10 MAI 2026
● OPÉRATIONNEL
DÉCODEUR CYBER
LES ALERTES DU CERT-FR · VULGARISÉES · POUR TOUS
CERT-FR ↗
ACTUALITÉ8 MIN DE LECTURE· 2 MAI 2026

Plan cyber de l'État : ce que change le plan Lecornu (200 M€)

Plan cyber de l'État : 200 M€, autorité numérique, fonds CNIL... Décodage du plan annoncé par Sébastien Lecornu après l'affaire ANTS.

D

Décodeur Cyber

Veille cybersécurité & vulgarisation

Plan cyber de l'État : 200 millions, ANTS, autorité numérique — ce qui change vraiment

Trois vols de données par jour. C'est le rythme moyen auquel l'administration française se fait piller depuis janvier 2026, selon les chiffres communiqués à l'Assemblée. Après le piratage massif de l'ANTS le 15 avril (jusqu'à 18 millions de lignes de données dans la nature), l'État a fini par sortir le carnet de chèques. Le 30 avril, le Premier ministre Sébastien Lecornu a annoncé un plan cyber de l'État doté de 200 millions d'euros, une nouvelle autorité numérique et plusieurs mesures structurelles. Au-delà des annonces, qu'est-ce que ce plan change concrètement pour les services publics, les PME et les usagers ? Décryptage.

Pourquoi un plan cyber de l'État maintenant ?

L'affaire ANTS, déclencheur direct

Le 15 avril 2026, l'Agence nationale des titres sécurisés — qui gère vos demandes de carte d'identité, passeport et permis de conduire — a subi une cyberattaque massive. Les données de 11,7 millions de comptes ont fuité : noms, prénoms, dates de naissance, emails, identifiants de connexion, parfois adresses postales et numéros de téléphone. Un mineur de 15 ans surnommé « breach3d » a été mis en examen le 29 avril.

Le préjudice n'est pas seulement informatique : ces données vont nourrir des campagnes de phishing ciblé pendant des mois. C'est le scandale de trop pour un appareil d'État qui enchaîne les incidents (France Travail, OFII, Cegedim Santé, Radiomaritime…).

Une France en 2ᵉ position mondiale des fuites de données

Depuis le début de l'année 2026, la France est le deuxième pays du monde le plus touché par les fuites de données. À l'Assemblée, le Premier ministre a admis publiquement « un échec de l'État » à protéger ses propres systèmes — un aveu rare qui a libéré la décision politique.

C'est dans ce contexte de crise que le plan cyber de l'État a été dévoilé.

Les 4 piliers du plan cyber de l'État

1. Une nouvelle autorité numérique de l'État (fusion DINUM/DITP)

C'est la mesure structurelle la plus importante. Lecornu a annoncé la fusion de la DINUM (Direction interministérielle du numérique) et de la DITP (Direction interministérielle de la transformation publique) pour créer une autorité numérique de l'État placée directement sous l'autorité du Premier ministre.

Sa mission : standardiser et sécuriser les infrastructures numériques de tous les ministères. Aujourd'hui, chaque ministère gère son IT comme il l'entend, avec des niveaux de maturité cyber très inégaux. Demain, une autorité centrale fixera les exigences et auditera leur application.

C'est, en pratique, le rapprochement le plus structurant de la politique numérique de l'État depuis la création de la DINUM en 2019.

2. 200 millions d'euros débloqués dès mai 2026

Le chiffre symbolique du plan : 200 millions d'euros, mobilisables dès la semaine du 5 mai 2026. Ces fonds sont fléchés sur trois axes :

  • Sécurisation des applications publiques (correctifs, refonte des authentifications, audits de code)
  • Outils de détection d'intrusion (EDR, SOC mutualisés, supervision)
  • Cryptographie post-quantique — anticipation des futures menaces liées à l'informatique quantique

C'est une enveloppe ponctuelle, complémentaire au budget récurrent de l'ANSSI, et orientée vers du concret opérationnel plutôt que de la stratégie.

3. Les amendes CNIL réinjectées dans la modernisation

Mesure inédite : toutes les amendes prononcées par la CNIL alimenteront désormais un fonds de modernisation des infrastructures numériques de l'État. Concrètement, l'argent payé par les entreprises qui violent le RGPD financera la sécurisation des services publics.

C'est une inversion intéressante du circuit : aujourd'hui les amendes RGPD remontent au budget général ; demain, elles iront directement à la cybersécurité publique. Reste à voir le volume : la CNIL prononce environ 100 à 150 millions d'euros d'amendes par an.

4. 5 % minimum du budget numérique des ministères dédié à la cyber, dès 2027

Probablement la mesure la plus durable. À partir de 2027, chaque ministère devra consacrer au moins 5 % de son budget numérique à la cybersécurité. C'est une obligation chiffrée, vérifiable, et qui forcera la cyber à entrer dans le dialogue budgétaire annuel — fini le « on verra l'année prochaine ».

À titre de comparaison, l'ENISA (agence européenne de cybersécurité) recommande historiquement entre 7 et 12 % selon la criticité des systèmes. Les 5 % français sont donc un plancher modéré, mais c'est mieux que l'absence d'objectif chiffré.

Les mesures opérationnelles concrètes

Au-delà du financement et de la gouvernance, plusieurs leviers techniques ont été annoncés.

Tests de vulnérabilité systématiques

Tous les systèmes critiques de l'État vont être soumis à des tests de vulnérabilité (audits offensifs, pentests). Objectif : trouver les failles avant qu'un attaquant ne les exploite. C'est exactement ce qui aurait pu éviter l'affaire ANTS, où la vulnérabilité utilisée par breach3d était potentiellement détectable lors d'un audit standard.

Renforcement des outils de détection

L'État investira dans des outils de détection comportementale (EDR, XDR, SIEM) capables de repérer une activité anormale en temps réel — par exemple un compte qui exfiltre des millions de lignes en quelques heures. C'est un levier classique mais essentiel : aujourd'hui, beaucoup d'incidents ne sont détectés qu'après la publication des données sur un forum cybercriminel.

Formation des agents publics

Le facteur humain reste la première porte d'entrée. Le plan prévoit une formation cyber généralisée des agents publics. Le détail des modules n'est pas encore connu, mais on peut s'attendre à du e-learning sur le phishing, la gestion des mots de passe et les bonnes pratiques d'usage des SI.

Cryptographie post-quantique : pourquoi c'est stratégique

Inclure la cryptographie post-quantique (PQC) dans un plan d'urgence peut surprendre — les ordinateurs quantiques cassant la crypto actuelle ne sont pas pour demain. Mais l'État anticipe le scénario « store now, decrypt later » : un attaquant peut voler des données aujourd'hui et les déchiffrer dans 10 ans, quand la machine quantique sera disponible. Pour des données sensibles à durée de vie longue (état civil, fiscalité, justice), c'est un risque réel.

Ce que ça change pour vous

Pour les usagers des services publics

À court terme, rien ne change immédiatement. Les bénéfices du plan se sentiront sur 12 à 24 mois : meilleure détection des intrusions, services moins souvent indisponibles, données mieux protégées.

À moyen terme, vous devriez voir apparaître :

  • Des authentifications renforcées (FranceConnect+ généralisé, MFA obligatoire sur les services sensibles)
  • Une transparence accrue sur les incidents (notification plus rapide en cas de fuite)
  • Des mises à jour de sécurité plus fréquentes sur les portails publics

Pour les PME prestataires de l'État

Si votre PME travaille avec un ministère ou une collectivité, attendez-vous à un durcissement des exigences cyber dans les marchés publics. Concrètement :

  • Audits de sécurité plus fréquents
  • Obligations de chiffrement renforcées
  • Certifications type SecNumCloud ou HDS plus systématiquement demandées
  • Clauses contractuelles renforcées sur la notification d'incident

C'est une opportunité commerciale pour les acteurs déjà matures sur la cybersécurité, et un risque d'éviction pour ceux qui ne le sont pas.

Les limites du plan annoncé

Soyons lucides : 200 millions d'euros, c'est moins que le budget annuel de cybersécurité d'une seule grande banque française. Le plan corrige un sous-investissement chronique mais n'aligne pas la France sur les standards des États les mieux protégés (Royaume-Uni, Israël, Estonie).

Par ailleurs, plusieurs zones d'ombre subsistent :

  • Calendrier opérationnel des décrets de fusion DINUM/DITP : non communiqué
  • Modalités de l'obligation des 5 % : pas de mécanisme de sanction prévu
  • Impact réel sur les collectivités locales (mairies, hôpitaux, écoles) qui sont aussi visées : flou

Ce qu'il faut surveiller dans les semaines à venir

  • Décaissement effectif des 200 M€ — semaine du 5 mai 2026
  • Décrets d'application de la fusion DINUM/DITP
  • Premier rapport public de la nouvelle autorité numérique de l'État
  • Évolution du nombre d'incidents sur les services publics (suivi via le CERT-FR)
  • Annonces complémentaires côté collectivités, hôpitaux et éducation — grands oubliés du plan initial

En résumé

Le plan cyber de l'État annoncé par Sébastien Lecornu le 30 avril 2026 marque un tournant : un État qui assume son retard et qui investit, structure et oblige. Les 200 millions d'euros sont un signal politique fort, mais c'est l'autorité numérique unifiée et l'obligation des 5 % qui auront probablement le plus d'effet sur la durée.

Reste l'essentiel : transformer l'annonce en exécution. La cybersécurité ne se décrète pas, elle se construit dans le détail des architectures, des audits et des formations. Les prochains mois diront si l'État est passé du discours aux actes.

Pour aller plus loin

Sources officielles

TAGS :grand public
RÉAGIR :
← TOUS LES ARTICLES
PARTAGER :X ↗LINKEDIN ↗
À LIRE AUSSI
VOIR TOUT →
ACTUALITÉ

Piratage Canvas : 275 millions d'étudiants exposés par ShinyHunters

ShinyHunters a piraté Instructure et Canvas en mai 2026. 275 millions d'étudiants concernés, 9 000 écoles : décryptage, données volées et conseils de protection.

10 MINLIRE →
ACTUALITÉ

Piratage ANTS : le titre sécurisé qui ne l'est plus (11,7 M de Français touchés)

Piratage ANTS : 11,7 millions de Français exposés, failles connues ignorées depuis des mois. Ce qu'il faut savoir et les gestes pour vous protéger.

13 MINLIRE →
ACTUALITÉ

Piratage ÉduConnect : 3,5 M d'élèves exposés, comment protéger vos enfants

Piratage ÉduConnect : 3,5 millions d'élèves mineurs touchés. Les vrais risques pour les familles et les 5 gestes à adopter dès maintenant pour protéger votre enfant.

12 MINLIRE →