L'État régalien à découvert. Manquements à la sécurité numérique de l'État, défaillance opérationnelle de l'ANTS et dérive doctrinale de l'ANSSI

Synthèse exécutive

Constats principaux

Constat n° 1, faisceau d'indices sérieux de manquement. La fuite ANTS du 15 avril 2026 (11,7 millions de comptes confirmés par le ministère, 18 à 19 millions de lignes revendiquées par l'attaquant) résulte, selon les éléments techniques publiquement disponibles à la date de rédaction et concordants entre l'attaquant, les analyses de chercheurs en sécurité et la presse spécialisée, d'une vulnérabilité IDOR figurant depuis 2007 dans le top 10 du référentiel mondial OWASP. Le ministère de l'Intérieur a confirmé l'incident et son périmètre sans qualifier publiquement le vecteur technique. Les éléments publics réunissent un faisceau d'indices sérieux de manquement à l'article 32 du règlement général sur la protection des données, à l'IGI 1337 du 26 octobre 2022 et au Référentiel général de sécurité ; la qualification juridique définitive relèvera de la CNIL et, le cas échéant, du juge administratif. Une alerte similaire aurait circulé en septembre 2025 sans qu'il soit possible, à ce stade, d'établir publiquement la chaîne de traitement.

Constat n° 2, pattern régalien. Sixième fuite majeure affectant un opérateur public, parapublic, social ou privé chargé d'une fonction d'intérêt général depuis janvier 2024 (Viamedis, France Travail, Pajemploi, données de santé, CAF, ANTS). Cumul supérieur à cent millions de lignes pour cinquante millions d'adultes français. Le panorama de la cybermenace 2024 publié par l'ANSSI le 11 mars 2025 et les rapports ENISA Threat Landscape documentent une pression cyber forte et croissante sur l'administration publique française, qui figure parmi les secteurs les plus exposés en Europe.

Constat n° 3, architecture défaillante. L'ANTS externalise l'équivalent de six cents emplois (centre d'appels, fonctions informatiques) auprès de plus d'une centaine de prestataires hébergés en permanence. La Cour des comptes a documenté ce point structurel dans son rapport public d'avril 2024 (référence S2023-1361), vingt-quatre mois avant l'incident, en relevant les difficultés de l'État à attirer, développer et fidéliser des compétences techniques.

Constat n° 4, dérive doctrinale. Le plan stratégique 2025-2027 de l'ANSSI concentre sa visibilité publique sur la cryptographie post-quantique, l'intelligence artificielle, le cloud et les enjeux sociétaux. Les invariants opérationnels qui causent l'écrasante majorité des incidents observés restent traités comme des bonnes pratiques décentralisées. La Cour des comptes a recommandé en juin 2025 de préciser les missions de l'agence et de renforcer prioritairement le contrôle des entités régulées.

Constat n° 5, asymétrie politique. La directive NIS 2, dont le cadre européen a été adopté en 2022 et dont la préparation opérationnelle est pilotée par l'ANSSI dans l'attente d'une transposition complète en droit français, impose au secteur privé un dispositif de sanctions, une politique de name and shame et la responsabilité personnelle des dirigeants. Le secteur public régalien échappe en pratique à la même rigueur. La sanction de cinq millions d'euros prononcée par la CNIL contre France Travail le 29 janvier 2026 a la singularité d'être l'État se sanctionnant lui-même par circulation de fonds publics.

Chiffres clés

Recommandations techniques principales

R1. Confier au Secrétariat général de la défense et de la sécurité nationale, par décret modifiant le décret n° 2022-513, la responsabilité opérationnelle directe de la sécurisation des plateformes régaliennes hébergeant les données d'identification, à l'horizon du 1er janvier 2028.

R2. Assortir la qualification PASSI d'une obligation d'audit applicatif systématique (top 10 OWASP, tests d'intrusion approfondis) pour tout téléservice de l'État traitant plus d'un million de comptes ou des données civiles vérifiées.

R3. Publier annuellement un panorama public de la maturité SSI des ministères et principaux établissements publics, fondé sur des indicateurs comparables dans le temps.

R4. Réformer le CCAG-TIC pour rendre opposables, par défaut, des clauses de sécurité applicative dans les marchés publics IT de l'État, sur le modèle des clauses-types BSI allemandes.

R5. Engager un plan pluriannuel de réinternalisation de 1 500 emplois dans la filière numérique de l'État sur la période 2026-2030, prioritairement sur les fonctions de sécurité applicative et de pilotage de prestataires.

Propositions pour sortir du déni

D1. Publication par défaut, avec rédactions opérationnellement justifiées, des rapports d'audit ANSSI portant sur les plateformes régaliennes.

D2. Audition parlementaire annuelle obligatoire des autorités qualifiées en sécurité des systèmes d'information ministérielles, sur le modèle des FISMA Reports américains.

D3. Indemnisation forfaitaire automatique des usagers victimes par l'opérateur public responsable, sans condition d'action en justice, calibrée par plafonnement, gradation selon la sensibilité des données et financement par un fonds dédié.

D4. Création d'un programme national de bug bounty pour les plateformes régaliennes, sur le modèle américain et britannique.

D5. Reconnaissance publique au niveau du Premier ministre de l'épuisement du modèle doctrinal actuel et annonce d'une révision doctrinale.

D6. Création d'un délégué interministériel à la résilience numérique régalienne, rattaché au Premier ministre.

D7. Moratoire politique, versé au débat sans hiérarchisation prioritaire et juridiquement discutable, sur l'engagement français des sanctions NIS 2 contre les entités privées tant que les ministères régaliens n'ont pas atteint un seuil de maturité SSI publiquement défini.

I. Établissement des faits et qualification technique

I.1. Chronologie de l'incident

Le mercredi 15 avril 2026, l'ANTS détecte un « incident de sécurité pouvant impliquer une divulgation de données » (communiqué officiel du ministère de l'Intérieur du 21 avril 2026). Le lendemain, un acteur cybercriminel utilisant le pseudonyme « breach3d » met en vente sur des forums du dark web une base présentée comme issue de l'ANTS, comprenant entre 18 et 19 millions de lignes. La Procureure de la République de Paris reçoit un signalement daté du 16 avril 2026, transmis au titre de l'article 40 du Code de procédure pénale ; l'enquête est confiée à l'Office anti-cybercriminalité (OFAC). La CNIL est notifiée conformément à l'article 33 du règlement général sur la protection des données. L'ANSSI est alertée le même jour.

Le communiqué public n'est diffusé que le 20 avril 2026, soit cinq jours après la détection. Le 22 avril 2026, le ministère précise par voie de communiqué le périmètre officiel : 11,7 millions de comptes uniques de particuliers et de professionnels concernés. Le ministre de l'Intérieur saisit le même jour l'Inspection générale de l'administration en vue d'établir la chaîne de responsabilité, démarche dont le caractère explicite est suffisamment rare pour être noté.

I.2. Nature de la vulnérabilité exploitée

Le vecteur d'attaque est documenté par l'attaquant lui-même, par le hacker éthique Baptiste Robert, et par l'analyse technique publiée par les sites spécialisés (FrenchBreaches, JustGeek, Korben, Développez.com). Il s'agit d'une vulnérabilité dite IDOR (Insecure Direct Object Reference) sur l'API du portail moncompte.ants.gouv.fr. La vulnérabilité IDOR figure depuis 2007 dans le top 10 du référentiel mondial OWASP des risques applicatifs les plus connus, sous l'intitulé courant « Broken Access Control ».

Le mécanisme d'exploitation est sans sophistication. Dans le scénario rapporté par les sources techniques, une requête HTTP authentifiée est envoyée à un point d'API exposant une ressource via un identifiant numérique séquentiel ; le serveur retournerait la ressource sans vérifier que l'utilisateur authentifié est bien l'utilisateur autorisé à y accéder. L'attaquant n'aurait, dès lors, qu'à incrémenter cet identifiant pour énumérer la base entière. Aucun chiffrement à casser, aucun mot de passe à deviner, aucune chaîne de privilège à élever. L'attaquant a déclaré avoir extrait 18 millions de lignes en deux jours, avant d'être bloqué « au bout de trois jours » par des mesures correctives.

I.3. Données exfiltrées et niveau de gravité

Le ministère a confirmé que les données concernées comprennent nom, prénom, date et lieu de naissance, adresse postale, adresse électronique, numéro de téléphone, identifiant ANTS unique, et pour les comptes professionnels les numéros d'accréditation. Les pièces jointes scannées et les mots de passe hachés ne sont pas concernés.

La gravité ne tient pas à la nature isolée de chaque champ mais au caractère vérifié de l'identité par l'État, qui transforme cette base en matériau de phishing ciblé d'une crédibilité supérieure. L'agrégation avec d'autres fuites antérieures permet, par recoupement, de constituer des profils complets exploitables pour usurpation d'identité, fraude bancaire, ingénierie sociale ou opérations d'influence d'origine étatique.

II. Cadre juridique applicable et qualification analytique du manquement présumé

L'analyse juridique repose sur quatre piliers normatifs dont la combinaison désigne sans ambiguïté la responsabilité de l'opérateur et fixe les obligations qui n'ont pas été tenues.

II.1. Article 32 du règlement général sur la protection des données

L'article 32 du règlement (UE) 2016/679 dispose que le responsable du traitement et le sous-traitant mettent en œuvre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », en tenant compte de l'état de l'art, des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du traitement. La jurisprudence de la CNIL et de la Cour de justice de l'Union européenne a établi que cette obligation est de moyens renforcés : elle ne se satisfait pas de l'absence d'incident, mais exige la démonstration documentée de l'application des standards de l'état de l'art.

La présence d'une vulnérabilité IDOR sur une API exposée publiquement, traitant les données civiles vérifiées de la majorité de la population française adulte, constitue à notre lecture un faisceau d'indices sérieux de manquement à cette obligation, dont la qualification juridique définitive relèvera de la CNIL. La vulnérabilité figure dans le référentiel OWASP depuis dix-neuf ans ; sa correction relève du cahier des charges minimal de toute application web exposant des données personnelles ; et son exploitabilité par énumération d'identifiants séquentiels traduit l'absence simultanée de contrôle d'autorisation et de mécanisme de limitation du débit (rate limiting), deux mesures dont le coût marginal est négligeable. La sanction de cinq millions d'euros prononcée le 29 janvier 2026 par la CNIL contre France Travail, pour une fuite de moindre élégance technique, fournit le précédent jurisprudentiel direct.

II.2. Instruction générale interministérielle n° 1337/SGDSN/ANSSI du 26 octobre 2022

L'IGI 1337, approuvée par arrêté du 26 octobre 2022, organise la sécurité numérique du système d'information et de communication de l'État et de ses établissements publics. Son application est obligatoire pour les ministères et les établissements publics de l'État, quel que soit leur régime, ce qui inclut sans ambiguïté l'ANTS.

L'instruction définit la chaîne fonctionnelle de sécurité des systèmes d'information, désigne les autorités qualifiées en sécurité des systèmes d'information (AQSSI) au niveau ministériel, et impose la déclinaison de politiques ministérielles de sécurité numérique (PMSN) qui doivent intégrer un Plan d'assurance sécurité (PAS) au dispositif contractuel. Ce plan d'assurance sécurité doit garantir la bonne exécution des prestations durant la durée du marché, et prévoir la faculté pour l'AQSSI de contrôler régulièrement le respect des exigences de sécurité.

La défaillance constatée sur le portail ANTS soulève la question de l'effectivité de ces dispositifs : un contrôle par tests d'intrusion automatisés, exécuté périodiquement et incluant la vérification des contrôles d'autorisation côté serveur, aurait détecté la vulnérabilité. La démarche d'homologation prévue par l'article 4.2.3 de l'IGI 1337, qui doit identifier et traiter les risques liés à l'exploitation d'un système d'information, n'a pas, en l'espèce, joué son rôle préventif.

II.3. Référentiel général de sécurité

Le Référentiel général de sécurité (RGS), institué par l'ordonnance n° 2005-1516 du 8 décembre 2005 et son décret d'application n° 2010-112 du 2 février 2010, fixe les règles que doivent respecter les fonctions des systèmes d'information contribuant à la sécurité des informations échangées par voie électronique entre usagers et autorités administratives. Le RGS distingue trois niveaux de sécurité (élémentaire, standard, renforcé) que les autorités doivent appliquer selon la sensibilité des téléservices concernés.

Un téléservice national portant sur les titres d'identité et d'immatriculation, pour lequel l'État est garant de la véridicité des données civiles, relève manifestement du niveau renforcé. Sa conformité au RGS supposait, en plus du contrôle d'authentification correctement implémenté, une politique de gestion des accès (article 6 du RGS), une journalisation des accès et une supervision active de cette journalisation. La présente analyse ne dispose pas des éléments permettant de qualifier la conformité formelle de l'ANTS au RGS ; elle observe néanmoins que le résultat opérationnel est incompatible avec l'application effective de ce référentiel.

II.4. Décret n° 2022-513 du 8 avril 2022 et architecture institutionnelle

Le décret du 8 avril 2022 dispose que les ministères et leurs établissements publics mettent en œuvre une politique de sécurité numérique conforme aux orientations interministérielles, et que l'ANSSI réalise « selon une programmation annuelle, des audits et des inspections » des entités concernées. La défaillance constatée sur le portail ANTS pose dès lors une question dont la portée dépasse le seul cas d'espèce : l'agence a-t-elle, sur la programmation 2023-2025, audité le système d'information de l'ANTS, et si oui, dans quelles conditions et avec quelles conclusions ? L'IGA, saisie par le ministre de l'Intérieur, est en mesure d'établir cette traçabilité.

III. Cartographie des responsabilités opérationnelles

III.1. L'ANTS comme établissement à externalisation massive

La Cour des comptes elle-même, dans son rapport public d'avril 2024 sur l'Agence nationale des titres sécurisés (référence S2023-1361, contrôle portant sur les exercices 2018 à 2022), a documenté un point structurel décisif. L'ANTS, qui dispose d'environ 350 agents en propre, externalise en réalité l'équivalent de près de 600 agents supplémentaires : centre d'appels confié à Intelcia (430 téléconseillers), et fonctions informatiques (développement, hébergement, exploitation, sécurité des systèmes d'information) confiées à plus d'une centaine de prestataires hébergés en permanence dans les locaux de l'agence.

La Cour notait en 2024 que ce modèle « illustre les difficultés de l'État à attirer, développer et fidéliser des compétences techniques dans la filière numérique ». Elle relevait également les risques de contrôle et de maîtrise des systèmes d'information découlant de cette dépendance. Vingt-quatre mois plus tard, la fuite IDOR donne corps à cette mise en garde.

Cette architecture, par construction, dilue la responsabilité opérationnelle. Le code applicatif vulnérable a été produit dans le cadre d'un marché public dont l'identification précise ne figure pas dans le périmètre informationnel public à la date de cette analyse. L'ANTS a publié en 2024-2025 plusieurs accords-cadres relatifs au développement et à la maintenance des applicatifs backend, des applications mobiles et au Service de garantie de l'identité numérique (SGIN). Donneur d'ordre : l'établissement. Titulaire : privé. Contrôle : AQSSI ministérielle. Audit programmé : ANSSI. Quatre acteurs, une chaîne de responsabilité que la défaillance révèle non tenue.

III.2. Zones d'opacité documentaire

La présente analyse identifie quatre zones d'opacité que seules une enquête parlementaire ou une instruction de la Cour des comptes permettrait d'éclairer. Premièrement, la traçabilité contractuelle : quel marché a produit le code vulnérable, à quel titulaire, sous quel CCAG, avec quelles clauses de tests d'intrusion ? Deuxièmement, la traçabilité des audits : l'ANSSI a-t-elle, dans le cadre de sa programmation annuelle prévue par le décret du 8 avril 2022, examiné le portail ANTS depuis sa mise en production ? Troisièmement, la traçabilité du signalement de septembre 2025 : qui a reçu, traité ou ignoré la première alerte, et selon quel processus ? Quatrièmement, la traçabilité de la décision du 15 au 20 avril 2026 : pourquoi cinq jours se sont-ils écoulés avant la communication publique, et selon quelle chaîne d'arbitrage ?

Tant qu'aucune réponse documentée ne leur est apportée, la présomption d'une défaillance distribuée plutôt que ponctuelle reste fondée.

IV. Une séquence régalienne : 2024-2026

L'incident ANTS s'inscrit dans une accumulation dont le calendrier interdit désormais la lecture par exception. Depuis janvier 2024, six fuites majeures affectant des opérateurs publics, parapublics, sociaux ou privés chargés d'une fonction d'intérêt général ont été documentées.

L'agrégat dépasse cent millions de lignes pour une population française adulte d'environ cinquante millions, ce qui implique que chaque citoyen majeur est statistiquement présent dans plusieurs de ces bases. Le rapport annuel 2024 de la CNIL observe que les notifications de violation de données ont progressé de vingt pour cent en un an, et que les violations touchant plus d'un million de personnes ont doublé. France Travail a été condamné à cinq millions d'euros le 29 janvier 2026 pour « la méconnaissance des principes essentiels en matière de sécurité ».

L'ANSSI, dans son panorama de la cybermenace 2024 publié le 11 mars 2025, ainsi que l'ENISA dans ses rapports Threat Landscape, documentent une pression cyber forte et croissante sur l'administration publique française, qui figure parmi les secteurs les plus exposés en Europe. La trajectoire ainsi documentée suggère que la chaîne de défense numérique régalienne est désormais identifiée par les acteurs hostiles comme l'une des moins solidement tenues parmi les chaînes nationales européennes comparables.

V. L'ANSSI : doctrine, moyens et trajectoire

V.1. Position institutionnelle et ressources

L'ANSSI, créée par décret n° 2009-834 du 7 juillet 2009, est un service à compétence nationale rattaché au Secrétariat général de la défense et de la sécurité nationale. Au 1er janvier 2025, elle compte 656 équivalents temps plein, soit une augmentation de cent vingt-huit pour cent depuis 2021. Son budget hors masse salariale s'élève à 29,6 millions d'euros en 2024, en hausse de quinze pour cent. Elle est dirigée depuis janvier 2023 par Vincent Strubel.

Ses missions, qui découlent du décret de 2009 et de l'IGI 1337, recouvrent quatre fonctions distinctes : élaborer les règles de sécurité applicables à l'État et aux opérateurs critiques, conduire des audits programmés et des inspections, accompagner les administrations dans la conception de leurs systèmes critiques, et répondre aux incidents majeurs via le CERT-FR. L'agence est ainsi autorité de contrôle et de référence, non opérateur. Cette distinction, juridiquement claire, n'épuise pas la question politique de la cohérence d'ensemble du dispositif.

V.2. Le plan stratégique 2025-2027 : une asymétrie communicationnelle

Le plan stratégique 2025-2027, publié en mars 2025, est structuré autour de quatre axes : amplifier et coordonner la réponse à la menace, développer des expertises de pointe (cryptographie post-quantique, intelligence artificielle, cloud, open source), intensifier la coopération européenne et internationale, renforcer la prise en compte des enjeux sociétaux (environnement, diversité, inclusion).

Le rapport de la Cour des comptes du 16 juin 2025 a relevé que ce plan stratégique, « base solide », devait « être décliné en plan d'action budgété » et que l'agence devait voir précisées ses missions, particulièrement renforcer « l'observation de la menace et le contrôle des entités régulées ». La réponse publique du directeur général, formulée sur LinkedIn, fut notable par sa désinvolture : « La route est longue, mais elle est clairement tracée. Y a plus qu'à ! ». Dix mois plus tard, l'ANTS s'effondrait sur une faille IDOR.

L'asymétrie communicationnelle entre les sujets prospectifs (post-quantique, IA, sociétal) et les invariants opérationnels (gestion des accès, audit applicatif, contrôle des prestataires) est documentable.

L'asymétrie n'est pas en soi disqualifiante. Le « Q-Day », c'est-à-dire le moment où des ordinateurs quantiques pourront casser la cryptographie asymétrique, est projeté à l'horizon 2035 par les services de renseignement occidentaux ; la transition post-quantique exige une dizaine d'années. L'ANSSI codirige par ailleurs la roadmap européenne post-quantique avec le BSI et son homologue néerlandais, et imposera la cryptographie post-quantique en qualification dès 2027. Ces choix sont défendables.

L'enjeu n'est donc pas le bien-fondé de cette doctrine, mais sa hiérarchisation. Lorsque l'autorité nationale de cybersécurité concentre sa visibilité publique sur des enjeux à dix ans pendant que la base technique se révèle traversée par des défaillances que la cryptographie ne corrigerait pas, les opérateurs ministériels, qui n'ont pas la maturité moyenne pour distinguer la prospective de l'urgence, allouent leur attention selon le signal de leur autorité de référence.

VI. Comparaison internationale

VI.1. Le modèle allemand : le BSI

Le Bundesamt für Sicherheit in der Informationstechnik (BSI), créé en 1991 et placé sous tutelle du ministère fédéral de l'Intérieur, fournit un point de comparaison décisif. Localisé à Bonn, le BSI compte environ 1 700 agents en 2024, soit deux fois et demie l'effectif de l'ANSSI. Il est dirigé depuis le 1er juillet 2023 par Claudia Plattner.

Sa mission diffère substantiellement de celle de l'ANSSI sur trois points. Le BSI assume la sécurité opérationnelle directe des systèmes d'information de l'administration fédérale, et exploite à ce titre l'Informationverbund Berlin Bonn (IVBB), réseau interadministratif qui ne dispose que de deux points d'interconnexion à l'Internet. Il dispose, au titre du BSI-Gesetz, de prérogatives directes d'inspection et d'injonction sur les entités fédérales, qu'il a employées en 2024 pour contraindre Microsoft à publier un livre blanc sur le double chiffrement de Microsoft 365 et Azure. Son corpus de standards (IT-Grundschutz, dont le compendium dépasse 4 800 pages) fournit aux administrations une méthodologie opposable plus prescriptive que le RGS français.

L'écart d'effectifs (656 contre 1 700) ne traduit pas seulement une différence de moyens. Il reflète une différence doctrinale assumée : le BSI est à la fois autorité, opérateur et standardisateur. L'ANSSI a fait le choix historique de ne pas être opérateur, en confiant aux DSI ministérielles la sécurisation des plateformes. Ce choix, soutenable lorsque les DSI ministérielles disposent des ressources, des compétences et de la culture de sécurité requises, devient structurellement défaillant dès lors que la cybermenace et le périmètre des plateformes critiques croissent plus vite que ces ressources ministérielles.

VI.2. Comparaison synthétique des architectures nationales

Le tableau suivant résume les différences de structure entre les autorités nationales de cybersécurité de quatre démocraties européennes comparables.

Les chiffres relatifs au NCSC britannique et au NCSC-NL néerlandais sont des ordres de grandeur, les rapports annuels publiés étant moins détaillés que les documents budgétaires français ou allemands. Ils suffisent néanmoins à dessiner la position singulière de la France parmi ses comparables : l'agence la plus prospective sur les sujets émergents, mais l'une des moins dotées en effectifs et la plus éloignée d'une fonction d'opérateur direct.

VII. Steelmanning : ce qui peut être plaidé pour l'agence

Une analyse honnête doit intégrer les arguments que les défenseurs de la trajectoire actuelle peuvent légitimement opposer à cette lecture. Quatre méritent d'être pris au sérieux.

Le premier tient au périmètre. L'ANSSI n'opère pas le portail ANTS et ne sécurise pas le code applicatif des plateformes ministérielles. Sa mission est de fixer les règles, de qualifier des produits, de conduire des audits programmés et d'intervenir en réponse à des incidents majeurs. La sécurisation quotidienne des applications relève des autorités qualifiées en sécurité des systèmes d'information ministérielles. La délimitation des responsabilités opérationnelles est juridiquement et fonctionnellement claire.

Le deuxième tient à la prospective stratégique. Le calendrier post-quantique impose à toute autorité sérieuse de structurer ce travail dès aujourd'hui ; le retard pris serait irrattrapable. La codirection française de la roadmap européenne post-quantique constitue un point d'influence dans la souveraineté numérique européenne qu'il serait imprudent d'abandonner.

Le troisième tient à la transposition de NIS 2. L'élargissement du périmètre régulé à 15 000 entités, la définition du ReCyF en cours d'élaboration, la mise en place d'une chaîne de notification d'incidents et la professionnalisation de la gouvernance des dirigeants sont, à terme, les seuls leviers susceptibles de relever le niveau général de la cybersécurité française. Le critiquer parce qu'il n'a pas encore produit de résultats opérationnels visibles revient à exiger d'une réforme qu'elle agisse avant son entrée en vigueur.

Le quatrième tient à la trajectoire de moyens. L'augmentation de cent vingt-huit pour cent des effectifs depuis 2021 traduit une volonté politique réelle, parmi les rythmes de croissance les plus soutenus de l'administration française. Lui reprocher la fuite ANTS reviendrait à ignorer le délai naturel d'effet d'une montée en puissance.

Ces quatre arguments sont sérieux. Ils n'effacent pas pour autant le constat opérationnel qui les contredit. La Cour des comptes elle-même, dans son rapport du 16 juin 2025, est arrivée au même diagnostic : responsabilités éclatées, capacités d'audit limitées, formation des agents publics insuffisante, pilotage interministériel peu lisible. Ce diagnostic, formulé par la juridiction financière dix mois avant l'incident ANTS, constitue un précédent doctrinal que la défaillance d'avril 2026 rend politiquement difficile à contourner.

VIII. Recommandations techniques

Les cinq recommandations suivantes adressent les conditions opérationnelles immédiates de remédiation. Elles sont nécessaires mais, à notre lecture, non suffisantes : leur mise en œuvre supposera un déblocage politique et doctrinal traité dans la section IX. Elles sont adressées nommément aux destinataires institutionnels concernés et accompagnées d'une échéance indicative.

Recommandation n° 1 (Premier ministre, SGDSN, ministère de l'Intérieur). Confier au SGDSN, par voie de décret modifiant le décret n° 2022-513 du 8 avril 2022, la responsabilité opérationnelle directe de la sécurisation des plateformes régaliennes hébergeant les données d'identification, à l'horizon du 1er janvier 2028. Cette responsabilité s'exercerait par délégation à un opérateur dédié, soit par renforcement substantiel de la sous-direction Opérations de l'ANSSI, soit par création d'une entité distincte rattachée au SGDSN sur le modèle du Centre gouvernemental de veille élargi.

Recommandation n° 2 (ANSSI, ministère de l'Intérieur). Assortir la qualification PASSI d'une obligation d'audit applicatif systématique, incluant la vérification des contrôles d'accès en référence au top 10 OWASP et au minimum un test d'intrusion approfondi par exercice, pour tout téléservice de l'État traitant plus d'un million de comptes ou des données civiles vérifiées. La conformité ferait l'objet d'une attestation transmise au FSSI ministériel et conservée pendant la durée du marché.

Recommandation n° 3 (ANSSI, DINUM, Cour des comptes). Publier annuellement, sur le modèle du panorama de la cybermenace, un panorama public de la maturité SSI des ministères et des principaux établissements publics, fondé sur des indicateurs comparables dans le temps (taux de couverture des audits, taux de remédiation des vulnérabilités critiques, taux d'agents formés, taux de tests d'intrusion exécutés). Cette publication créerait l'incitation réputationnelle interne dont l'État a privé jusqu'ici sa propre administration en l'absence de toute pression équivalente à celle imposée au secteur privé par NIS 2.

Recommandation n° 4 (Direction des affaires juridiques de Bercy, DAJ ministérielle, ANSSI). Réformer le Cahier des clauses administratives générales applicables aux marchés publics de techniques de l'information et de la communication (CCAG-TIC) pour rendre opposables, par défaut, des clauses de sécurité applicative incluant l'obligation d'utiliser des mécanismes de gestion des accès conformes à l'état de l'art, de soumettre le code à des tests d'intrusion en cours d'exécution du marché, et d'engager la responsabilité du titulaire en cas de défaillance révélée par un audit ultérieur. Cette réforme s'inspirerait des clauses-types BSI applicables en Allemagne aux marchés fédéraux.

Recommandation n° 5 (DINUM, ministère de la Transformation publique). Engager un plan pluriannuel de réinternalisation des compétences techniques critiques de la filière numérique de l'État, à hauteur de 1 500 ETP supplémentaires sur la période 2026-2030, par voie de recrutements directs et de transformation de postes externalisés en postes statutaires, prioritairement sur les fonctions de sécurité applicative, de pilotage de prestataires et de maîtrise d'ouvrage. Cette réinternalisation est la condition de soutenabilité des recommandations 1 à 4.

Ces cinq recommandations ne couvrent pas l'ensemble du champ. Elles constituent, à notre lecture, le seuil minimal de réponse à la défaillance constatée.

IX. Sortir du déni : propositions doctrinales et politiques

IX.1. Anatomie du déni

Les recommandations techniques exposées en section VIII répondent aux conditions opérationnelles immédiates. Elles n'épuisent pas la question. La répétition des défaillances depuis janvier 2024, la persistance des communications administratives rassurantes après chaque incident, l'absence systématique de mise en cause individuelle de responsables identifiés et le maintien d'un discours stratégique inchangé suggèrent que le problème n'est plus seulement technique ou organisationnel. Il est doctrinal et politique.

Cette anatomie comporte quatre composantes que nous proposons de nommer pour pouvoir les traiter. Déni de la systématicité : chaque incident est traité comme un cas particulier, dont les causes seraient propres à l'opérateur concerné, jamais qualifié comme tel au niveau interministériel. Déni de l'obsolescence doctrinale : le modèle d'une autorité nationale non opératrice, qui définit des règles que les ministères appliquent inégalement, est défendu comme un acquis intangible alors que ses prémisses ont changé. Déni de la responsabilité personnelle : aucune mise en cause individuelle des responsables hiérarchiques ou politiques concernés ne suit les fuites majeures ; la sanction pèse sur la personne morale, donc sur le contribuable. Déni de l'incohérence morale : NIS 2 impose au privé une rigueur que l'État ne s'applique pas à lui-même, le « devoir d'exemplarité » revendiqué par l'ANSSI restant un argument communicationnel.

Les sept propositions suivantes sont conçues pour rompre, chacune, l'une de ces composantes. Elles sont distinctes par leur nature des recommandations techniques précédentes : politiques, symboliques ou structurelles, elles engagent la cohérence morale de l'État avant son efficacité opérationnelle.

IX.2. D1. Publication des audits ANSSI sur les plateformes régaliennes

Le secret administratif protège jusqu'ici les rapports d'audit conduits par l'ANSSI sur les systèmes d'information de l'État. La présente proposition consiste à inverser le principe : publication par défaut des conclusions d'audit, avec rédactions opérationnellement justifiées sur les éléments dont la divulgation faciliterait l'attaque, dans un délai de douze mois après l'audit. Le précédent existe : les rapports de la Cour des comptes, les rapports d'inspection générale et les sanctions de la CNIL sont publics. La PSSIE et l'IGI 1337 n'y font pas obstacle ; le seul obstacle réel est culturel.

L'effet attendu est double. La perspective d'une publication crée une incitation directe à la remédiation, là où le secret crée une incitation au statu quo. L'État accepte par ailleurs le traitement public qu'il impose au privé via le name and shame de NIS 2, rétablissant ainsi la cohérence morale de la doctrine.

IX.3. D2. Audition parlementaire annuelle des AQSSI ministériels

Sur le modèle des FISMA Reports américains, qui imposent à chaque agence fédérale de publier annuellement son score de cybersécurité, la présente proposition consiste à instituer une audition parlementaire annuelle obligatoire de chaque AQSSI ministérielle, devant la commission des lois ou la commission de la défense. L'audition porterait sur l'évolution de la maturité SSI du périmètre, le nombre d'incidents traités, les remédiations effectuées, les vulnérabilités résiduelles et les moyens demandés, accompagnée d'un rapport public selon les indicateurs comparables prévus à la recommandation R3.

L'AQSSI cesse alors d'être une fonction administrative interne pour devenir un point d'imputation publique. Le ministre, qui désigne l'AQSSI, devient politiquement comptable des résultats devant le Parlement.

IX.4. D3. Indemnisation forfaitaire automatique des usagers victimes

Pour toute fuite affectant un opérateur d'État et concernant plus d'un million de personnes, instituer une indemnisation forfaitaire automatique à la charge du responsable du traitement, versée sans condition d'action en justice. Le montant pourrait être fixé à cinquante euros par usager touché pour les données civiles vérifiées, davantage pour les données sensibles.

Trois mécanismes de calibrage rendent la proposition budgétairement soutenable : plafonnement par incident à hauteur de cent millions d'euros, gradation par catégorie de données (coordonnées civiles, données financières et sociales, données de santé), financement par un fonds dédié alimenté par redéploiement des crédits de prévention non consommés, contribution mutualisée des opérateurs et part des amendes CNIL contre opérateurs publics.

Cette mesure ne crée pas une charge nette pour le contribuable : elle rend visible et budgétairement opposable un coût qui existe déjà sous forme de fraudes, de phishing réussis, de contentieux individuels et de temps perdu. Elle crée une incitation directe à investir en sécurité préventive plutôt qu'à payer après coup, et rend tangible l'asymétrie entre l'État qui sanctionne et l'État qui indemnise.

IX.5. D4. Bug bounty national pour les plateformes régaliennes

Le programme américain Hack the Pentagon, lancé en 2016, a permis la remontée de plus de quinze mille vulnérabilités en cinq ans pour un coût marginal au regard du préjudice évité ; le programme britannique HMG Vulnerability Disclosure géré par le NCSC fonctionne sur des principes équivalents ; les Pays-Bas ont depuis 2013 une politique de divulgation responsable formalisée.

La présente proposition consiste à instituer un programme national de bug bounty pour les plateformes régaliennes, géré par l'ANSSI, doté d'une enveloppe annuelle initiale de cinq millions d'euros, structuré en niveaux de récompense croissants selon la criticité des vulnérabilités remontées, et accompagné d'une exemption de poursuites pénales pour les chercheurs respectant le cadre du programme.

Le hacker breach3d a monétisé la faille IDOR sur le dark web. Une politique de récompense formalisée aurait permis qu'il la signale plutôt qu'il l'exploite. La logique gaullienne d'un État qui assume sa propre intelligence stratégique dans le cyberespace plaide en faveur de cette internalisation.

IX.6. D5. Reconnaissance publique de l'épuisement doctrinal

Aucune des recommandations précédentes n'aboutira tant que le Premier ministre, en sa qualité de responsable du système d'information de l'État au titre de l'IGI 1337, n'aura pas reconnu publiquement que le modèle doctrinal en vigueur est épuisé. Cette reconnaissance n'est pas une formalité oratoire : elle débloque les inerties administratives qu'aucune circulaire n'a la force de surmonter.

La forme appropriée serait une déclaration solennelle, prononcée à l'Assemblée nationale ou en Conseil des ministres rendu public, articulée autour de trois points : constat (la séquence 2024-2026 traduit une défaillance systémique de la sécurité numérique régalienne), imputation (fragmentation des responsabilités opérationnelles, externalisation excessive, déséquilibre de la doctrine de l'autorité nationale), décision (révision doctrinale engagée, premières mesures annoncées simultanément). Le précédent étranger existe : Obama a procédé à une telle reconnaissance après l'incident OPM de 2015 (vingt-deux millions de profils de fonctionnaires fédéraux compromis), qui a structuré la création du Federal Cybersecurity Workforce Strategy. La fuite ANTS, par son ampleur et sa nature régalienne, fournit l'occasion politique d'un acte équivalent.

IX.7. D6. Délégué interministériel à la résilience numérique régalienne

La présente proposition consiste à créer une fonction politique distincte de l'ANSSI, rattachée directement au Premier ministre, dotée d'une visibilité publique et d'une capacité d'expression médiatique. Sur le modèle du Délégué interministériel à la sécurité routière, qui pèse sur le sujet par sa visibilité plus que par ses moyens propres, le Délégué interministériel à la résilience numérique régalienne incarnerait la responsabilité politique distincte de la responsabilité technique.

Sa mission ne se confondrait pas avec celle de l'ANSSI : il porterait politiquement les arbitrages que l'agence ne peut porter sans excéder son périmètre administratif. Auditionnable par le Parlement, accessible aux médias, il publierait un rapport annuel public. Sa nomination relèverait du Conseil des ministres ; sa qualification serait politique et stratégique avant d'être technique. Cette dissociation est conforme à la tradition gaullienne d'un pouvoir politique qui assume ses choix régaliens sans se déléguer à l'expertise.

IX.8. D7. Moratoire politique sur l'engagement français des sanctions NIS 2

La voie d'une suspension juridique des sanctions prévues par la directive NIS 2 se heurte à un obstacle de droit communautaire dirimant : la directive est de droit dérivé européen, et la France ne peut ni suspendre ni paramétrer unilatéralement son application sans s'exposer à un recours en manquement devant la Cour de justice de l'Union européenne. Cette voie est écartée.

La présente proposition s'inscrit donc strictement sur le terrain politique et discrétionnaire. Le Gouvernement français publierait un engagement public et limité dans le temps : tant que les ministères régaliens n'auront pas atteint le seuil de maturité SSI publiquement défini à la recommandation R3, la France ne sollicitera pas elle-même, par la voix de l'ANSSI ou des autorités compétentes, l'engagement de procédures de sanction financière contre les entités privées qui démontreront un effort substantiel et documenté de mise en conformité.

Cette formulation préserve le cadre juridique européen, l'obligation de transposition et l'autonomie de la CNIL. Elle agit sur l'unique levier que le Gouvernement contrôle directement : la mobilisation discrétionnaire de ses propres services pour engager les procédures qu'il a la faculté, mais non l'obligation, d'engager. L'effet attendu est interne et symbolique : la perspective d'une autolimitation crée une incitation à atteindre rapidement le seuil de maturité défini, et rend visible la cohérence morale qui manque aujourd'hui à la doctrine.

Cette proposition reste la plus controversée des sept et la plus discutable juridiquement, en dépit du calibrage prudent ici proposé. Elle est versée au débat sans être hiérarchisée comme prioritaire. Sa fonction première est de nommer l'asymétrie morale, plus que d'engager nécessairement la procédure qu'elle décrit.

IX.9. Hiérarchisation des propositions

Les sept propositions ne sont pas équivalentes. D5 (reconnaissance publique) est la condition politique des six autres. D2 (audition parlementaire) et D6 (délégué interministériel) constituent l'architecture institutionnelle de la responsabilité politique nouvelle. D1 (publication des audits), D3 (indemnisation) et D4 (bug bounty) sont des mesures opérationnelles immédiatement applicables. D7 (moratoire politique) est versée au débat sans être hiérarchisée comme prioritaire et soumise à des objections juridiques sérieuses ; sa fonction principale est analytique, en ce qu'elle nomme l'asymétrie morale qui fonde la nécessité des autres.

L'ensemble des six premières propositions forme un cadre cohérent. Le coût budgétaire doit être apprécié au regard du coût systémique des défaillances actuelles, qui inclut les indemnisations contentieuses, les surcoûts de remédiation, la perte de confiance dans les téléservices régaliens et l'externalité subie par les usagers. L'obstacle dominant n'est pas matériel mais politique. C'est précisément l'objet de D5 que de le lever.

X. Procédure d'élaboration

La présente analyse s'appuie sur les sources publiques disponibles à la date de rédaction. Elle n'a fait l'objet d'aucune procédure contradictoire formelle. Les sollicitations suivantes ont été envisagées et seraient utilement formulées par toute entité disposant des moyens d'investigation correspondants : direction générale de l'ANTS (Julie Mercier), cabinet du ministre de l'Intérieur, direction générale de l'ANSSI (Vincent Strubel), Inspection générale de l'administration, Office anti-cybercriminalité.

L'écart entre les chiffres officiels (11,7 millions de comptes uniques) et les chiffres revendiqués par l'attaquant (18 à 19 millions de lignes) n'a pu être tranché. Deux hypothèses se partagent le terrain : un écart de comptage entre comptes uniques et lignes de base de données pouvant inclure des doublons et des comptes historiques, ou un périmètre revendiqué dépassant la base détectée le 15 avril et intégrant des données issues d'une extraction antérieure. Le comptage retenu pour les visualisations est celui du ministère, complété d'un signalement explicite de l'incertitude. Le comptage des occurrences thématiques dans le plan stratégique ANSSI est manuel et indicatif, présenté comme une lecture analytique. La qualification de la fuite ANTS comme « plus grande fuite régalienne française » repose sur une définition restrictive du régalien, centrée sur les fonctions d'identification, de certification et de délivrance des titres officiels.

XI. Bibliographie et appareil documentaire

Textes normatifs cités

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), articles 32, 33, 34. Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS 2). Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, instituant le Référentiel général de sécurité. Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé Agence nationale de la sécurité des systèmes d'information. Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516. Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'État et de ses établissements publics. Arrêté du 26 octobre 2022 portant approbation de l'instruction générale interministérielle n° 1337/SGDSN/ANSSI. Code de procédure pénale, article 40.

Rapports institutionnels

Cour des comptes, L'Agence nationale des titres sécurisés, référence S2023-1361, contrôle 2018-2022, publié en avril 2024. Cour des comptes, La réponse de l'État aux cybermenaces sur les systèmes d'information civils, référence S2025-0602, 16 juin 2025. Cour des comptes, La souveraineté des systèmes d'information civils de l'État, 31 octobre 2025. CNIL, Rapport d'activité 2024, avril 2025. ANSSI, Plan stratégique 2025-2027, mars 2025. ANSSI, Panorama de la cybermenace 2024, référence CERTFR-2025-CTI-003, 11 mars 2025. ANSSI, Position publique sur la cryptographie post-quantique, 8 octobre 2025. Sénat, Projet de loi de finances pour 2026, mission Direction de l'action du Gouvernement, novembre 2025.

Sources opérationnelles relatives à l'incident

Ministère de l'Intérieur, communiqués officiels des 20, 21 et 22 avril 2026, accessibles via interieur.gouv.fr et info.gouv.fr. FrenchBreaches, série d'analyses techniques publiées entre les 20 et 23 avril 2026. Korben, analyse synthétique du 22 avril 2026. JustGeek, analyse technique du 21 avril 2026. Développez.com, analyse approfondie du vecteur IDOR du 22 avril 2026. France Info, dossier daté du 21 avril 2026. BFMTV et Le Journal du Geek, couverture des 22-23 avril 2026. Cabinet d'avocats Belhaouci, analyse juridique des recours du 23 avril 2026.

Sources comparatives

Bundesamt für Sicherheit in der Informationstechnik (BSI), State of IT Security in Germany 2024, novembre 2024. Sénat, La cyberdéfense : un enjeu mondial, une priorité nationale, rapport d'information sur les comparaisons internationales. Tripwire, What is Bundesamt für Sicherheit in der Informationstechnik, mars 2025. ENISA, rapports annuels State of Cybersecurity in the Union, éditions 2024 et 2025.

XII. Glossaire

API. Application Programming Interface. Interface de programmation par laquelle un client logiciel adresse des requêtes à un service distant.

AQSSI. Autorité qualifiée en sécurité des systèmes d'information. Désignée au niveau ministériel par l'IGI 1337, elle exerce les responsabilités de sécurité numérique sur le périmètre du ministère.

CCAG-TIC. Cahier des clauses administratives générales applicables aux marchés publics de techniques de l'information et de la communication. Texte de référence des marchés informatiques de l'État.

CERT-FR. Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques. Sous-direction Opérations de l'ANSSI, équivalent français du CERT.

FSSI. Fonctionnaire de sécurité des systèmes d'information. Désigné dans chaque ministère, il pilote la chaîne SSI ministérielle.

IDOR. Insecure Direct Object Reference. Vulnérabilité applicative de la catégorie OWASP « Broken Access Control » consistant à exposer des objets via un identifiant direct sans contrôle d'autorisation.

IGI 1337. Instruction générale interministérielle n° 1337/SGDSN/ANSSI du 26 octobre 2022 sur l'organisation de la sécurité numérique du système d'information de l'État.

NIS 2. Directive (UE) 2022/2555, deuxième génération de la réglementation européenne sur la sécurité des réseaux et des systèmes d'information.

OWASP. Open Worldwide Application Security Project. Communauté internationale qui publie le référentiel mondial des dix premiers risques applicatifs (OWASP Top 10).

PASSI. Prestataire d'audit de la sécurité des systèmes d'information. Qualification délivrée par l'ANSSI aux cabinets habilités à conduire des audits SSI.

PSSIE. Politique de sécurité des systèmes d'information de l'État. Définie par la circulaire n° 5725/SG du 17 juillet 2014.

ReCyF. Référentiel Cyber France. Document de travail élaboré par l'ANSSI pour servir de référentiel de cybersécurité dans le cadre du projet de loi Résilience.

RGS. Référentiel général de sécurité. Document publié par l'ANSSI fixant les règles applicables aux fonctions de sécurité des systèmes d'information de l'État, en application de l'ordonnance n° 2005-1516.

SGDSN. Secrétariat général de la défense et de la sécurité nationale. Service du Premier ministre auquel l'ANSSI est rattachée.

SGIN. Service de garantie de l'identité numérique. Brique applicative de l'ANTS donnant lieu à plusieurs marchés publics distincts.