Cybersécurité 2026 / 2030 : le gouvernement pose un cap, la mise en œuvre reste à préciser
📩 Pour nous contacter: redaction@fw.media
Présentée à Bordeaux par la Ministre déléguée chargée de l’Intelligence artificielle et du Numérique, Anne Le Hénanf, au nom du gouvernement, la nouvelle stratégie nationale de cybersécurité fixe le cadre de l’action publique pour la période 2026 / 2030. Portée par le Premier ministre, elle entend dépasser une approche strictement technique pour installer la cybersécurité comme une politique de résilience à part entière, engageant l’État, les collectivités, les entreprises et, plus largement, les citoyens. Dans un contexte de multiplication des attaques et de dépendance croissante aux infrastructures numériques, l’exécutif affiche l’ambition de structurer une réponse collective, dans la continuité mais aussi au-delà du rôle historiquement central joué par l’ANSSI.
Articulée autour de cinq piliers, talents, résilience, entrave de la cybermenace, maîtrise des fondements numériques et coopération européenne, la stratégie dessine une architecture cohérente et assume plusieurs inflexions doctrinales. Elle acte notamment la fin de l’illusion du « zéro incident », privilégie la préparation à la crise et place la question des compétences au cœur du dispositif. Cette inflexion se traduit également par un élargissement des acteurs mobilisés, incluant plus explicitement les forces de sécurité intérieure, les structures de formation et les dispositifs de signalement, en complément des agences techniques. Pour autant, derrière ce cap politique, de nombreuses modalités restent à préciser, à l’instar de la coordination avec le système éducatif, de l’accompagnement des acteurs les plus exposés, des leviers concrets de dissuasion, d’une articulation européenne et d’une traduction budgétaire.
C’est dans cet écart entre la clarté du cadre stratégique et les incertitudes de sa mise en œuvre, que se joue désormais la crédibilité de la feuille de route gouvernementale.
Talents cyber : l’enjeu systémique de la coordination éducative et territoriale
Le premier pilier, consacré aux talents, est présenté comme le socle de l’ensemble de la stratégie. L’idée est que sans compétences, la cybersécurité demeure un discours. La ministre souhaite faire de la France le principal vivier de talents cyber en Europe, en agissant à la fois sur la formation, l’attractivité et la diversification des profils, notamment féminins.
Mais au-delà du constat et des messages de sensibilisation, une question structurelle se pose, quelle coordination concrète avec l’Éducation nationale, l’enseignement supérieur et les régions ? La stratégie évoque l’école, le collège, le lycée, l’orientation, les stéréotypes précoces. Elle suggère une action dès le plus jeune âge. En revanche, elle ne précise pas encore comment ces ambitions s’articuleront avec des compétences aujourd’hui éclatées entre ministères, rectorats, universités, grandes écoles et collectivités territoriales.
Cette interrogation prend une dimension opérationnelle supplémentaire au regard des acteurs déjà impliqués dans la formation cyber au sein de l’État, qu’il s’agisse de l’ACADÉMIE PN, du CEGN ou du CNF-Cyber. La question n’est donc pas seulement celle de l’offre de formation, mais bien de sa gouvernance et de son articulation territoriale.
La question est d’autant plus sensible que la formation cyber repose déjà sur un paysage fragmenté : filières d’excellence concentrées dans certaines métropoles, tension sur les enseignants spécialisés, concurrence entre acteurs publics et privés pour attirer les meilleurs profils. Sans mécanisme clair de coordination et sans objectifs partagés, le risque est que l’effort de formation bénéficie prioritairement aux structures déjà attractives, tandis que les administrations locales et les territoires moins dotés continueraient de subir une pénurie chronique.
Résilience cyber : préparer tout le monde, sans alourdir les plus fragiles
Le deuxième pilier érige la résilience cyber en principe cardinal. Il s’appuie sur une idée désormais bien installée que l’attaque n’est plus une hypothèse marginale, mais bel et bien un scénario plausible, parfois récurrent. Dès lors, la capacité à réagir, à maintenir l’activité et à se coordonner pour faire face à une cyberattaque devient aussi importante que la prévention.
Cette approche s’inscrit dans un renforcement du pilotage opérationnel de la cybermenace au sein du ministère de l’Intérieur, notamment à travers le COMCYBER-MI, les dispositifs de la Police nationale et de la Gendarmerie, ainsi que l’UNCYBER. Elle s’appuie également sur des outils de signalement et d’accompagnement destinés aux victimes, comme ceux portés par le GIP ACYMA ou le 17CYBER
Les exercices de crise, inspirés de Rempar 2025, sont présentés comme un levier central. Ils ont montré, selon le retour d’expérience partagé, que les acteurs entraînés réagissent mieux que ceux qui improvisent. Mais cette logique soulève immédiatement une interrogation opérationnelle : comment accompagner les acteurs les moins outillés, à savoir les petites collectivités, les TPE et les associations, sans transformer l’exigence de préparation en charge disproportionnée ?
Car l’enjeu est loin d’être théorique, autant pour une grande administration ou un opérateur structuré, la participation à des exercices, la rédaction de plans de continuité ou la mobilisation d’équipes dédiées relève d’un investissement absorbable. Pour une petite commune, une PME de quelques dizaines de salariés ou une association, ces exigences peuvent rapidement devenir une charge inabsorbable. La stratégie affirme l’inclusion de tous, mais laisse ouverte la question du niveau d’exigence différencié, de l’accompagnement financier et humain, et de la simplification des dispositifs pour ceux qui n’ont ni RSSI ni cellule de crise.
Entraver la cybermenace : entre principes stratégiques et efficacité réelle
Le troisième pilier marque une montée en généralité. Il ne s’agit plus seulement de se protéger ou de réagir, mais de réduire l’expansion même de la cybermenace, en agissant sur les conditions qui la rendent possible et rentable. Le discours mobilise les registres judiciaire, économique et diplomatique, et évoque la nécessité de cadres internationaux et de lignes de conduite.
À ce stade, la stratégie pose toutefois plus une intention qu’un outillage détaillé, et une question demeure, quels outils concrets au-delà des principes ? Sanctions, pressions économiques et coopération judiciaire sont mentionnées, dans le prolongement des actions menées par les services spécialisés de la Police nationale et de la Gendarmerie, ainsi que des coopérations internationales portées notamment par EUROPOL et INTERPOL, mais sans précision sur leur déclinaison opérationnelle ni sur leur articulation avec des cadres existants parfois peu efficaces.
Cette interrogation renvoie à une autre, plus délicate encore, à savoir quelle capacité réelle à dissuader des acteurs hybrides, parfois étatiques, parfois criminels, souvent situés hors des juridictions coopératives ? La stratégie reconnaît implicitement la difficulté, mais n’explicite pas encore comment l’État entend peser sur des groupes dont le modèle économique repose précisément sur l’asymétrie juridique, et l’opacité. Le pilier esquisse une doctrine, mais sans encore démontrer sa capacité à modifier les rapports de force.
Fondements numériques, IA et quantique : anticiper sans rigidifier
Le quatrième pilier traite des technologies émergentes, au premier rang desquelles l’intelligence artificielle et le quantique. L’approche se veut équilibrée : sécuriser les systèmes d’IA eux-mêmes, tout en prenant acte du fait que l’IA abaisse les barrières techniques à l’attaque ; anticiper le quantique par la cryptographie post-quantique, sans attendre une rupture brutale.
Mais là encore, plusieurs tensions apparaissent, et l’une d’elles concerne la régulation, comment encadrer ces technologies sans créer de rigidités normatives qui freineraient l’innovation ou désavantageraient les acteurs européens face à des concurrents moins contraints ? Une autre concerne l’alignement international, les standards de cybersécurité de l’IA et du quantique se construisant à l’échelle globale. La question du financement demeure centrale : soutenir l’innovation cyber suppose des choix, notamment dans l’allocation des dispositifs annoncés via France 2030.
Europe et international : éviter la coordination minimale et la fragmentation normative
Le dernier pilier affirme que la cybersécurité nationale ne peut être pensée sans l’Europe et l’international. Le raisonnement est largement partagé avec des systèmes interconnectés, des chaînes de valeur transfrontalières,e t des dépendances technologiques. L’échelon européen, au sein de l’UE, est présenté comme le niveau pertinent.
Mais cette évidence stratégique masque deux questions structurantes. La première est celle de la fragmentation réglementaire : comment éviter qu’une superposition de cadres nationaux et européens ne complexifie la conformité pour les entreprises opérant dans plusieurs États membres ? NIS2, certifications cloud, exigences sectorielles et transpositions nationales divergentes constituent déjà un paysage complexe, que la stratégie nationale devra clarifier plutôt que densifier.
La seconde question est plus politique : quelle capacité à faire émerger une véritable doctrine cyber européenne, au-delà de la coordination minimale ? Coopérer, échanger des bonnes pratiques et harmoniser des règles ne suffisent pas toujours à produire une vision commune de la dissuasion, de la réponse aux attaques majeures ou de la souveraineté numérique. La stratégie française affiche une ambition européenne, mais son impact dépendra de sa capacité à entraîner ses partenaires et à peser dans les arbitrages collectifs.
Une stratégie lisible, mais suspendue à ses arbitrages structurants
Intégrées à chacun des piliers, ces questions ne remettent pas en cause la cohérence de la stratégie nationale de cybersécurité. Elles en dessinent plutôt les points de bascule. Coordination éducative, accompagnement des acteurs fragiles, efficacité de la dissuasion, équilibre entre innovation et régulation, gouvernance européenne sont autant de chantiers qui conditionneront la transformation d’un cadre stratégique en politique publique pleinement opérante.
La présentation de Bordeaux fixe un cap. Les réponses à ces interrogations, plus techniques et plus politiques, diront si ce cap se traduit en trajectoire…
Vous pouvez me joindre directement à RICHARD@DECODE.MEDIA
