Comment l'État français, champion autoproclamé de la transformation digitale, a accumulé les failles de sécurité majeures
Résumé Exécutif (lecture : 5 minutes)
Le constat en chiffres
| Indicateur | 2017 | 2025 | Évolution |
|---|---|---|---|
| Budget ANSSI | 79 M€ | ~200 M€ | +153% |
| Incidents ransomware traités ANSSI | ~20 | ~400 | +1 900% |
| Données personnelles compromises | — | 150+ millions | — |
| Coût cybercriminalité France | 17 Mds€ | 119 Mds€ | +600% |
La thèse centrale
Entre 2017 et 2025, l'État français a poursuivi une stratégie de dématérialisation accélérée (programme Action Publique 2022) sans investir proportionnellement dans la sécurisation des systèmes. Le plan cybersécurité de 1 milliard d'euros, annoncé en février 2021, arrive quatre ans après les premières alertes majeures (WannaCry, 2017) et deux ans après la première paralysie hospitalière grave (CHU Rouen, novembre 2019).
Les incidents majeurs documentés
2019 : CHU de Rouen paralysé (ransomware Clop), retour au papier pendant plusieurs semaines
2020 : 80+ collectivités territoriales attaquées, dont Marseille (paralysie de 3 mois)
2021 : Hôpitaux de Dax et Villefranche sur Saône paralysés en pleine crise Covid
2024 :
2025 : Ministère de l'Intérieur ciblé (fichiers TAJ, personnes recherchées)
Les causes structurelles identifiées
Les réponses de l'État et leurs limites
L'État invoque la sophistication croissante des attaques et les investissements réalisés (1 Md€ en 2021, directive NIS2). Ces arguments sont partiellement recevables mais n'expliquent pas :
Conclusion
La stratégie "Startup Nation" a privilégié la vitesse de transformation sur la résilience des systèmes. Le ratio initial (10 Mds€ pour l'innovation, 79 M€ pour la sécurité, soit 126:1) illustre ce déséquilibre fondateur. Huit ans plus tard, les données personnelles de la quasi totalité des Français ont été compromises au moins une fois.
Préambule : Niveaux de Certitude
Cet article applique une méthodologie rigoureuse de classification des informations :
| Indicateur | Signification | Critères |
|---|---|---|
| ✓ CONFIRMÉ | Fait établi | Communiqué officiel, rapport CNIL/ANSSI/Cour des comptes |
| ◐ RAPPORTÉ | Information crédible | Sources journalistiques concordantes, pas de démenti officiel |
| ⚠ REVENDIQUÉ | Allégation non vérifiée | Revendication d'attaquants uniquement |
Prologue : La Promesse et le Bilan
Acte I : Le Rêve (15 juin 2017)
Paris, salon VivaTech.
Emmanuel Macron, fraîchement élu président de la République, monte sur scène devant un parterre d'entrepreneurs médusés. Son discours résonne comme un manifeste révolutionnaire :
Ce jour là, le président ne parle pas seulement d'entreprises. Il annonce une vision : l'État lui même doit se transformer. Penser comme une startup. Bouger comme une startup. Innover comme une startup.
Les promesses pleuvent :
La foule applaudit. Les médias s'extasient. La French Tech exulte.
Acte II : La Réalité (17 décembre 2025)
Huit ans plus tard.
Le ministère de l'Intérieur vient d'être ciblé par une cyberattaque. Des cybercriminels revendiquent l'accès aux fichiers TAJ (Traitement des Antécédents Judiciaires) et au fichier des personnes recherchées. Potentiellement 16,4 millions de Français exposés[^2].
C'est la énième brèche d'une administration que plusieurs experts qualifient désormais de "vulnérable de manière systémique".
Le bilan factuel :
Entre ces deux dates : une succession de défaillances numériques et l'écart croissant entre les promesses et les réalisations.
I. 2017 : Les Fondations Fragiles
1.1 Le discours fondateur : "Penser comme une startup"
✓ CONFIRMÉ : En juin 2017, Emmanuel Macron promet 10 milliards d'euros pour l'innovation. Le budget de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est de 79 millions d'euros. Aucun plan cybersécurité n'est annoncé.
L'équation originelle : 10 milliards pour innover. 79 millions pour sécuriser. Ratio : 126 contre 1.
1.2 Action Publique 2022 : la dématérialisation à marche forcée
13 octobre 2017 : Le Premier ministre Édouard Philippe lance le programme "Action Publique 2022"[^3].
Objectifs officiels :
Ce que le programme ne prévoit pas : renforcer la cybersécurité des systèmes existants.
1.3 WannaCry : le premier avertissement ignoré (Mai 2017)
12 mai 2017 : Le ransomware WannaCry frappe le monde.
| Pays | Impact | Réaction |
|---|---|---|
| Royaume Uni (NHS) | 80 hôpitaux paralysés, chaos sanitaire | Audit national, investissements massifs |
| Espagne (Telefonica) | Siège social évacué | Plan de sécurisation |
| France | Hôpital d'Issoire "légèrement perturbé" | Communiqué ANSSI, recommandations |
✓ CONFIRMÉ : La France échappe au pire par chance, non par préparation. L'ANSSI publie des recommandations. Elles resteront largement ignorées pendant deux ans.
Le signal manqué : WannaCry révèle que 90% des attaques ransomware ciblent le secteur santé dans le monde. En France, aucun plan spécifique n'est lancé.
II. 2018-2019 : L'Accélération Sans Filet
2.1 Le contexte mondial : explosion des cyberattaques
✓ CONFIRMÉ : Selon le Baromètre Allianz 2019, le coût mondial de la cybercriminalité atteint 600 milliards de dollars en 2018, contre 445 milliards en 2014[^4].
2.2 CHU de Rouen : le cas fondateur (15 novembre 2019)
✓ CONFIRMÉ : Le vendredi 15 novembre 2019, à 19h45, le CHU de Rouen est frappé par le ransomware Clop[^7].
Chronologie de l'attaque :
Impact opérationnel :
Le témoignage :
III. 2020-2021 : La Cascade des Défaillances
3.1 Les collectivités territoriales : cibles faciles
✓ CONFIRMÉ : En 2020, l'ANSSI recense 192 incidents majeurs liés aux ransomwares, contre 69 en 2019. Augmentation de 178%[^8].
Victimes majeures 2020 :
| Date | Victime | Impact | Durée de paralysie |
|---|---|---|---|
| Mars | Métropole Aix Marseille | 300 serveurs chiffrés | 3 mois |
| Mai | Ville de Charleville Mézières | Services administratifs | 2 mois |
| Septembre | Tribunal de Paris | Procédures judiciaires | 3 semaines |
| Décembre | Conseil Départemental Eure et Loir | Administration paralysée | 6 semaines |
3.2 Marseille : anatomie d'une paralysie (Mars 2020)
✓ CONFIRMÉ : Le 14 mars 2020, en plein premier confinement Covid, la métropole Aix Marseille Provence est frappée par le ransomware Mespinoza/Pysa.
L'ampleur des dégâts :
Le détail qui tue : Pendant des semaines, la mairie de Marseille ne peut plus :
3.3 Février 2021 : le plan cyber arrive enfin
✓ CONFIRMÉ : Le 18 février 2021, Emmanuel Macron annonce la "Stratégie nationale pour la cybersécurité"[^plan_cyber].
Les moyens annoncés :
Le problème : Ce plan arrive 4 ans après WannaCry, 2 ans après le CHU de Rouen, et 1 an après les 80 collectivités attaquées. Le sous investissement chronique a créé une dette technique colossale.
IV. 2024 : L'Année Noire
4.1 Viamedis/Almerys : 33 millions d'assurés exposés
✓ CONFIRMÉ : Le 7 février 2024, la CNIL notifie une violation massive. Les prestataires de tiers payant Viamedis et Almerys ont été piratés[^11].
Données compromises :
33 millions de Français concernés. Soit la moitié de la population adulte.
4.2 France Travail : 43 millions de victimes potentielles
✓ CONFIRMÉ : Le 13 mars 2024, France Travail révèle une cyberattaque massive[^13].
Données potentiellement exfiltrées :
43 millions de personnes concernées : tous les demandeurs d'emploi des 20 dernières années.
Le détail accablant : Selon l'enquête de Radio France, la direction de France Travail avait été alertée dès 2022 d'une faille de sécurité précisément identique à celle exploitée. Un document d'analyse de risque préconisait la double authentification. Elle n'a pas été mise en place à temps.
4.3 Le cumul : 100+ millions en 6 mois
V. Décembre 2025 : Le Ministère de l'Intérieur Ciblé
5.1 La revendication
⚠ REVENDIQUÉ : Le 10 décembre 2025, un groupe se présentant sous le pseudonyme "near2tlg" publie sur BreachForums une annonce de vente de données issues du ministère de l'Intérieur.
Fichiers revendiqués :
5.2 La confirmation partielle
◐ RAPPORTÉ : Le 12 décembre 2025, Laurent Nuñez, préfet de police de Paris, confirme sur RTL qu'une "intrusion" a bien eu lieu. Il ne précise pas l'ampleur des données exfiltrées.
Le paradoxe terminal : Le ministère chargé de protéger les Français ne parvient pas à protéger ses propres fichiers.
VI. Encadré Juridique : Ce que Dit Réellement le Droit
6.1 Le Cloud Act américain (23 mars 2018)
Le Clarifying Lawful Overseas Use of Data Act permet aux autorités américaines d'exiger des entreprises sous juridiction US (Microsoft, Amazon, Google) la communication de données stockées n'importe où dans le monde, sans :
Conséquence : Toute donnée hébergée chez un prestataire américain est potentiellement accessible aux agences de renseignement US.
6.2 Le conflit avec le RGPD
Article 48 du RGPD : Les décisions de juridictions étrangères ordonnant un transfert de données ne sont reconnues que si elles reposent sur un accord international (traité d'entraide judiciaire).
Arrêt Schrems II (CJUE, 16 juillet 2020) : La Cour invalide le Privacy Shield et juge que les lois de surveillance américaines (FISA, Cloud Act, EO 12333) sont incompatibles avec le RGPD.
L'impasse juridique :
6.3 L'aveu de Microsoft France (10 juin 2025)
Devant la commission d'enquête du Sénat sur les marchés publics, les représentants de Microsoft France ont explicitement reconnu que Microsoft ne peut pas s'opposer à une injonction américaine pour des données hébergées en France.
6.4 Le cas Health Data Hub
Novembre 2019 : Création du Health Data Hub, plateforme centralisant les données de santé françaises.
Hébergeur choisi : Microsoft Azure, malgré :
Mars 2024 : 11 opérateurs et associations (Clever Cloud, Nexedi, Rapid.Space, Cleyrop...) déposent un recours devant le Conseil d'État pour faire suspendre l'autorisation CNIL.
Décembre 2025 : Le Health Data Hub est toujours sur Microsoft Azure.
6.5 La responsabilité pénale des prestataires
Article 226-17 du Code pénal : Le fait de ne pas notifier une violation de données à la CNIL est puni de 5 ans d'emprisonnement et 300 000€ d'amende.
Article 32 du RGPD : Le responsable de traitement ET le sous traitant doivent garantir la sécurité des données.
Sanctions CNIL :
6.6 Les classements sans suite
Constat : La quasi totalité des plaintes déposées suite aux cyberattaques aboutissent à un classement sans suite.
Exemple France Travail : Selon Radio France, la plainte déposée suite à une précédente fuite (prestataire Majorel) a été classée sans suite. Les auteurs n'ont jamais été identifiés.
Raisons structurelles :
Conséquence : L'impunité de fait encourage la multiplication des attaques.
VII. Ce que Répond l'État (et Pourquoi Ces Arguments ne Suffisent Pas)
7.1 Les arguments officiels
Argument 1 : "Les attaques sont de plus en plus sophistiquées"
Argument 2 : "Nous avons massivement investi"
Argument 3 : "La France est au niveau européen"
Argument 4 : "Aucun système n'est inviolable"
7.2 Pourquoi ces arguments ne tiennent pas
Réponse à l'argument 1 : "Sophistication des attaques"
Les attaques réussies contre France Travail, Viamedis ou les collectivités n'étaient pas sophistiquées. Elles exploitaient des failles basiques :
Réponse à l'argument 2 : "Investissements massifs"
Le plan de 1 Md€ annoncé en 2021 doit être mis en perspective :
Réponse à l'argument 3 : "Niveau européen"
La comparaison européenne est défavorable à la France :
Réponse à l'argument 4 : "Risque zéro inexistant"
Cet argument, techniquement exact, devient une excuse pour l'inaction quand :
7.3 Le vrai problème : la gouvernance
Le déficit n'est pas seulement budgétaire. Il est organisationnel :
| Problème | Illustration |
|---|---|
| Absence de responsabilité claire | Qui est responsable de la cybersécurité hospitalière ? L'ARS ? L'hôpital ? L'ANSSI ? |
| Silos administratifs | Chaque ministère gère sa cybersécurité sans coordination |
| Doctrine vs pratique | "Cloud de confiance" proclamé, Azure utilisé |
| Impunité interne | Aucun responsable sanctionné après les incidents majeurs |
VIII. Synthèse : Le Bilan de Huit Années
8.1 L'équation finale
Le constat arithmétique :
Conclusion : L'État a numérisé plus vite qu'il n'a sécurisé. La surface d'attaque a explosé, les défenses n'ont pas suivi.
8.2 La chronologie synthétique
Startup Nation → Fall Nation : La Trajectoire
Huit années de transformation numérique
mermaidflowchart TB
A["🚀 Juin 2017 : Startup Nation"]
B["📋 Oct 2017 : Action Publique 2022"]
C["💻 2018-2019 : Dématérialisation accélérée"]
D["🏥 Nov 2019 : CHU Rouen paralysé"]
E["🏛️ 2020 : 80 collectivités attaquées"]
F["💰 Fév 2021 : Plan cyber (4 ans de retard)"]
G["💾 2024 : 100M+ données compromises"]
H["🔓 Déc 2025 : Min. Intérieur ciblé"]
I["❌ Bilan : défaillance systémique"]
A -->|"Promesse"| B
B -->|"Exécution"| C
C -->|"Premier incident majeur"| D
D -->|"Cascade"| E
E -->|"Réaction tardive"| F
F -->|"Insuffisant"| G
G -->|"Continuation"| H
H -->|"Constat"| I
class A,B greenStyle
class C,F yellowStyle
class D,E orangeStyle
class G,H,I redStyle
classDef greenStyle fill:#22c55e,stroke:#16a34a,color:#ffffff,font-weight:bold
classDef yellowStyle fill:#facc15,stroke:#f59e0b,color:#1a1a1a,font-weight:bold
classDef orangeStyle fill:#f97316,stroke:#ea580c,color:#ffffff,font-weight:bold
classDef redStyle fill:#dc2626,stroke:#b91c1c,color:#ffffff,font-weight:bold8.3 Le coût de l'incurie
Estimation du coût des cyberattaques en France :
Multiplication par 7 en cinq ans.
IX. Recommandations : Sortir de l'Impasse
Au delà du diagnostic, quelles solutions concrètes ? Deux propositions structurantes.
9.1 La Mesure Emblématique : la Règle des 5%
Proposition : Inscrire dans la loi l'obligation pour tout organisme public de consacrer au minimum 5% de son budget informatique à la cybersécurité.
Pourquoi 5% ?
| Seuil | Justification |
|---|---|
| Plancher réaliste | En dessous de 3%, maintenance des mises à jour impossible |
| Standard Gartner | Recommandation : 5 à 7% pour les organisations matures |
| Benchmark NHS | Après WannaCry (2017), passage à 8% du budget IT |
| Progressivité | 5% permet une montée en charge sur 3 ans |
Mécanisme proposé :
| Étape | Acteur | Action |
|---|---|---|
| 1. Obligation légale | Parlement | Modification CGCT et Code de la santé publique |
| 2. Contrôle | Chambres régionales des comptes | Vérification annuelle |
| 3. Sanction | Préfets / ARS | Inéligibilité aux subventions numériques |
| 4. Incitation | État | Bonification +20% pour les structures > 7% |
Impact budgétaire estimé :
| Secteur | Budget IT | Cyber actuel | Cyber cible 5% | Surcoût annuel |
|---|---|---|---|---|
| Hôpitaux publics | 2,1 Mds€ | 36 M€ (1,7%) | 105 M€ | +69 M€ |
| Collectivités | 1,8 Mds€ | ~18 M€ (1%) | 90 M€ | +72 M€ |
| Ministères | 3,5 Mds€ | ~140 M€ (4%) | 175 M€ | +35 M€ |
| TOTAL | 7,4 Mds€ | ~194 M€ | 370 M€ | +176 M€/an |
Ratio coût/bénéfice : 176 M€/an pour éviter des incidents dont le coût unitaire dépasse 10 M€ (CHU Rouen) à 119 Mds€ (coût national 2024). La Règle des 5% représente 0,15% du coût annuel des cyberattaques.
9.2 Schéma Cible de Gouvernance : Qui Fait Quoi, Qui Contrôle Qui
Architecture de responsabilité cyber proposée
Chaîne de commandement claire avec contrôle et sanctions
mermaidflowchart TB
PM(["🏛️ Premier Ministre (SGDSN)"])
ANSSI["🔒 ANSSI : Doctrine + Audits"]
CNIL["⚖️ CNIL : Sanctions données"]
CDC["📊 Cour des Comptes : Contrôle 5%"]
MIN["🏢 Ministères : RSSI obligatoire"]
ARS["🏥 ARS : Contrôle hôpitaux"]
PREF["🗺️ Préfets : Contrôle collectivités"]
HOP["🏥 Hôpitaux : 5% + audit triennal"]
COLL["🏘️ Collectivités : 5% + mutualisation"]
SANC{"❌ SANCTION : Inéligibilité subventions"}
PM -->|"Pilotage"| ANSSI
PM -->|"Coordination"| CNIL
ANSSI -->|"Référentiels"| MIN
ANSSI -->|"Référentiel santé"| ARS
ANSSI -->|"Référentiel territorial"| PREF
CDC -->|"Audit 5%"| MIN
CDC -->|"Audit 5%"| HOP
CDC -->|"Audit 5%"| COLL
ARS -->|"Conformité"| HOP
PREF -->|"Conformité"| COLL
CNIL -->|"Violation données"| SANC
CDC -->|"Non-respect 5%"| SANC
class PM darkBlueStyle
class ANSSI,CNIL blueStyle
class CDC purpleStyle
class MIN,ARS,PREF greenStyle
class HOP,COLL orangeStyle
class SANC redStyle
classDef darkBlueStyle fill:#1e40af,stroke:#1e3a8a,color:#ffffff,font-weight:bold
classDef blueStyle fill:#3b82f6,stroke:#2563eb,color:#ffffff,font-weight:bold
classDef purpleStyle fill:#a855f7,stroke:#9333ea,color:#ffffff,font-weight:bold
classDef greenStyle fill:#22c55e,stroke:#16a34a,color:#ffffff,font-weight:bold
classDef orangeStyle fill:#f97316,stroke:#ea580c,color:#ffffff,font-weight:bold
classDef redStyle fill:#dc2626,stroke:#b91c1c,color:#ffffff,font-weight:boldLes 5 principes de la gouvernance cible :
| Principe | Situation actuelle | Cible proposée |
|---|---|---|
| Responsabilité | Diluée entre ministères et agences | Chaîne claire : SGDSN → ANSSI → Opérateurs |
| Contrôle | Facultatif, non sanctionné | Audit Cour des Comptes obligatoire |
| Sanction | Quasi inexistante | Inéligibilité aux financements publics |
| Incitation | Absente | Bonification pour les bons élèves |
| Mutualisation | Volontaire | Obligatoire (communes < 10 000 hab.) |
Les 5 réformes structurelles :
Calendrier de mise en oeuvre :
| Échéance | Jalon |
|---|---|
| 2026 T1 | Loi "Règle des 5%" votée |
| 2026 T2 | Décrets + référentiels ANSSI |
| 2027 | Première vague d'audits CRC |
| 2028 | Sanctions effectives |
| 2029 | Migration Health Data Hub achevée |
| 2030 | Objectif : incidents majeurs divisés par 2 |
9.3 La Clause de Responsabilité Personnelle des Dirigeants
Constat : Aujourd'hui, aucun responsable public n'a été sanctionné personnellement pour une faille de cybersécurité, même grave. L'impunité est totale.
Base juridique existante :
| Texte | Disposition | Application actuelle |
|---|---|---|
| Article 226-17 CP | 5 ans + 300 000€ pour défaut de sécurité des données | Jamais appliqué à un dirigeant public |
| Article 432-16 CP | Négligence d'un dépositaire de l'autorité publique | Non utilisé en matière cyber |
| RGPD Art. 83 | Sanctions jusqu'à 20 M€ ou 4% CA | Vise les organismes, pas les personnes |
Proposition : Extension de l'article 226-17 CP
Créer un délit de carence caractérisée en cybersécurité applicable aux dirigeants publics :
Éléments constitutifs :
| Élément | Définition | Exemple |
|---|---|---|
| Carence caractérisée | Non-respect documenté d'une obligation réglementaire | Absence de double authentification malgré alerte interne |
| Lien de causalité | La carence a facilité l'attaque | Vulnérabilité connue non corrigée exploitée |
| Atteinte grave | > 10 000 personnes OU service essentiel interrompu > 48h | France Travail, CHU Rouen |
Conditions d'exonération :
Précédents juridiques mobilisables :
| Domaine | Texte | Responsabilité personnelle |
|---|---|---|
| Sécurité au travail | L.4741-1 Code du travail | Dirigeant pénalement responsable des accidents |
| Environnement | L.173-1 Code environnement | Exploitant responsable des pollutions |
| Finances publiques | Art. 432-15 CP | Détournement par négligence |
Pourquoi c'est nécessaire : Sans responsabilité personnelle, les arbitrages budgétaires continueront de sacrifier la cybersécurité. La menace d'une sanction individuelle change les comportements.
9.4 Le Cyber-Score : Notation Publique des Administrations
Inspiration : Le Nutri-Score a transformé les comportements alimentaires par la transparence. Un Cyber-Score public ferait de même pour la sécurité numérique.
Grille d'évaluation Cyber-Score :
| Critère | Pondération | Indicateurs mesurés |
|---|---|---|
| Budget | 25% | % budget IT en cyber (cible : 5%) |
| Gouvernance | 20% | RSSI nommé, PSSI à jour, exercices de crise |
| Technique | 25% | MFA déployé, patchs < 30 jours, segmentation réseau |
| Audit | 15% | Résultat dernier audit ANSSI ou certifié |
| Incidents | 15% | Nombre et gravité sur 24 mois, temps de détection |
Échelle de notation :
| Score | Note | Signification | Conséquence |
|---|---|---|---|
| 90-100 | A | Exemplaire | Éligible aux marchés sensibles |
| 75-89 | B | Conforme | Standard requis |
| 60-74 | C | Acceptable | Plan de progrès exigé sous 12 mois |
| 45-59 | D | Insuffisant | Inéligibilité partielle aux subventions |
| 0-44 | E | Critique | Inéligibilité totale + tutelle cyber |
Mécanisme de publication :
| Étape | Acteur | Fréquence |
|---|---|---|
| Évaluation | ANSSI + organismes certifiés | Annuelle |
| Publication | data.gouv.fr | Obligatoire |
| Affichage | Site web de l'administration | Obligatoire (bandeau visible) |
| Sanctions | Préfet / ARS | Automatiques selon score |
Exemple de tableau de bord public :
| Administration | Cyber-Score 2027 | Évolution | Budget cyber |
|---|---|---|---|
| Ministère de l'Intérieur | C (62/100) | ↗ +8 pts | 4,2% |
| CHU de Rouen | B (78/100) | ↗ +15 pts | 5,1% |
| Ville de Marseille | C (58/100) | ↗ +12 pts | 3,8% |
| France Travail | D (52/100) | ↘ -3 pts | 2,9% |
| Commune type < 5000 hab. | E (38/100) | = | 0,8% |
Effet attendu :
Base légale proposée : Modification de la loi SREN (2024) pour rendre obligatoire la publication du Cyber-Score pour :
9.5 Synthèse : Le Triptyque de la Réforme
| Pilier | Mécanisme | Effet principal |
|---|---|---|
| BUDGET | Règle des 5% | Fin du sous-investissement |
| RESPONSABILITÉ | Clause pénale personnelle | Fin de l'impunité des dirigeants |
| TRANSPARENCE | Cyber-Score public | Fin de l'opacité |
Ce triptyque transforme l'équation : aujourd'hui, ne pas investir en cybersécurité est rationnel (pas de sanction, pas de visibilité). Demain, ce sera irrationnel (sanction budgétaire + sanction pénale + humiliation publique).
X. Épilogue
Ce que la "Startup Nation" devait être :
Ce qu'elle est devenue :
Le mot de la fin
Emmanuel Macron voulait que la France "pense et bouge comme une startup". Il a oublié que les startups ont un taux d'échec de 90%.
L'État français a dématérialisé ses services avec l'agilité promise. Il a sécurisé ses systèmes avec les moyens d'une administration en retard sur son époque.
Huit ans plus tard : les données personnelles de la quasi totalité des Français circulent sur le dark web. Le ministère chargé de notre sécurité se fait pirater. Les plaintes sont classées sans suite.
Ce n'est pas seulement un échec de moyens. C'est un échec de vision, de gouvernance et de priorités.
XI. Glossaire
| Terme | Définition |
|---|---|
| ANSSI | Agence Nationale de la Sécurité des Systèmes d'Information. Autorité nationale chargée de la cybersécurité, rattachée au SGDSN (services du Premier ministre). |
| Cloud Act | Clarifying Lawful Overseas Use of Data Act (2018). Loi américaine permettant aux autorités US d'accéder aux données détenues par les entreprises américaines, quel que soit leur lieu de stockage. |
| CNIL | Commission Nationale de l'Informatique et des Libertés. Autorité administrative indépendante chargée de la protection des données personnelles en France. |
| Dark web | Partie du web accessible uniquement via des navigateurs spécialisés (Tor), souvent utilisée pour le commerce de données volées. |
| Exfiltration | Extraction non autorisée de données depuis un système d'information. |
| Health Data Hub | Plateforme nationale centralisant les données de santé françaises pour la recherche. Hébergée sur Microsoft Azure. |
| NIS2 | Directive européenne (2022/2555) renforçant les obligations de cybersécurité pour les infrastructures critiques et essentielles. |
| Phishing | Technique d'hameçonnage consistant à usurper l'identité d'un tiers de confiance pour obtenir des informations sensibles. |
| Ransomware | Logiciel malveillant qui chiffre les données d'une victime et exige une rançon pour les déchiffrer. |
| RGPD | Règlement Général sur la Protection des Données (UE 2016/679). Cadre européen de protection des données personnelles, en vigueur depuis mai 2018. |
| SecNumCloud | Label délivré par l'ANSSI certifiant qu'un prestataire cloud respecte les exigences de sécurité françaises, notamment la protection contre les lois extraterritoriales. |
| TAJ | Traitement des Antécédents Judiciaires. Fichier de police recensant les personnes mises en cause ou victimes dans des procédures judiciaires. |
| Tiers payant | Mécanisme permettant la prise en charge directe des frais de santé par l'assurance maladie et les mutuelles, sans avance de frais par le patient. |
Notes de Référence
[^1]: Discours d'Emmanuel Macron au salon VivaTech, Paris, 15 juin 2017. Retranscription officielle Élysée.
[^2]: Revendication publiée sur BreachForums, décembre 2025. Volume non vérifié officiellement. Intrusion confirmée par Laurent Nuñez (RTL, 12 décembre 2025).
[^3]: Programme Action Publique 2022, lancé le 13 octobre 2017. Source : modernisation.gouv.fr
[^4]: Baromètre Allianz Global Corporate & Specialty, 2019.
[^5]: Ministère de l'Intérieur, État de la menace liée au numérique, 2019.
[^6]: ANSSI, "État de la menace rançongiciel", rapport CERTFR-2020-CTI-001.
[^7]: ANSSI, rapport technique CHU de Rouen, novembre 2019. Attribution au groupe TA505, ransomware Clop.
[^8]: ANSSI, communiqué officiel, 2021. Augmentation de 255% des signalements ransomware.
[^9]: CLUSIF, "Menaces informatiques et pratiques de sécurité en France des collectivités territoriales 2019/2020", juin 2020.
[^10]: Témoignage de Marie Nedellec, Table ronde Sénat sur la cybersécurité des collectivités, 28 octobre 2021.
[^11]: CNIL, notification du 7 février 2024. 33 millions d'assurés sociaux concernés.
[^12]: CNAF, communiqué du 23 février 2024.
[^13]: France Travail, communiqué officiel du 13 mars 2024. Enquête CNIL en cours.
[^14]: Étude Statista, février 2025. Coûts directs et indirects.
[^plan_cyber]: Élysée, "Accélération de la stratégie nationale en matière de cybersécurité", 18 février 2021.
Sources Consolidées
Sources institutionnelles officielles
| Source | Type | Accès |
|---|---|---|
| ANSSI, Panorama de la cybermenace 2020-2024 | Rapports annuels | ssi.gouv.fr |
| CNIL, Notifications de violations de données | Base publique | cnil.fr |
| Cour des comptes, référés cybersécurité | Rapports | ccomptes.fr |
| Sénat, "Collectivités face au défi cyber" (2021) | Rapport d'information | senat.fr |
| CLUSIF, Rapports annuels 2019-2024 | Études sectorielles | clusif.fr |
| Cybermalveillance.gouv.fr | Baromètres annuels | cybermalveillance.gouv.fr |
| Élysée, Stratégie nationale cybersécurité | Communiqué officiel | elysee.fr |
| Ministère de l'Économie | Bilan France 2030 cyber | economie.gouv.fr |
Sources réglementaires
| Texte | Référence | Objet |
|---|---|---|
| RGPD | Règlement UE 2016/679 | Protection des données personnelles |
| Cloud Act | H.R.4943, 23 mars 2018 | Accès extraterritorial aux données |
| Directive NIS2 | Directive UE 2022/2555 | Cybersécurité des infrastructures critiques |
| Loi SREN | Loi n°2024-449, 21 mai 2024 | Sécurisation de l'espace numérique |
| Arrêt Schrems II | CJUE C-311/18, 16 juillet 2020 | Invalidation Privacy Shield |
Sources journalistiques
| Média | Spécialité | Fiabilité |
|---|---|---|
| LeMagIT | Analyses techniques IT | Référence sectorielle |
| Le Monde Informatique | Actualité numérique | Généraliste fiable |
| France Info / Radio France | Enquêtes (France Travail) | Service public |
| ZATAZ (Damien Bancal) | Veille dark web | Spécialiste reconnu |
| L'Usine Digitale | Industrie numérique | Économique/technique |
| Next.ink | Cybersécurité | Technique approfondi |