La stratégie nationale de cybersécurité que le gouvernement doit présenter à Bordeaux ce 29 janvier fixe le cap de 2026 à fin 2030. Son fil rouge tient en une formule répétée pendant le brief : la cybersécurité ne doit plus rester une affaire de techniciens. Elle devient un sujet de réflexes, d’organisation et de mobilisation collective, avec un accent revendiqué sur les compétences, la résilience en situation réelle et une “porte d’entrée” lisible pour tous.
Une stratégie de l’État, pour embarquer tout l’écosystème
Portée par le Premier ministre, la stratégie est pilotée par l’ANSSI, avec une mise en œuvre annoncée comme transversale : administrations, collectivités, entreprises, associations, citoyens. Le discours assume aussi un déplacement symbolique. Présenter la stratégie à Bordeaux plutôt qu’à Paris est décrit comme un choix volontaire, pour ancrer l’idée que la cybersécurité se diffuse “dans les territoires”, au plus près des réalités locales.
Le pilier qui conditionne tous les autres : le talent
Dans l’architecture en cinq piliers, l’attractivité et les compétences sont posées comme l’acte “fondamental”. La logique est simple : sans ressources humaines, aucune politique de cybersécurité ne tient dans la durée, ni en prévention, ni en crise.
Le brief insiste sur un angle particulier, présenté comme prioritaire : agir tôt, dès l’école, pour faire bouger les représentations qui éloignent encore des jeunes filles des filières scientifiques et techniques. L’objectif affiché dépasse l’enjeu d’égalité : il s’agit aussi de ne pas se priver d’une partie des compétences dont le pays a besoin, dans un contexte de pénurie de main-d’œuvre dans le numérique, particulièrement marqué en cybersécurité. L’exécutif évoque un travail avec l’Éducation nationale et une sensibilisation qui vise aussi les parents, parce que les stéréotypes se construisent très tôt.
La résilience, ou l’art d’être prêt le jour où ça arrive
Deuxième pilier : le renforcement de la résilience cyber de la nation. Ici, le propos quitte le registre des principes pour s’accrocher à une réalité : une attaque finit par survenir, et la différence se joue dans la capacité à réagir, décider, maintenir la continuité de service et gérer la crise.
Un exemple sert de point d’appui : l’exercice “Rempart” mené entre septembre et novembre, avec un grand nombre d’acteurs (services de l’État, collectivités, opérateurs, associations). L’enseignement mis en avant est sans ambiguïté : ceux qui s’étaient entraînés ont mieux réagi ; ceux qui pensaient “savoir faire” ont parfois manqué de réflexes. La stratégie veut donc installer l’entraînement comme un passage obligé, avec des programmes qui doivent s’étendre et se diversifier par secteurs, en citant notamment l’énergie et la santé.
Dans le même esprit, un observatoire de la résilience cyber doit être créé pour suivre “en temps réel” le niveau de cyberrésilience et gagner en visibilité sur l’état de la menace. La promesse est de produire une synthèse plus “objective et complète” des attaques et vulnérabilités affectant les différents composants de la société, afin d’armer la compréhension collective.
Prévenir comme la sécurité routière : installer des réflexes
La stratégie fait de la prévention grand public une pièce centrale, avec la volonté d’une marque de prévention et de sensibilisation. Le modèle revendiqué est celui des campagnes de sécurité routière, avec une conviction répétée : une partie des attaques pourraient être évitées si les personnes étaient sensibilisées en amont, par connaissance et vigilance.
La campagne se veut plus “tangible” et plus “ample” que ce qui existe, avec des moyens plus importants, pour toucher l’ensemble de la population, pas seulement les victimes de cyberattaques. Le discours de la ministre, tel qu’il est rapporté, pousse une idée politique autant qu’opérationnelle : réduire la surface d’attaque commence par des habitudes simples.
Dans la même veine, plusieurs mesures “concrètes” sont citées comme leviers d’efficacité : généraliser la double authentification, encourager l’usage de gestionnaires de mots de passe, et rappeler l’importance des mises à jour et de la vigilance face aux pièges.
Un portail national pour “rendre lisible” la cybersécurité
Autre promesse : un portail national de la cybersécurité, pensé comme une porte d’entrée unique. Le brief revient longuement sur l’enjeu de lisibilité d’un paysage jugé encore trop difficile à comprendre, entre acteurs publics, dispositifs, associations et secteurs spécifiques.
Le portail a vocation à s’adresser à deux situations : celles et ceux qui sont victimes et cherchent à être orientés, et celles et ceux qui veulent s’informer, apprendre, anticiper, trouver des parcours de formation. Dans cette architecture, “17Cyber”, créé le 17 décembre 2024, est présenté comme un jalon : une plateforme d’aiguillage des victimes de cyberattaques. Le portail national doit prolonger cette logique, avec l’ambition d’intégrer ou d’articuler 17Cyber pour aboutir à une interface unique. En attendant, un renforcement de 17Cyber est annoncé pour améliorer la coopération entre acteurs et en faire un réflexe plus visible.
PME : un label pour fixer un minimum commun
La stratégie annonce le développement d’une certification sous forme de label de confiance, pensée principalement pour les PME, décrites comme particulièrement ciblées et souvent moins outillées. Le label doit fixer des exigences minimales reprises de la directive européenne NIS2, dans le cadre de sa transposition via le projet de loi “Résilience”.
L’objectif est double : relever le niveau de sécurité des PME et leur permettre de démontrer à leurs clients une robustesse cyber vérifiable, dans un contexte où une attaque peut fragiliser durablement une entreprise, jusqu’à la disparition. Le brief évoque explicitement le scénario rançongiciel : chiffrement des données et demande de rançon en échange du déchiffrement.
Encadrer la cyberoffensive, coopérer en Europe et à l’ONU
Le troisième pilier s’attaque à un constat international : multiplication des attaques, industrialisation, développement d’un marché cyberoffensif. La stratégie veut porter une ambition de cadre à l’échelle internationale, via des lignes de conduite et des codes de conduite, pour fixer des règles minimales et réguler ce qui, aujourd’hui, l’est insuffisamment.
Cinquième pilier : la stabilité du cyberespace en Europe et à l’international. L’argument avancé est celui des interdépendances : des systèmes d’information entremêlés, une sécurité nationale qui passe aussi par le renforcement de la cybersécurité européenne. La coopération est citée à l’échelle de l’Union européenne et de l’ONU, avec une promotion de bonnes pratiques et d’échanges entre États.
Sur le volet géopolitique, le brief rappelle que la France se vit comme une cible, qu’il s’agisse d’acteurs liés ou non à des États. L’attribution est évoquée comme un outil politique, avec le rappel d’une attribution publique réalisée en 2021 au service de renseignement militaire russe, notamment au sujet d’attaques ayant visé la France sur la dernière décennie, dont celle de TV5 Monde. Il est également fait mention d’un travail au niveau de l’Union européenne pour adopter des sanctions visant la Russie, présenté comme pouvant aboutir “d’ici au premier semestre 2023”.
Maîtriser les fondements numériques : IA, quantique, cloud
Le quatrième pilier, “garder la maîtrise de la sécurité de nos fondements numériques”, agrège les enjeux technologiques structurants. L’intelligence artificielle est abordée sous deux angles : la cybersécurité des systèmes d’IA eux-mêmes, et l’impact de l’IA sur la menace, l’IA rendant “plus facile” et plus “industriel” le passage à l’acte, y compris pour des profils moins compétents.
Un institut est cité comme pièce d’écosystème : l’Institut national pour la sécurité de l’IA (INESIA), mobilisant notamment l’ANSSI et d’autres entités compétentes. Le soutien à l’innovation passe aussi, selon le brief, par des dispositifs dédiés pilotés par le Secrétariat général pour l’investissement, dans le cadre de France 2030, pour financer des entreprises innovantes, en particulier sur le segment “cyber-IA”.
Sur le quantique, l’enjeu mis en avant est la cryptographie post-quantique. Le brief parle d’un horizon prospectif qui impose d’anticiper dès maintenant, en citant l’implication de l’ANSSI et d’entités rattachées aux Armées dans les travaux d’élaboration d’algorithmes post-quantiques, pour garantir un chiffrement résistant aux ordinateurs quantiques.
Enfin, la question de la protection des données sensibles est reliée à la qualification et aux certifications cloud. Le brief mentionne l’actualité de la qualification de “S3NS” (joint venture entre Thales et Google), la poursuite du développement de la certification, et indique qu’une entreprise “Bleu” est “en cours de certification”. L’article 31 sur la protection des données sensibles de l’État est cité comme s’inscrivant dans la même logique.
Renforcer l’État… sans se laisser dicter le tempo par le bruit
La stratégie assume un objectif d’exemplarité : des ministères “irréprochables” en matière de cybersécurité. Le brief évoque un renforcement des infrastructures de cybersécurité de l’État, avec un travail avec chaque ministère et l’appui de l’ANSSI, pour augmenter les capacités de détection et renforcer les dispositifs de protection.
Mais une nuance est ajoutée, presque comme un avertissement méthodologique : ne pas s’emballer à chaque annonce. Des “fausses informations” et des amplifications sont évoquées, ainsi que des cas où les données prétendument exfiltrées seraient en réalité d’anciennes données, revendues sur des marchés illégaux. Le message : attendre le diagnostic complet, vérifier l’ampleur réelle, regarder les mesures de remédiation, et ne pas réagir à chaud.
Budget et calendrier : une stratégie annoncée, des moyens attendus
Aucun montant budgétaire n’a été annoncé pendant le brief, la justification tenant au débat budgétaire encore en cours. Sur le volet juridique, le projet de loi “Résilience”, incluant la transposition de NIS2 et de deux autres textes européens, a été voté en première lecture en octobre 2025, mais n’a pas été finalisé “en raison du contexte politique”. La ministre est dite déterminée à l’inscrire rapidement à l’ordre du jour.
Au final, la stratégie déroule une ambition cohérente : simplifier l’accès, installer des réflexes, entraîner la nation, structurer la connaissance de la menace, soutenir l’innovation et anticiper les ruptures technologiques. Avec une idée martelée comme une clé de lecture : dans le cyber, la performance collective commence par des gestes simples, mais exige une organisation qui ne découvre pas la crise le jour où elle arrive.
