Après le piratage ANTS, la France entérine sa doctrine cyber offensive

4/5/26
👈 les autres actualités

« Plutôt que d'attendre de voir comment un adversaire peut le faire, autant le faire nous-mêmes. » C'est en ces termes que le Premier ministre Sébastien Lecornu a posé les bases d'une nouvelle doctrine en visite à l'ANTS, quelques semaines après le piratage massif de mi-avril qui a exposé les données de près de 12 millions d'usagers. Le signal est fort : la France ne veut plus seulement subir. Elle veut frapper avant.

Ce qui s'est passé

En visite à l'Agence nationale des titres sécurisés (ANTS) le 4 mai 2026, Lecornu a annoncé un changement de cap explicite. Les services de sécurité de l'État ont reçu instruction de tester eux-mêmes leurs propres vulnérabilités — ou de faire appel à des équipes spécialisées pour le faire. L'objectif : anticiper les modes opératoires adverses plutôt que les subir.

En parallèle, l'IA sera mobilisée pour les tests d'intrusion et la détection. Lecornu a ouvert le dossier de l'autonomie stratégique européenne dans ce domaine, évoquant explicitement un scénario de « black-out numérique, y compris si une administration américaine décidait de nous priver d'outils » — une référence directe aux dépendances des États membres vis-à-vis des grandes plateformes américaines.

Pourquoi c'est important

Cette annonce s'inscrit dans un moment charnière. L'État avait déjà posé les jalons d'une feuille de route NIS 2 jusqu'en 2030 — authentification multifacteur, EDR/XDR, cryptographie post-quantique. Le discours de Lecornu donne à cette feuille de route une portée politique inédite.

Trois mesures concrètes ont été annoncées :

  • À court terme : déblocage de 200 M€ sur les crédits France 2030 pour « investir dans les applications, les outils de détection et la cryptographie post-quantique ».
  • À horizon 2027 : chaque ministère devra dédier 5 % de ses budgets numériques à la cybersécurité. Une obligation qui clarifiera les périmètres entre dépense propre et mutualisation étatique.
  • Structurellement : création d'un fonds de modernisation des infrastructures, alimenté par l'intégralité des amendes prononcées par la CNIL — soit environ 500 M€ par an selon les chiffres 2025. Ce mécanisme sera inscrit dans le prochain projet de loi de finances.

La CNIL, dont les sanctions dépassaient déjà 47 M€ au seul premier trimestre 2026, verrait ainsi son pouvoir de sanction transformé en outil de financement de la résilience cyber de l'État — une dualité inédite dans le droit français.

Ce que ça change pour les organisations

Pour les DPO et RSSI du secteur privé, ces annonces envoient plusieurs signaux à prendre au sérieux :

  • Le référentiel de l'article 32 RGPD va monter. En investissant massivement dans la cryptographie post-quantique et la détection, l'État redéfinit de facto ce qu'on entend par « mesures techniques appropriées ». La CNIL pourra s'y référer dans ses contrôles.
  • La fusion DINUM/DITP est en vue. Cette fusion des deux directions interministérielles du numérique et de la transformation publique pourrait modifier le périmètre de services mutualisés (ProConnect, agents IA, SI communs) auxquels de nombreuses collectivités et opérateurs publics sont rattachés. À surveiller pour les organismes dépendants de ces briques.
  • L'approche « offensive » va percoler. Les audits de vulnérabilité et les red team exercises, longtemps cantonnés aux grandes entreprises du CAC 40 et aux OIV, pourraient devenir une attente explicite pour les entités soumises à NIS 2 et DORA. L'État montrant l'exemple, l'ANSSI aura un argument supplémentaire pour généraliser ces pratiques.

À noter aussi la dimension géopolitique assumée : planifier un scénario de dépendance vis-à-vis des cloud américains dans les exercices de crise est un aveu rare et significatif.

Ce que Leto pense de cette décision

La réaffectation des amendes CNIL à la cybersécurité est une idée séduisante — mais elle crée un paradoxe institutionnel. La CNIL sera-t-elle incitée à sanctionner davantage pour alimenter le fonds ? Et comment préserver son indépendance si ses recettes de sanction financent directement la politique numérique du gouvernement ? Ces questions méritent un débat public avant que la mesure soit votée en PLF. Sur le fond, l'inflexion offensive est la bonne direction : la posture purement défensive a montré ses limites à l'ANTS comme ailleurs.

Sources : Silicon.fr — Après l'épisode ANTS, l'État entérine la cyber offensive

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026