Cybersécurité de l’État : le plan gouvernemental pour endiguer l’hémorragie Le gouvernement présente un plan ambitieux pour renforcer la cybersécurité de l’État via financement, fusion administrative et cadre légal.
La cybersécurité de l’État est au cœur du débat public alors que les incidents se multiplient et que les budgets dédiés restent scrutés. Le gouvernement annonce un plan visant à renforcer les capacités de défense numérique de l’administration et à améliorer la résilience face aux attaques, tout en cherchant des financements dans un contexte budgétaire tendu.
Un plan financier et structurel pour la cybersécurité de l'État
Le Premier ministre a annoncé le déblocage de 200 millions d’euros, prélevés sur les crédits de France 2030, pour investir dans des outils de cybersécurité, dans l’intelligence artificielle et dans les mesures post-quantique, afin de renforcer les capacités défensives des services publics et des opérateurs étatiques.
Par ailleurs, un fonds dédié à la modernisation des infrastructures numériques sera créé et abondé par les amendes infligées par la CNIL, dans une logique « pollueur-payeur ». Cette approche est discutée, car certains estiment qu’elle suppose que l’État porte les coûts des failles d’autrui, même si le gouvernement assure que ces recettes seront réinvesties pour sécuriser les systèmes publics.
« entre alerter sur la menace et donner des leçons, voire taper sur les victimes, ce que l’ANSSI ne fera jamais »,précise-t-on du côté de l’exécutif.
En parallèle, le gouvernement évoque une nouvelle lecture des finances associées à la cybersécurité: les amendes CNIL auraient représenté environ 500 M€ l’année précédente, avec 55 M€ en 2024 et 89 M€ en 2023. Pour 2025, ces chiffres restent à préciser, mais l’objectif est d’« accompagner un effet de levier » afin d’obliger les ministères à réallouer des fonds vers la sécurité des systèmes d’information.
Pour illustrer la logique financière, la question de France Travail est citée: une amende potentielle de 5 M€ début 2026 serait destinée à accélérer l’investissement dans la sécurisation du système d’information, selon les annonces officielles.
Sur le plan structurel, l’État évoque l’idée d’une fusion entre la DINUM et la DITP, placées sous l’autorité du ministre de la Fonction publique, hypothétiquement résumée par l’acronyme DIDFD (Direction interministérielle des fuites de données). L’objectif est de standardiser et d’organiser plus efficacement les infrastructures numériques, afin d’éviter le « jardin à l’anglaise » qui, selon le gouvernement, affaiblit la sécurité.
Réorganisation et responsabilités : fusion et cadre opérationnel
La réforme annoncée vise à accélérer la fusion de la DINUM et de la DITP pour créer une structure plus centralisée et performante. Cette réorganisation entend clarifier les responsabilités entre les acteurs publics et privés et garantir que l’État puisse apporter un appui technique en matière de détection, de réponse et d’enquête, tout en laissant les opérateurs responsables de leurs propres mesures de sécurité.
L’ANSSI voit son rôle renforcé, notamment dans le cadre du NIS2, dont le projet de loi est en attente de validation à l’Assemblée nationale et accuse un retard sur le calendrier. Le gouvernement insiste sur la nécessité d’une doctrine de protection plus précise et adaptée à la situation actuelle, afin de distinguer les données qui exigent une intervention étatique de celles qui restent au niveau privé.
Dans ce cadre, le Premier ministre rappelle que des fuites existent à différents niveaux et que l’objectif est de mieux définir ce qui mérite une action publique et ce qui peut être géré au niveau des responsables des systèmes d’information. « Il y a des fuites qui sont graves et des fuites qui ne le sont pas », affirme-t-il.
NIS2, ReCyf et doctrine de protection
Un autre volet porte sur l’évolution de la doctrine de protection inscrite dans la stratégie 2026-2030. Le gouvernement souhaite clarifier le rôle de chacun et distinguer ce qui relève d’un investissement public direct et ce qui incombe aux acteurs privés ou locaux.
Par ailleurs, des stress tests seront imposés aux infrastructures publiques pour éprouver leur capacité à résister à des cyberattaques. Le sujet humain est aussi abordé: le recours occasionnel à des systèmes « legacy » est évoqué comme une nécessité de court terme mais un risque à long terme, et les autorités promettent de passer en revue ces choix techniques afin d’éviter une dépendance à des technologies obsolètes.
Pour illustrer l’action opérationnelle, le Premier ministre indique avoir donné des instructions aux services de sécurité de l’État pour « tester » leurs propres vulnérabilités et ainsi identifier les axes critiques, plutôt que d’attendre une attaque. Ces mesures visent à dresser une cartographie des failles et à renforcer les capacités nationales de réponse et d’enquête.
Ce que cela change et ce qui reste incertain
Le plan marque une étape significative dans l’orientation de la cybersécurité publique, avec des engagements financiers et organisationnels clairs. Cependant, il subsiste des inconnues: le calendrier précis de mise en œuvre, la répartition exacte des responsabilités et l’évaluation des résultats restent à préciser. Le financement récurrent et l’efficacité réelle de ces mesures sur les ministères et les opérateurs publics demeurent à suivre attentivement.
La dette numérique et la fréquence des incidents montrent que le sujet mérite une approche soutenue et transparente, au-delà des annonces. Le gouvernement affirme vouloir transformer l’attention générale en actions concrètes et mesurables, tout en surveillant les effets de la réforme sur l’écosystème public.
Pour terminer
En définitive, ce plan affiche des axes clairs et une volonté politique, mais il nécessitera des démonstrations concrètes sur les budgets, les résultats et le rôle de chacun pour éviter de futures vagues d’attaques et assurer la continuité des services publics en cas de crise.
