles, de pen-test et à la clé des amendes quand on constate de la négligence grave (par exemple l'absence de 2FA pour ce qui est sensible ou critique).

Il y a eu une certaine prise en compte des risques liés aux ransomware, mais bien moins pour les fuites de données personnelles, par manque d'impact financier quand ça fuite.
votre avatar
Dans les grosses boîtes qui ont une gestion de cb, les banques imposent un contrôle annuel dans la norme PCIDSS ...
D'accord avec toi faut la même pour les données sensibles et d'état
votre avatar
Un projet réglementaire ne rapporte pas d'argent.
Pour un DAF si le projet rapporte 0 et qu'il n'y a pas de risque d'un perdre, la décision est prise à tout jamais.

Ce sont les financiers qui dirigent, les projets sont donc priorisés par ce qu'ils rapportent et ce qu'ils coûtent à ne pas être fait.

On veut prioriser? Faut que le risque de fuite passe dans le top 3 des projets des organisations.

Exemple de la qualité de service vendue dans les contrats: le montant de la pénalité en cas de non respect est l'indicateur de sérieux du prestataire. S'il vous offre 1 mois gratuit d'hébergement en cas de sinistre sur son datacenter il n'a aucun intérêt passer du temps et de l'argent à faire une redondance ou auditer son système anti-incendie.
votre avatar
ça te dit rien l'amende pour non respect du RGPD : https://www.cnil.fr/fr/definition/sanction ? Jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial

Et pour NIS 2 : https://nis2compliant.org/fr/quelles-sont-les-amendes-nis2/? 10 000 000 € ou 2% du chiffre d’affaires annuel mondial

Il manque plus de moyens pour la CNIL pour plus de sanctions
votre avatar
Qui paie la prune d'une administration?
Désolé, j'ai déjà entendu du DSI trancher sur des projets avec "qu'est-ce qu'il en coûte" x "quel est la probabilté". Hallucinant? C'était un prestataire, donc fallait juste que ça tienne un peu le temps qu'il soit là. La joie des chefs qui calculent leur temporalité.
votre avatar
Faut ça tienne jusqu'à que le chef parte en retraite :non:
votre avatar
Est-ce que cette "mode" de sortir de la souveraineté américaine ne se retournerait pas contre nous ?
N'y a-t-il pas moins de fuites chez ceux qui hébergent leurs données chez des pros aux USA comme Microsoft ou Amazon qui ont des années d'expérience en sécurité et de bouchage de failles dans leur code ?
votre avatar
La question est surtout de savoir où ce situe le vecteur de la fuite.

Est-ce au niveau de l'infrastructure ? Là, oui, un Azure ou AWS sera certainement plus sécurisé contre les hackeurs (enfin pas ceux de la NSA :p) quand l'infra elle-même est attaquée. Sauf que de ce que je vois, en général, ce n'est pas vraiment l'infrastructure qui pèche...

Est-ce au niveau applicatif ? Une faille dans une application qui permet de contourner les droits d'accès ? J'y ajoute les erreurs de configuration (comme un service en libre service alors qu'il ne devrait pas, ou une base de données de tests accessibles à tout va et alimenté avec des données de production). Ca arrive déjà beaucoup plus souvent.

Est-ce au niveau utilisateur ? Un compte détourné et utilisé pour récupérer des données ? Bien souvent.

Est-ce un manque de supervision ? Un compte utilisateur qui permet de siphonner l'intégralité d'une base en quelques heures, il y a sans doute peu de raison de penser à un cas d'usage légitime. On le voit souvent aussi.

En bref, le problème des fuites n'est pas tant au niveau hébergeur. C'est surtout après que le problème se pose... Et là, c'est plus une question de moyen. Et tant que réparer et gérer une fuite "coutera moins cher" au responsable de traitement (d'un point de vue purement financier j'entends) que d'investir dans la sécurité, ce n'est pas demain la veille que l'on aura de véritables investissements dans la sécurité...
votre avatar
Est-ce au niveau de l'infrastructure ? Là, oui, un Azure ou AWS sera certainement plus sécurisé contre les hackeurs (enfin pas ceux de la NSA :p) quand l'infra elle-même est attaquée. Sauf que de ce que je vois, en général, ce n'est pas vraiment l'infrastructure qui pèche...
J'ajouterai ici une nuance très, trop, souvent oubliée avec le Cloud : l'hébergeur te fourni une infra pour laquelle il s'engage à la sécurité (physique et logicielle avec étanchéité entre les ressources des clients).

Mais, la responsabilité de la sécurité est partagée : le client est responsable des droits d'accès qu'il donne et ne peut en aucun cas engager cette du CSP s'il a déployé une VM en public avec un mot de passe faible (par exemple).

Donc tu peux avoir des attaques au niveau de l'hébergeur, mais dont la source provient d'une négligence du client. (ce que tu évoques après sur la partie applicative, mais c'est assez diffus avec le Cloud justement)
votre avatar
Qu'est ce qui te fait dire ça ?

Il y en a à la pelle des failles dans les produits Microsoft rien qu'à voir le patch tuesday tout les mois
Chez Apple il y en a eu un bon lot l'année passée : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0258/ et encore récemment : next.ink Next
votre avatar
"Premier ministre rappelle qu’« on a une dette numérique assez importante […]" : dette technique dans notre jargon IT. il a fallu 20 ans pour qu'on oblige les futurs informaticien a apprendre l'anglais. Les anglo-saxons ont 3-5 ans d'avance sur l'adoption/utilisation des nouvelles techs. Si la loi ne change pas, rien ne changera. les appels d'offre pour les marchés publics pour l"état sont un moyen par exemple, ils sont régulés. Des actes, SVP. Marre du blabla.
votre avatar
Même pas capable de connecter les services de l’état entre eux qui passent leur temps à te demander de leur envoyer le document, voir le scan du ministère da côté.
Alors la cybersecurité je pouffe.
Et je parle même pas de la sécurité de la santé où les informations en claires se baladent dans des serveurs hospitaliers protégés par des mots de passe bidons
votre avatar
Tant que la sécurité des systèmes informatiques de l'État n'est pas au top, je pense qu'il vaut mieux éviter au contraire de les interconnecter : une fuite à un endroit ferait fuiter encore plus de données.

En plus, je préfère que l'on en sache le moins possible de moi même dans l'administration et préfère gérer moi-même ce que je leur fournis. Big brother, très peu pour moi !

Petit rappel : la loi informatique et libertés du 6 janvier 1978 a été votée pour éviter un SAFARI, un projet d’interconnexion des fichiers de l'État. Et depuis, on n'arrête pas de connecter les systèmes d'information entre eux !