Malgré des efforts, l'Etat français ne parvient pas encore à structurer une politique de cybersécurité à la hauteur des menaces, d'après un rapport de la Cour des comptes publié le 16 juin. Elle formule un ensemble de recommandations pour provoquer un véritable changement d'échelle.
Il est urgent d'agir, note la juridiction financière : entre 2023 et 2024, les cyberattaques ont augmenté en intensité et en volume. Selon les chiffres du ministère de l'Intérieur, 278 703 infractions numériques ont été enregistrées en 2023, en hausse de 9% sur un an. Plus de la moitié relevaient d’atteintes aux biens, telles que les escroqueries et les rançongiciels, tandis que 34% concernaient des atteintes aux personnes.
Des responsabilités fragmentées
Premier constat : des responsabilités liées à la sécurité informatique sont trop éclatées. Cette fragmentation crée des chevauchements de compétences, un manque de lisibilité pour les opérateurs publics et un pilotage insuffisamment structuré.
Parmi les entités impliquées dans cette politique, on retrouve l'Agence nationale de la sécurité des systèmes d'information (Anssi), la Direction interministérielle du numérique (Dinum), la Direction générale de la sécurité intérieure (DGSI), les ministères sectoriels, les agences régionales de santé (ARS) ou encore les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). Autrement dit, la Cour estime que l'Etat n'a pas su établir une gouvernance dotée d'une autorité claire sur l'ensemble du champ civil.
Des efforts budgétaires trop modestes
De plus, le rapport évoque des moyens encore en deçà des enjeux. "Les montants affectés à la cybersécurité sont beaucoup plus modestes : 136 millions d'euros sur la période 2021-2022, portés à 176,9 millions d'euros début 2022, soit environ 10,5% des crédits de transformation numérique", peut-on lire. Egalement, le plan d'investissement France 2030 accorde une place mineure à la cybersécurité avec 270 millions d'euros pour les capacités souveraines.
Pour structurer la politique cyber en France, la Cour recommande de redéfinir ses priorités, via une feuille de route claire. Le plan stratégique 2025-2027, publié en mars 2025, constitue une base, mais devra être décliné en plan d’action budgété, juge-t-elle. Elle préconise, en particulier, de renforcer les capacités de contrôle de l'Agence. A ce jour, la capacité d'audit de l'organisme reste limitée malgré des obligations réglementaires croissantes, avec l'entrée en vigueur du NIS 2.
Un futur Observatoire de la cybermenace
Devrait également être installé au sein de l'Anssi un "Observatoire de la cybermenace" chargé de centraliser à l'échelle nationale les données afin "d'en prévoir l'évolution et les moyens de la prévenir et de la contrer".
Réagissant à ce rapport, Vincent Strubel, directeur général de l'Anssi, confirme ces conclusions. "Pour qu'il n'y ait pas d'ambiguïté, les constats que formule ce rapport sont très largement partagés, tant sur l'évolution de la menace que sur les évolutions nécessaires pour y répondre. Ils sont au cœur de la prochaine stratégie nationale de cybersécurité, et d'ores et déjà dans le plan stratégique de l'Agence", a-t-il écrit.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
