Le plan de cybersécurité révèle des dissensions au sein du gouvernement
L’enveloppe de 200 millions d’euros annoncée par le Premier ministre Sébastien Lecornu pour renforcer la cybersécurité de l’État suscite déjà des remous au sein de l’exécutif. Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a tranché dans le vif ce lundi 4 mai sur France Inter : cette somme « ne suffira pas » face aux menaces croissantes qui pèsent sur les infrastructures numériques françaises.
Cette sortie publique cristallise les tensions internes qui traversent un gouvernement confronté à une réalité implacable. Depuis le début de l’année 2026, la France essuie environ trois vols de données quotidiens. L’attaque contre l’Agence nationale des titres sécurisés (ANTS) en avril, qui a exposé près de 12 millions de comptes, n’était que l’arbre cachant une forêt de vulnérabilités béantes.
Des budgets dérisoires face aux menaces exponentielles
Les révélations d’Anne Le Hénanff sur l’état des finances publiques dédiées à la cybersécurité donnent le vertige. Dans certains ministères, les budgets alloués à la protection numérique représentent à peine 1% du budget informatique total. Au mieux, cette proportion atteint 5%, soit la moitié du seuil minimal recommandé de 10% pour assurer une protection efficace.
Cette sous-dotation chronique explique en grande partie « la dette technique importante » que reconnaît désormais Sébastien Lecornu. Des logiciels datant parfois des années 1990 continuent d’alimenter des services essentiels, notamment au ministère de l’Éducation nationale, transformant l’administration française en passoire numérique. Les budgets cybersécurité oscillent entre 1% et 5% des budgets IT ministériels, loin du seuil minimal recommandé de 10%. Cette situation critique survient alors que la fréquence des attaques atteint désormais trois à quatre vols de données quotidiens depuis janvier 2026, culminant avec l’attaque de l’ANTS qui a compromis 12 millions de comptes en avril dernier.
Une réponse gouvernementale en trompe-l’œil
Face à cette hécatombe numérique, le plan Lecornu adopte une approche essentiellement cosmétique. Les 200 millions d’euros, prélevés sur les crédits de France 2030, permettront certes de financer des « audits flash » dans les ministères et d’acquérir quelques solutions de protection comme des EDR (Endpoint Detection and Response). Toutefois, cette enveloppe ne prévoit aucun renforcement des moyens humains, pourtant indispensables pour installer, paramétrer et maintenir ces outils.
Plus troublant encore, le gouvernement mise sur le chiffrement post-quantique alors que la plupart des attaques récentes exploitent des failles bien plus élémentaires, comme l’absence d’authentification multifacteur. Cette approche révèle une méconnaissance préoccupante des réalités opérationnelles par les décideurs politiques, rappelant les tensions géopolitiques complexes qui traversent aujourd’hui le secteur technologique.
L’intelligence artificielle comme solution miracle ?
Autre mesure phare du plan gouvernemental : le déploiement d’outils d’intelligence artificielle pour détecter les vulnérabilités. Cette promesse fait écho aux dernières annonces d’Anthropic avec Mythos ou d’OpenAI avec GPT 5.5 cyber, des modèles dont l’accès demeure limité à certaines entreprises et certains pays.
L’Union européenne bataille d’ailleurs pour obtenir un accès privilégié à ces technologies, révélant une nouvelle forme de dépendance géopolitique dans le domaine de la cybersécurité. Une situation que Lecornu semble vouloir ignorer en promettant des « exercices de crise avec de vrais scénarios comme un blackout numérique total », sans questionner la souveraineté technologique française. Cette dynamique rappelle les bouleversements que provoque l’IA dans les équilibres géostratégiques traditionnels.
Réorganisation administrative : fusion ou confusion ?
La création annoncée d’une « autorité numérique de l’État », issue de la fusion entre la Direction interministérielle du numérique (Dinum) et la Direction interministérielle de la transformation publique (DITP), suscite également des interrogations. Cette réorganisation, directement rattachée au Premier ministre, vise à « créer une infrastructure IT de l’État standardisée » selon Lecornu.
Néanmoins, sans moyens humains supplémentaires ni budget à la hauteur des enjeux, cette nouvelle structure risque de reproduire les mêmes écueils que ses prédécesseurs. D’autant que les amendes de la CNIL, qui représentaient près de 500 millions d’euros en 2025, seront affectées à un fonds de modernisation sans renforcer les effectifs du régulateur, déjà submergé par l’afflux de plaintes.
Une urgence nationale sous-estimée
Les dissensions publiques entre Lecornu et Le Hénanff révèlent une réalité que l’exécutif peine à admettre : la cybersécurité représente désormais un enjeu de souveraineté nationale qui nécessite des investissements massifs et durables. Cette approche « mesurettes » ne peut suffire face à des adversaires déterminés, qu’il s’agisse d’États hostiles, de groupes criminels ou de « loups solitaires ».
L’exemple récent de l’adolescent de quinze ans arrêté pour le piratage de l’ANTS illustre parfaitement cette nouvelle donne : les compétences techniques se démocratisent tandis que les défenses étatiques s’effritent. Dans ce contexte, les 200 millions promis par Lecornu apparaissent comme une goutte d’eau dans un océan de vulnérabilités.
La France se trouve ainsi dans une « situation assez grave », pour reprendre les termes du Premier ministre, sans que les mesures annoncées soient à la hauteur du diagnostic posé. Cette incohérence entre le discours alarmiste et les moyens déployés traduit l’embarras d’un gouvernement pris au dépourvu par l’ampleur du défi numérique. Un défi qui nécessite une véritable « doctrine de protection » plutôt que des réponses d’urgence improvisées.
