La Cour des comptes exhorte l’État à renforcer sa stratégie cyber

Face à la recrudescence des cyberattaques et aux évolutions réglementaires liées à NIS2, l’organe de contrôle estime qu’un changement d’échelle s’impose – un constat partagé par l’Anssi.

La Cour des comptes a appelé, le 16 juin 2025, à un « changement d’échelle », dans un rapport sur la « réponse de l’État aux cybermenaces sur les SI civils ». Les cyberattaques visant les organisations françaises ont en effet nettement augmenté, tant en intensité qu’en volume. Parallèlement, la directive NIS2 a considérablement renforcé les obligations de contrôle public sur la cybersécurité.

Face à ce constat, la réponse de l’État reste, selon la Cour des comptes, trop modeste, notamment en termes de moyens alloués. Sur la période 2021-2022, 176,9 millions d’euros ont ainsi été consacrés à la cybersécurité, soit seulement 10,5 % du budget public dédié à la transformation numérique. Doté de 54 milliards d’euros de fonds publics, le plan d’investissement France 2030 n’a affecté que 270 millions d’euros à la sécurité informatique.

Selon le rapport, la France souffre aussi d’un éclatement des responsabilités cyber, avec des chevauchements de compétence entre, notamment :

l’Anssi ;
la Direction interministérielle du numérique (Dinum) ;
la Direction générale de la sécurité intérieure (DGSI) ;
les ministères sectoriels.

La Cour des comptes appelle l’État à redéfinir ses priorités, via une feuille de route claire. Elle propose de décliner le « plan stratégique 2025-2027 », publié en mars 2025, en un plan d’action budgété. Elle préconise également de renforcer les capacités de contrôle de l’Anssi et de créer, au sein de l’agence, un « Observatoire de la menace cyber ».

Le directeur général de l’Anssi, Vincent Strubel, a validé ces conclusions. « Pour qu’il n’y ait pas d’ambiguïté, les constats que formule ce rapport sont très largement partagés, tant sur l’évolution de la menace que sur les évolutions nécessaires pour y répondre », indique-t-il.