Cybersécurité de l'État : après le piratage de l'ANTS, la France passe à l'offensive
Le piratage de l'Agence nationale des titres sécurisés (ANTS) aura servi d'électrochoc. Quelques semaines après l'incident, l'État français a esquissé une stratégie nationale de cybersécurité résolument plus offensive pour la période 2026-2030, assortie d'obligations budgétaires inédites pour les administrations. Pour les organisations privées, ce tournant régalien envoie un signal clair : la cybersécurité cesse d'être une ligne de dépense optionnelle.
Ce qui s'est passé
Selon les informations rapportées par la presse spécialisée, le gouvernement entend imposer aux ministères de consacrer au moins 5 % de leurs budgets numériques à la cybersécurité d'ici 2027. Un fonds dédié serait par ailleurs créé pour financer ces efforts, alimenté notamment par le produit des amendes prononcées par la CNIL. En parallèle, un rapprochement entre la direction interministérielle du numérique (DINUM) et la direction interministérielle de la transformation publique (DITP) est à l'étude, dans une logique de recentralisation de la gouvernance numérique de l'État.
Ce plan s'inscrit dans le prolongement direct de la crise de l'ANTS : à la suite du piratage, le gouvernement avait déjà annoncé le déblocage de 200 millions d'euros pour renforcer la sécurité des systèmes publics. La nouvelle stratégie en tire les conséquences structurelles, en posant des objectifs chiffrés et un véhicule de financement pérenne.
Pourquoi c'est important
Au-delà de la sphère publique, cette inflexion confirme une trajectoire réglementaire européenne déjà bien engagée. La directive NIS 2 impose à des milliers d'organisations des obligations concrètes de gestion des risques, de notification d'incident et de formation des dirigeants. Sa transposition en France, longtemps retardée, avance désormais via la loi de résilience — et la priorité régalienne affichée par l'État accélère mécaniquement le calendrier.
Pour les acteurs du secteur financier, l'articulation se complexifie encore avec DORA : nous détaillons quel texte s'applique à votre organisation selon votre activité. Le point commun de tous ces régimes : un incident de cybersécurité touchant des données personnelles peut déclencher simultanément des obligations RGPD et cyber, avec des autorités et des délais distincts.
Ce que ça change pour les organisations
Trois chantiers se dégagent. D'abord, la cybersécurité devient un poste budgétaire à part entière : le « 5 % public » servira inévitablement de référence implicite lors des audits et des appels d'offres. Ensuite, les obligations NIS 2 — gouvernance, gestion des risques, notification d'incident — doivent être cartographiées sans attendre la pleine applicabilité du texte. Enfin, la capacité à réagir à une violation de données dans les délais RGPD reste le test grandeur nature de toute politique de sécurité, comme l'ont rappelé les fuites en série de ces derniers mois (voir notre veille sur l'affaire Almerys).
Concrètement, les DPO et RSSI ont intérêt à recadrer la gouvernance cyber au niveau de la direction, documenter la chaîne de notification CNIL/ANSSI, et sécuriser les contrats de sous-traitance au titre de l'article 28 du RGPD.
Ce que Leto pense de cette décision
Financer la cybersécurité publique avec le produit des amendes CNIL est une idée séduisante sur le papier, mais elle brouille la frontière entre sanction et financement : une autorité de protection des données n'est pas un percepteur. L'essentiel est toutefois ailleurs. En érigeant la cyber en priorité régalienne chiffrée, l'État légitime un message que nous répétons aux organisations : la conformité n'est plus un coût défensif, c'est une condition d'exercice. Mieux vaut anticiper la marche que la subir après l'incident.
Sources : L'Informaticien · Archimag · SGDSN — Stratégie nationale de cybersécurité
