Gouvernance
À l’Université des DPO, l’ANSSI annonce l’ère du contrôle cyber
Par Thierry Derouet, publié le 05 février 2026
La menace n’est plus le sujet : la méthode l’est. À l’Université des DPO, l’ANSSI annonce une montée en puissance des contrôles, entre progressivité et exigence, sur fond de NIS2 et de nouvelles obligations de transparence sur les produits numériques.
Jeudi 5 février 2026, à la Maison de la Chimie (Paris), pour l’ouverture de la 20e Université des DPO, Matthieu Autret, Chef de la mission contrôles et supervision à l’ANSSI, a posé une doctrine plus qu’un panorama.
La menace, tout le monde la connaît : elle s’étire, elle se démultiplie, elle traverse les secteurs. Ce qui change, et c’est là que son propos prend du relief, c’est la posture de l’État : on ne se contentera plus d’expliquer la cybersécurité, il faudra la démontrer. Et, demain, la subir au sens administratif du terme : contrôles, exigences, preuves, traçabilité.
Un chiffre, oui. Mais le bon objet derrière le chiffre
Matthieu Autret cite une hausse de 15 %. Le réflexe est tentant : y voir « plus d’attaques ». Mais la mesure officielle, celle qu’il faut écrire sans trembler, porte sur les événements de sécurité traités : 4386 en 2024, soit +15 % par rapport à 2023, avec des degrés d’engagement variables selon les dossiers. C’est un détail de méthode qui change tout : ce chiffre ne compte pas les « attaques réussies » en France. Il compte une pression, un volume d’affaires, un niveau d’alerte côté autorité nationale. On est dans le thermomètre des flux, pas dans un palmarès de victoires adverses.
« La progressivité… ne veut pas dire la complaisance »
Pour recaler l’autre thermomètre, celui des entreprises, le miroir le plus utile, c’est le baromètre CESIN— OpinionWay : 40 % des organisations interrogées déclarent avoir subi au moins une cyberattaque « significative » en 2025 ; quand elle passe, ses conséquences restent massives : 81 % déclarent un impact sur l’activité.
Deux chiffres, deux périmètres, deux méthodes, mais une même phrase en filigrane : la pression ne baisse pas, elle se déplace.
Le passage qui pique : quand la sécurité devient la faille
Là où le discours devient vraiment actionnable, c’est lorsqu’il rappelle un phénomène documenté par le CERT-FR : les vulnérabilités touchant des équipements de sécurité en bordure de SI, ces briques « de confiance », ont pesé lourd dans l’activité récente.
C’est un retournement cruel : le rempart devient la porte. Et cela parle aux DPO aussi directement qu’aux RSSI : quand l’entrée se fait par un équipement « trusted », la suite n’est pas une hypothèse philosophique. C’est l’accès aux systèmes. Et donc l’accès aux données.
Jaguar Land Rover : l’exemple est solide, les estimations varient
Pour incarner, il convoque une attaque devenue emblématique : Jaguar Land Rover. Le fait est établi : arrêt prolongé de production, chaîne logistique touchée, impact macroéconomique discuté publiquement. Mais sur les montants, il faut être net : les évaluations divergent selon les sources et les moments. Reuters parle d’un impact à l’échelle de centaines de millions de livres pour l’entreprise ; d’autres estimations évoquent un coût beaucoup plus large pour l’économie britannique, jusqu’à 1,9 milliard de livres, selon un organisme de suivi cité par la presse.
Ce point n’affaiblit pas le récit : il le clarifie. Ce qui est certain : l’arrêt. Ce qui est mouvant : la facture exacte.
NIS2 : la conformité avant la loi
Ensuite vient la mécanique : NIS2 et sa transposition française, toujours suspendue au calendrier parlementaire. Dans la salle, l’idée est simple : le texte arrive, les obligations approchent, et le périmètre doit changer d’échelle.
On peut résumer en une image : avant, on sécurisait un quartier ; demain, il faudra sécuriser une ville. Et quand on sécurise une ville, on ne s’appuie plus seulement sur la bonne volonté : on s’appuie sur des règles, des contrôles, des routines, des preuves.
CRA : 11 septembre 2026, la date qui oblige les fabricants à parler
Autre jalon très concret : le Cyber Resilience Act. Sa logique est complémentaire : non pas les entités, mais les produits. Les obligations générales s’appliqueront à partir du 11 décembre 2027 ; mais les obligations de reporting démarrent plus tôt : à compter du 11 septembre 2026, les fabricants devront déclarer certaines vulnérabilités activement exploitées et incidents graves.
Pour les entreprises utilisatrices, c’est une bascule silencieuse : le fournisseur ne pourra plus se contenter de corriger. Il devra notifier, documenter, et assumer un cycle de vie de vulnérabilités sous regard réglementaire.
L’Europe, ENISA, la certification : la couche qui revient par le haut
Enfin, il y a la toile de fond européenne. Fin janvier 2026, la Commission a présenté une proposition de révision du Cybersecurity Act, avec l’idée de renforcer l’architecture européenne (et le rôle de l’ENISA) et de rendre la certification plus opérante, plus lisible, plus « systémique ».
Ce n’est pas la partie la plus « scénique », mais c’est souvent celle qui dure : les labels finissent par devenir des critères d’achat, puis des exigences contractuelles, puis des arguments de contrôle.
Ce que dit vraiment la phrase « progressivité, pas complaisance »
En refermant son propos sur l’articulation DPO/RSSI, Matthieu Autret ne fait pas de littérature : il décrit une nouvelle grammaire. La progressivité, c’est le temps donné pour s’organiser. La non-complaisance, c’est l’idée qu’on ne peut plus bricoler longtemps, parce que l’adversaire, lui, ne bricole plus.
On sort du discours « cyber » comme horizon moral. On entre dans le cyber comme régime administratif : obligations, notifications, contrôles, responsabilités. Et, dans ce régime, les DPO n’auront plus le luxe d’être « à côté » du technique. Ils seront dans la même histoire, celle où la conformité n’est plus un classeur, mais une preuve.
À LIRE AUSSI :
