Secu

Cyber de l’État : l’IA traque, l’administration peine à suivre

Par Thierry Derouet, publié le 14 avril 2026

Pendant qu’Anthropic met en scène, avec Project Glasswing et Claude Mythos Preview, une cyber dopée à l’IA, l’État français publie une feuille de route qui sonne comme un rappel aux fondamentaux : identifier les SI critiques, maîtriser les accès, corriger les vulnérabilités et vérifier que la reprise fonctionne.

En matière de cybersécurité, l’État français a longtemps produit du cadre, de la doctrine et des feuilles de route. En 2025, il a surtout accumulé les alertes. Le document publié en avril 2026 le reconnaît lui-même : les « multiples intrusions et fuites de données » ayant touché les ministères et les établissements sous tutelle ont révélé des « vulnérabilités graves », tandis que les contraintes budgétaires ont pesé sur l’exécution de la feuille précédente. Pour un texte administratif, c’est déjà une forme d’aveu. 

Le contexte, lui, ne relève pas de l’impression. Dans son panorama 2025, l’ANSSI dit avoir traité 3 586 événements de sécurité, dont 1 366 incidents. L’agence ajoute que les ministères et collectivités territoriales représentent 24 % des incidents traités et que les frontières entre acteurs étatiques et cybercriminels continuent de s’éroder. 

Les cas les plus visibles ont suffi à casser le récit de maîtrise. Le 1er décembre 2025, France Travail et le réseau des Missions Locales ont indiqué qu’un acte de cybermalveillance pouvait conduire à la divulgation de données concernant 1,6 million de jeunes, dont le numéro de sécurité sociale, l’identifiant France Travail, les coordonnées et la date de naissance. Quelques jours plus tard, Le Monde révélait qu’au ministère de l’Intérieur, des données avaient été extraites de fichiers parmi les plus sensibles de l’appareil d’État. Parmi eux figurent notamment le TAJ, le traitement d’antécédents judiciaires, qui regroupe des informations liées à des personnes mises en cause ou victimes dans des enquêtes, et le FPR, le fichier des personnes recherchées, utilisé pour signaler des personnes faisant l’objet d’une attention particulière des autorités. À ce niveau, on ne parle plus d’un incident périphérique : on touche au cœur des bases les plus régaliennes.

Dans ce contexte, la feuille de route 2026-2027 ressemble moins à une grande stratégie neuve qu’à un plan de remise à niveau. Elle empile les fondamentaux : gouvernance, homologation, chaîne d’approvisionnement, correctifs, obsolescence, DNS, messagerie, authentification multifacteur, gestion des identités, sécurité de l’administration, supervision, réponse à incident, plans de reprise et transition post-quantique. Sur le fond, le texte vise juste. Mais c’est précisément ce qui le rend mordant malgré lui : quand un État doit rappeler noir sur blanc à ses propres ministères qu’il faut faire sérieusement tout cela, il ne parle plus seulement d’ambition cyber. Il parle d’un rattrapage.   

Une feuille de route utile, mais qui sonne comme un rappel à l’ordre

Le plus sévère, au fond, n’est pas ce que le document demande. C’est le simple fait qu’il doive encore le demander. Mettre à jour l’inventaire des SI à enjeux, homologuer les systèmes soutenant les missions essentielles, formaliser une politique d’hébergement cloud, déployer la MFA, supprimer ou tracer les comptes génériques, renforcer la sécurité des annuaires, généraliser EDR ou XDR, tester les sauvegardes et les plans de reprise : aucune de ces exigences ne relève de la science-fiction. C’est le minimum attendu d’une grande administration. 

La Cour des comptes l’avait déjà formulé sans fioriture inutile. Dans son rapport de 2025 sur la réponse de l’État aux cybermenaces sur les systèmes d’information civils, elle juge le pilotage interministériel structuré, mais souligne qu’il ne se traduit pas encore assez en plans d’action réellement adossés à une programmation budgétaire. Elle relève aussi des marges de progression importantes sur des sujets que la feuille de route reprend presque mot pour mot : homologation des systèmes critiques, remplacement des composants obsolètes, intégration de la cybersécurité dans les plans de continuité et de reprise. 

Autrement dit, le problème n’est plus vraiment le diagnostic. Le problème, c’est la capacité à livrer. Une feuille de route peut fixer des échéances, rappeler des obligations et ordonner des priorités. Elle ne crée pas, à elle seule, des compétences, des effectifs, des budgets stabilisés ni une exécution homogène sur des patrimoines applicatifs disparates. C’est ce qui donne au document son ton étrange : il est lucide, précis, utile, mais il ressemble moins à une démonstration de force qu’à la liste ordonnée de ce qui n’a pas tenu jusque-là.   

Le vrai décalage : Glasswing regarde devant, l’État regarde encore dessous

C’est ici que le parallèle avec Project Glasswing et Claude Mythos Preview prend tout son sens. Anthropic explique que ses partenaires recevront un accès à Mythos Preview pour « trouver et corriger » des vulnérabilités ou faiblesses dans des systèmes fondamentaux, avec des usages allant de la détection locale de vulnérabilités aux tests sur binaires, à la sécurisation des endpoints et aux tests d’intrusion. Reuters précise qu’Anthropic réserve ce programme à un cercle restreint d’organisations et met sur la table 100 millions de dollars de crédits d’usage, ainsi que 4 millions de dollars de dons à l’open source. 

Le sujet n’est pas de prendre pour argent comptant toute la dramaturgie de l’IA cyber. Le sujet est le décalage d’époque qu’elle révèle. D’un côté, le marché raconte déjà une cyber qui accélère, métamorphosée par l’IA, avec des modèles capables d’identifier à grande vitesse des vulnérabilités dans des briques critiques. De l’autre, l’État français publie une feuille de route qui sonne comme un rappel aux bases : inventaire, homologation, comptes, MFA, supervision, reprise. Pendant que Glasswing regarde vers l’avant, Paris regarde encore sous le capot.   

C’est un contraste rude, mais pas absurde. Anthropic parle d’un monde où la découverte de failles pourrait s’industrialiser. L’État, lui, est ramené à une vérité plus banale : un SI mal connu, mal administré, mal patché ou mal restaurable reste vulnérable, avec ou sans IA de pointe.
Glasswing raconte une cyber qui se doit de se réinventer ; la feuille de route de l’État raconte encore la cyber qui se remet d’aplomb.   

NIS 2 et souveraineté obligent l’État à se regarder lui-même

La feuille de route ne tombe pas seulement après une année noire. Elle s’inscrit aussi dans la montée en puissance de NIS 2. Le document rappelle que la version précédente avait déjà été pensée dans cette perspective et annonce une mise à jour de la politique de sécurité des systèmes d’information de l’État pour intégrer, par anticipation, le référentiel destiné aux futures entités essentielles.   

L’inconfort politique est là. L’État durcit le cadre pour les autres, mais il doit en même temps prouver qu’il sait s’appliquer à lui-même ce qu’il exige du reste du pays. Après 2025, la question n’est plus de savoir s’il faut davantage de règles. La question est de savoir si l’administration centrale, les ministères et les opérateurs ont les moyens de tenir les délais qu’ils affichent. Le rapport de la Cour des comptes de 2025, en soulignant l’écart entre pilotage et programmation réelle, ne dit pas autre chose. 

Même chose sur la souveraineté. La feuille de route lui donne une traduction beaucoup plus concrète que les slogans habituels. Toute migration vers le cloud doit être considérée comme un nouveau système d’information et donc être homologuée. Une politique d’hébergement cloud doit être formalisée. La chaîne d’approvisionnement doit être mieux contrôlée. Le message est simple : déplacer un service chez un prestataire ne supprime pas le risque ; cela le redessine.   

Ce que dit vraiment cette feuille de route

Ce texte n’est ni ridicule ni cosmétique. Il cible les bons sujets. Il arrive simplement à un moment où il ne suffit plus de viser juste sur le papier. Après les défaillances de 2025, après NIS 2, après les alertes répétées de la Cour des comptes, la feuille de route 2026-2027 ne se lit pas comme la preuve que l’État a enfin les moyens de ses ambitions. Elle se lit comme la reconnaissance, méthodique et tardive, que ces ambitions reposaient encore sur des fondamentaux inégalement tenus.   

En une phrase, Project Glasswing raconte le monde qui vient ; la feuille de route de l’État raconte encore le retard qu’il faut combler.

En résumé

Ce que la feuille de route impose, date par date

Derrière le langage administratif, le document fixe un calendrier serré aux ministères. Inventaire, cloud, MFA, supervision, reprise, post-quantique : les principales échéances.

Avant le 30 juin 2026

Mise à jour de l’inventaire des systèmes d’information avec identification des SI à enjeux, première politique d’hébergement cloud, déclinaison ministérielle de la feuille de route, politique d’audit et de contrôle, politique de contrôle de la chaîne d’approvisionnement, procédures de correctifs et de traitement des alertes, suppression ou traçabilité renforcée des comptes génériques, premières revues des droits sur les comptes d’administration technique, calendrier de généralisation de ProConnect, annuaires critiques portés au niveau 3 de l’indicateur ADS.

Avant le 30 septembre 2026

Renforcement de la sécurité du DNS, notamment via un recours accru au service interministériel DNS.

Avant le 31 décembre 2026

Homologation des SI soutenant les missions essentielles, exigences cyber dans les marchés numériques, mise en œuvre effective des procédures de correctifs, remplacement des équipements de sécurité obsolètes, renforcement de la sécurité de la messagerie, premier périmètre de gestion automatique des identités et des accès sur des SI à enjeux, revues des droits sur les comptes d’administration fonctionnelle, premier déploiement de ProConnect, MFA pour tous les administrateurs, postes dédiés pour l’administration des SI à enjeux et des SI nationaux, amélioration de la collecte de traces, déploiement d’EDR ou XDR avec priorité aux SI à enjeux, consolidation des CSIRT ministériels.

Avant le 28 février 2027

Généralisation de l’authentification multifacteur sur l’ensemble des SI à enjeux.

Avant le 31 décembre 2027

Intégration des exigences cyber dans les marchés comportant une composante numérique ou des échanges d’informations sensibles, extension du périmètre de gestion automatique des identités, postes dédiés pour l’administration des SI des services déconcentrés, identification des briques techniques concernées par la transition post-quantique.

Avant le 28 février 2028

Généralisation de la MFA et de ProConnect à l’ensemble des systèmes d’information.

Avant le 1er mars 2028

Remplacement des autres éléments obsolètes des SI à enjeux.

Avant le 31 décembre 2028

Homologation des autres SI à enjeux.

D’ici fin 2030

Déploiement de la cryptographie post-quantique pour les systèmes traitant de l’information « diffusion restreinte ». À partir de 2030, seuls des produits de chiffrement intégrant cette cryptographie devront être déployés.

Lecture simple : cette feuille de route ne dit pas que l’État est prêt. Elle énumère ce qu’il doit encore mettre en ordre pour espérer le devenir.

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights