Stratégie nationale de cybersécurité : enfin ou trop tard ?

Ce jeudi 29 janvier 2026 à Pessac, Anne Le Hénanff levait le voile sur la « stratégie nationale de cybersécurité ».

Le dernier fruit en date, doit-on comprendre, d’un « engagement du gouvernement constant depuis 2017 pour renforcer la cybersécurité de notre pays ». Et la ministre du numérique et de l’IA d’appuyer son propos : « sous l’impulsion du président de la République, cet engagement s’est matérialisé dès 2018 par la publication de la Revue stratégique de cyberdéfense, à laquelle a succédé la Revue nationale stratégique de 2025 qui a érigé la cyber-résilience de la Nation au rang de priorité stratégique ».

Passons sur le fait que de nombreuses initiatives se sont surtout imposées dans la réaction, notamment à la suite des nombreuses attaques dont ont été victimes les hôpitaux au cours des dernières années.

Ce plan stratégique repose sur 14 objectifs à l’horizon 2030, articulés autour de 5 piliers. Premier pilier : former et attirer des talents. Car « le secteur du numérique en général, et celui de la cybersécurité en particulier, connaissent une pénurie de main-d’œuvre à l’échelle mondiale ».

Là, premier objectif : « développer dès le plus jeune âge une culture inclusive de la cybersécurité ». Un travail déjà engagé par l’ISSA France, de longue date, accessoirement, à l’importance soulignée par de nombreux acteurs de la cybersécurité, depuis plusieurs années.

Mais pas un mot sur la capacité des recruteurs à efficacement déterminer leurs besoins ou établir les profils des candidats à rechercher. Ni encore à proposer des rémunérations à la hauteur des responsabilités et des compétences recherchées.

Second pilier : renforcer la résilience de la nation avec, comme objectifs, « préparer la nation aux crises dues aux cyberattaques ». Là sont notamment évoquées des campagnes de sensibilisation « sur le modèle des campagnes de sécurité routière ».

Guillaume Poupard sera ravi, lui qui, début 2017 alors qu’il dirigeait l’Anssi et à l’occasion de la création du GIP Acyma, qui opère le portail cybermalveillance.gouv.fr, ne cachait pas des regrets de ne pas avoir réussi à obtenir des campagnes de communication « sur le modèle de la sécurité routière ». 

Concrètement, il faut aussi attendre de cet objectif le développement d’un « programme d’exercice de crises », dans le but « d’éprouver l’articulation et l’efficience de l’ensemble des capacités de réponse de la France ». Certains esprits chagrins seront sûrement tentés d’ironiser en relevant qu’après toutes les fuites de données personnelles depuis 2024, en France, il pourrait apparaître surprenant qu’il reste un citoyen qui ne soit pas encore préparé.

Cela dit, au regard de ces brèches, l’objectif 5 de la stratégie nationale de cybersécurité, apparaît plus qu’urgent, à moins qu’il n’ait été défini trop tard : « rehausser le niveau global de cyber-protection de la Nation ».

Le troisième pilier vise à entraver l’expansion de la cybermenace. Un simple vœu pieux ? Par sûr. Les forces de l’ordre Hexagonales n’ont pas à rougir de leurs efforts de lutte contre la cybercriminalité qui ne bénéficient pas toujours de la reconnaissance qu’ils mériteraient.

Mais là, l’objectif 8, « mobiliser les acteurs privés dans la cyberdéfense de la Nation » est déjà une réalité. Au moins dans leur contribution. Pour le partage d’information de l’État en leur direction, les choses ont peut-être progressé au fil des ans, mais l’Anssi n’est pas toujours brillé pour la qualité de sa communication.

On reparle là aussi du déploiement d’un « filtre de cybersécurité à destination du grand public » dont les contours, l’éventuelle efficacité, et le socle technique, laissent encore dubitatif.

Le quatrième pilier, « garder la maîtrise de la sécurité de nos fondements numériques » pourrait prêter à sourire quiconque connaît la répartition des responsabilités entre client et fournisseur dès que l’on touche au Cloud, qu’il s’agisse de SaaS, de PaaS ou d’IaaS. Les observateurs attentifs relèveront au passage que la souveraineté technologique n’est pas au programme de cette stratégie. Le mot « souveraineté » ne figure qu’une fois dans les descriptions des objectifs.

Il se cache dans le pilier 5 : « soutenir la sécurité et la stabilité du cyberespace en Europe et à l’international », dans l’objectif 12, au sujet de la coopération judiciaire internationale.

Dans son discours, Anne Le Hénanff a également évoqué « la création d’un observatoire de la résilience cyber de la Nation ». De quoi rappeler l’observatoire de la menace que devait créer Acyma, porteur du portail cybermalveillance.gouv.fr. Le Trésor, dans son rapport de 2022 sur le GIP, le rappelait d’ailleurs.

Mais encore faut-il que les budgets nécessaires soient là. Et cela pour tous les objectifs de cette nouvelle stratégie. C’est probablement le principal bémol de cet ensemble qui ne manque de cohérence, à défaut parfois d’innovation : aucun budget n’est pour l’heure annoncé. Justification avancée : le débat budgétaire encore en cours.