# Vulnérabilité numérique de l'État : l'enjeu stratégique
**Date de l'événement :** 03/06/2026
* Publié le 03/06/2026

### Date
05/06/2026

## Chapô
**« Un casse du siècle pratiquement tous les mois » : en décrivant ainsi la multiplication des fuites de données touchant l'État, le Premier ministre, Sébastien Le Cornu, a reconnu l'ampleur du défi cyber auquel la France est confrontée. Patrick Guyonneau, enseignant à l'École d'affaires publiques de Sciences Po et ingénieur général de l'armement, revient sur les arbitrages fondamentaux auxquels l'État se trouve confronté à l'ère de la multiplication des risques numériques. Si la menace est désormais bien identifiée, les réponses publiques sont-elles à la hauteur des vulnérabilités révélées ces dernières années ?**

## Corps du texte
En visitant le 30 avril 2026 les locaux de l'Agence nationale des titres sécurisés (ANTS), frappée deux semaines plus tôt par une fuite affectant quelque 12 millions de comptes d'identité numérique, l'une des plus importantes jamais enregistrées sur un service régalien, le Premier ministre Sébastien Lecornu a choisi un symbole fort. Son diagnostic n'était pas celui d'un incident isolé. Il a lâché une formule saisissante : « Un casse du siècle pratiquement tous les mois ». En effet, depuis le début de l'année, la France enregistrerait en moyenne trois à quatre vols de données par jour dans ses systèmes d'information publics. Face à ce constat, le gouvernement a annoncé un plan articulé autour de trois axes : une effort budgétaire, une nouvelle autorité numérique de l'État et l'élaboration d'une doctrine de protection.  

Ces annonces ont pourtant suscité une réaction pour le moins inhabituelle : la ministre déléguée chargée de l'Intelligence artificielle et du Numérique, Anne Le Hénanff, a publiquement estimé, sur France Inter, que les 200 millions annoncés « ne suffiront pas ». Ce désaccord, au moins en apparence, invite à un questionnement plus large. Les plans successifs de cybersécurité, les documents stratégiques et les nouvelles structures organisationnelles permettront-ils à la France de faire face à une menace en constante évolution, voire imminente selon les déclarations des autorités politiques ?   

### L'état de la menace : une pression durable, des acteurs multiples  

Tous les experts s'accordent sur le fait que la cybercriminalité s'est industrialisée : répartition des tâches, automatisation, sous-traitance des accès initiaux, autant de pratiques calquées sur les modèles économiques les plus performants. Selon Cybersecurity Ventures, son coût mondial atteignait 10 500 milliards de dollars en 2025, contre 3 000 milliards en 2015 : si elle était un pays, cette économie criminelle serait la troisième puissance mondiale après les États-Unis et la Chine. En France, selon le Rapport annuel sur la cybercriminalité 2026 du Commandement du ministère de l'Intérieur dans le cyberespace (COMCYBER-MI), 453 200 atteintes numériques ont été enregistrées en 2025, soit une hausse de 87 % en cinq ans.  

Quatre secteurs concentrent 76 % de ces incidents : l'éducation et la recherche (34 %), les ministères et collectivités (24 %), la santé (10 %) et les télécommunications (9 %). Il est utile de distinguer trois grandes catégories d'acteurs. En premier lieu, les groupes cybercriminels à motivation financière, qui recourent aux rançongiciels, à l'extorsion de données et à la fraude. L'ANSSI a recensé 128 compromissions par rançongiciel en 2025, en léger recul. Mais il s'inscrit dans une dynamique de long terme préoccupante.  

En deuxième lieu, les hacktivistes, groupes idéologiquement motivés. L'Agence de l’Union européenne pour la cybersécurité (ENISA) leur attribue près de 80 % des incidents recensés en Europe dans son rapport 2025, principalement sous forme d'attaques par déni de service (DDoS) à fort impact symbolique mais à perturbation réelle limitée. Ces groupes, dont certains entretiennent des liens explicites avec des États, à l'image du groupe NoName057 ouvertement proche du Kremlin, ont été particulièrement actifs autour des grands événements politiques et électoraux européens.  

En troisième lieu, les acteurs étatiques, principalement russes, chinois, mais aussi iraniens, nord-coréens ou turcs, qui conduisent des opérations d'espionnage et de prépositionnement ciblant les administrations et les infrastructures critiques. Sans oublier les révélations d'Edward Snowden mettant en lumière que les alliés eux-mêmes ne sont pas étrangers aux pratiques d'espionnage numérique.  

### La guerre hybride, une frontière qui s'efface  

L'un des constats les plus structurants des derniers panoramas de la menace est le brouillage des frontières entre ces différentes catégories. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) décrit l'émergence d'un « brouillard technologique et organisationnel » : des pratiques autrefois réservées aux groupes étatiques, exploitation de vulnérabilités inédites, pré-positionnement dans des systèmes stratégiques, se retrouvent désormais dans l'arsenal de groupes cybercriminels. Dans l'autre sens, des acteurs réputés pour l'espionnage ont été observés en train de déployer des rançongiciels à des fins financières. Le Premier ministre a lui-même évoqué la « perméabilité » entre ces différents types d'acteurs. Dans ce contexte géopolitique européen tendu, la cybermenace n'est plus seulement un risque technique : elle est un instrument de puissance. L’ENISA confirme que les administrations publiques restent la cible prioritaire en Europe, représentant 19 % des incidents recensés sur la période 2024-2025.  

### L'intelligence artificielle, nouveau multiplicateur de menace  

L'intelligence artificielle générative constitue désormais l'un des facteurs d'évolution les plus significatifs du paysage des cybermenaces. L'ANSSI y a consacré en février 2026 un rapport spécifique. Son constat est mesuré mais sans ambiguïté : si aucune cyberattaque entièrement autonome pilotée par IA n'a encore été identifiée contre des acteurs français, les modèles génératifs sont désormais intégrés par des profils d'attaquants variés tout au long de la chaîne d'attaque. En premier lieu, ils permettent de générer des messages de hameçonnage grammaticalement irréprochables, contextuellement pertinents et émotionnellement calibrés. Selon le rapport Verizon DBIR 2025, le taux de réussite du hameçonnage ciblé assisté par IA atteint 65 %, contre 3 à 5 % pour le hameçonnage traditionnel. Les deepfakes vocaux et vidéo se sont parallèlement généralisés : leur coût de production a chuté à moins de cinq euros pour une imitation vocale convaincante, et leur usage pour l'usurpation d'identité a bondi de 700 % en France entre 2024 et 2025.  

### L'État sait, mais savoir ne suffit pas  

Il serait inexact de prétendre que l'État n'a pas pris conscience de la menace. La France dispose d'un corpus stratégique en matière de cybersécurité rare en Europe. Dès avril 2022, la Stratégie nationale de résilience posait les bases d'une approche intégrée de la sécurité nationale incluant la dimension cyber . La Revue nationale stratégique de 2025 a ensuite classé la cyber-résilience parmi les priorités absolues de la sécurité nationale. Enfin, la Stratégie nationale de cybersécurité 2026-2030, présentée par la ministre Anne Le Hénanff le 29 janvier 2026, ambitionne de « faire de la France une puissance cyber de premier plan ». Elle repose sur cinq piliers et quatorze objectifs, du développement d'une culture cyber dès le plus jeune âge à la coopération internationale. Cet effort de conceptualisation mérite d'être souligné : la France est l'un des rares pays à avoir développé, dès 2014, un cadre réglementaire contraignant pour ses opérateurs d'importance vitale (OIV), et elle a joué un rôle actif dans l'élaboration des directives européennes NIS puis NIS2.  

### Le paradoxe de la stratégie sans politique publique  

Pourtant, un paradoxe s'impose à l'analyse : l'État sait, l'État planifie, et pourtant les failles persistent. Ce décalage entre la pertinence des documents d'orientation et la réalité opérationnelle invite à s'interroger sur la nature même de la cybersécurité dans l'architecture administrative française. La cybersécurité présente une dimension transversale : elle concerne simultanément tous les ministères, toutes les agences, tous les opérateurs. Elle résiste à une simple verticalisation dans un programme budgétaire dédié au sens de la loi organique relative aux lois de finances (LOLF). Ce serait en effet artificiel de l'y réduire. Mais cette transversalité ne saurait justifier l'absence de lisibilité ou de pilotage : ni les investissements consentis ministère par ministère, ni les niveaux de protection atteints ne font l'objet d'une consolidation et d'un suivi interministériel publiés. Sans indicateurs partagés, sans responsables clairement désignés et sans tableau de bord commun, l'opérationnalisation des stratégies est impossible.   

Par sa position géostratégique singulière : membre permanent du Conseil de sécurité des Nations unies, puissance nucléaire, acteur majeur de l'Alliance atlantique, siège de nombreuses institutions internationales, la France constitue une cible naturelle pour les États qui cherchent à recueillir du renseignement ou à exercer une pression. Cette exposition particulière exigerait en retour une organisation de la protection d'une cohérence et d'une robustesse proportionnelles.  

### Des succès opérationnels réels et encourageants  

Sur le plan répressif, plus de 15 000 policiers et gendarmes spécialisés veillent quotidiennement sur le cyberespace. Sur le plan préventif, la plateforme Cybermalveillance.gouv.fr et les campagnes de sensibilisation du tissu économique et des collectivités territoriales constituent un effort continu de montée en compétences. Enfin, la France a également su bâtir un écosystème de formation et de certification. Les qualifications ANSSI font référence en Europe.  

Le message est donc nuancé : la France dispose d'une capacité de réponse et de répression qui a fait ses preuves, et l'investissement en prévention progresse. Ce qui reste l'angle mort, c'est la protection des systèmes d'information de l'État lui-même : la sécurité du cœur régalien, celle dont les failles récentes ont révélé la fragilité.  
Au-delà des annonces conjoncturelles, les failles révélées posent des questions structurelles sur la nature même de la cybersécurité comme politique publique en France. La question n'est pas de savoir si l'ANSSI fait bien son travail. Les acteurs du secteur reconnaissent largement sa compétence technique. La question est de savoir si le système global est bien configuré.  

### L'ANSSI : une agence à l'intersection de missions contradictoires  

L'Agence nationale de la sécurité des systèmes d'information, créée en 2009, dispose d'une reconnaissance internationale. Ses effectifs, stables autour de 668 agents, font face à un spectre de missions considérablement élargi : sécurité des systèmes de l'État, supervision des OIV, certification de produits et prestataires, sensibilisation du tissu économique, future régulation NIS2 portant sur plus de 15 000 entités, veille sur les enjeux émergents : cryptographie post-quantique, sécurité de l'intelligence artificielle ou la sécurisation des solutions de cloud. Cette accumulation soulève une interrogation légitime : une agence dont les effectifs n'ont guère progressé depuis le début des années 2020, peut-elle exercer convenablement le rôle de chef d'orchestre de la cybersécurité nationale tout en assumant simultanément des fonctions opérationnelles, réglementaires et doctrinales ? Le rapport sénatorial sur le PLF 2025 notait que les services du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN) allaient « devoir fonctionner avec 8 millions d'euros en moins », précisément au moment où les missions s'étendaient avec une menace plus pressante.  

Il existe une tension structurelle fondamentale : l'ANSSI est une agence rattachée au Secrétariat générale à la défense et à la sécurité nationale (SGDSN), donc au niveau du Premier ministre, tandis que les données les plus sensibles et les systèmes les plus critiques sont détenus majoritairement par les ministères, qui demeurent autorités d'emploi et maîtres d'ouvrage de leurs propres systèmes d'information. Le Premier ministre l'a lui-même reconnu implicitement en indiquant que la responsabilité de la sécurisation des données ministérielles incombait aux ministères et non à l'ANSSI. Si ce n'est pas l'ANSSI, alors qui ? La création d'une « autorité numérique de l'État » est présentée comme la réponse. Mais cette nouvelle structure aura-t-elle l'autorité réelle d'imposer des standards à des ministères jaloux de leur autonomie informatique ?  

### Le paradoxe : des missions de plus en plus élargies sans dotation suffisante  

Un angle institutionnel mérite attention. Les lois de programmation militaire (LPM) ont constitué le principal vecteur d'évolution des capacités cyber de l'État français. La LPM 2014-2019 a initié le cadre des OIV et fixé les premières obligations de sécurité pour les infrastructures critiques. La LPM 2019-2025 a renforcé les capacités de détection de l'ANSSI, lui permettant de déployer des dispositifs de surveillance sur les réseaux des opérateurs en cas de menace grave. La LPM 2024-2030 a encore élargi ses prérogatives : marqueurs techniques, blocage de noms de domaine, avec 4 milliards d'euros fléchés vers les armées pour le cyber.   

On peut comprendre que la défense nationale ne soit pas uniquement militaire et que la protection de la Nation nécessite la mobilisation de la sphère civile, c’est une vision gaullienne. Cependant, la LPM est par définition un outil de programmation des crédits des armées : l'ANSSI, service civil, hérite de missions élargies sans dotation automatiquement proportionnée. Ce déséquilibre interroge sur la pertinence de l'outil législatif retenu pour construire une politique de cybersécurité par nature civile.   

La comparaison internationale est instructive. En Allemagne, le BSI (Bundesamt für Sicherheit in der Informationstechnik) surveille l'ensemble des réseaux gouvernementaux fédéraux via un système à deux points d'interconnexion centralisés, déployé depuis les années 2000, avec environ 1 700 agents. Au Royaume-Uni, le National Cyber Security Centre (NCSC), intégré au sein du GCHQ, bénéficie à la fois des ressources du renseignement et d'une autorité opérationnelle que l'ANSSI n'a pas. Ces modèles illustrent des choix organisationnels différents de celui de la France, des choix qui méritent d'être débattus.  

### La transposition de la directive européenne NIS2 : un rendez-vous sous tension  

La France a joué un rôle de premier plan dans la conception de la directive européenne Network and Information Security (NIS2). Elle est pourtant l'un des États membres à n'avoir pas respecté la date butoir du 17 octobre 2024 pour sa transposition en droit national. La Commission européenne a adressé deux mises en demeure successives (novembre 2024, mai 2025), exposant la France à un risque de sanction financière. La promulgation de la loi Résilience, qui transpose la directive NIS2, est attendue au premier semestre 2026, soit avec plus de dix-huit mois de retard. Cette situation est d'autant plus paradoxale que la France figure parmi les États les plus exposés aux cyberattaques en Europe.  

En l'absence de cadre légal définitif, les 15 000 à 18 000 entités soumises à NIS2 ne peuvent pas engager leurs démarches de mise en conformité avec certitude. Un risque juridique a été soulevé par des experts : si une victime assignait l'État avant promulgation, des juges judiciaires se trouveraient amenés à interpréter directement la directive européenne.   

### L'industrie française de la cybersécurité : un atout sous-utilisé ?  

La Stratégie nationale de cybersécurité 2026-2030 affiche l'ambition de mobiliser les acteurs privés dans la cyberdéfense nationale et de soutenir un marché européen des solutions de sécurité. Le secteur privé français de la cybersécurité a réalisé des efforts considérables, souvent en avance sur les exigences réglementaires. La question est de savoir si les 200 millions d'euros annoncés bénéficieront en priorité aux entreprises françaises et européennes du secteur, ou si les commandes iront à des éditeurs américains ou d'origine israélienne qui occupent des positions dominantes sur ce marché. Les entreprises françaises de cybersécurité réclament des commandes publiques permettant de démontrer leur savoir-faire, bien davantage que des subventions. Flécher les marchés interministériels vers des éditeurs souverains constituerait un double levier : sécuriser les administrations et soutenir l'émergence d'alternatives compétitives. La doctrine d'achat public en matière de sécurité numérique est, à cet égard, un levier de souveraineté rarement traité comme tel dans les documents stratégiques.  

Il existe pourtant une expérience récente sur laquelle s'appuyer. Lancée en février 2021, la stratégie nationale d'accélération pour la cybersécurité, dotée d'un milliard d'euros dans le cadre de France 2030, a produit des résultats concrets : création du Campus cyber en 2022 (160 acteurs, 1 800 experts réunis sur un même site), développement d'un écosystème de start-ups et de PME via des appels à projets, lancement du label ExpertCyber pour structurer l'offre de prestataires de confiance, avec l'ambition affichée de tripler le chiffre d'affaires de la filière pour atteindre 25 milliards d'euros. Ce modèle de co-construction public-privé, plus partenarial que prescriptif, a montré que l'État sait mobiliser l'écosystème privé quand il s'en donne les moyens. Un bilan honnête de cette stratégie éclairerait utilement les choix du prochain cycle d'investissement.  

### Conclusion : la confiance comme enjeu politique  

Il serait réducteur de conclure que la France est dépourvue de capacités ou de volonté en matière de cybersécurité. Les compétences existent, à l'ANSSI comme dans l'écosystème privé et dans certains ministères régaliens. La conscience politique de l'enjeu ne fait plus défaut, comme en témoignent les interventions récentes au plus haut niveau de l'exécutif. La résilience démontrée lors des Jeux olympiques de Paris 2024, aucune attaque n'a perturbé le déroulement des épreuves malgré 141 événements de sécurité traités, montre que lorsque les moyens sont concentrés et les responsabilités clarifiées, les résultats sont au rendez-vous. Mais une mobilisation de cette nature est, par définition, exceptionnelle : elle repose sur une concentration temporaire de ressources et une clarification des commandements qu'il n'est pas possible de maintenir en régime permanent sur l'ensemble des systèmes d'information de l'État.  

Ce qui est en jeu, c'est la question de l'organisation et de la gouvernance dans la durée. La cybersécurité de l'État ne peut rester une somme de réponses à des crises successives. Elle appelle une politique publique structurée, avec une chaîne de responsabilités clarifiée, des indicateurs consolidés dans les documents budgétaires de chaque ministère, et des moyens dimensionnés aux ambitions affichées. Les plans annoncés en urgence, si louables soient-ils dans leur intention, ne semblent pas répondre à cette exigence de fond.  

Au-delà de la loi Résilience, qui transposera en droit national les directives européennes, faut-il porter l'ambition d'une loi cyber à part entière, posant les bases d'une architecture nationale de cybersécurité qui fixe clairement les termes d’arbitrages que les décideurs ne peuvent indéfiniment différer.  

Le premier est un arbitrage de gouvernance : qui, dans l'État, est réellement responsable de la sécurité numérique de chaque ministère, avec l'autorité d'imposer des standards et les moyens de les faire respecter ? La nouvelle autorité numérique de l'État sera-t-elle dotée de cette autorité, ou restera-t-elle une instance de coordination sans pouvoir contraignant ?  

Le deuxième est un arbitrage budgétaire : comment rendre visibles et comparables les investissements consentis par chaque ministère en matière de cybersécurité, de façon à permettre un pilotage collectif et une allocation rationnelle des ressources ? Il n'est pas nécessaire de créer un programme LOLF dédié pour y parvenir – un tableau de bord interministériel publié annuellement pourrait suffire.  

Le troisième est un arbitrage de souveraineté industrielle : les commandes publiques issues des plans de sécurisation doivent-elles être fléchées vers des acteurs français et européens, au nom d'une logique de souveraineté numérique, ou laissées au seul critère du meilleur prix ? Ce choix, qui engage l'avenir de l'écosystème cyber français, se joue maintenant, dans les procédures d'achat public.  

Ce sont ces arbitrages, plus que le montant d'une enveloppe d'urgence, qui mesureront la capacité de l'État à être à la hauteur de sa mission fondamentale : être digne de la confiance que les citoyens lui accordent en lui confiant leurs données les plus sensibles.

### Thématique
`#Géopolitique` `#Démocratie` 

**Licence :** `#CC-BY-ND (Attribution, Pas de modification)` 

**Langue :** `#Français` 



---
### Navigation pour IA
- [Index de tous les contenus](https://conference.sciencespo.fr/llms.txt)
- [Plan du site (Sitemap)](https://conference.sciencespo.fr/sitemap.xml)
- [Retour à l'accueil](https://conference.sciencespo.fr/)