La réponse de l’État aux cybermenaces sur les systèmes d’information civils
La Cour des Comptes a publié, le 16 juin 2025, un rapport sur la réponse de l’État face aux cybermenaces sur les systèmes d’information civils.
Le rapport constate une évolution progressive des cybermenaces au rythme des avancées technologiques et des développements géopolitiques.
Les trois principales cybermenaces en 2023 sont:
- Le hameçonnage
- Le piratage de compte
- La fraudes/le rançongiciel
278 703 infractions liées au numérique ont été enregistrées en 2023, en augmentation de 9% par rapport à 2022:
- Atteintes numériques aux biens (escroqueries, arnaques en ligne etc.): 59%
- Atteintes numériques à la personne: 34%
- Atteintes numériques aux institutions: 5%
Les attaques par rançongiciel restent la première menace (34,1%), devant les attaques DDoS (28,2%) et les vols de données (17,2%).
Une cyberattaque coûte en moyenne:
- 466K€ aux TPE-PME
- 13M€ aux entreprise de taille intermédiaire (ETI)
- 135M€ aux grands groupes
Dans le public, certains hôpitaux ont supporté jusqu’à 5,5M€ de coûts directs (Corbeil-Essonnes en 2022)
Les administrations publiques, et notamment les collectivités, sont les secteurs les plus ciblés par les cyberattaques. On recense 187 incidents entre janvier 2022 et juin 2023 (17% du total traité par l’ANSSI).
Stratégie nationale:
La gouvernance cyber de la France est organisée autour de trois missions:
- L’État défend la Nation
- L’État se sécurise
- L’Etat protège la Nation
La France suit un modèle dual de cyberdéfense fondé sur la séparation des capacités offensives et défensives.
Le modèle est peu répandu dans les pays proches, avec, notamment, les anglo-saxons qui vont eux centraliser leurs capacités offensives et défensives dans les services de renseignements.
Une nouvelle stratégie nationale est validée en Conseil de défense en novembre 2024 sous le pilotage du SGDSN. Elle articule une réponse aux agressions, à la sécurisation des systèmes d’information de l’État et à la protection numérique de la société. Le rapport n’a pas encore été publié.
Le plan stratégique 2025-2027 « Au cœur d’un collectif, pour une Nation cyber-résiliente » instaure quatre axes et onze objectifs (cryptographie post-quantique, IA, réponse de masse, coopération européenne) mais sans budget détaillé pour le moment.
Historique:
La France, dès le début du XXIe siècle, s’est dotée d’un dispositif de lutte contre les cybermenaces.
- 2004-2008: Mise en place des premières structures de lutte contre les cyber-menaces, puis Livre blanc défense & sécurité 2008
- 7 juillet 2009: Décret n° 2009-834 créant l’ANSSI (service à compétence nationale rattaché au SGDSN)
- 2013: Loi de programmation militaire 2014-2019
- 2015 – 2017: Décret 2015-351 (sécurité Opérateur d’Importance Vital OIV) avec création du COMCYBER (mai 2017)
- 2018: Revue stratégique de cyberdéfense 2018 et instauration du CODIR-cyber qui prépare les décisions du Conseil de défense et de sécurité nationale (CDSN) en matière cyber
- 2020 – 2021: Création de l’OSIIC (2020) et de VIGINUM (2021)
- 2022: Revue nationale stratégique 2022, priorité « résilience cyber de premier rang»
- Fin 2024: Validation d’une nouvelle Stratégie nationale de cybersécurité
Législations européennes:
L’édifice juridique, d’abord national (LPM, décrets OIV/OSE), est aujourd’hui largement européen. Depuis quelques années, l’Europe, qui s’inspire des modèles nationaux, vient renforcer les exigences en matière de cybersécurité. Les directives phares NIS 1 et NIS 2 l’illustrent parfaitement.
- 2016 : Directive NIS 1 (UE 2016/1148)
- 2018 : Loi n° 2018-133 et le décret 2018-384 pour transposer NIS 1 dans le droit français
- 2019 : Cybersecurity Act (Règlement UE)
- 2022 : Directive NIS 2, REC (entités critiques), Règlement DORA (finance)
- 2024 – 2025 : Projet de loi « Résilience » (transposition NIS 2, REC, DORA) adopté par le Sénat 12 mars 2025, examen final en cours
- 2024 – 2025 : Cyber Solidarity Act (règlement UE, entrée en vigueur le 4 février 2025)
Le projet de loi « Résilience »:
- Transpose NIS 2, REC et DORA multipliera de 500 à ~15000 le nombre d’entités régulées, couvrant 18 secteurs au lieu de 7 .
- Vise notamment 661 collectivités territoriales comme entités essentielles (EE) et 992 communautés de communes comme entités importantes (EI)
- Coût estimé de la mise en conformité : 450 – 880K€ (entités essentielles) ou 100 – 200K€ (entités importantes), puis 10% par an de maintien
Gouvernance:
La gouvernance française est structurée ainsi:
- Décision stratégique au sommet de l’État avec le conseil de défense et de sécurité nationale (CDSN)
- Réunions préparées par le comité directeur de la cyberdéfense (CODIR cyber)
- Pilotage interministériel et mise en oeuvre des décisions par le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN)
- La structure opérationnel civil unique avec l’agence nationale de la sécurité des systèmes d’information (ANSSI)
- La structure militaire avec le commandement de la cyberdéfense (COMCYBER)
Le Centre de coordination des crises cyber (C4) joue un rôle central dans la réponse technique aux cyberattaques. Il assure des missions de connaissance, détection, caractérisation et imputation des attaques. La coordination opérationnelle est assurée entre plusieurs entités : ANSSI, COMCYBER, DGA, DGSI et DGSE.
ANSSI:
La Cour des Comptes met l’accent sur le rôle prépondérant et considérable que joue l’ANSSI dans la réponse de l’Etat face aux cybermenaces.
Missions principales:
- Assistance et remédiation pour l’État, les OIV et les OSE (CERT-FR)
- Qualification et labellisation de produits, services et formations de cybersécurité
- Sensibilisation du grand public et des dirigeants
- Représentation et expertise française dans les enceintes européennes et internationales
Effectifs:
- 128 agents en 2009
- 622 agents en 2023
- La trajectoire initiale était 786 ETP en 2027 mais stoppée par la LF 2025
Capacités opérationnelles et projets en cours:
- Maillage national de CSIRT ministériels, sectoriels et territoriaux.
- Projet d’Observatoire interministériel de la menace pour centraliser les données d’incidents
Les CSIRT sont les “Computer Security Incident Response Team” ou les centres de réponse aux incidents cyber.
Recommandations de la Cour des comptes:
Plan d’action national:
Il faut arrimer la stratégie nationale 2024 à un échéancier détaillé et à une programmation pluriannuelle des moyens (SGDSN)
Lutte contre la cyber-criminalité:
Il faut mieux coordonner autorités judiciaires et services de renseignement (SGDSN, Justice, Intérieur)
CSIRT:
Il faut clarifier les rôles des CSIRT ministériels, sectoriels et territoriaux avec une garantie de financement pérenne (SGDSN, ANSSI)
Observatoire national de la menace:
Il est nécessaire de mettre rapidement en place, au sein de l’ANSSI, un observatoire centralisant les données et les analyses d’incidents (SGDSN, ANSSI)
Contrôles NIS 2:
Il faut cartographier les risques, intensifier et prioriser les audits et les sanctions des entités régulées (SGDSN, ANSSI)
Budget ANSSI:
Il est nécessaire définir une programmation pluriannuelle avec la nouvelle stratégie et le plan stratégique 2025 (SGDSN, ANSSI)
Sensibilisation des dirigeants publics:
Il est important d’inscrire des objectifs cybersécurité explicites dans leurs lettres de mission (SGDSN)
Conventions SGDSN-ANSSI-ministères:
Il convient de signer des conventions fixant objectifs, échéancier et moyens cyber au sein de chaque ministère (SGDSN, ANSSI)
Modèle économique durable:
Il faut stabiliser le financement du GIP Acyma et du Campus Cyber (SGDSN)
Labellisation PME et collectivités:
Il y a lieu de définir des critères de labellisation de solutions cyber adaptées aux petites structures (SGDSN, ANSSI)
Formation:
Il faut adapter l’offre interne de formation aux nouveaux besoins des entités régulées et piloter l’écosystème des formations en cybersécurité (SGDSN, ANSSI)