Anne Le Hénanff, ministre du Numérique, estime que les 200 millions d’euros promis par Sébastien Lecornu pour renforcer la cybersécurité de l’État ne suffiront pas face aux menaces croissantes. Les budgets actuels, oscillant entre 1% et 5% des budgets informatiques, sont très en deçà des 10% recommandés.
Cybersécurité : les 200 millions annoncés par Sébastien Lecornu jugés insuffisants
By
Published on 5 mai 2026 11h27
Cybersécurité : une enveloppe jugée insuffisante face aux défis croissants
L'État français navigue en pleine tempête numérique. Après l'attaque informatique qui a frappé l'Agence nationale des titres sécurisés (ANTS) en avril dernier, compromettant près de 12 millions de comptes d'utilisateurs, le Premier ministre Sébastien Lecornu avait promis de mobiliser 200 millions d'euros pour consolider la cybersécurité des services publics. Cette annonce, malgré sa portée symbolique, peine à convaincre l'ensemble des acteurs du secteur.
Anne Le Hénanff, ministre déléguée chargée de l'Intelligence artificielle et du Numérique, a formulé lundi 4 mai sur France Inter ses doutes quant à l'adéquation de cette dotation face à l'ampleur des menaces. « C'est une mesure d'urgence, ça ne suffira pas », a-t-elle déclaré sans ambages, dévoilant ainsi les fissures profondes d'un édifice fragilisé par des années de sous-investissement chronique.
Un constat alarmant sur les budgets dédiés à la sécurité informatique
Les révélations ministérielles mettent au jour une réalité préoccupante : les budgets consacrés à la cybersécurité au sein des diverses organisations étatiques oscillent entre 1 % et 5 % des budgets informatiques globaux. Ces proportions, que Anne Le Hénanff juge « extrêmement faibles », tranchent de manière saisissante avec les préconisations internationales établies.
Selon la ministre, « pour garantir une cybersécurité opérationnelle et maintenir le niveau minimal requis, il convient d'allouer 10 % du budget informatique ». Cet écart révèle un déficit d'investissement colossal qui pourrait s'élever à plusieurs milliards d'euros à l'échelle de l'administration française dans son ensemble.
Le diagnostic établi par Sébastien Lecornu lors de sa visite à l'ANTS corrobore cette analyse. Le Premier ministre a reconnu que les « fonctions numériques des ministères ont été délaissées budgétairement en accumulant une dette technique considérable ». Cette négligence financière éclaire pourquoi l'État français subit actuellement « 3 à 4 vols de données quotidiens », un rythme qui illustre l'acuité de la crise.
Des mesures d'urgence face à des menaces évolutives
L'enveloppe de 200 millions d'euros, puisée dans les crédits de France 2030, permettra dans un premier temps aux différents ministères de conduire des « audits flash » destinés à évaluer leurs vulnérabilités respectives. Ces diagnostics accélérés constituent, selon Anne Le Hénanff, une « mesure d'urgence » indispensable mais circonscrite dans sa portée temporelle.
Les fonds seront également affectés à la modernisation des infrastructures de cybersécurité, notamment par l'acquisition de solutions de détection et de réponse (EDR) ainsi que l'implémentation du chiffrement post-quantique. Ces investissements techniques ne s'accompagnent d'aucun engagement concernant le renforcement des effectifs nécessaires pour déployer, configurer et maintenir ces solutions.
Cette lacune apparaît d'autant plus critique que, selon la ministre, « les vulnérabilités informatiques évoluent quotidiennement, les cyberattaquants exploitant sans cesse de nouvelles failles ». Cette course perpétuelle entre assaillants et défenseurs requiert une expertise humaine constamment mise à jour, qu'aucune automatisation ne saurait remplacer intégralement. Cette problématique rejoint d'ailleurs les préoccupations croissantes autour de la cybercriminalité dont les chiffres explosent, mettant en péril la sécurité des données sensibles.
Une restructuration institutionnelle en gestation
Au-delà des considérations financières, le plan gouvernemental prévoit une réforme structurelle d'envergure avec la fusion programmée de la Direction interministérielle du numérique (Dinum) et de la Direction interministérielle de la transformation publique (DITP). Cette nouvelle « autorité numérique de l'État », directement rattachée au Premier ministre, devrait théoriquement permettre d'« édifier une infrastructure informatique étatique standardisée ».
Cette centralisation répond à un constat d'évidence : « actuellement, tout demeure désorganisé et donc vulnérable », comme l'a souligné Sébastien Lecornu. La fragmentation actuelle des responsabilités numériques au sein de l'administration française constitue effectivement un facteur d'affaiblissement manifeste face aux cybermenaces contemporaines.
Le plan envisage également l'intensification des exercices de crise « avec de véritables scénarios tels qu'un blackout numérique total » ainsi que le recours à l'intelligence artificielle pour détecter les failles et vulnérabilités. Ces mesures visent à éprouver la résilience du système et à anticiper les scénarios les plus catastrophiques.
Un financement complémentaire via les sanctions de la CNIL
Dans une logique d'optimisation des ressources, le gouvernement a décidé d'affecter les amendes infligées par la Commission nationale de l'informatique et des libertés (CNIL) à un fonds de modernisation des infrastructures numériques. Ces sanctions représentaient près de 500 millions d'euros en 2025, constituant ainsi un apport financier substantiel.
Cette mesure présente une cohérence économique certaine : les entreprises sanctionnées pour leurs manquements en matière de protection des données contribuent indirectement au renforcement de la sécurité informatique publique. Néanmoins, cette approche ne résout pas la question des moyens humains de la CNIL elle-même, régulièrement critiquée pour sa réactivité insuffisante face à l'afflux de plaintes.
Les enjeux économiques d'une cybersécurité défaillante
L'insuffisance des investissements en cybersécurité représente un risque économique majeur pour la France. Chaque violation de données engendre des coûts directs et indirects considérables : interruption des services publics essentiels, érosion de la confiance citoyenne dans les institutions, frais de remédiation et de mise en conformité, sanctions financières potentielles, sans oublier l'impact sur l'attractivité numérique du pays.
Selon diverses études sectorielles, le coût moyen d'une cyberattaque pour une organisation peut atteindre plusieurs millions d'euros, sans compter les préjudices réputationnels durables. Dans le contexte de la transformation numérique accélérée des services publics, ces risques s'amplifient mécaniquement.
L'exemple récent de l'attaque contre l'ANTS illustre parfaitement cette problématique : au-delà de la violation de données personnelles de millions de citoyens, c'est toute la crédibilité du système d'identification français qui s'est trouvée ébranlée. Les répercussions économiques de tels incidents dépassent largement le périmètre administratif pour affecter l'ensemble de l'écosystème numérique national.
Vers une approche budgétaire plus ambitieuse ?
Face à ces défis structurels, la question demeure celle de l'adaptation des moyens budgétaires français à la réalité des menaces. Les 200 millions d'euros annoncés, bien qu'appréciables, semblent constituer davantage un palliatif qu'une solution pérenne. Selon certaines estimations, il faudrait probablement quintupler cette enveloppe pour atteindre les standards internationaux de sécurité.
L'urgence de la situation nécessite également une approche coordonnée au niveau européen. La France ne peut affronter seule des cybermenaces qui transcendent les frontières nationales. L'harmonisation des pratiques et la mutualisation des coûts de recherche et développement en cybersécurité constituent des leviers d'efficacité économique indispensables.
En définitive, si l'annonce de Sébastien Lecornu marque une prise de conscience salutaire, elle ne constitue qu'une première étape vers une politique de cybersécurité à la mesure des enjeux. L'aveu d'Anne Le Hénanff concernant l'insuffisance des moyens alloués révèle la complexité d'un défi qui nécessitera des investissements soutenus sur plusieurs années pour espérer combler le retard accumulé.