Mon Oncle

Le décret d'application de l'article 31 SREN est publié le 16 avril 2026. La veille, l'Agence nationale des titres sécurisés détecte une compromission qui exposera jusqu'à 19 millions de données personnelles. Entre les deux, l'écart que le texte prétendait combler.

La pièce manquante est arrivée

Le 14 avril 2026, le Premier ministre signe le décret n° 2026-272¹, attendu depuis vingt-trois mois. Il rend opposable l'obligation pour les administrations de l'État, leurs opérateurs et sept GIP de recourir à des prestataires qualifiés SecNumCloud pour l'hébergement de leurs données d'une sensibilité particulière. Le texte est publié au Journal officiel le 16 avril.

Le 15 avril, entre la signature et la publication, une administration centrale chargée de délivrer les passeports biométriques, les cartes nationales d'identité, les titres de séjour et les permis de conduire détecte un incident de sécurité sur son portail. Le 20 avril, le ministère de l'Intérieur reconnaît publiquement² que des données à caractère personnel de comptes particuliers et professionnels ont été compromises. Un acteur dénommé breach3d met en vente, sur un forum cybercriminel, une base attribuée à l'Agence nationale des titres sécurisés contenant jusqu'à 19 millions d'enregistrements³ : noms, prénoms, adresses email, dates de naissance, adresses postales. L'ANTS, devenue France Titres, est un établissement public administratif national placé sous tutelle du ministère de l'Intérieur. Elle relève par son statut du périmètre exact du décret signé la veille de l'incident. Son hébergement est, ou devrait être, conforme au référentiel de sécurité applicable aux données sensibles de l'État.

Aucun hébergement SecNumCloud, aucune absence de sujétion aux lois extraterritoriales, aucun critère d'actionnariat européen, aucune clause de localisation physique des serveurs n'aurait empêché cette compromission. Elle s'est jouée à un étage que le décret du 14 avril laisse hors de son champ, par construction.

Le périmètre du chapitre

Le décret 2026-272 saisit un périmètre massif. Les administrations centrales et déconcentrées, les opérateurs publics au sens large (établissements publics administratifs, EPIC à mission de service public), et nommément le Health Data Hub, l'Agence du numérique en santé, le Centre d'accès sécurisé aux données, le GIP Mission interministérielle de réforme administrative numérique, le Service national d'enregistrement des données de l'État, le Collecteur analyseur de données et le Centre de ressources de la prévention de la radicalisation. Le décret tranche ce que dix-huit mois de pratique informelle laissaient ouvert. La saga ouverte par l'absence de décret, que nous avons analysée dans Fantômas au Conseil d'État⁴, trouve enfin son chapitre attendu.

Ce que le texte codifie existait déjà

L'article 31 de la loi SREN⁵ saisit deux catégories de données : celles couvertes par les secrets protégés par la loi (articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration⁶), et celles relevant des missions essentielles de l'État. Pour la quasi-totalité de ces catégories, le cadre était déjà fixé ailleurs.

Le secret de la défense nationale et les informations classifiées relèvent de l'IGI 1300⁷, dans sa version révisée de novembre 2011 puis d'août 2021. L'instruction interdit de longue date l'hébergement en cloud commercial pour les données classées Secret ou Très Secret, et impose des architectures dédiées homologuées par l'ANSSI.

Les systèmes d'information sensibles et les informations en Diffusion Restreinte sont encadrés par l'instruction n° 901/SGDSN/ANSSI du 28 janvier 2015⁸, complétée par le guide ANSSI Recommandations pour les architectures des systèmes d'information sensibles ou Diffusion Restreinte⁹ en version 1.2. Ces textes posent les exigences d'externalisation et de délégation de l'hébergement bien avant SREN.

La protection du potentiel scientifique et technique de la nation est régie par l'IGI 1300 bis et l'arrêté du 3 juillet 2012 relatif aux zones à régime restrictif¹⁰. Les données de santé traitées par les administrations et opérateurs publics sont soumises depuis 2018 à la certification HDS¹¹, dont la révision du 26 avril 2024 et le décret 2026-209 du 24 mars 2026 sur la territorialité ont resserré les exigences. Le secret fiscal, encadré par l'article L. 103 du livre des procédures fiscales¹² et les articles 226-13 et 226-14 du code pénal, est traité par la DGFiP via ses propres systèmes. Le secret statistique relève de la loi du 7 juin 1951¹³ et du cadre du CASD¹⁴. La PSSIE¹⁵ de juillet 2014 fixe enfin la politique de sécurité applicable à l'ensemble des systèmes d'information de l'État.

Sur ce paysage déjà dense, le décret apporte deux nouveautés. La première est l'unification autour d'un référentiel commun (SecNumCloud¹⁶) pour les hébergements externalisés des données sensibles non couvertes par un régime classifié. La seconde, plus politique que juridique, est l'arbitrage explicite sur le Health Data Hub¹⁷, dont l'hébergement chez Microsoft Azure faisait débat depuis sa création. Pour le reste, le décret agrège, formalise, clarifie. Il ne crée pas de catégorie de sensibilité nouvelle.

Le vademecum publié par la DINUM en février 2026¹⁸ confirme cette lecture. Sa portée est pédagogique, sans force normative propre. Il agrège des sensibilités qualifiées ailleurs et tranche par exemples quelques zones d'incertitude. Sa clause d'équilibre économique sur le cloisonnement ouvre un espace d'interprétation au cas par cas, accompagné par la DINUM et non par l'ANSSI. Son effet pratique tient à l'accompagnement et à l'absence de contrôle externe ; sa capacité juridique à modifier l'obligation reste nulle.

L'angle mort

Le décret traite l'hébergement. Il porte sur l'actionnariat du prestataire, sa juridiction applicable, son absence de sujétion aux injonctions extraterritoriales, sa sous-traitance, son chiffrement au repos, son isolation, sa continuité d'activité du côté infrastructure. Tout ce qui se joue à l'étage du client (authentification, gestion des identités, supervision, détection, gestion des vulnérabilités applicatives, sauvegardes testées, formation à l'ingénierie sociale, gouvernance des prestataires tiers) reste exactement là où il était la veille de la signature.

L'incident ANTS, évoqué en ouverture, en donne l'illustration la plus nette possible, à un jour près. Le vecteur exact n'est pas documenté publiquement à la date où ces lignes sont écrites, mais il ne peut pas, par construction technique, relever du référentiel d'hébergement¹⁹. Un signalement a été transmis à la procureure de la République de Paris au titre de l'article 40 du code de procédure pénale. La compromission s'est jouée à l'étage applicatif, hors du champ que le décret du 14 avril a vocation à couvrir.

L'ANTS n'est pas un cas isolé. Le premier trimestre 2026 a été le pire jamais enregistré pour les fuites touchant des organismes français. Le site bonjourlafuite.eu.org²⁰ répertorie plus de 140 incidents confirmés sur la période, dont plus de 90 millions de comptes exposés pour le seul mois de janvier²¹. Sur le périmètre public ou para-public, on retiendra l'URSSAF²² (12 millions de salariés), France Travail, l'OFII, Service-Public.fr (10 millions de comptes), l'Office français de la biodiversité²³ (données du permis de chasser, y compris fichier national des personnes interdites d'acquisition d'armes), la Mairie de Paris, le CCAS de Dunkerque, l'Assemblée nationale (saisine Pharos par Yaël Braun-Pivet le 3 février 2026²⁴), le GRADeS Normand'e-Santé, et Cegedim²⁵ qui opère comme sous-traitant massif de la santé pour 15 millions de Français. À cela s'ajoute la condamnation de Free par la CNIL le 13 janvier 2026 à 42 M€ d'amende²⁶ après la fuite de 24 millions de comptes. Aucune de ces compromissions n'aurait été évitée par un hébergement qualifié SecNumCloud. Les audits techniques publiés par les CERT sectoriels et par les analystes indépendants convergent : le maillon faible se situe dans la chaîne applicative, dans la gestion des prestataires tiers, et dans l'absence de pratiques d'hygiène de base sur des systèmes pourtant régulés.

Vincent Strubel, directeur général de l'ANSSI, l'a formulé sans ambiguïté en janvier 2026²⁷ : la qualification SecNumCloud est un outil de cybersécurité, pas un instrument de politique industrielle, et son périmètre fonctionnel doit s'apprécier à cette échelle. Le décret du 14 avril rend opposable un instrument utile pour ce qu'il est. Il sécurise une catégorie de risques qui existe : la sujétion à des injonctions extraterritoriales sur des données sensibles publiques. Sur ce périmètre précis, il fait avancer une situation qui stagnait depuis dix-huit mois. Le risque matérialisé la veille de sa publication appartient à un autre champ, que le texte n'a jamais prétendu couvrir.

À deux jours d'écart, la CNIL adoptait par délibération n° 2026-042 du 12 mars 2026²⁸ sa recommandation finale sur les pixels de suivi dans les courriers électroniques, publiée le 14 avril. Le texte impose un consentement séparé pour le tracking marketing, y compris en BtoB nominatif. Pendant la même semaine, l'État rend opposable une obligation d'hébergement pour les données sensibles publiques et publie une recommandation visant l'image transparente d'un pixel par un pixel dans les courriels promotionnels. Les deux textes sont défendables sur leur périmètre. Aucun des deux ne traite le risque qui a fait fuiter, sur le seul mois de janvier, 90 millions de comptes français.

Une boucle de renvois

L'article 2 du décret renvoie à un référentiel technique en dix domaines (cryptologie, localisation de l'actionnariat, sous-traitance, chaîne d'approvisionnement, etc.) approuvé par arrêté du Premier ministre. Cet arrêté n'a pas été publié à ce jour. Tant qu'il ne l'est pas, l'obligation juridique est posée sans que l'exigence technique opposable soit activée. Les administrations et opérateurs disposent d'un cadre dont la mesure de conformité reste à fixer.

Le référentiel de l'ANSSI doit également intégrer la version à venir de SecNumCloud (3.3), dont la rédaction est en cours depuis 2024. Le décret fige donc une obligation sur une cible qui bouge, en confiant à l'ANSSI la responsabilité d'aligner les deux objets dans le temps.

L'article 2 contient enfin une clause de reconnaissance d'équivalence, ouvrant la possibilité de recourir à un service certifié au titre du futur schéma européen EUCS²⁹. Lue en pratique, cette clause renvoie à un objet européen amputé. Le projet EUCS a vu disparaître ses critères de souveraineté en mars 2024, et la proposition de révision du Cybersecurity Act³⁰ du 20 janvier 2026 a confirmé cet abandon. Vincent Strubel a concédé devant le Sénat en mars 2026 l'échec du niveau High+ tel qu'il avait été initialement défendu par la France. Le Cloud Sovereignty Framework³¹ européen, encore en consultation au moment où le décret est signé, n'est pas cité par le texte. La clause SREN délègue donc à l'ANSSI l'appréciation, à venir, d'une équivalence dont l'objet de référence n'est pas encore stabilisé.

Le décret existe. Il rend opposable une obligation. Il renvoie pour son contenu technique à un arrêté futur, à un référentiel en cours de révision, et à une équivalence européenne dont les paramètres sont en train d'être réécrits. La pièce manquante est arrivée, et elle inaugure une seconde séquence d'attente.

Ce que la Loi Résilience traitera, et comment

La Loi Résilience, attendue en juillet 2026, traitera précisément la sécurité opérationnelle que SREN n'aborde pas. NIS2³², qu'elle transpose, impose à son article 21 dix mesures techniques et organisationnelles touchant directement l'étage du client : gouvernance cyber au niveau direction, MFA explicite, supervision, gestion des incidents, sécurité de la chaîne d'approvisionnement, formation, contrôles d'accès. L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF)³³ comme document opérationnel pour anticiper la transposition. Sur le principe, l'objection est fondée.

Examiné sous le même angle que SREN, le dispositif présente des fragilités similaires.

Le retard de transposition est de vingt-et-un mois sur la date limite européenne du 17 octobre 2024. La loi Résilience³⁴ a été déposée au Sénat le 15 octobre 2024, adoptée en première lecture par le Sénat les 11 et 12 mars 2025, examinée en commission spéciale à l'Assemblée nationale le 17 septembre 2025. Les rapporteurs ont annoncé en mars 2026 que l'examen en séance plénière serait repoussé à juillet 2026 au plus tôt³⁵. La France figure parmi les États membres les plus en retard sur cette transposition. L'ordre de grandeur du retard est exactement celui constaté pour le décret d'application de SREN.

Le ReCyF est publié par l'ANSSI en tant que « document de travail », sans portée juridique propre. Les futures entités assujetties peuvent s'en prévaloir en cas de contrôle, mais aucune obligation de s'y conformer ne pèse sur elles tant que la loi n'est pas adoptée. L'architecture est familière. Elle reproduit, à un cran différent, la séquence vademecum DINUM/SecNumCloud : un instrument opérationnel non opposable accompagne la pratique en attendant le texte qui, lui, sera opposable.

Le projet de loi exempte explicitement l'État, les collectivités locales et les établissements publics administratifs des amendes prévues par NIS2. La sanction maximale (10 M€ ou 2 % du chiffre d'affaires mondial) ne s'appliquera pas aux entités qui ont concentré les plus grosses fuites du premier trimestre 2026. Pour ces acteurs, la Loi Résilience crée des obligations sans contrepartie financière en cas de manquement. La pression effective passe par la responsabilité personnelle des organes de direction prévue à l'article 20 NIS2, mécanisme qui, transposé à un ministère ou une collectivité, viserait l'élu ou le membre du gouvernement responsable. Aucun cas pratique n'a matérialisé ce mécanisme à ce jour.

L'obligation de sécurité de la chaîne d'approvisionnement, posée à l'article 21 § 2 j de la directive, demande aux entités assujetties de « prendre en compte » les risques liés à leurs fournisseurs et de les évaluer. Elle ne leur permet pas d'imposer une mise à niveau effective à un sous-traitant non assujetti. Le cas pratique est connu de tout acheteur public ou privé. Le donneur d'ordre peut écrire dans le contrat les exigences les plus rigoureuses sur la sécurité de son prestataire TPE : MFA sur les comptes à privilèges, journaux centralisés, PCA testé annuellement, pentest, assurance cyber. Rien ne l'en empêche juridiquement. La TPE dispose d'une marge insuffisante pour absorber le coût réel de la mise en œuvre. Le donneur d'ordre dispose d'un budget insuffisant pour revaloriser le contrat à hauteur de l'exigence. Les deux options fermées produisent un équilibre connu de tous : la conformité est signée, elle n'est pas appliquée, la relation commerciale continue aux conditions d'avant.

Cegedim, les éditeurs de logiciels de fédérations sportives, les outils RH compromis au premier trimestre 2026 avaient des dossiers contractuels en règle. La fuite a eu lieu quand même. Un contrat n'empêche ni l'absence de MFA sur le compte administrateur, ni une base SQL exposée par défaut, ni un serveur non patché depuis dix-huit mois.

L'INSEE recense environ 4,2 millions d'entreprises marchandes non agricoles en France, dont 96 % de microentreprises de moins de dix salariés³⁶. Le seuil NIS2 d'entité importante (50 salariés ou 10 M€ de chiffre d'affaires) exclut d'office l'écrasante majorité du tissu économique français, avant même tout filtre sectoriel. Le gouvernement annonce environ 15 000 entités assujetties³⁷. Cela représente 0,35 % du tissu économique. Les 99,65 % restants, dont une partie substantielle opère dans la sous-traitance numérique des grandes entités et des administrations, restent hors obligation.

L'ANSSI, qui devra accompagner et contrôler ces 15 000 entités dans 18 secteurs, compte environ 650 agents³⁸. Les CSIRT régionaux, déployés depuis France Relance, sont au nombre de 12 sur le territoire métropolitain et 2 outre-mer (Atlantique et La Réunion)³⁹. La région Auvergne-Rhône-Alpes est la seule à ne pas en disposer. La Stratégie nationale 2026-2030 annonce un cofinancement État-régions pluriannuel à compter de 2026 pour les pérenniser. Aucun de ces moyens, additionnés, ne fournit la capacité de contrôle technique de second rang qui permettrait de distinguer une conformité effective d'une conformité signée.

La Loi Résilience fera ce que SREN ne fait pas. Elle le fera tard, partiellement, et avec une capacité de contrôle sans rapport avec l'ambition affichée. Le schéma identifié sur SREN se reproduit sur le texte censé combler son angle mort.

L'incitation comme régime du diffus

Le passage des 0,35 % d'entités saisies par NIS2 aux 99,65 % qui restent dehors marque une frontière nette dans la pensée de l'État sur la cybersécurité. La Stratégie nationale de cybersécurité 2026-2030⁴⁰, dévoilée le 29 janvier 2026 par Anne Le Hénanff et le directeur général de l'ANSSI sous l'égide du SGDSN, écrit cette frontière. Pilier 2 (Renforcer la résilience cyber de la Nation), objectif 5, le texte officiel pose trois étages :

Les services et infrastructures les plus vitaux de la nation, à commencer par ceux de l'État et de ses opérateurs critiques, continueront d'être portés à un niveau de sécurité très élevé, apte à résister aux menaces les plus sophistiquées. (…) La France déploiera par ailleurs des obligations proportionnées de cybersécurité auprès d'un périmètre étendu d'entités, en cohérence avec les exigences prévues par la directive européenne NIS2. (…) Cette approche sera enfin complétée par des démarches d'incitation à l'attention de l'ensemble des autres entreprises, collectivités et associations, qui seront encouragées à élever leur niveau de sécurité à un niveau suffisant pour résister à des attaques de moindre sophistication. Un label de confiance sera mis en œuvre pour permettre à ces acteurs de valoriser leurs efforts de sécurisation auprès de leurs partenaires, clients, investisseurs.

L'architecture est explicite. Contrainte forte au sommet, contrainte proportionnée au milieu, incitation et label volontaire pour le reste. Les 4 millions d'entreprises et 1,5 million d'associations qui composent le bas relèvent de la troisième catégorie. Le pilier 2 objectif 4 confirme l'intention en proposant d'amplifier la sensibilisation par « une marque nationale de prévention du risque numérique sur le modèle des campagnes de la prévention routière ». Sur le plan juridique, la sécurité routière relève d'un régime distinct de la régulation des acteurs économiques : incitation pédagogique et sanction individuelle au cas d'espèce. Placer la cybersécurité du tissu diffus sous ce modèle dit clairement que le choix est assumé.

L'État a néanmoins mis en place une nappe d'instruments pour servir cet objectif d'incitation. La liste est longue. Le GIP ACYMA, qui opère cybermalveillance.gouv.fr⁴¹ depuis 2017 et le numéro 17Cyber depuis 2024, traite plus de 400 000 demandes d'assistance par an. Le programme Cyber PME⁴² de Bpifrance, intégré à France 2030, finance le Diag Cybersécurité (8 800 € HT, subventionné à 50 %) et un plan de sécurisation pouvant atteindre 80 000 € de subvention pour les PME et ETI à partir de dix salariés. Les douze CSIRT territoriaux issus de France Relance traitent les demandes des PME, ETI, collectivités et associations, et orientent vers des prestataires de proximité. La campagne ImpactCyber, portée par cybermalveillance avec la CPME, le MEDEF et l'U2P, sensibilise les TPE-PME via courts-métrages et baromètre. La plateforme MesServicescyber⁴³ de l'ANSSI propose le diagnostic gratuit Cyberdépart de 1h30. La communauté bénévole des Aidants cyber le réalise sur sollicitation. SensCyber offre une auto-formation en ligne en trois modules. Le label ExpertCyber et le service Mon ExpertCyber mettent en relation avec des prestataires labellisés sur déclaration. Les parcours ANSSI⁴⁴ pour les collectivités et établissements de santé ont mobilisé 100 M€ ouverts par France Relance et accompagné 945 entités sur trois ans, jusqu'à la clôture du programme en 2024 sans reconduction. La Gendarmerie nationale propose un pré-diagnostic accessible sur tout le territoire. Les chèques numériques régionaux complètent en Occitanie, Grand Est, Île-de-France et ailleurs. Les CCI et les pôles européens d'innovation numérique (EDIH) animent leurs propres dispositifs.

L'objection est de bonne foi. L'État a-t-il vraiment laissé le diffus à son sort, au vu de cet empilement ? La réponse comporte deux temps. L'État ne l'a pas abandonné, il y a consacré une attention continue et des moyens administratifs réels. L'État ne le contraint pas davantage pour autant. Aucun de ces dispositifs n'est obligatoire. Tous fonctionnent en guichet tiré, sur candidature de l'entité, avec des enveloppes sans rapport avec la masse à toucher, et avec des seuils d'éligibilité qui laissent les microentreprises (96 % du tissu) hors du périmètre principal. Cybermalveillance traite 400 000 situations par an sur plusieurs millions potentiellement concernées, et le fait surtout après l'incident, en mode SAMU numérique. Cyber PME finance quelques centaines d'accompagnements annuels pour 150 000 PME et 5 800 ETI. Les CSIRT territoriaux répondent quand on les appelle, ils ne contrôlent pas.

Le baromètre ImpactCyber 2025⁴⁵, publié par les acteurs mêmes du dispositif, fournit la mesure de l'effet total après une décennie de déploiement : 80 % des TPE-PME reconnaissent ne pas être préparées à une attaque ou ne pas savoir si elles le sont, six entreprises sur dix sont incapables d'évaluer l'impact d'une cyberattaque, et 16 % ont été victimes d'au moins un incident dans les douze derniers mois. Ces chiffres décrivent l'état du tissu après dix ans de dispositifs.

L'empilement rend l'analyse visible. Un État capable de contraindre la cybersécurité des TPE n'aurait pas besoin de quinze guichets parallèles, trois labels volontaires, cinq diagnostics gratuits, deux numéros d'assistance et une communauté de bénévoles. Il écrirait un texte opposable, le ferait contrôler, et sanctionnerait le manquement, comme il sait le faire pour le droit du travail, la fiscalité ou la sécurité incendie. Pour la cybersécurité du diffus, il ne le fait pas. Chacun des dispositifs énumérés est un substitut local à une obligation qui n'est pas écrite. Pris ensemble, ils dessinent en creux la forme exacte de ce que l'État ne sait pas faire.

La limite du modèle

Le diagnostic se précise. L'État sait où est le risque. La Stratégie nationale 2026-2030 le documente sans détour : la menace touche désormais tout le tissu économique et social. Le plan stratégique ANSSI 2025-2027⁴⁶ admet que l'offre industrielle reste insuffisante pour répondre au besoin d'une offre dont le plus grand nombre puisse s'emparer avec simplicité et à moindre coût. Le général François Degez, chef de la division coordination territoriale de l'ANSSI, le résume publiquement : il n'est plus besoin d'être une cible pour être une victime, il suffit d'avoir une adresse IP. L'ANSSI, dont les équipes sont régulièrement reconnues parmi les meilleures au niveau européen, dispose des compétences techniques pour formuler ces constats. Les outils pour réguler le diffus que ces constats désignent lui font défaut. La qualité de l'opérateur n'a jamais résolu le défaut d'instrument.

L'État sait, écrit qu'il sait, et agit opposablement sur la seule fraction qu'il peut contraindre. La dissociation entre le diagnostic et l'action est assumée. Il reste à comprendre pourquoi.

L'appareil de régulation français est conçu pour saisir ce qui est délimité. Il dispose de trois moyens d'action : contraindre par le droit régalien (obligation, contrôle, sanction), orienter par la commande publique (acheter ce qu'il veut faire advenir), inciter par la subvention ou le label (financer ou valoriser un comportement souhaité). Ces moyens fonctionnent quand l'objet régulé est identifiable, énumérable, contrôlable. Une administration centrale, un opérateur d'importance vitale, une grande entreprise au-dessus de seuils, un grand hôpital. Quand l'objet est diffus, ces moyens cessent de fonctionner. Inspecter quatre millions d'entreprises est hors de portée de l'État. Acheter à toutes l'est aussi. Subventionner à hauteur de la masse défoncerait la dépense publique.

Les rares régulations françaises qui ont réussi à atteindre le diffus l'ont fait via un point de passage obligé. L'employeur démultiplie le droit du travail vers chaque salarié. Le médecin transmet la santé publique vers chaque patient. Le notaire traduit le droit immobilier vers chaque propriétaire. La banque opère le LCB-FT vers chaque client. L'éditeur active le droit d'auteur vers chaque consommateur. À chaque fois, la régulation atteint le grand public parce qu'elle s'appuie sur un nœud concentré, contrôlable, qui démultiplie l'action publique vers une masse qu'elle ne pourrait pas atteindre directement.

En cybersécurité, ce nœud n'existe pas. Le numérique manque de relais équivalents : ni médecin, ni notaire, ni employeur du cyber. La production, l'opération et la maintenance des systèmes informatiques se distribuent entre des milliers d'éditeurs, d'intégrateurs, d'hébergeurs, de prestataires de services, de cabinets d'expertise-comptable, de fournisseurs d'accès, sans qu'aucun d'entre eux ne joue un rôle de relais obligé pour la diffusion d'une obligation publique. Le tissu numérique est éclaté, et l'éclatement même rend impossible l'application des outils dont l'État dispose pour contraindre.

La proposition de loi sénatoriale relative à la sécurisation des marchés publics numériques, rapportée à l'Assemblée par Philippe Latombe⁴⁷, en fournit la démonstration involontaire. Elle étend l'obligation SecNumCloud aux collectivités de plus de 30 000 habitants, aux SDIS, aux centres de gestion, à plusieurs catégories d'EPCI au-dessus de seuils. Sur le papier, c'est un durcissement. Plusieurs milliers d'entités locales passent sous le même régime que l'État central. Sur le terrain, le texte reproduit un cran plus bas le problème qu'il prétend résoudre. Une commune de 32 000 habitants ne dispose ni des ressources humaines, ni du budget, ni de la maîtrise d'ouvrage pour appliquer en propre. Elle externalisera vers un intégrateur régional, un éditeur de logiciels collectivités, une ESN moyenne qui vit de la commande publique territoriale. Ce prestataire sera dans la majorité des cas sous les seuils NIS2 et n'aura pas la marge pour mettre en œuvre en pratique ce qu'il signe. L'État régional, censé contrôler la transition, ne dispose ni d'une cellule cyber dédiée en préfecture, ni de moyens d'audit technique au niveau du SGAR. La conformité documentaire augmente, la sécurité réelle reste à son niveau.

L'extension de périmètre sans extension équivalente des capacités de contrôle produit la même conformité de papier dans les territoires qu'à l'échelon central. L'invariant tient au mode de gouvernement, dans ses outils plus que dans ses intentions.

Le quartier ancien

Le décret 2026-272 n'est pas le dernier chapitre. La Loi Résilience en sera un autre. La recommandation CNIL sur les pixels en est un troisième. Chacun saisit ce qu'il peut, renvoie le reste à la pédagogie, au label, au guichet d'accompagnement, et produit l'obligation compatible avec le logiciel qui le pense.

L'ANTS a fuité le 15 avril 2026, la veille de la publication d'un texte qui n'aurait rien changé à cette fuite. Le texte est utile pour ce qu'il est. Confondre ce qu'il est avec ce dont on aurait besoin reste la principale source d'illusion sur l'état de la cybersécurité française.

Le décret du 14 avril rejoindra le catalogue des textes utiles. Le tissu numérique français continuera de fuir aux endroits que les textes ne voient pas. Le quartier d'à côté continuera de transmettre.

La cybersécurité française n'a pourtant pas commencé avec les circulaires interministérielles. L'Association des Officiers de Réserve du Service du Chiffre, dont l'ARCSI⁴⁸ est l'héritière, existe depuis 1928. Le CLUSIF⁴⁹ a été fondé comme association de fait en 1982. La méthode MARION, l'une des premières méthodes d'analyse de risque informatique au monde, a été élaborée en 1983 dans son giron. Avant que l'État n'industrialise ses propres dispositifs des années 2000-2020, des praticiens, des juristes, des cryptographes, des ingénieurs avaient construit une culture de la sécurité numérique dans des associations sans mandat public et sans subvention massive, sur la conviction que la sécurité s'apprend, se transmet et se discute entre pairs. Cette culture-là traverse les générations de RSSI, les changements de gouvernement et les évolutions techniques. Ce que l'appareil ne peut pas porter, elle le porte depuis près d'un siècle. Cette part se transmet.

Références

¹ Décret n° 2026-272 du 14 avril 2026 relatif aux référentiels de sécurité et à la qualification des prestataires de services informatiques en nuage, JO du 16 avril 2026. Légifrance.

² Ministère de l'Intérieur, Incident de sécurité relatif au portail ants.gouv.fr, communiqué du 20 avril 2026 et points d'étape des 21 et 24 avril. interieur.gouv.fr.

³ FrenchBreaches, Fuite massive à l'ANTS : jusqu'à 19 millions de données sensibles exposées, 20 avril 2026. frenchbreaches.com.

⁴ F. Rouxel, Fantômas au Conseil d'État, Klaerenn, 2025. klaerenn.fr.

⁵ Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN), article 31. Légifrance.

⁶ Articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration.

⁷ Instruction générale interministérielle n° 1300/SGDSN/PSE/PSD sur la protection du secret de la défense nationale (révisions novembre 2011, août 2021). SGDSN.

⁸ Instruction interministérielle n° 901/SGDSN/ANSSI du 28 janvier 2015 relative à la protection des systèmes d'information sensibles. Légifrance.

⁹ ANSSI, Recommandations pour les architectures des systèmes d'information sensibles ou Diffusion Restreinte, version 1.2. messervices.cyber.gouv.fr.

¹⁰ Arrêté du 3 juillet 2012 relatif à la protection du potentiel scientifique et technique de la nation. Légifrance.

¹¹ Référentiel HDS (Hébergeur de Données de Santé). esante.gouv.fr.

¹² Article L. 103 du livre des procédures fiscales. Légifrance.

¹³ Loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Légifrance.

¹⁴ Centre d'accès sécurisé aux données. casd.eu.

¹⁵ Politique de sécurité des systèmes d'information de l'État, circulaire n° 5725/SG du 17 juillet 2014. cyber.gouv.fr.

¹⁶ ANSSI, SecNumCloud – référentiel d'exigences – v3.2. cyber.gouv.fr.

¹⁷ Health Data Hub. health-data-hub.fr.

¹⁸ DINUM, Vade-mecum sur la sensibilité des données, février 2026. numerique.gouv.fr.

¹⁹ RGPD Kit, Piratage ANTS : 19 Millions de Français Exposés, avril 2026 (analyse technique de la faille IDOR rapportée). rgpdkit.fr.

²⁰ bonjourlafuite.eu.org, base de données collaborative des fuites en France. bonjourlafuite.eu.org.

²¹ Cryptoast, Cyberattaques en France : plus de 90 millions de comptes exposés en janvier 2026, 6 février 2026.

²² Sur les fuites URSSAF, France Travail, OFII, Service-Public.fr, voir le récapitulatif d'itsense.fr et le suivi de FrenchBreaches.

²³ Office français de la biodiversité, communiqué sur la compromission du fichier des permis de chasser, premier trimestre 2026.

²⁴ Communiqué de la Présidence de l'Assemblée nationale, saisine Pharos, 3 février 2026.

²⁵ Cegedim, communication client sur l'incident de sécurité, premier trimestre 2026.

²⁶ CNIL, Violation de données : sanction de 42 millions d'euros à l'encontre des sociétés FREE MOBILE et FREE, communiqué du 13 janvier 2026 (délibérations SAN-2026-001 et SAN-2026-002 du 8 janvier 2026, 27 M€ + 15 M€, 24 millions de contrats concernés). cnil.fr.

²⁷ Vincent Strubel, directeur général de l'ANSSI, billet de clarification sur la qualification SecNumCloud, LinkedIn, 6 janvier 2026 : « SecNumCloud est un outil de cybersécurité, pas de politique industrielle. » Voir reprise par Banque des Territoires, Souveraineté numérique : l'Anssi défend la solidité du label SecNumCloud. banquedesterritoires.fr.

²⁸ CNIL, Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée, délibération n° 2026-042 du 12 mars 2026 (publiée le 14 avril 2026). cnil.fr.

²⁹ ENISA, EUCS – Cloud Services Scheme. enisa.europa.eu.

³⁰ Commission européenne, proposition de révision du Cybersecurity Act, 20 janvier 2026. digital-strategy.ec.europa.eu.

³¹ Commission européenne, European Cloud Strategy (Cloud Sovereignty Framework). digital-strategy.ec.europa.eu.

³² Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS 2). EUR-Lex.

³³ ANSSI, Référentiel Cyber France (ReCyF), publié le 17 mars 2026. cyber.gouv.fr.

³⁴ Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dossier législatif. vie-publique.fr.

³⁵ Banque des Territoires, Directive NIS2 : la transposition française probablement repoussée à juillet, mars 2026. banquedesterritoires.fr.

³⁶ INSEE, Le tissu productif français par catégorie d'entreprises en 2023, Insee Focus n° 372, décembre 2025. insee.fr.

³⁷ Sénat, rapport n° 393 (2024-2025) de la commission spéciale sur le projet de loi Résilience, déposé le 4 mars 2025. senat.fr.

³⁸ ANSSI, page recrutement (effectifs déclarés). cyber.gouv.fr.

³⁹ Banque des Territoires, Cybersécurité : l'État s'engage à accompagner Csirt et collectivités, juillet 2025. banquedesterritoires.fr. Voir aussi La Gazette des Communes, Les centres régionaux de cybersécurité en quête de financements, janvier 2025.

⁴⁰ SGDSN, Stratégie nationale de cybersécurité 2026-2030, présentée le 29 janvier 2026. PDF.

⁴¹ Cybermalveillance.gouv.fr / 17Cyber, GIP ACYMA. cybermalveillance.gouv.fr.

⁴² Bpifrance, Cyber PME (programme France 2030 piloté par la DGE et opéré par Bpifrance avec l'ANSSI et le SGPI). bpifrance.fr.

⁴³ ANSSI, plateforme MesServicescyber et MonEspaceNIS2. monespacenis2.cyber.gouv.fr.

⁴⁴ ANSSI, Bilan du volet cybersécurité de France Relance, 28 avril 2025. cyber.gouv.fr.

⁴⁵ Cybermalveillance.gouv.fr (en partenariat avec la CPME, le MEDEF et l'U2P), 2ᵉ édition du baromètre national de la maturité cyber des TPE-PME, OpinionWay, octobre 2025 (588 entreprises). cybermalveillance.gouv.fr.

⁴⁶ ANSSI, Plan stratégique 2025-2027 — Au cœur d'un collectif, pour une Nation cyber-résiliente, mars 2025. PDF.

⁴⁷ Proposition de loi sénatoriale relative à la sécurisation des marchés publics numériques (initiative D. Wattebled et S. Uzenat, rapportée à l'Assemblée nationale par Philippe Latombe) — adoptée en commission des lois de l'Assemblée le 25 février 2026, qui étend l'obligation SecNumCloud aux régions, départements, communes et EPCI de plus de 30 000 habitants, SDIS et centres de gestion. Voir Banque des Territoires, Les collectivités locales bientôt obligées d'utiliser un cloud souverain pour leurs données sensibles ? banquedesterritoires.fr.

⁴⁸ ARCSI – Association des réservistes du chiffre et de la sécurité de l'information. arcsi.fr.

⁴⁹ CLUSIF – Club de la sécurité de l'information français. clusif.fr.