Gouvernance

ANSSI : le procès d’une autorité qui accompagne plus qu’elle ne contraint

Par Thierry Derouet, publié le 15 mai 2026

Le papier du Canard enchaîné a fait sortir Vincent Strubel de sa réserve : le directeur général de l’ANSSI y voit une mise en cause « abjecte » du travail de ses agents. Mais derrière la brutalité de l’attaque médiatique, une question demeure : l’ANSSI a-t-elle trop longtemps accompagné là où elle aurait dû contraindre ? L’affaire ANTS/France Titres ne révèle pas l’absence de règles. Elle révèle l’écart entre des règles très écrites – RGS, PSSIE, homologation – et une exécution que personne ne semble toujours capable d’imposer.

La phrase claque : « On en a chié des ronds de chapeau pour appliquer ce RGS ». Mais elle vient d’un homme qui n’a pas découvert l’État dans les communiqués. Ancien DSI public, familier des arbitrages interministériels et des contraintes de terrain, il sait ce que coûte une homologation lorsqu’elle est prise au sérieux : des audits, des réunions, des preuves, des retards, des compromis refusés, des risques qu’il faut nommer et signer. C’est tout le paradoxe français de la cybersécurité publique. L’État sait écrire la règle. Il sait produire des référentiels, des guides, des comités, des doctrines, des feuilles de route. Il sait aussi demander à ses administrations des efforts considérables pour se mettre en conformité. Mais quand les données sortent malgré tout, la question n’est plus seulement de savoir si les règles existaient. Elle est de savoir qui les faisait réellement respecter.

C’est précisément pour cela que l’affaire ANTS/France Titres dérange. Non parce que l’attaque serait la seule, ni même la plus grave au regard des scénarios de sabotage évoqués par l’ANSSI. Mais parce qu’elle touche un guichet central de l’État numérique, utilisé par des millions de citoyens pour des démarches sensibles : identité, passeport, permis de conduire, immatriculation. Elle rappelle surtout une évidence trop souvent oubliée : dans les services publics numériques, l’usager ne choisit pas toujours de confier ses données. Il le fait parce qu’il doit obtenir un droit, un titre, une aide, une autorisation, une inscription, un accès.

Lors de son audition du 13 mai 2026 devant la commission de la Défense nationale, dans le cadre du cycle « Guerre hybride et continuum de conflictualités », Vincent Strubel a été interpellé sur les effets sociaux des cyberattaques. Un député a rappelé que les fuites de données ne frappent pas seulement des systèmes : elles touchent aussi des publics déjà fragiles – personnes privées d’emploi, allocataires de prestations sociales, patients – et peuvent aggraver leur situation. Ce n’est pas un détail social ajouté à un sujet technique. C’est le cœur du problème. Une fuite de données publique n’est pas seulement une compromission de comptes. C’est une rupture de confiance imposée à des usagers captifs.

L’ANTS, un révélateur plus qu’un accident

Vincent Strubel ne nie pas la gravité de la situation. Mais il la déplace. À propos de l’attaque de l’ANTS, il explique devant les députés que ce qu’elle révèle, c’est « fondamentalement […] la complexité du système d’information de l’État ». Et il ajoute : « C’est là que le bât blesse aujourd’hui. »

L’argument est solide. Le SI de l’État est fait de milliers d’applications, de couches historiques, de ministères aux pratiques différentes, de prestataires multiples, de choix technologiques accumulés et de niveaux de maturité hétérogènes. Strubel le formule clairement : l’État doit sécuriser « des milliers d’applications », faire face à « des problèmes récurrents d’obsolescence logicielle » et à une gestion « très hétérogène » des authentifications. Il va même plus loin lorsqu’il évoque le déploiement de l’authentification à double facteur : certaines applications sont « totalement obsolètes », dit-il, au point que « personne n’a plus le pilotage global ».

Cette phrase devrait à elle seule justifier un audit général du numérique de l’État. Car elle dit autre chose qu’une difficulté technique. Elle dit qu’une partie du patrimoine applicatif public a perdu son propriétaire réel. Or une application sans pilote global n’est pas seulement une dette numérique. C’est une dette de responsabilité.

Mais l’argument de la complexité a une faiblesse : il peut vite devenir une excuse. L’hétérogénéité du SI public n’est pas une découverte de 2026. C’est précisément le problème que les référentiels, les procédures d’homologation, les audits, la DINUM, les directions numériques ministérielles et l’ANSSI étaient censés rendre pilotable. Dire que l’État est complexe est juste. S’en tenir là revient à constater l’incendie sans expliquer pourquoi le dispositif de prévention n’a pas suffi.

Le RGS disait déjà quoi faire

C’est ici que le Référentiel général de sécurité redevient central. Le RGS vise à renforcer la confiance des usagers dans les services électroniques proposés par les autorités administratives, notamment lorsqu’ils traitent des données personnelles. Il s’applique aux systèmes d’information mis en œuvre par ces autorités dans leurs relations entre elles et avec les usagers. Il peut aussi servir de recueil de bonnes pratiques pour d’autres organismes.

Surtout, le RGS n’est pas un simple recueil de principes. Il impose une démarche formelle. Les systèmes d’information entrant dans le champ de l’ordonnance du 8 décembre 2005 doivent faire l’objet, avant leur mise en service opérationnelle, d’une décision d’homologation de sécurité, également appelée « attestation formelle ». Cette décision est prononcée par une autorité d’homologation désignée par l’autorité administrative chargée du système. Elle atteste que le système est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. Elle s’appuie sur un dossier d’homologation. Lorsqu’elle concerne un téléservice, elle doit être rendue accessible aux usagers.

Le guide d’homologation 2025, publié par l’ANSSI avec la DINUM, rappelle l’esprit de cette démarche : homologuer un système d’information permet d’identifier les risques de sécurité, de s’assurer que les mesures nécessaires sont ou seront mises en œuvre dans un délai raisonnable, de vérifier que les réglementations applicables sont correctement prises en compte, de valider un plan d’action et de responsabiliser l’autorité qui accepte l’emploi du système.

La PSSIE ajoute une couche de gouvernance. Elle rappelle que la Politique de Sécurité des Systèmes d’Information de l’État vise notamment à assurer la continuité des activités régaliennes, prévenir la fuite d’informations sensibles et renforcer la confiance des citoyens et des entreprises dans les téléprocédures. La PSSIE ne place pas l’ANSSI dans un simple rôle de conseil. Elle lui donne une fonction de vigie et de contrôle : proposer les mesures de protection au Premier ministre, veiller à leur application, inspecter les systèmes d’information de l’État et maintenir, avec les responsables cybersécurité et les DSI des ministères, une vision actualisée de leur état de sécurité. Autrement dit, l’agence n’est pas seulement là pour écrire la doctrine. Elle doit aussi aider l’État à savoir où il est fragile, où les règles ne sont pas appliquées, et où une décision doit être prise.

Autrement dit, la question à poser après l’attaque de l’ANTS n’est pas seulement : qui a attaqué ? Ni même : quelle faille a été exploitée ? Elle est aussi beaucoup plus administrative, donc plus embarrassante : où est la décision d’homologation du portail attaqué ? De quand date-t-elle ? Sur quel périmètre portait-elle ? Quels risques résiduels ont été acceptés ? Quel dossier d’homologation l’appuyait ? Quels audits ou contrôles avaient été réalisés ? Quelles vulnérabilités avaient été signalées ? Quel plan de remédiation avait été validé ? Qui devait en suivre l’exécution ? Et qui pouvait bloquer si rien n’était corrigé ?

C’est là que la formule « ferme sur les principes, souple sur l’application » devient dangereuse. Sur le papier, la France est souvent très forte. Elle sait écrire les règles, fixer les responsabilités, produire des guides et organiser des chaînes de contrôle. Mais dans un État numérique exposé, un référentiel ne protège rien s’il n’est pas contrôlé, vérifié, suivi et rendu opposable dans les faits.

La Cour des comptes avait déjà documenté la perte de maîtrise

L’ANTS illustre ce décalage entre règle et exécution. La Cour des comptes ne décrit pas seulement une agence sous tension. Elle décrit une agence dont la maîtrise informatique est trop largement externalisée.

Dans son rapport, la Cour relève que l’ANTS dépend de consultants privés pour des fonctions informatiques critiques, chargés aussi bien du développement que de l’assistance à maîtrise d’ouvrage ou du support des systèmes d’information. Elle souligne que, parmi les besoins critiques sous-traités, figurent « plusieurs activités visant à assurer la sécurité des systèmes d’information », notamment « la stratégie d’audit ». Elle cite aussi le système TES, lié aux cartes d’identité et aux passeports, dont la sensibilité est qualifiée d’« extrême ».

La Cour pointe également des taux d’externalisation de 85 % à 90 % sur des projets stratégiques comme l’identité numérique et la refonte du système d’immatriculation des véhicules, au-delà des bonnes pratiques identifiées par la DINUM. Sa conclusion est sévère : cette organisation présente des « risques majeurs de perte de compétences, de contrôle et de maîtrise des opérations ».

C’est une phrase clé. Elle ne dit pas seulement que l’ANTS manque de bras. Elle dit que l’État peut perdre la maîtrise de ses opérations lorsqu’il externalise trop largement les compétences qui permettent de comprendre, contrôler et corriger ses systèmes.

La Cour ajoute que le contrat d’objectifs et de performance 2021-2023 prévoyait déjà une démarche de réinternalisation des ressources et compétences clés, mais qu’elle n’a pas eu communication de travaux réalisés dans ce cadre. L’ANTS estimait pourtant que 15 à 30 ETP supplémentaires auraient été nécessaires pour revenir au taux d’externalisation recommandé sur deux chantiers stratégiques : l’identité numérique et la refonte du SIV, le système d’immatriculation des véhicules, qui traite les données de plus de 40 millions de véhicules et plus de 30 millions d’opérations par an.

Il faut donc lire l’attaque de l’ANTS à cette lumière. Le problème n’est pas seulement qu’un portail ait été compromis. Le problème est qu’un opérateur aussi sensible, au cœur de la relation administrative avec les citoyens, avait déjà été décrit comme dépendant de prestataires pour des fonctions critiques, y compris la sécurité et la stratégie d’audit.

Strubel répond menace, complexité et priorisation

Face aux députés, Vincent Strubel choisit une ligne de défense en trois temps.

D’abord, il élargit le débat. Il parle des États, des cybercriminels, des activistes, des rançongiciels, des risques de sabotage, de la Pologne, des infrastructures électriques, de l’IA, de l’explosion des vulnérabilités. C’est légitime : l’audition s’inscrit dans un cycle sur la guerre hybride. Mais cette montée en généralité a un effet : elle dilue le cas ANTS dans un paysage de menace beaucoup plus vaste.

Ensuite, il hiérarchise. Il explique que les vols de données sont graves, qu’ils touchent les citoyens dans leur intimité, mais qu’ils ne relèvent pas de la sécurité nationale « au sens strict ». À propos de l’ANTS, il insiste sur le fait que le portail attaqué n’était « pas le système le plus critique ». Il rappelle que les données biométriques et les titres d’identité n’ont pas été volés. Ce qui a été exposé, dit-il, ce sont des données d’identité : nom, prénom, adresse mail, adresse postale le cas échéant.

Techniquement, la distinction se comprend. Politiquement, elle passe mal. Car pour un usager, et plus encore pour un usager vulnérable, la fuite d’une identité administrative n’est pas un incident secondaire. Elle peut nourrir de l’hameçonnage, de l’usurpation, des fraudes, des pressions, des arnaques. Le fait que les données les plus sensibles n’aient pas été exfiltrées ne suffit pas à rendre l’affaire marginale.

Enfin, Strubel invoque la priorisation. L’ANSSI ne peut pas tout contrôler. Il annonce une capacité d’environ 50 audits par an, à comparer avec des milliers de systèmes d’information au sein de l’État et des milliers de systèmes d’importance vitale déclarés par environ 300 opérateurs d’importance vitale. Là encore, le constat est recevable. Mais il ouvre immédiatement une autre question : si l’ANSSI ne peut pas tout contrôler, qui contrôle ce qu’elle ne contrôle pas ?

Recevoir les vulnérabilités ne suffit pas à les corriger

La question la plus importante de l’audition porte sur la chaîne de traitement des vulnérabilités. Une députée évoque l’attaque de l’ANTS et affirme qu’un expert aurait signalé deux failles critiques bien avant l’intrusion, dont l’une serait encore active une semaine après. Elle demande alors si l’ANSSI dispose des leviers nécessaires pour s’assurer que les signalements de vulnérabilités sur les SI de l’État aboutissent à des corrections dans des délais contraignants.

La réponse de Strubel est révélatrice. Il indique que le signalement des incidents et des vulnérabilités est prévu, que l’ANSSI reçoit des signalements, y compris anonymes. Puis il ajoute : « Après, effectivement, la vraie difficulté est la capacité de correction et la maîtrise du numérique derrière. »

Tout est là. Recevoir un signalement n’est pas corriger une faille. Connaître une vulnérabilité n’est pas imposer sa remédiation. Documenter un risque n’est pas créer l’arbitrage budgétaire, technique ou politique qui permet de le traiter.

Cette phrase est sans doute la plus importante de son audition. Elle montre que le point faible n’est pas seulement la détection. C’est la contrainte. Qui oblige un ministère, un opérateur ou un prestataire à corriger ? Dans quel délai ? Avec quelle escalade ? Quelle sanction interne si rien n’est fait ? Qui signe l’acceptation du risque lorsqu’une vulnérabilité reste ouverte ? Qui informe les usagers lorsque le risque porte sur un téléservice ?

Dans les couloirs de la maison, une petite musique résume parfois le malaise : « pas de couilles, pas d’embrouilles ». La formule est brutale, et elle serait injuste si elle visait les agents de l’ANSSI. Vincent Strubel a raison de rappeler leur engagement, leurs astreintes, leurs nuits et leurs week-ends sacrifiés. Mais elle dit autre chose : une difficulté ancienne, au sommet de l’agence, à transformer l’expertise en décision, la doctrine en contrainte et l’alerte en arbitrage. Cette critique ne naîtrait pas avec Vincent Strubel ; elle aurait déjà traversé l’ère Guillaume Poupard. L’ANSSI reste une maison très respectée pour son niveau technique. Mais une autorité cyber n’est pas seulement attendue sur sa capacité à accompagner. Elle doit aussi savoir imposer, bloquer, corriger – et créer l’embrouille administrative lorsque la sécurité l’exige.

Contrôler, c’est nommer les écarts. C’est demander des preuves. C’est imposer des délais. C’est rendre visibles les refus. C’est créer de l’embrouille. Et dans la haute administration, l’embrouille est rarement une culture spontanée.

L’ANSSI peut-elle être à la fois pompier, conseiller et gendarme ?

L’ANSSI définit ses missions autour de cinq verbes : défendre, connaître, partager, accompagner, réguler. Elle se présente comme l’autorité nationale en matière de cybersécurité et de cyberdéfense, chargée d’organiser en interministériel la protection de la Nation face aux cyberattaques.

Ces cinq missions disent la richesse de l’agence. Elles disent aussi son ambiguïté. Défendre et accompagner ne produisent pas toujours les mêmes réflexes. Réguler et conseiller non plus. Une agence qui veut garder la confiance des administrations peut hésiter à durcir son rôle de contrôle. Une agence qui traite les crises peut manquer de temps pour auditer. Une agence qui diffuse de la doctrine peut se heurter à la réalité des moyens, des prestataires, des ministères et des arbitrages.

Vincent Strubel choisit la ligne de la loyauté administrative. Rien, selon lui, ne remettrait en cause l’ANSSI ; aucune tension ne l’opposerait à Matignon ; la DINUM ne serait pas critiquée ; les agents, eux, auraient surtout été injustement exposés. La formule est rassurante. Elle est aussi très politique. Car la réforme annoncée ne surgit pas dans un ciel clair. La Cour des comptes avait déjà dessiné, en creux, les limites d’une DINUM qui peine à jouer pleinement le rôle de « DSI de l’État », faute d’autorité suffisante pour transformer ses constats en décisions opposables. Et la controverse Visio avait ajouté une couche plus industrielle encore : quand l’État, au nom du socle commun, se met à produire des outils génériques, il ne clarifie pas seulement sa stratégie numérique ; il brouille aussi le signal envoyé à la filière française.

Ce point est important. Le procès n’est pas celui des équipes. Il n’est pas non plus celui d’une DINUM qui aurait mal travaillé. Il est celui d’une organisation dans laquelle les rôles sont peut-être trop dispersés pour produire une décision nette.

La page officielle des missions de l’ANSSI précise que l’agence doit aussi réguler « par le contrôle » de la bonne application des dispositifs normatifs et réglementaires. Or c’est ce contrôle qui apparaît comme le maillon faible. Strubel évoque environ 50 audits par an, le recours aux prestataires PASSI et les futurs pouvoirs de NIS2. Mais il ne donne pas, dans cette audition, la part des contrôles inopinés, le taux de remédiation vérifiée, ni la mécanique précise d’escalade lorsqu’un risque identifié n’est pas traité.

Le futur cadre NIS2 doit élargir le périmètre de protection et renforcer les capacités de contrôle et de sanction. L’ANSSI présente cette directive comme une opportunité de protéger des milliers d’entités qui concernent le quotidien des citoyens ; elle souligne aussi que NIS2 constitue un changement de paradigme et une extension sans précédent du périmètre réglementaire cyber. Mais si, comme Strubel le laisse entendre, l’application réelle des sanctions doit être progressive, voire différée, le risque est connu : on restera ferme sur les principes, souple sur l’application.

La CNIL a longtemps pratiqué cet équilibre avant de changer de ton à coups de sanctions visibles. L’ANSSI, elle, semble encore prise entre accompagnement et contrainte.

Ariane : la réponse politique à un défaut d’orchestration

La réforme annoncée par Matignon prend alors une autre signification. Officiellement, le Premier ministre a annoncé, lors de sa visite à l’ANTS, une fusion de la DINUM et de la DITP pour créer une autorité numérique de l’État placée directement auprès de lui, chargée de standardiser et sécuriser les infrastructures numériques des ministères. Il a aussi annoncé 200 millions d’euros d’investissements, l’affectation des amendes CNIL à un fonds de modernisation des infrastructures numériques de l’État, et l’objectif de consacrer 5 % des budgets numériques ministériels au cyber dès 2027.

Dans sa propre prise de parole, Sébastien Lecornu reconnaît que beaucoup a été fait sur le très sensible, mais que les fonctions numériques plus traditionnelles ont été « particulièrement délaissées ». Il parle d’une « désorganisation désormais dangereuse » et appelle à « remettre de l’ordre ».

Les informations publiées ensuite par Acteurs publics dessinent une recomposition en deux blocs. Pierre Bouillon, ancien directeur du programme France services à l’ANCT, doit préfigurer la future direction des services publics. Walter Arnaud, adjoint au directeur de l’industrie de défense à la DGA, doit préfigurer l’Autorité nationale du numérique et de l’intelligence artificielle de l’État, ou Ariane.

La future direction des services publics aurait pour mission de clarifier le pilotage de l’accès aux services publics, aujourd’hui dispersé entre la DITP, la DINUM, la Dila et l’ANCT. Ariane, de son côté, répond à un constat explicite : les systèmes d’information de l’État restent trop fragmentés, hétérogènes et insuffisamment sécurisés, comme l’ont montré plusieurs fuites de données, dont celle de l’ANTS.

La lecture administrative dira : on réorganise. La lecture politique est plus directe : Matignon cherche un pilote.

Le choix de Walter Arnaud, venu de la DGA, n’est pas neutre. Il dit une attente de culture technique, industrielle et régalienne : architecture, socle commun, cloud, identité, plateformes, IA, sécurité, souveraineté, dépendances. Ce que l’État semble vouloir désormais, ce n’est pas seulement une animation de communs numériques. C’est une direction technique capable de rationaliser le système, d’imposer des standards, de réduire le nombre d’applications, de mutualiser, de cartographier et de sécuriser.

La question que Strubel ne résout pas

Vincent Strubel a raison sur un point : l’ANSSI ne peut pas être la DSI de tous les ministères, ni le RSSI de chaque opérateur, ni le prestataire de chaque téléservice. Elle ne peut pas tout auditer, tout corriger, tout administrer. Ce serait matériellement impossible.

Mais cette évidence ne répond pas à la seule question qui compte : qui contrôle ce que l’ANSSI ne contrôle pas ?

Si le portail ANTS n’était pas prioritaire pour l’ANSSI, qui devait s’assurer que son homologation était à jour ? Qui devait vérifier que les vulnérabilités signalées étaient corrigées ? Qui devait imposer un délai contraignant ? Qui devait décider que le risque résiduel était acceptable ? Qui devait rendre la décision accessible aux usagers ? Qui devait dire à Matignon qu’un téléservice public traitant des données personnelles n’était pas au niveau attendu ?

L’audition laisse ces questions ouvertes. Elle explique la complexité, mais ne désigne pas l’orchestrateur. Elle invoque la priorisation, mais ne documente pas assez le relais. Elle défend les agents, à juste titre, mais ne répond pas pleinement au procès de l’autorité.

C’est ici que l’ANTS retrouve sa vraie place dans l’analyse. Non comme un cas isolé, ni comme le seul symptôme d’un État numérique vulnérable, mais comme le point de bascule qui oblige à confronter les textes à leur exécution. Le RGS prévoyait l’homologation. Le guide d’homologation rappelait la nécessité des audits, du contrôle et de l’acceptation formelle des risques. La PSSIE organisait l’application et le suivi de la sécurité des systèmes d’information de l’État. La Cour des comptes avait déjà signalé, à l’ANTS, des risques de perte de compétences, de contrôle et de maîtrise des opérations. Face à cela, Vincent Strubel invoque la complexité. Matignon, lui, répond par Ariane. Autrement dit : lorsque la doctrine ne suffit plus à garantir l’exécution, le pouvoir tente de reprendre la main sur l’organisation.

Il manque encore la réponse la plus simple : qui peut dire non ?

Le bouton d’arrêt

Dans le numérique public, le vrai pouvoir n’est pas de rédiger un référentiel. C’est de pouvoir arrêter une mise en production. C’est de dire qu’une faille doit être corrigée avant ouverture. C’est de refuser qu’un prestataire porte seul la mémoire technique. C’est d’imposer qu’un téléservice captif, utilisé par des millions d’usagers, soit homologué, audité, revu et suivi. C’est de faire remonter au Premier ministre qu’un risque n’est plus acceptable.

Tant que ce pouvoir restera flou, la France continuera de briller sur le papier. Elle aura des référentiels, des guides, des comités, des doctrines, des plateformes, des autorités et des acronymes. Mais ses citoyens, eux, continueront de découvrir après coup que leurs données sont sorties.

La complexité est réelle. Elle ne peut plus servir d’excuse. Elle est le cœur de la mission.

C’est peut-être cela que dit, dans sa brutalité, la petite musique prêtée à la maison : « pas de couilles, pas d’embrouilles ». Elle ne vise ni la compétence des agents de l’ANSSI, ni leur engagement. Elle vise le sommet de la chaîne, cette fonction d’autorité qui ne peut pas seulement accompagner, conseiller ou documenter. Une agence cyber d’État doit aussi savoir rendre les risques opposables, imposer des corrections, faire remonter les refus d’arbitrage et accepter l’inconfort administratif que provoque toute décision réelle. Car en cybersécurité, éviter l’embrouille peut parfois revenir à laisser le risque en place.