La feuille de route cybersécurité de l'État français : le document qui dit tout sans le vouloir
Un document officiel atterrit sur votre bureau. Il émane du Premier ministre. Il s'appelle « Feuille de route des efforts prioritaires en matière de sécurité numérique de l'État 2026-2027 ». Vous l'ouvrez.

Vous êtes RSSI dans une entreprise française. On vous demande depuis des mois de vous préparer à NIS2, de structurer votre gouvernance, de prouver que vos accès sont maîtrisés, que vos sauvegardes sont testées, que vos systèmes sont à jour pour un bon niveau de cybersécurité. Vous y travaillez, avec des budgets serrés et des arbitrages permanents. Et puis un document officiel atterrit sur votre bureau. Il émane du Premier ministre. Il s'appelle « Feuille de route des efforts prioritaires en matière de sécurité numérique de l'État 2026-2027 ». Vous l'ouvrez. Et vous découvrez que l'État, celui-là même qui fixe les règles, n'a pas encore fait ce qu'il exige de vous.
Ce document, validé en comité stratégique de la sécurité numérique, est censé être une feuille de route. En réalité, c'est un inventaire d'aveux. Pas parce que ce qu'il demande est absurde. Au contraire, chaque action listée est parfaitement sensée. Le problème est ailleurs. Le problème, c'est que ces actions devraient être en place depuis des années, et que les entités concernées ne sont pas des TPE en zone rurale. Ce sont des ministères.
Ce que le document dit vraiment
L'Action 7.a demande aux ministères de mettre en place une authentification multi-facteur pour l'ensemble des administrateurs de systèmes d'information d'ici le 31 décembre 2026. Ce qui signifie qu'en avril 2026, des comptes à privilèges, ceux qui ont un accès total aux infrastructures les plus sensibles de l'État, fonctionnent encore avec un simple mot de passe. On ne parle pas d'un accès Wi-Fi invité. On parle des clés du royaume. Le MFA sur les comptes d'administration, c'est le socle. C'est ce que n'importe quel auditeur vérifie en premier. Et l'État se donne encore huit mois pour le faire.
L'Action 6.e demande la suppression des comptes génériques d'ici au 30 juin 2026. Un compte générique, c'est un identifiant partagé entre plusieurs personnes. Quand un incident survient, il est impossible de savoir qui a fait quoi. C'est l'anti-traçabilité par conception. Chaque référentiel de sécurité depuis quinze ans interdit cette pratique. Et pourtant, le document admet que ces comptes existent encore dans les systèmes d'information ministériels, et qu'il faut un objectif formel pour les éliminer.
L'Action 6.b prévoit des revues des droits d'accès « au moins une fois par an » pour les systèmes à enjeux. Une fois par an. Pour des systèmes critiques de l'État. Dans le secteur bancaire, les comptes à privilèges font l'objet de revues trimestrielles. Dans la plupart des référentiels de conformité, une revue annuelle est le minimum pour les accès standards, pas pour les systèmes qui soutiennent les missions essentielles d'un ministère.
L'Action 8.b demande le déploiement de solutions EDR ou XDR sur l'ensemble des postes de travail et des serveurs d'ici le 31 décembre 2026. Ce qui veut dire que des ministères opèrent aujourd'hui sans capacité de détection avancée sur leurs terminaux. Dans un contexte que le document lui-même qualifie de « hausse générale de la menace et de situation géopolitique dégradée ». On demande aux entreprises de surveiller leurs endpoints depuis des années, et l'État n'a pas encore fini de le faire chez lui.
L'Action 9.b concerne les tests de sauvegardes. Le document précise qu'un premier test était « précédemment prévu à partir du 31 mars 2025 » et qu'un nouveau test devra être réalisé d'ici au 30 juin 2026. La formulation est révélatrice. On ne dit pas « poursuivre les tests réguliers ». On dit « un test devra être réalisé ». Ce qui laisse entendre que le premier rendez-vous n'a pas été tenu partout, ou que les résultats ont été suffisamment mauvais pour justifier un rappel.
Le contexte que le document essaie de ne pas nommer
La feuille de route le dit elle-même, sans s'y attarder : « les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d'information des ministères et des établissements dont ils ont la tutelle rappellent la persistance de vulnérabilités graves ». C'est une phrase remarquable par ce qu'elle contient et par ce qu'elle ne développe pas. On ne donne pas de chiffres. On ne nomme pas les ministères touchés. On ne décrit pas la nature des fuites. Mais on reconnaît, dans un document officiel validé au plus haut niveau, que les systèmes de l'État ont été percés et que des données ont fui. Et que la réponse, c'est un plan de rattrapage sur deux ans.
Le document reconnaît aussi, toujours entre les lignes, que les contraintes budgétaires ont freiné la mise en œuvre de la feuille de route précédente. Ce n'est pas anodin. Cela signifie que la feuille de route 2025-2026 n'a pas été pleinement exécutée, et que la version 2026-2027 en « reprend les actions » et « affermit certaines échéances ». Autrement dit, on repousse et on recommence. Le cycle est familier pour quiconque a travaillé avec de grandes organisations, mais il prend une dimension particulière quand l'organisation en question est celle qui rédige les règles pour tout le monde.
Le paradoxe structurel
C'est là que la dissonance devient difficile à ignorer. L'État français, via NIS2, est en train de construire un cadre réglementaire qui imposera aux entités essentielles et importantes des obligations strictes en matière de gouvernance, de gestion des risques, de détection et de réponse à incidents. Ces obligations sont nécessaires. Personne de sérieux ne le conteste. Mais quand l'État lui-même ne parvient pas à appliquer ces mêmes principes à ses propres systèmes, la crédibilité du régulateur est en jeu.
Et le problème va au-delà de la crédibilité. En 2025, lors des discussions sur la loi contre le narcotrafic, l'Assemblée nationale a sérieusement discuté l'installation de mécanismes d'accès dans les messageries chiffrées. Le gouvernement a trouvé le temps et l'énergie politique de proposer l'affaiblissement du chiffrement, alors qu'il n'avait pas encore réussi à imposer le MFA à ses propres administrateurs. Il y a dans cette séquence une incohérence qui dépasse la maladresse politique. C'est un problème de hiérarchie des priorités, et il révèle une confusion profonde sur ce que « sécurité numérique » signifie en pratique.
Ce que cette feuille de route dit de nous
Le document n'est pas mauvais en soi. Il est lucide sur les manques, précis dans ses échéances, structuré dans ses priorités. L'ajout de la dimension post-quantique (Actions 10.a à 10.d) montre une capacité d'anticipation réelle. La volonté de piloter la cybersécurité des établissements publics sous tutelle est un pas dans la bonne direction. Le problème n'est pas le plan. Le problème, c'est qu'on en soit encore au plan.
Quand un État publie en 2026 une feuille de route qui demande à ses ministères de supprimer les comptes génériques, de tester leurs sauvegardes et de mettre du MFA sur les comptes admin, ce n'est pas un signal de maturité. C'est un signal d'urgence déguisé en document de gouvernance. Et tout professionnel qui le lit avec un minimum d'expérience terrain comprend exactement ce que ça veut dire sur l'état réel des systèmes derrière la façade.
L'État demande aux entreprises françaises de se mettre en conformité. Il ferait bien de commencer par se l'appliquer à lui-même. Non pas parce que ce serait symboliquement élégant, mais parce que les attaquants, eux, ne lisent pas les feuilles de route. Ils lisent les vulnérabilités.
Questions fréquentes
Que demande l'Action 7.a de la feuille de route ?
Elle impose la mise en place d'une authentification multi-facteur pour l'ensemble des administrateurs de systèmes d'information des ministères d'ici le 31 décembre 2026. Cela révèle qu'en avril 2026, des comptes à privilèges fonctionnaient encore avec un simple mot de passe.
Pourquoi la suppression des comptes génériques est-elle importante ?
Un compte générique est un identifiant partagé entre plusieurs personnes, ce qui empêche de savoir qui a fait quoi lors d'un incident. L'Action 6.e fixe leur suppression au 30 juin 2026, alors que cette pratique est interdite par les référentiels de sécurité depuis quinze ans.
Le document reconnaît-il des incidents de sécurité ?
Oui. Il mentionne « les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d'information des ministères », sans donner de chiffres, ni nommer les ministères, ni décrire la nature des fuites.
En quoi consiste le paradoxe avec NIS2 ?
L'État construit via NIS2 un cadre imposant aux entreprises des obligations strictes de gouvernance, de gestion des risques et de détection, tout en n'ayant pas encore appliqué ces mêmes principes de base à ses propres systèmes. Cela fragilise la crédibilité du régulateur.
La feuille de route prévoit-elle des mesures d'anticipation ?
Oui. Les Actions 10.a à 10.d ajoutent une dimension post-quantique, que l'auteur reconnaît comme une capacité d'anticipation réelle, tout comme le pilotage de la cybersécurité des établissements publics sous tutelle.

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
