Aller au contenu
NNextHop
← Retour au blog

De la Startup Nation à la Fall Nation : Chronique d'une Défaillance Numérique (2017-2025)

Par Sylvain Rutten20 août 202532 min de lecture

Comment l'État français, champion autoproclamé de la transformation digitale, a accumulé les failles de sécurité majeures

Résumé Exécutif (lecture : 5 minutes)

Le constat en chiffres

Indicateur20172025Évolution
Budget ANSSI79 M€~200 M€+153%
Incidents ransomware traités ANSSI~20~400+1 900%
Données personnelles compromises150+ millions
Coût cybercriminalité France17 Mds€119 Mds€+600%

La thèse centrale

Entre 2017 et 2025, l'État français a poursuivi une stratégie de dématérialisation accélérée (programme Action Publique 2022) sans investir proportionnellement dans la sécurisation des systèmes. Le plan cybersécurité de 1 milliard d'euros, annoncé en février 2021, arrive quatre ans après les premières alertes majeures (WannaCry, 2017) et deux ans après la première paralysie hospitalière grave (CHU Rouen, novembre 2019).

Les incidents majeurs documentés

2019 : CHU de Rouen paralysé (ransomware Clop), retour au papier pendant plusieurs semaines

2020 : 80+ collectivités territoriales attaquées, dont Marseille (paralysie de 3 mois)

2021 : Hôpitaux de Dax et Villefranche sur Saône paralysés en pleine crise Covid

2024 :

Viamedis/Almerys : 33 millions d'assurés sociaux exposés
France Travail : 43 millions de personnes potentiellement concernées
Free : 19 millions de clients, 5 millions d'IBAN

2025 : Ministère de l'Intérieur ciblé (fichiers TAJ, personnes recherchées)

Les causes structurelles identifiées

1.Sous investissement chronique : Budget IT hospitalier à 1,7% (norme internationale : 5 à 7%)
2.Absence de gouvernance : 77% des communes dépensent moins de 2 000€/an en cybersécurité
3.Dépendance aux prestataires étrangers : Health Data Hub sur Microsoft Azure malgré le Cloud Act
4.Retard réglementaire : Plan cyber lancé 4 ans après les premiers incidents graves

Les réponses de l'État et leurs limites

L'État invoque la sophistication croissante des attaques et les investissements réalisés (1 Md€ en 2021, directive NIS2). Ces arguments sont partiellement recevables mais n'expliquent pas :

L'absence de double authentification chez France Travail malgré une alerte interne de 2022
Le maintien du Health Data Hub sur Azure malgré les avis de la CNIL
Les classements sans suite systématiques des plaintes pour cyberattaques

Conclusion

La stratégie "Startup Nation" a privilégié la vitesse de transformation sur la résilience des systèmes. Le ratio initial (10 Mds€ pour l'innovation, 79 M€ pour la sécurité, soit 126:1) illustre ce déséquilibre fondateur. Huit ans plus tard, les données personnelles de la quasi totalité des Français ont été compromises au moins une fois.

Préambule : Niveaux de Certitude

Cet article applique une méthodologie rigoureuse de classification des informations :

IndicateurSignificationCritères
✓ CONFIRMÉFait établiCommuniqué officiel, rapport CNIL/ANSSI/Cour des comptes
◐ RAPPORTÉInformation crédibleSources journalistiques concordantes, pas de démenti officiel
⚠ REVENDIQUÉAllégation non vérifiéeRevendication d'attaquants uniquement

Prologue : La Promesse et le Bilan

Acte I : Le Rêve (15 juin 2017)

Paris, salon VivaTech.

Emmanuel Macron, fraîchement élu président de la République, monte sur scène devant un parterre d'entrepreneurs médusés. Son discours résonne comme un manifeste révolutionnaire :

"Je veux que la France devienne une Startup Nation. Une nation qui pense et qui bouge comme une startup."[^1]

Ce jour là, le président ne parle pas seulement d'entreprises. Il annonce une vision : l'État lui même doit se transformer. Penser comme une startup. Bouger comme une startup. Innover comme une startup.

Les promesses pleuvent :

Un fonds de 10 milliards d'euros pour l'innovation
100% des démarches administratives dématérialisées d'ici 2022
Un "État plateforme" moderne et agile
La France, hub européen de la tech

La foule applaudit. Les médias s'extasient. La French Tech exulte.

Acte II : La Réalité (17 décembre 2025)

Huit ans plus tard.

Le ministère de l'Intérieur vient d'être ciblé par une cyberattaque. Des cybercriminels revendiquent l'accès aux fichiers TAJ (Traitement des Antécédents Judiciaires) et au fichier des personnes recherchées. Potentiellement 16,4 millions de Français exposés[^2].

C'est la énième brèche d'une administration que plusieurs experts qualifient désormais de "vulnérable de manière systémique".

Le bilan factuel :

150 millions de données personnelles compromises (estimation basse)
80% des Français potentiellement présents sur le dark web
Des hôpitaux paralysés pendant 18 mois cumulés
Des mairies incapables de délivrer des actes d'état civil
Le ministère chargé de notre sécurité... ciblé

Entre ces deux dates : une succession de défaillances numériques et l'écart croissant entre les promesses et les réalisations.

I. 2017 : Les Fondations Fragiles

1.1 Le discours fondateur : "Penser comme une startup"

Les promesses de la Startup Nation (2017)Annonces présidentielles vs budget cybersécurité

✓ CONFIRMÉ : En juin 2017, Emmanuel Macron promet 10 milliards d'euros pour l'innovation. Le budget de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est de 79 millions d'euros. Aucun plan cybersécurité n'est annoncé.

L'équation originelle : 10 milliards pour innover. 79 millions pour sécuriser. Ratio : 126 contre 1.

1.2 Action Publique 2022 : la dématérialisation à marche forcée

13 octobre 2017 : Le Premier ministre Édouard Philippe lance le programme "Action Publique 2022"[^3].

Objectifs officiels :

Dématérialiser les 250 démarches administratives les plus courantes
Atteindre 100% de services publics en ligne d'ici 2022
Budget : 700 millions d'euros sur 5 ans
Créer un "État plateforme" agile et moderne

Ce que le programme ne prévoit pas : renforcer la cybersécurité des systèmes existants.

1.3 WannaCry : le premier avertissement ignoré (Mai 2017)

12 mai 2017 : Le ransomware WannaCry frappe le monde.

PaysImpactRéaction
Royaume Uni (NHS)80 hôpitaux paralysés, chaos sanitaireAudit national, investissements massifs
Espagne (Telefonica)Siège social évacuéPlan de sécurisation
FranceHôpital d'Issoire "légèrement perturbé"Communiqué ANSSI, recommandations

✓ CONFIRMÉ : La France échappe au pire par chance, non par préparation. L'ANSSI publie des recommandations. Elles resteront largement ignorées pendant deux ans.

Le signal manqué : WannaCry révèle que 90% des attaques ransomware ciblent le secteur santé dans le monde. En France, aucun plan spécifique n'est lancé.

II. 2018-2019 : L'Accélération Sans Filet

2.1 Le contexte mondial : explosion des cyberattaques

Évolution mondiale des cyberattaques (2017-2018)Hausse de 32% du trafic malveillant selon F-Secure

✓ CONFIRMÉ : Selon le Baromètre Allianz 2019, le coût mondial de la cybercriminalité atteint 600 milliards de dollars en 2018, contre 445 milliards en 2014[^4].

2.2 CHU de Rouen : le cas fondateur (15 novembre 2019)

✓ CONFIRMÉ : Le vendredi 15 novembre 2019, à 19h45, le CHU de Rouen est frappé par le ransomware Clop[^7].

Chronologie de l'attaque :

19h45 : Premiers signaux d'alerte
20h00 : Propagation massive du chiffrement
20h30 : Décision de couper l'ensemble du réseau
21h00 : Retour au papier et au stylo
22h00 : Activation de la cellule de crise

Impact opérationnel :

6 000 postes de travail chiffrés
Dossiers patients inaccessibles
Imagerie médicale hors service
Bloc opératoire en mode dégradé

Le témoignage :

"Nous avons dû ressortir les dossiers papier. Les médecins dictaient, les secrétaires tapaient. Nous sommes revenus 20 ans en arrière." — Personnel soignant, CHU de Rouen (France Info, novembre 2019)

III. 2020-2021 : La Cascade des Défaillances

3.1 Les collectivités territoriales : cibles faciles

✓ CONFIRMÉ : En 2020, l'ANSSI recense 192 incidents majeurs liés aux ransomwares, contre 69 en 2019. Augmentation de 178%[^8].

Victimes majeures 2020 :

DateVictimeImpactDurée de paralysie
MarsMétropole Aix Marseille300 serveurs chiffrés3 mois
MaiVille de Charleville MézièresServices administratifs2 mois
SeptembreTribunal de ParisProcédures judiciaires3 semaines
DécembreConseil Départemental Eure et LoirAdministration paralysée6 semaines

3.2 Marseille : anatomie d'une paralysie (Mars 2020)

✓ CONFIRMÉ : Le 14 mars 2020, en plein premier confinement Covid, la métropole Aix Marseille Provence est frappée par le ransomware Mespinoza/Pysa.

L'ampleur des dégâts :

300 serveurs chiffrés
1 000 postes de travail touchés
Systèmes de la mairie, de la métropole et des musées paralysés

Le détail qui tue : Pendant des semaines, la mairie de Marseille ne peut plus :

Délivrer d'actes d'état civil
Enregistrer les déclarations de décès
Traiter les demandes de permis de construire
Enterrer ses morts (registres funéraires inaccessibles)

3.3 Février 2021 : le plan cyber arrive enfin

✓ CONFIRMÉ : Le 18 février 2021, Emmanuel Macron annonce la "Stratégie nationale pour la cybersécurité"[^plan_cyber].

Les moyens annoncés :

1 milliard d'euros d'investissement (dont 720 M€ publics)
Création du Campus Cyber à La Défense
Objectif : 75 000 emplois dans la filière d'ici 2025 (contre 37 000)
Objectif : tripler le chiffre d'affaires du secteur (de 7,3 à 25 Mds€)

Le problème : Ce plan arrive 4 ans après WannaCry, 2 ans après le CHU de Rouen, et 1 an après les 80 collectivités attaquées. Le sous investissement chronique a créé une dette technique colossale.

IV. 2024 : L'Année Noire

4.1 Viamedis/Almerys : 33 millions d'assurés exposés

✓ CONFIRMÉ : Le 7 février 2024, la CNIL notifie une violation massive. Les prestataires de tiers payant Viamedis et Almerys ont été piratés[^11].

Données compromises :

État civil complet (nom, prénom, date de naissance)
Numéro de Sécurité sociale
Nom de l'assureur et garanties du contrat

33 millions de Français concernés. Soit la moitié de la population adulte.

4.2 France Travail : 43 millions de victimes potentielles

✓ CONFIRMÉ : Le 13 mars 2024, France Travail révèle une cyberattaque massive[^13].

Données potentiellement exfiltrées :

Nom, prénom, date de naissance
Numéro de Sécurité sociale
Identifiant France Travail
Adresses mail et postales
Numéros de téléphone

43 millions de personnes concernées : tous les demandeurs d'emploi des 20 dernières années.

Le détail accablant : Selon l'enquête de Radio France, la direction de France Travail avait été alertée dès 2022 d'une faille de sécurité précisément identique à celle exploitée. Un document d'analyse de risque préconisait la double authentification. Elle n'a pas été mise en place à temps.

4.3 Le cumul : 100+ millions en 6 mois

Données personnelles compromises en France (2024)Cumul des violations majeures janvier-juin 2024

V. Décembre 2025 : Le Ministère de l'Intérieur Ciblé

5.1 La revendication

⚠ REVENDIQUÉ : Le 10 décembre 2025, un groupe se présentant sous le pseudonyme "near2tlg" publie sur BreachForums une annonce de vente de données issues du ministère de l'Intérieur.

Fichiers revendiqués :

TAJ (Traitement des Antécédents Judiciaires) : 16,4 millions de fiches
STIC (Système de Traitement des Infractions Constatées)
Fichier des personnes recherchées
Dossiers d'enquêtes judiciaires

5.2 La confirmation partielle

◐ RAPPORTÉ : Le 12 décembre 2025, Laurent Nuñez, préfet de police de Paris, confirme sur RTL qu'une "intrusion" a bien eu lieu. Il ne précise pas l'ampleur des données exfiltrées.

Le paradoxe terminal : Le ministère chargé de protéger les Français ne parvient pas à protéger ses propres fichiers.

VI. Encadré Juridique : Ce que Dit Réellement le Droit

6.1 Le Cloud Act américain (23 mars 2018)

Le Clarifying Lawful Overseas Use of Data Act permet aux autorités américaines d'exiger des entreprises sous juridiction US (Microsoft, Amazon, Google) la communication de données stockées n'importe où dans le monde, sans :

Obligation d'informer les personnes concernées
Nécessité de coopération judiciaire internationale (traités MLAT)
Possibilité de refus pour le prestataire

Conséquence : Toute donnée hébergée chez un prestataire américain est potentiellement accessible aux agences de renseignement US.

6.2 Le conflit avec le RGPD

Article 48 du RGPD : Les décisions de juridictions étrangères ordonnant un transfert de données ne sont reconnues que si elles reposent sur un accord international (traité d'entraide judiciaire).

Arrêt Schrems II (CJUE, 16 juillet 2020) : La Cour invalide le Privacy Shield et juge que les lois de surveillance américaines (FISA, Cloud Act, EO 12333) sont incompatibles avec le RGPD.

L'impasse juridique :

Coopérer avec le Cloud Act = violer le RGPD (sanctions CNIL jusqu'à 4% du CA mondial)
Refuser le Cloud Act = sanctions américaines

6.3 L'aveu de Microsoft France (10 juin 2025)

Devant la commission d'enquête du Sénat sur les marchés publics, les représentants de Microsoft France ont explicitement reconnu que Microsoft ne peut pas s'opposer à une injonction américaine pour des données hébergées en France.

"Nous sommes une entreprise américaine. Nous sommes soumis au droit américain." — Audition Sénat, 10 juin 2025

6.4 Le cas Health Data Hub

Novembre 2019 : Création du Health Data Hub, plateforme centralisant les données de santé françaises.

Hébergeur choisi : Microsoft Azure, malgré :

Les réserves de la CNIL sur le risque Cloud Act
L'engagement pris de migrer vers une solution européenne "fin 2022"
La doctrine "cloud de confiance" imposant le label SecNumCloud

Mars 2024 : 11 opérateurs et associations (Clever Cloud, Nexedi, Rapid.Space, Cleyrop...) déposent un recours devant le Conseil d'État pour faire suspendre l'autorisation CNIL.

Décembre 2025 : Le Health Data Hub est toujours sur Microsoft Azure.

6.5 La responsabilité pénale des prestataires

Article 226-17 du Code pénal : Le fait de ne pas notifier une violation de données à la CNIL est puni de 5 ans d'emprisonnement et 300 000€ d'amende.

Article 32 du RGPD : Le responsable de traitement ET le sous traitant doivent garantir la sécurité des données.

Sanctions CNIL :

Jusqu'à 20 millions d'euros ou 4% du CA mondial
Dedalus Biologie : 1,5 M€ d'amende pour fuite de 500 000 dossiers patients (2022)
Darty : 100 000€ pour négligence dans la surveillance d'un sous traitant (2018)

6.6 Les classements sans suite

Constat : La quasi totalité des plaintes déposées suite aux cyberattaques aboutissent à un classement sans suite.

Exemple France Travail : Selon Radio France, la plainte déposée suite à une précédente fuite (prestataire Majorel) a été classée sans suite. Les auteurs n'ont jamais été identifiés.

Raisons structurelles :

Attaquants basés à l'étranger (souvent Russie, pas d'extradition)
Preuves numériques volatiles
Moyens judiciaires insuffisants
Coopération internationale limitée

Conséquence : L'impunité de fait encourage la multiplication des attaques.

VII. Ce que Répond l'État (et Pourquoi Ces Arguments ne Suffisent Pas)

7.1 Les arguments officiels

Argument 1 : "Les attaques sont de plus en plus sophistiquées"

"Nous faisons face à des groupes criminels organisés, souvent liés à des États, disposant de moyens considérables." — Argumentaire récurrent des ministres successifs

Argument 2 : "Nous avons massivement investi"

"1 milliard d'euros mobilisés depuis 2021, création du Campus Cyber, 1 500 cyber patrouilleurs recrutés." — Ministère de l'Intérieur, 2023

Argument 3 : "La France est au niveau européen"

"La directive NIS2 nous place dans le peloton de tête des pays européens en matière de cybersécurité." — Secrétariat d'État au Numérique

Argument 4 : "Aucun système n'est inviolable"

"Même les entreprises les plus avancées (Google, Apple) subissent des attaques. Le risque zéro n'existe pas." — Communication de crise standard

7.2 Pourquoi ces arguments ne tiennent pas

Analyse des Arguments OfficielsÉvaluation critique des réponses de l'État

Réponse à l'argument 1 : "Sophistication des attaques"

Les attaques réussies contre France Travail, Viamedis ou les collectivités n'étaient pas sophistiquées. Elles exploitaient des failles basiques :

Absence de double authentification
Mots de passe faibles ou réutilisés
Systèmes non mis à jour
Absence de segmentation réseau

Réponse à l'argument 2 : "Investissements massifs"

Le plan de 1 Md€ annoncé en 2021 doit être mis en perspective :

Il arrive 4 ans après WannaCry et les premières alertes
Le budget IT hospitalier reste à 1,7% (norme : 5 à 7%)
77% des communes dépensent moins de 2 000€/an en cybersécurité
La dette technique accumulée depuis 2017 n'est pas résorbée

Réponse à l'argument 3 : "Niveau européen"

La comparaison européenne est défavorable à la France :

L'Estonie a dématérialisé 99% de ses services avec une architecture sécurisée dès l'origine
L'Allemagne a investi 2 Mds€ dans la cybersécurité des infrastructures critiques
La France cumule les retards sur la transposition de NIS2

Réponse à l'argument 4 : "Risque zéro inexistant"

Cet argument, techniquement exact, devient une excuse pour l'inaction quand :

Des alertes internes documentées sont ignorées (France Travail, 2022)
Des recommandations ANSSI restent sans suite
Des choix d'hébergement (Health Data Hub sur Azure) contredisent la doctrine officielle
Les classements sans suite des plaintes créent une impunité de fait

7.3 Le vrai problème : la gouvernance

Le déficit n'est pas seulement budgétaire. Il est organisationnel :

ProblèmeIllustration
Absence de responsabilité claireQui est responsable de la cybersécurité hospitalière ? L'ARS ? L'hôpital ? L'ANSSI ?
Silos administratifsChaque ministère gère sa cybersécurité sans coordination
Doctrine vs pratique"Cloud de confiance" proclamé, Azure utilisé
Impunité interneAucun responsable sanctionné après les incidents majeurs

VIII. Synthèse : Le Bilan de Huit Années

8.1 L'équation finale

Transformation numérique vs Sécurisation (2017-2025)Évolution comparée en indices (base 100 = 2017)

Le constat arithmétique :

Démarches dématérialisées : +113% (2017-2024)
Budget cybersécurité : +75% (après le plan 2021)
Incidents signalés : +485%

Conclusion : L'État a numérisé plus vite qu'il n'a sécurisé. La surface d'attaque a explosé, les défenses n'ont pas suivi.

8.2 La chronologie synthétique

Startup Nation → Fall Nation : La Trajectoire

Huit années de transformation numérique

mermaidflowchart TB
    A["🚀 Juin 2017 : Startup Nation"]
    B["📋 Oct 2017 : Action Publique 2022"]
    C["💻 2018-2019 : Dématérialisation accélérée"]
    D["🏥 Nov 2019 : CHU Rouen paralysé"]
    E["🏛️ 2020 : 80 collectivités attaquées"]
    F["💰 Fév 2021 : Plan cyber (4 ans de retard)"]
    G["💾 2024 : 100M+ données compromises"]
    H["🔓 Déc 2025 : Min. Intérieur ciblé"]
    I["❌ Bilan : défaillance systémique"]

    A -->|"Promesse"| B
    B -->|"Exécution"| C
    C -->|"Premier incident majeur"| D
    D -->|"Cascade"| E
    E -->|"Réaction tardive"| F
    F -->|"Insuffisant"| G
    G -->|"Continuation"| H
    H -->|"Constat"| I

    class A,B greenStyle
    class C,F yellowStyle
    class D,E orangeStyle
    class G,H,I redStyle

    classDef greenStyle fill:#22c55e,stroke:#16a34a,color:#ffffff,font-weight:bold
    classDef yellowStyle fill:#facc15,stroke:#f59e0b,color:#1a1a1a,font-weight:bold
    classDef orangeStyle fill:#f97316,stroke:#ea580c,color:#ffffff,font-weight:bold
    classDef redStyle fill:#dc2626,stroke:#b91c1c,color:#ffffff,font-weight:bold

8.3 Le coût de l'incurie

Estimation du coût des cyberattaques en France :

2019 (pré-Covid) : 17 milliards d'euros
2024 : 119 milliards d'euros[^14]

Multiplication par 7 en cinq ans.

IX. Recommandations : Sortir de l'Impasse

Au delà du diagnostic, quelles solutions concrètes ? Deux propositions structurantes.

9.1 La Mesure Emblématique : la Règle des 5%

Proposition : Inscrire dans la loi l'obligation pour tout organisme public de consacrer au minimum 5% de son budget informatique à la cybersécurité.

Budget cybersécurité : France vs standards internationauxPart du budget IT consacrée à la sécurité (en %)

Pourquoi 5% ?

SeuilJustification
Plancher réalisteEn dessous de 3%, maintenance des mises à jour impossible
Standard GartnerRecommandation : 5 à 7% pour les organisations matures
Benchmark NHSAprès WannaCry (2017), passage à 8% du budget IT
Progressivité5% permet une montée en charge sur 3 ans

Mécanisme proposé :

ÉtapeActeurAction
1. Obligation légaleParlementModification CGCT et Code de la santé publique
2. ContrôleChambres régionales des comptesVérification annuelle
3. SanctionPréfets / ARSInéligibilité aux subventions numériques
4. IncitationÉtatBonification +20% pour les structures > 7%

Impact budgétaire estimé :

SecteurBudget ITCyber actuelCyber cible 5%Surcoût annuel
Hôpitaux publics2,1 Mds€36 M€ (1,7%)105 M€+69 M€
Collectivités1,8 Mds€~18 M€ (1%)90 M€+72 M€
Ministères3,5 Mds€~140 M€ (4%)175 M€+35 M€
TOTAL7,4 Mds€~194 M€370 M€+176 M€/an

Ratio coût/bénéfice : 176 M€/an pour éviter des incidents dont le coût unitaire dépasse 10 M€ (CHU Rouen) à 119 Mds€ (coût national 2024). La Règle des 5% représente 0,15% du coût annuel des cyberattaques.

9.2 Schéma Cible de Gouvernance : Qui Fait Quoi, Qui Contrôle Qui

Architecture de responsabilité cyber proposée

Chaîne de commandement claire avec contrôle et sanctions

mermaidflowchart TB
    PM(["🏛️ Premier Ministre (SGDSN)"])
    ANSSI["🔒 ANSSI : Doctrine + Audits"]
    CNIL["⚖️ CNIL : Sanctions données"]
    CDC["📊 Cour des Comptes : Contrôle 5%"]
    MIN["🏢 Ministères : RSSI obligatoire"]
    ARS["🏥 ARS : Contrôle hôpitaux"]
    PREF["🗺️ Préfets : Contrôle collectivités"]
    HOP["🏥 Hôpitaux : 5% + audit triennal"]
    COLL["🏘️ Collectivités : 5% + mutualisation"]
    SANC{"❌ SANCTION : Inéligibilité subventions"}

    PM -->|"Pilotage"| ANSSI
    PM -->|"Coordination"| CNIL
    ANSSI -->|"Référentiels"| MIN
    ANSSI -->|"Référentiel santé"| ARS
    ANSSI -->|"Référentiel territorial"| PREF
    CDC -->|"Audit 5%"| MIN
    CDC -->|"Audit 5%"| HOP
    CDC -->|"Audit 5%"| COLL
    ARS -->|"Conformité"| HOP
    PREF -->|"Conformité"| COLL
    CNIL -->|"Violation données"| SANC
    CDC -->|"Non-respect 5%"| SANC

    class PM darkBlueStyle
    class ANSSI,CNIL blueStyle
    class CDC purpleStyle
    class MIN,ARS,PREF greenStyle
    class HOP,COLL orangeStyle
    class SANC redStyle

    classDef darkBlueStyle fill:#1e40af,stroke:#1e3a8a,color:#ffffff,font-weight:bold
    classDef blueStyle fill:#3b82f6,stroke:#2563eb,color:#ffffff,font-weight:bold
    classDef purpleStyle fill:#a855f7,stroke:#9333ea,color:#ffffff,font-weight:bold
    classDef greenStyle fill:#22c55e,stroke:#16a34a,color:#ffffff,font-weight:bold
    classDef orangeStyle fill:#f97316,stroke:#ea580c,color:#ffffff,font-weight:bold
    classDef redStyle fill:#dc2626,stroke:#b91c1c,color:#ffffff,font-weight:bold

Les 5 principes de la gouvernance cible :

PrincipeSituation actuelleCible proposée
ResponsabilitéDiluée entre ministères et agencesChaîne claire : SGDSN → ANSSI → Opérateurs
ContrôleFacultatif, non sanctionnéAudit Cour des Comptes obligatoire
SanctionQuasi inexistanteInéligibilité aux financements publics
IncitationAbsenteBonification pour les bons élèves
MutualisationVolontaireObligatoire (communes < 10 000 hab.)

Les 5 réformes structurelles :

1.RSSI obligatoire dans chaque ministère, hôpital, intercommunalité > 50 000 hab.
2.Audit ANSSI triennal pour tous les OIV et les 500 plus grandes collectivités
3.Mutualisation imposée : communes < 10 000 hab. → groupement cyber intercommunal
4.Clause cyber marchés publics : SecNumCloud obligatoire pour données sensibles
5.Doctrine "zéro Cloud Act" : migration Health Data Hub sous 24 mois

Calendrier de mise en oeuvre :

ÉchéanceJalon
2026 T1Loi "Règle des 5%" votée
2026 T2Décrets + référentiels ANSSI
2027Première vague d'audits CRC
2028Sanctions effectives
2029Migration Health Data Hub achevée
2030Objectif : incidents majeurs divisés par 2

9.3 La Clause de Responsabilité Personnelle des Dirigeants

Constat : Aujourd'hui, aucun responsable public n'a été sanctionné personnellement pour une faille de cybersécurité, même grave. L'impunité est totale.

Base juridique existante :

TexteDispositionApplication actuelle
Article 226-17 CP5 ans + 300 000€ pour défaut de sécurité des donnéesJamais appliqué à un dirigeant public
Article 432-16 CPNégligence d'un dépositaire de l'autorité publiqueNon utilisé en matière cyber
RGPD Art. 83Sanctions jusqu'à 20 M€ ou 4% CAVise les organismes, pas les personnes

Proposition : Extension de l'article 226-17 CP

Créer un délit de carence caractérisée en cybersécurité applicable aux dirigeants publics :

"Est puni de deux ans d'emprisonnement et de 100 000 euros d'amende le fait, pour tout responsable d'un organisme public ou d'un opérateur de service essentiel, de ne pas avoir pris les mesures de sécurité exigées par la réglementation lorsque cette carence a directement contribué à une atteinte grave aux données personnelles ou à la continuité du service public."

Éléments constitutifs :

ÉlémentDéfinitionExemple
Carence caractériséeNon-respect documenté d'une obligation réglementaireAbsence de double authentification malgré alerte interne
Lien de causalitéLa carence a facilité l'attaqueVulnérabilité connue non corrigée exploitée
Atteinte grave> 10 000 personnes OU service essentiel interrompu > 48hFrance Travail, CHU Rouen

Conditions d'exonération :

Budget cyber conforme à la Règle des 5%
Audit ANSSI à jour sans réserve majeure
Plan de remédiation en cours d'exécution

Précédents juridiques mobilisables :

DomaineTexteResponsabilité personnelle
Sécurité au travailL.4741-1 Code du travailDirigeant pénalement responsable des accidents
EnvironnementL.173-1 Code environnementExploitant responsable des pollutions
Finances publiquesArt. 432-15 CPDétournement par négligence

Pourquoi c'est nécessaire : Sans responsabilité personnelle, les arbitrages budgétaires continueront de sacrifier la cybersécurité. La menace d'une sanction individuelle change les comportements.

9.4 Le Cyber-Score : Notation Publique des Administrations

Inspiration : Le Nutri-Score a transformé les comportements alimentaires par la transparence. Un Cyber-Score public ferait de même pour la sécurité numérique.

Cyber-Score : Échelle de Maturité des AdministrationsNotation A à E publiée annuellement

Grille d'évaluation Cyber-Score :

CritèrePondérationIndicateurs mesurés
Budget25%% budget IT en cyber (cible : 5%)
Gouvernance20%RSSI nommé, PSSI à jour, exercices de crise
Technique25%MFA déployé, patchs < 30 jours, segmentation réseau
Audit15%Résultat dernier audit ANSSI ou certifié
Incidents15%Nombre et gravité sur 24 mois, temps de détection

Échelle de notation :

ScoreNoteSignificationConséquence
90-100AExemplaireÉligible aux marchés sensibles
75-89BConformeStandard requis
60-74CAcceptablePlan de progrès exigé sous 12 mois
45-59DInsuffisantInéligibilité partielle aux subventions
0-44ECritiqueInéligibilité totale + tutelle cyber

Mécanisme de publication :

ÉtapeActeurFréquence
ÉvaluationANSSI + organismes certifiésAnnuelle
Publicationdata.gouv.frObligatoire
AffichageSite web de l'administrationObligatoire (bandeau visible)
SanctionsPréfet / ARSAutomatiques selon score

Exemple de tableau de bord public :

AdministrationCyber-Score 2027ÉvolutionBudget cyber
Ministère de l'IntérieurC (62/100)↗ +8 pts4,2%
CHU de RouenB (78/100)↗ +15 pts5,1%
Ville de MarseilleC (58/100)↗ +12 pts3,8%
France TravailD (52/100)↘ -3 pts2,9%
Commune type < 5000 hab.E (38/100)=0,8%

Effet attendu :

1.Transparence : Les citoyens savent où vont leurs données
2.Émulation : Personne ne veut être noté E
3.Priorisation : Les élus arbitrent différemment quand le score est public
4.Accountability : Les journalistes peuvent comparer et questionner

Base légale proposée : Modification de la loi SREN (2024) pour rendre obligatoire la publication du Cyber-Score pour :

Tous les ministères et opérateurs de l'État
Toutes les collectivités > 20 000 habitants
Tous les établissements de santé
Tous les opérateurs de services essentiels (OSE)

9.5 Synthèse : Le Triptyque de la Réforme

Les 3 Piliers de la Réforme Cyber PubliqueBudget + Responsabilité + Transparence
PilierMécanismeEffet principal
BUDGETRègle des 5%Fin du sous-investissement
RESPONSABILITÉClause pénale personnelleFin de l'impunité des dirigeants
TRANSPARENCECyber-Score publicFin de l'opacité

Ce triptyque transforme l'équation : aujourd'hui, ne pas investir en cybersécurité est rationnel (pas de sanction, pas de visibilité). Demain, ce sera irrationnel (sanction budgétaire + sanction pénale + humiliation publique).

X. Épilogue

Ce que la "Startup Nation" devait être :

Un État agile, pensant "comme une startup"
100% de services publics dématérialisés
La France hub européen de l'innovation
L'administration la plus moderne d'Europe

Ce qu'elle est devenue :

150 millions de données personnelles compromises
80% des Français potentiellement sur le dark web
Des hôpitaux revenus au papier
Des mairies incapables de délivrer des actes d'état civil
Le ministère de l'Intérieur ciblé
Une confiance publique dégradée

Le mot de la fin

Emmanuel Macron voulait que la France "pense et bouge comme une startup". Il a oublié que les startups ont un taux d'échec de 90%.

L'État français a dématérialisé ses services avec l'agilité promise. Il a sécurisé ses systèmes avec les moyens d'une administration en retard sur son époque.

Huit ans plus tard : les données personnelles de la quasi totalité des Français circulent sur le dark web. Le ministère chargé de notre sécurité se fait pirater. Les plaintes sont classées sans suite.

Ce n'est pas seulement un échec de moyens. C'est un échec de vision, de gouvernance et de priorités.

XI. Glossaire

TermeDéfinition
ANSSIAgence Nationale de la Sécurité des Systèmes d'Information. Autorité nationale chargée de la cybersécurité, rattachée au SGDSN (services du Premier ministre).
Cloud ActClarifying Lawful Overseas Use of Data Act (2018). Loi américaine permettant aux autorités US d'accéder aux données détenues par les entreprises américaines, quel que soit leur lieu de stockage.
CNILCommission Nationale de l'Informatique et des Libertés. Autorité administrative indépendante chargée de la protection des données personnelles en France.
Dark webPartie du web accessible uniquement via des navigateurs spécialisés (Tor), souvent utilisée pour le commerce de données volées.
ExfiltrationExtraction non autorisée de données depuis un système d'information.
Health Data HubPlateforme nationale centralisant les données de santé françaises pour la recherche. Hébergée sur Microsoft Azure.
NIS2Directive européenne (2022/2555) renforçant les obligations de cybersécurité pour les infrastructures critiques et essentielles.
PhishingTechnique d'hameçonnage consistant à usurper l'identité d'un tiers de confiance pour obtenir des informations sensibles.
RansomwareLogiciel malveillant qui chiffre les données d'une victime et exige une rançon pour les déchiffrer.
RGPDRèglement Général sur la Protection des Données (UE 2016/679). Cadre européen de protection des données personnelles, en vigueur depuis mai 2018.
SecNumCloudLabel délivré par l'ANSSI certifiant qu'un prestataire cloud respecte les exigences de sécurité françaises, notamment la protection contre les lois extraterritoriales.
TAJTraitement des Antécédents Judiciaires. Fichier de police recensant les personnes mises en cause ou victimes dans des procédures judiciaires.
Tiers payantMécanisme permettant la prise en charge directe des frais de santé par l'assurance maladie et les mutuelles, sans avance de frais par le patient.

Notes de Référence

[^1]: Discours d'Emmanuel Macron au salon VivaTech, Paris, 15 juin 2017. Retranscription officielle Élysée.

[^2]: Revendication publiée sur BreachForums, décembre 2025. Volume non vérifié officiellement. Intrusion confirmée par Laurent Nuñez (RTL, 12 décembre 2025).

[^3]: Programme Action Publique 2022, lancé le 13 octobre 2017. Source : modernisation.gouv.fr

[^4]: Baromètre Allianz Global Corporate & Specialty, 2019.

[^5]: Ministère de l'Intérieur, État de la menace liée au numérique, 2019.

[^6]: ANSSI, "État de la menace rançongiciel", rapport CERTFR-2020-CTI-001.

[^7]: ANSSI, rapport technique CHU de Rouen, novembre 2019. Attribution au groupe TA505, ransomware Clop.

[^8]: ANSSI, communiqué officiel, 2021. Augmentation de 255% des signalements ransomware.

[^9]: CLUSIF, "Menaces informatiques et pratiques de sécurité en France des collectivités territoriales 2019/2020", juin 2020.

[^10]: Témoignage de Marie Nedellec, Table ronde Sénat sur la cybersécurité des collectivités, 28 octobre 2021.

[^11]: CNIL, notification du 7 février 2024. 33 millions d'assurés sociaux concernés.

[^12]: CNAF, communiqué du 23 février 2024.

[^13]: France Travail, communiqué officiel du 13 mars 2024. Enquête CNIL en cours.

[^14]: Étude Statista, février 2025. Coûts directs et indirects.

[^plan_cyber]: Élysée, "Accélération de la stratégie nationale en matière de cybersécurité", 18 février 2021.

Sources Consolidées

Sources institutionnelles officielles

SourceTypeAccès
ANSSI, Panorama de la cybermenace 2020-2024Rapports annuelsssi.gouv.fr
CNIL, Notifications de violations de donnéesBase publiquecnil.fr
Cour des comptes, référés cybersécuritéRapportsccomptes.fr
Sénat, "Collectivités face au défi cyber" (2021)Rapport d'informationsenat.fr
CLUSIF, Rapports annuels 2019-2024Études sectoriellesclusif.fr
Cybermalveillance.gouv.frBaromètres annuelscybermalveillance.gouv.fr
Élysée, Stratégie nationale cybersécuritéCommuniqué officielelysee.fr
Ministère de l'ÉconomieBilan France 2030 cybereconomie.gouv.fr

Sources réglementaires

TexteRéférenceObjet
RGPDRèglement UE 2016/679Protection des données personnelles
Cloud ActH.R.4943, 23 mars 2018Accès extraterritorial aux données
Directive NIS2Directive UE 2022/2555Cybersécurité des infrastructures critiques
Loi SRENLoi n°2024-449, 21 mai 2024Sécurisation de l'espace numérique
Arrêt Schrems IICJUE C-311/18, 16 juillet 2020Invalidation Privacy Shield

Sources journalistiques

MédiaSpécialitéFiabilité
LeMagITAnalyses techniques ITRéférence sectorielle
Le Monde InformatiqueActualité numériqueGénéraliste fiable
France Info / Radio FranceEnquêtes (France Travail)Service public
ZATAZ (Damien Bancal)Veille dark webSpécialiste reconnu
L'Usine DigitaleIndustrie numériqueÉconomique/technique
Next.inkCybersécuritéTechnique approfondi

Auditions parlementaires citées

Sénat, Commission d'enquête marchés publics, audition Microsoft France, 10 juin 2025
Sénat, Table ronde cybersécurité collectivités, 28 octobre 2021
Partager :