Résumé exécutif
Le 29 janvier 2026, le Gouvernement a dévoilé sa Stratégie nationale de cybersécurité 2026-2030, présentée comme la feuille de route d'une "France puissance cyber de premier plan". L'analyse du communiqué révèle un document qui, derrière une rhétorique ambitieuse, esquive les questions structurelles qui déterminent la souveraineté numérique réelle : dépendance aux infrastructures américaines, absence de filière industrielle souveraine, sous-investissement chronique, et déconnexion entre objectifs proclamés et moyens alloués.
Verdict : Une stratégie qui diagnostique correctement les enjeux mais refuse de nommer les dépendances et de quantifier les moyens. Du droit déclaratoire, pas du droit exécutable.
> Sources & incertitudes > > Les données chiffrées de cet article proviennent de sources institutionnelles (ANSSI, Cour des comptes, Commission européenne, ENISA) et d'études sectorielles (cabinets spécialisés, enquêtes professionnelles). Les ordres de grandeur présentés reflètent des fourchettes : les parts de marché cloud (70-80% américain) agrègent plusieurs études avec des périmètres variables (entreprises vs administrations, IaaS vs SaaS). Les estimations budgétaires sont des projections indicatives, non des engagements. Les comparaisons internationales reposent sur des données publiques dont les méthodologies diffèrent selon les pays. Lorsque l'incertitude est significative, nous privilégions les fourchettes aux chiffres précis.
Introduction : une stratégie dans le déni des réalités structurelles
Le communiqué de presse du Gouvernement annonce cinq piliers et quatorze objectifs pour faire de la France "une puissance cyber de premier plan". L'ambition affichée contraste avec l'absence totale de chiffrage, de calendrier précis et surtout de diagnostic honnête sur les dépendances actuelles.
Une stratégie de cybersécurité qui ne mentionne pas une seule fois les mots "cloud", "GAFAM", "extraterritorialité", "Cloud Act" ou "dépendance technologique" n'est pas une stratégie de souveraineté opérationnelle : c'est un exercice de communication politique.
Angle mort n°1 : Le silence assourdissant sur les dépendances américaines
Ce que dit la stratégie
Le pilier 4 évoque la nécessité de "maîtriser les dépendances technologiques dans le champ de la sécurité numérique". Formulation vague qui ne nomme ni les dépendances, ni les acteurs concernés, ni les mécanismes de cette dépendance.
Ce que la stratégie omet
La réalité des infrastructures françaises :
| Infrastructure | Part américaine | Implication |
|---|---|---|
| Cloud des entreprises françaises | 70-80% (AWS, Azure, GCP) | Données soumises au Cloud Act |
| OS des administrations | >90% (Windows) | Dépendance aux cycles de patchs, à la télémétrie et à la chaîne de mise à jour sous juridiction étrangère |
| Outils de cybersécurité | 60-70% américains | Dépendance pour la détection des menaces |
| Équipements réseau critiques | Cisco, Juniper dominants | Infrastructure de transport sous juridiction étrangère |
Le Cloud Act de 2018 permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines, quel que soit le lieu physique de stockage. Une stratégie de cybersécurité qui ignore cette réalité juridique est une stratégie aveugle.
Question non posée : Comment prétendre à la "cyber-résilience de la Nation" quand les données de santé, fiscales, judiciaires et de défense transitent par des infrastructures soumises à une juridiction étrangère ?
> Contre-arguments et réponses > > "On peut sécuriser sur cloud américain" : Oui, le chiffrement côté client existe. Mais le Cloud Act permet la réquisition des métadonnées, et un fournisseur soumis à une injonction secrète (FISA 702) ne peut même pas prévenir son client. La sécurité technique ne supprime pas la vulnérabilité juridique. > > "SecNumCloud résout le problème" : Partiellement. La qualification SecNumCloud v3.2 exige l'immunité aux lois extraterritoriales, mais elle ne couvre que quelques offres (principalement OVHcloud, 3DS Outscale, Scaleway). Le marché reste microscopique face aux hyperscalers. > > "Les clauses contractuelles de réversibilité protègent" : En théorie. En pratique, migrer des pétaoctets de données et recertifier des applications prend des mois. La réversibilité contractuelle n'est pas la réversibilité opérationnelle. Et elle ne protège pas contre une interruption de service imposée par sanction (cf. entreprises russes débranchées en 48h en 2022).
> Lexique express (ordres de grandeur) : OIV (Opérateur d'importance vitale) = environ 250 entités critiques françaises sous supervision ANSSI. OSE (Opérateur de services essentiels) = environ 500 entités NIS1. NIS2 = directive européenne 2024 élargissant à environ 15 000 entités en France (estimation ANSSI, périmètre en cours de stabilisation).
Angle mort n°2 : L'absence de quantification budgétaire
Ce que dit la stratégie
Le communiqué ne mentionne aucun chiffre. Ni budget global, ni ventilation par pilier, ni comparaison internationale, ni trajectoire pluriannuelle.
Ce que la stratégie omet
Comparaison internationale des budgets cybersécurité :
| Pays | Budget cyber étatique annuel (estimation) | % du PIB | Effectifs ANSSI équivalent |
|---|---|---|---|
| États-Unis | 20+ Mds$ (CISA + NSA + Cyber Command) | 0.08% | 15 000+ |
| Chine | 10+ Mds$ (estimation) | 0.06% | 50 000+ |
| Royaume-Uni | 2.6 Mds£ (NCSC + GCHQ cyber) | 0.09% | 6 000+ |
| Allemagne | 1.5 Mds€ (BSI + BND cyber) | 0.04% | 1 500+ |
| France | ~400 M€ (ANSSI + ComCyber) | 0.015% | ~700 |
> Encadré : ce que couvrent ces budgets > > Les comparaisons budgétaires internationales sont délicates. Les chiffres ci-dessus incluent : agences civiles de cybersécurité (ANSSI, CISA, BSI, NCSC), commandements cyber militaires, et budgets dédiés des services de renseignement. Ils excluent : budgets IT généraux des administrations, dépenses de cybersécurité des entreprises publiques, et budgets R&D non fléchés cyber. Les effectifs comptabilisent uniquement le personnel dédié cybersécurité, pas les informaticiens généralistes. Ces précautions méthodologiques n'invalident pas le constat : l'écart France/pairs reste significatif (ordre de grandeur : x4 à x50 selon périmètre retenu).
L'ANSSI dispose d'environ 700 agents. Le NCSC britannique en compte près de 2 000. La disproportion est criante. Une stratégie qui prétend faire de la France "une puissance cyber de premier plan" sans doubler ou tripler les effectifs et budgets n'est pas crédible.
Budget nécessaire estimé pour atteindre les objectifs affichés :
Sans ces moyens, la stratégie reste un voeu pieux.
Angle mort n°3 : Le pilier "talents" sans politique salariale
Ce que dit la stratégie
Le pilier 1 ambitionne de faire de la France "le plus grand vivier de talents cyber d'Europe" en développant "une culture inclusive de la cybersécurité" et en investissant "dans tous les pans de la formation".
Ce que la stratégie omet
Le problème n'est pas la formation, c'est la rétention.
La France forme chaque année plusieurs milliers d'ingénieurs et techniciens en cybersécurité. Le problème : ils partent.
| Destination | Écart salarial moyen vs France | Attractivité |
|---|---|---|
| États-Unis | +150 à +300% | Stock-options, culture startup |
| Suisse | +80 à +120% | Fiscalité, qualité de vie |
| Luxembourg | +50 à +80% | Proximité, francophonie |
| UK | +30 à +60% | Écosystème financier |
Un expert cybersécurité senior gagne 60-80k€ en France, 150-250k$ aux États-Unis. Les GAFAM recrutent directement dans les écoles françaises. L'ANSSI elle-même peine à retenir ses talents, qui partent vers le privé ou l'étranger après quelques années.
Questions non posées :
Former des talents pour qu'ils partent enrichir les entreprises américaines n'est pas une stratégie de souveraineté.
Angle mort n°4 : La "résilience" sans doctrine d'autonomie
Ce que dit la stratégie
Le pilier 2 vise à "renforcer la résilience cyber de la Nation" et "préparer la Nation aux crises dues aux cyberattaques".
Ce que la stratégie omet
La résilience suppose l'autonomie. L'autonomie suppose des alternatives souveraines.
Scénario de crise non évoqué : restriction progressive de l'accès aux services américains.
Le précédent Huawei montre que les restrictions ne tombent pas brutalement mais s'installent par paliers. Scénario plausible pour la France en cas de divergence transatlantique majeure :
| Phase | Mesure américaine | Impact France |
|---|---|---|
| T0 | Audit de conformité renforcé | Délais, coûts juridiques accrus |
| T+6 mois | Restriction des mises à jour de sécurité | Vulnérabilités non corrigées |
| T+12 mois | Interdiction de nouveaux contrats | Gel des projets de transformation |
| T+18 mois | Suspension des services cloud | Paralysie progressive des SI critiques |
Ce scénario n'est pas une coupure brutale mais une asphyxie graduelle, plus difficile à détecter et à contrer. Les entreprises françaises auraient 12 à 18 mois pour migrer des systèmes conçus pour fonctionner sur AWS ou Azure, un délai insuffisant pour la grande majorité d'entre elles (70-90% selon les secteurs et la taille).
Ce que ferait une vraie stratégie de résilience :
Rien de tout cela n'apparaît dans la stratégie.
Angle mort n°5 : L'industrie cyber française, grande absente
Ce que dit la stratégie
Le pilier 4 mentionne le soutien à "la structuration d'un marché européen des produits et services de cybersécurité".
Ce que la stratégie omet
L'état réel de l'industrie cyber française :
La France ne dispose pas de champion mondial de la cybersécurité de premier plan. Les acteurs français (Thales, Atos, Orange Cyberdefense) restent des acteurs de taille intermédiaire face aux américains (Palo Alto, CrowdStrike, Fortinet) et même face à l'israélien Check Point, avec des revenus cyber 5 à 20 fois inférieurs selon les segments.
| Entreprise | Pays | CA cybersécurité (Mds$) | Capitalisation |
|---|---|---|---|
| Palo Alto Networks | USA | 6.9 | 115 Mds$ |
| CrowdStrike | USA | 3.1 | 75 Mds$ |
| Fortinet | USA | 5.3 | 50 Mds$ |
| Check Point | Israël | 2.4 | 18 Mds$ |
| Thales (cyber) | France | ~1.5 | - (division) |
| Orange Cyberdefense | France | ~1.0 | - (filiale) |
Problèmes structurels non adressés :
Ce que ferait une vraie stratégie industrielle :
Angle mort n°6 : L'Europe comme alibi, pas comme levier
Ce que dit la stratégie
Le pilier 5 évoque la nécessité d'"agir en allié et partenaire coopératif" et de "développer une capacité de cyber-solidarité".
Ce que la stratégie omet
L'Europe n'a pas de politique cyber commune digne de ce nom.
La stratégie française se réfugie derrière l'échelon européen pour éviter d'assumer des choix nationaux. C'est une posture de confort, pas une stratégie de puissance.
Le paradoxe : la France prône la souveraineté européenne mais n'investit pas dans les capacités nationales qui lui permettraient de peser dans les négociations européennes. On ne peut pas être moteur d'une Europe souveraine en étant soi-même dépendant.
Angle mort n°7 : La menace nommée, mais pas les adversaires
Ce que dit la stratégie
Le communiqué évoque des "menaces numériques en constante intensification" et la nécessité d'"entraver l'expansion de la cybermenace".
Ce que la stratégie omet
Qui sont les adversaires ?
Une stratégie de cybersécurité qui ne nomme pas les menaces n'en est pas une. Les rapports de l'ANSSI identifient pourtant clairement :
| Acteur | Type de menace | Cibles principales |
|---|---|---|
| Russie (APT28, APT29, Sandworm) | Espionnage, sabotage | Gouvernement, défense, énergie |
| Chine (APT40, APT41) | Espionnage économique | Industrie, recherche, télécoms |
| Corée du Nord (Lazarus) | Cybercriminalité, sabotage | Finance, crypto, infrastructures |
| Iran (APT33, APT34) | Sabotage, espionnage | Énergie, défense |
| Cybercriminalité organisée | Rançongiciels | PME, hôpitaux, collectivités |
Questions non posées :
Une stratégie défensive qui n'articule pas de dissuasion n'est pas crédible face à des adversaires qui calculent le rapport coût/bénéfice de leurs attaques.
Angle mort n°8 : Les collectivités et PME, victimes désignées
Ce que dit la stratégie
Le pilier 2 évoque la nécessité de "faciliter les parcours vers une meilleure cybersécurité".
Ce que la stratégie omet
L'hécatombe silencieuse des collectivités et PME :
En 2024-2025, les attaques par rançongiciel ont touché :
Ces acteurs n'ont pas les moyens d'une cybersécurité professionnelle. Un DSI de mairie gère seul l'informatique pour des centaines d'agents. Une PME de 50 salariés n'a pas de RSSI.
Ce que ferait une vraie stratégie de protection :
Coût estimé : 500 M€/an. Économies en sinistres évités : probablement supérieures.
Angle mort n°9 : La gouvernance éclatée
Ce que dit la stratégie
Le communiqué mentionne l'ANSSI et le rôle du Premier ministre, sans détailler l'architecture institutionnelle.
Ce que la stratégie omet
Le mille-feuille cyber français :
| Acteur | Tutelle | Mission | Effectifs estimés |
|---|---|---|---|
| ANSSI | SGDSN/PM | Défense des SI de l'État et OIV | ~700 |
| ComCyber | Armées | Opérations offensives/défensives | ~4 000 |
| DGSI | Intérieur | Contre-espionnage cyber | ~500 (cyber) |
| DGSE | Armées | Renseignement offensif | ~800 (cyber) |
| C3N/Gendarmerie | Intérieur | Lutte contre la cybercriminalité | ~300 |
| OCLCTIC/Police | Intérieur | Idem | ~200 |
| Cybermalveillance.gouv.fr | GIP | Sensibilisation grand public | ~30 |
Problèmes non adressés :
Ce que ferait une vraie réforme :
Création d'un ministère ou secrétariat d'État dédié au numérique et à la cybersécurité, avec autorité sur l'ensemble des acteurs civils et coordination avec les armées.
Angle mort n°10 : L'IA, révolution ignorée
Ce que dit la stratégie
Le communiqué ne mentionne pas l'intelligence artificielle, alors même qu'Anne Le Hénanff est "ministre déléguée chargée de l'Intelligence artificielle et du Numérique".
Ce que la stratégie omet
L'IA transforme radicalement la cybersécurité :
Les outils de cybersécurité de demain seront des systèmes d'IA. Or :
Risque : dépendre d'une IA américaine pour détecter des attaques, y compris celles qui pourraient être d'origine américaine.
Ce que ferait une vraie stratégie :
Synthèse : ce qui manque pour une vraie stratégie
Ce que serait une vraie stratégie de cybersouveraineté
Phasage indicatif 2026-2030
| Année | Priorité | Livrables clés |
|---|---|---|
| 2026 | Audit et fondations | Cartographie dépendances, création fonds souverain, triplement budget ANSSI |
| 2027 | Lancement migrations | Début migration cloud administrations, premiers appels d'offres souverains |
| 2028 | Montée en puissance | 50% SI critiques migrés, consolidation filière industrielle |
| 2029 | Capacité opérationnelle | IA souveraine opérationnelle, 100% collectivités couvertes |
| 2030 | Autonomie stratégique | Réversibilité totale cloud US, doctrine offensive assumée |
Axe 1 : Rupture avec la dépendance américaine
Axe 2 : Investissement massif
| Poste | Budget annuel proposé |
|---|---|
| ANSSI (effectifs x3) | 300 M€ |
| Fonds souverain cyber | 500 M€ |
| R&D et IA souveraine | 400 M€ |
| Formation et attractivité | 300 M€ |
| Protection collectivités/PME | 500 M€ |
| Coopération européenne | 100 M€ |
| Total | 2.1 Mds€/an |
Axe 3 : Politique industrielle volontariste
Axe 4 : Gouvernance unifiée
Axe 5 : Doctrine assumée
Indicateurs de performance (KPIs) proposés
Une stratégie sans métriques est une intention sans contrôle. Trois KPIs prioritaires :
KPI 1 : Taux de conformité des OIV aux exigences NIS2
| Métrique | Baseline 2025¹ | Cible 2028 | Cible 2030 |
|---|---|---|---|
| % OIV conformes NIS2 (audit complet) | 30-50% | 80% | 100% |
| % OIV avec SOC opérationnel 24/7 | 40-60% | 90% | 100% |
| Périmètre : 500+ OIV et 15 000+ OSE (estimation) |
KPI 2 : Maturité cybersécurité des collectivités et établissements publics
| Métrique | Baseline 2025¹ | Cible 2028 | Cible 2030 |
|---|---|---|---|
| Taux MFA généralisé (collectivités >10 000 hab.) | 25-40% | 80% | 98% |
| Taux EDR déployé (collectivités >10 000 hab.) | 15-30% | 70% | 95% |
| Taux de couverture accompagnement ANSSI | 15-25% | 60% | 100% |
KPI 3 : Performance de détection et réponse (MTTD/MTTR)
| Métrique | Baseline 2025¹ | Cible 2028 | Cible 2030 |
|---|---|---|---|
| Délai moyen de détection (MTTD) incidents majeurs | 20-90 jours | 7 jours | 24-48h |
| Délai moyen de remédiation (MTTR) | 30-60 jours | 14 jours | 7 jours |
| Effectifs ANSSI | ~700 | 1 500 | 2 100 |
| Turnover annuel ANSSI | 12-18% | 10% | 8% |
> ¹ Note méthodologique sur les baselines : Ces ordres de grandeur sont des estimations issues du croisement de sources publiques (rapports ANSSI, audits Cour des comptes, études sectorielles Gartner/IDC, benchmarks ENISA). Les données précises ne sont pas publiées par l'administration. Le MTTD est particulièrement incertain car dépendant du type d'attaque et du secteur. Le turnover est estimé à partir des taux observés dans la fonction publique catégorie A technique. Les taux MFA/EDR sont extrapolés des enquêtes ANSSI/CLUSIF sur les collectivités.
Ce qui devrait figurer dans une stratégie offensive : dix contre-mesures opérationnelles
La critique des angles morts ne vaut que si elle s'accompagne de propositions concrètes. Voici dix mesures compatibles avec l'État de droit, pilotables, et calibrées pour produire des effets réels. Aucune ne relève du fantasme "cyberguerre" : toutes s'inscrivent dans les pratiques des démocraties avancées (États-Unis, Royaume-Uni, Pays-Bas, Estonie).
1. Doctrine nationale de riposte graduée (publique)
Principe : Établir une échelle de réponse (niveaux 0 à 4) selon la gravité de l'attaque et le degré d'attribution.
| Niveau | Type d'attaque | Réponse calibrée |
|---|---|---|
| 0 | Tentative détectée, pas d'impact | Signalement, capitalisation renseignement |
| 1 | Compromission limitée, données non sensibles | Réponse juridique, notification CERT partenaires |
| 2 | Rançongiciel, exfiltration données sensibles | Sanctions ciblées, communication publique, coopération judiciaire |
| 3 | Atteinte OIV (santé, énergie, eau, transports) | Réponse diplomatique + économique + cyber active |
| 4 | Sabotage infrastructure critique, pertes humaines | Mobilisation interministérielle, options offensives, saisine alliés |
Déclencheurs explicites : Toute atteinte aux systèmes de santé, énergie, eau ou justice déclenche une réponse systématique de niveau 2 minimum.
Catalogue de réponses : juridique (poursuites, mandats internationaux), diplomatique (convocations, expulsions), économique (sanctions, gels d'actifs), cyber (contre-mesures actives), informationnelle (attribution publique).
Effet attendu : Recréer de la dissuasion. L'adversaire intègre qu'il y a un coût prévisible et proportionné.
2. Attribution accélérée et communication offensive ⭐ Top 3 à 12 mois
Principe : Structurer une capacité d'attribution rapide et assumer la communication publique.
Dispositif :
Effet attendu : Sortir du flou diplomatique. Rendre l'attaque politiquement coûteuse pour l'adversaire et ses commanditaires.
3. Sanctions automatiques : le "paquet prêt à tirer"
Principe : Préparer en amont les instruments de sanction pour permettre une exécution rapide.
Dispositif :
Effet attendu : Passer de l'indignation médiatique à l'exécution effective. Démontrer que l'attribution a des conséquences.
4. Capacités offensives encadrées (contre-mesures actives)
Principe : Disposer de capacités de réponse active, strictement encadrées et réservées à l'État.
Chaîne de décision :
Cadre proposé :
Effet attendu : Capacité de contre-mesure crédible sans dérive vers l'escalade incontrôlée ou la privatisation de la violence numérique.
5. Stratégie de démantèlement des rançongiciels ⭐ Top 3 à 12 mois
Principe : Cibler l'écosystème rançongiciel là où il est vulnérable : infrastructure et finance.
Dispositif :
Effet attendu : Frapper là où ça fait mal. Augmenter le coût et le risque pour les opérateurs de rançongiciels.
6. "Article 5 cyber" national pour OIV et OSE
Principe : Garantir une réponse étatique immédiate et massive en cas d'attaque sur infrastructure critique.
Dispositif :
Effet attendu : Résilience nationale par design, pas par communiqué de presse. Solidarité État-opérateurs formalisée.
7. Commande publique comme levier industriel ⭐ Top 3 à 12 mois
Principe : Utiliser le pouvoir d'achat public pour structurer une filière souveraine.
Dispositif :
Effet attendu : Créer des champions industriels au lieu d'acheter sur étagère américaine. Transformer la dépense publique en investissement stratégique.
8. Cyber-réserve opérationnelle
Principe : Constituer une force de réserve mobilisable rapidement pour renforcer les capacités de réponse.
Dispositif :
Effet attendu : Mutualiser le talent rare au lieu de le laisser exclusivement au marché. Capacité de montée en charge en cas de crise majeure.
9. Programme national de chasse aux vulnérabilités
Principe : Passer d'une posture défensive réactive à une recherche proactive des failles.
Dispositif :
Effet attendu : Devenir proactif sur la surface d'attaque. Mobiliser la communauté de chercheurs plutôt que la laisser vendre aux plus offrants.
10. Offensive RH : retenir les talents
Principe : Cesser d'être l'école gratuite du secteur privé américain.
Dispositif :
Effet attendu : Endiguer l'hémorragie des compétences. Rendre le service de l'État attractif pour les meilleurs profils techniques.
Synthèse : coût estimé et priorisation
| Mesure | Coût annuel estimé | Délai de déploiement | Impact dissuasion |
|---|---|---|---|
| Doctrine riposte | Négligeable (coordination) | 6 mois | Élevé |
| Attribution accélérée | 10-15 M€ (cellule dédiée) | 12 mois | Élevé |
| Sanctions automatiques | 5 M€ (juridique, coordination UE) | 18 mois | Élevé |
| Capacités offensives | Inclus budget ComCyber | Existant à renforcer | Élevé |
| Task force ransomware | 20-30 M€ | 12 mois | Très élevé |
| Article 5 cyber | 50-80 M€ (moyens intervention) | 24 mois | Moyen |
| Commande souveraine | Surcoût 10-15% marchés | Immédiat | Moyen (long terme) |
| Cyber-réserve | 30-50 M€ | 24-36 mois | Moyen |
| Bug bounty national | 5-10 M€ | 12 mois | Moyen |
| Offensive RH | 100-150 M€ | 12-24 mois | Élevé (long terme) |
Budget additionnel total : 250-350 M€/an, soit moins de 1% du budget de la Défense. L'écart avec l'ambition affichée n'est pas financier : il est politique.
MVP Souveraineté : livrables administratifs à 12 mois
Au-delà des mesures opérationnelles, trois actes juridico-administratifs permettraient de créer un cadre contraignant sans attendre les arbitrages budgétaires pluriannuels :
1. Décret "Clauses cloud souverain" (cible : T3 2026)
Objet : Imposer aux marchés publics sensibles des clauses minimales obligatoires.
Contenu type :
Périmètre d'application : Marchés des OIV, OSE, administrations centrales, établissements de santé publics.
2. Instruction DAE "Commande publique cyber" (cible : T2 2026)
Objet : Circulaire de la Direction des achats de l'État intégrant la cybersécurité comme critère d'attribution.
Dispositions clés :
3. Cadre d'audit OIV/OSE renforcé (cible : T4 2026)
Objet : Calendrier d'audit systématique adossé à NIS2.
Architecture proposée :
Financement : Redéploiement des crédits existants + redevance d'audit (principe pollueur-payeur : les entités les moins matures financent davantage le dispositif).
Conclusion
La France sait diagnostiquer. Elle refuse de décider. La stratégie cyber 2026-2030 nomme les enjeux mais pas les dépendances, affiche l'ambition mais pas les moyens, proclame la souveraineté mais achète américain. Entre un budget ANSSI de l'ordre de 100 à 200 M€ (selon périmètre retenu) et les 3 milliards de la CISA (ordre de grandeur, budget fédéral civil), entre une doctrine offensive inexistante et des adversaires qui opèrent sans contrainte, le compte n'y est pas. La cybersécurité française a les talents, les ingénieurs, les savoir-faire. Il lui manque une seule chose : la volonté politique de payer le prix de la souveraineté.
Annexe : développements conclusifs
Le mal français : excellence du diagnostic, pusillanimité de l'action
La Stratégie nationale de cybersécurité 2026-2030 souffre du mal français classique : l'excellence dans le diagnostic, la pusillanimité dans l'action.
Le Gouvernement a raison d'identifier la cybersécurité comme enjeu de souveraineté. Il a raison de vouloir former des talents, structurer une filière, coopérer avec l'Europe. Mais une stratégie sans moyens n'est qu'une déclaration d'intention. Un plan sans diagnostic des dépendances est un exercice d'auto-aveuglement. Une ambition sans calendrier est un voeu pieux.
La France dispose des compétences pour devenir une puissance cyber. Elle forme d'excellents ingénieurs. Elle possède une tradition de service public qui pourrait structurer une ANSSI de premier plan. Elle a des entreprises capables de croître si elles sont soutenues.
Ce qui manque, c'est la volonté politique de rompre avec le confort de la dépendance. Assumer le coût de la souveraineté. Nommer les adversaires. Investir massivement. Réformer la gouvernance.
La stratégie présentée le 29 janvier 2026 n'est pas cette rupture. Elle est la continuation d'une politique de petits pas, insuffisante face à des menaces qui, elles, croissent exponentiellement.
Le paradoxe révélateur
Le paradoxe est cruel : une ministre "chargée de l'Intelligence artificielle et du Numérique" présente une stratégie cyber qui ne mentionne pas l'IA. Un gouvernement qui proclame la souveraineté européenne présente un document qui ne nomme pas le Cloud Act. Une Nation qui se veut "puissance cyber de premier plan" refuse de se donner les moyens de cette ambition.
Entre le droit déclaratoire et le droit exécutable, la France a une nouvelle fois choisi le premier. Les adversaires, eux, opèrent dans le monde réel.
Annexe : sources principales
Annexe : grille de lecture critique
| Critère | Présent dans la stratégie | Nécessaire pour l'efficacité |
|---|---|---|
| Diagnostic des dépendances | Non | Oui |
| Chiffrage budgétaire | Non | Oui |
| Calendrier précis | Non | Oui |
| Identification des adversaires | Non | Oui |
| Politique industrielle | Vague | Détaillée |
| Réforme de gouvernance | Non | Oui |
| Doctrine offensive | Non | Oui |
| Dimension IA | Non | Oui |
| Protection PME/collectivités | Vague | Concrète |
| Métriques de succès | Non | Oui |