La réussite de la protection numérique des Jeux Olympiques de Paris 2024 ne doit pas occulter les vulnérabilités persistantes de la cybersécurité civile en France. C’est ce que souligne un récent rapport de la Cour des comptes, qui pointe des failles durables dans la sécurisation des systèmes d’information publics, en dépit d’une stratégie nationale ambitieuse.
Lancée en 2021, cette stratégie repose sur un plan d’investissement d’un milliard d’euros sur cinq ans. Objectif : structurer une réponse cohérente face à la montée des menaces numériques. Sur ce budget, 500 millions sont consacrés à la modernisation des administrations, 200 millions à l’écosystème académique et industriel, et 250 millions à l’émergence de PME innovantes via Bpifrance.
Dispositif renforcé à plusieurs reprises
Le dispositif a été renforcé à plusieurs reprises, notamment en avril 2023, puis en 2024 avec une nouvelle version intégrant les directives européennes NIS 2 et DORA. Mais si le cap est fixé, les moyens de mise en œuvre restent flous, en particulier dans les collectivités locales et les établissements de santé.
Le pilotage de cette politique publique fait ainsi l’objet de critiques récurrentes. Le Secrétariat général de la défense et de la sécurité nationale (SGDSN), en charge de la coordination, ne disposerait ni des moyens ni de l’autorité nécessaires pour exercer pleinement son rôle. Quant à l’ANSSI, bras technique de l’Etat, elle voit ses missions s’élargir sans que ses ressources humaines et financières suivent : en 2023, l’agence comptait 634 agents pour un budget de 30 millions d’euros hors masse salariale. Des moyens jugés en deçà des standards européens.
Un tissu local particulièrement exposé
Les collectivités territoriales et les structures de santé sont des cibles récurrentes, mais leur niveau de préparation reste très disparate. Seules 15 % des communes disposent d’un plan de continuité d’activité, et la majorité n’est ni auditée régulièrement ni formée aux enjeux cyber. Les attaques peuvent coûter cher : en 2020, celles visant Aix-Marseille-Provence et Bondy ont engendré des pertes respectives de 960 000 et 1,5 million d’euros, sans compter les conséquences sur les services publics.
Malgré les 30 millions d’euros annuels mobilisés depuis 2022 pour soutenir les collectivités, la Cour des comptes déplore l’absence d’un diagnostic clair et de mécanismes d’évaluation robustes. Les données sur les incidents sont trop peu centralisées pour permettre un pilotage efficace et une mutualisation des bonnes pratiques.
Lire aussi sur L’Essor de la Sécurité : Ce que change DORA et Nis 2 pour les prestataires IT du secteur financier
Pour répondre à ces fragilités, la Cour formule douze recommandations. Parmi les plus structurantes : la création d’un commandement cyber interministériel, placé sous l’autorité conjointe du SGDSN, de l’ANSSI et des ministères concernés. Elle appelle également à une augmentation significative des moyens, à hauteur de 0,3 % du PIB (contre 0,15 % actuellement), et à un renforcement des effectifs de l’ANSSI de 20 % d’ici 2027.
