Cyberattaques : « La priorité, c’est de responsabiliser les ministres et les fonctionnaires de ces administrations »

Le 15 avril dernier, l’Agence nationale des titres sécurisés (ANTS), qui gère les demandes de pièces d’identité de particuliers et des professionnels, était victime d’une attaque de grande ampleur. 12 millions de comptes étaient concernés, selon le ministre de l’Intérieur.

Alors que Sébastien Lecornu se déplace ce jeudi dans les locaux de l’Agence nationale des titres sécurisés (ANTS), pour faire « de nouvelles annonces » en matière de lutte contre les cyberattaques, le procureur de Paris a annoncé la mise en examen d’un mineur de 15 ans pour atteintes (accès, maintien, extraction, transmission, détention, entrave au fonctionnement) à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat ».

Des cyber-attaquants très jeunes

Le profil du suspect de l’attaque du 15 avril résonne avec une note confidentielle de Beauvau, révélée cette semaine selon laquelle le profil type des attaquants correspond à des hommes jeunes, (de 13 à 23 ans), majoritairement mineurs (âge moyen : 17 ans), vivant en France, principalement en zone urbaine, socialement isolés et aux motivations hybrides (appât du gain, notoriété…). Toujours selon cette note, le nombre de notifications de violations de données faites à la CNIL (Commission nationale de l’informatique et des libertés) a fortement augmenté, avec plus de 2.500 notifications au premier semestre 2025, soit un doublement en cinq ans.

Le mois dernier, ce sont les données de 243 000 agents, stagiaires ou titulaires, issues du système d’information COMPAS de l’Education nationale, qui ont été exfiltrées dans une attaque informatique. En mars, les données administratives de 15 millions de Français ont fuité, au cours d’un piratage qui a ciblé fin 2025 Cegedim, un logiciel du ministère de la Santé utilisé par les médecins. En fin d’année 2025, un jeune hacker de 22 ans avait pu avoir accès à des documents du ministère de l’Intérieur, issus du Traitement d’antécédents judiciaires (TAJ), du Fichier des personnes recherchées (FPR), mais aussi fiches Interpol.

Devant le Sénat, le ministre de l’Intérieur, Laurent Nunez avait expliqué les conditions de cette intrusion plutôt embarrassante pour le ministère de l’Intérieur. Le hacker s’était rendu maître de boîtes mails de la police nationale dans lesquelles des agents avaient échangé des mots de passe pour accéder à un certain nombre d’applications. « Un défaut d’hygiène numérique », avait concédé le ministre devant la commission des lois.

Depuis début avril, Sébastien Lecornu a « établi une feuille de route, imposant à tous les ministères des mesures d’urgence en matière de sécurité numérique, à mener dans les prochaines semaines ». « Dans un contexte de cybermenace intense, l’État est particulièrement ciblé bien au-delà du ministère de l’Intérieur », a expliqué Matignon dans un communiqué, y voyant « une menace plus profonde et moins visible qui cible les fondements de l’État et vise à fragiliser son action ».

En visite à l’ANTS, ce jeudi, après des échanges avec les équipes de direction et de gestion de crise, puis avec l’ANSSI (autorité nationale en matière de cybersécurité et cyberdéfense), Sébastien Lecornu fera plusieurs annonces pour réaffirmer l’engagement du gouvernement « pour la sécurité numérique ».

La France est-elle mauvaise élève en matière de cybersécurité ?

« C’est toujours décevant de voir des fuites de données sur des services aussi sensibles d’une puissance mondiale comme la France. Ces attaques sont l’œuvre de personnes assez jeunes avec un niveau de compétences peu élevé mais qui sont parvenus à leur fin car au bout de la chaîne, vous avez un développeur qui a fait une erreur et mis des vulnérabilités techniques en production. Nous ne sommes pas dans un sujet lié à un défaut de réglementation », analyse Renaud Feil, fondateur de la société Synacktiv, spécialisée en cybersécurité.

Avec un budget en hausse, en 2026 les crédits de paiement de la coordination de la sécurité et de la défense ont augmenté de 6 %, 431 millions d’euros, contre 406 millions d’euros en 2025, la réponse au problème « c’est surtout de développer une acculturation au risque », explique Mickaël Vallet, sénateur PS co-auteur, avec Olivier Cadic (centriste) d’un rapport d’information intitulé « Pour une coordination de la cyberdéfense plus offensive dans la loi de programmation militaire 2024-2030 ».

« La priorité, c’est de responsabiliser les ministres et les fonctionnaires de ces administrations. Qui est responsable lorsqu’il y a une attaque ? Personne ne sait. Les responsabilités sont diluées. La France a une faiblesse au niveau de ses administrations publiques. Elles n’ont pas pris conscience que chacun a la responsabilité de défendre de nos données. Ces attaques altèrent la confiance des citoyens envers leurs gouvernants ». Le sénateur, représentant les Français établis hors de France, appelle à revoir la chaîne des responsabilités en plaçant à la tête des administrations un unique responsable de la cyberdéfense, à l’image du ministère des armées qui dispose d’un Commandement de la cyberdéfense.

Au-delà d’une intégration des bonnes pratiques, les sénateurs alertent aussi sur le retard pris dans la transposition de directives européennes clés sur la cybersécurité, notamment la directive « NIS 2 » de décembre 2022 visant à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l’UE. C’est tout l’objet du projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ». Ce texte, déposé en octobre 2024, a été adopté par le Sénat en mars 2025, puis examiné en commission à l’Assemblée nationale en septembre dernier. Le processus est toutefois à l’arrêt (lire notre article)

L’une des obligations fondamentales pour les entités concernées par NIS 2 dont font partie les administrations publiques, porte sur la notification des incidents de cybersécurité. « La mise en œuvre de NIS 2 en 2026 est une priorité absolue pour nous » affirmait en novembre dernier devant le Sénat, Nicolas Roche, secrétaire général de la défense et de la sécurité nationale (SGDSN), rappelant que tous les acteurs n’étaient pas égaux face aux menaces cyber. « Outre les opérateurs essentiels, d’autres opérateurs ne seront pas qualifiés ainsi au titre de NIS 2, tout en étant pourtant des éléments importants de la continuité de la vie numérique de la nation », relevait-il.

« On a changé de niveau de menace »

« La conformité juridique ou réglementaire, l’attaquant n’en a rien à faire s’il y a une vulnérabilité technique, il passera à l’acte, et l’entité ne pourra rien faire », rappelle toutefois Renaud Feil.

Olivier Cadic doute lui aussi que la loi soit l’outil le plus adéquat. « Je privilégie des approches fondées sur des référentiels concrets, comme la norme internationale ISO 27001 (une certification internationale de sécurité des systèmes d’information). « On a changé de niveau de menace avec Mythos, (le nouveau modèle d’intelligence artificielle mis du leader mondial du secteur, Anthropic). Mis dans les mains de cyber-attaquants, il peut mettre le pays par terre. On a besoin d’une prise de conscience. C’est bien que Premier ministre s’y colle », salue-t-il.