Feuille de route sécurité numérique de l'État 2026-2027

La Feuille de route des efforts prioritaires en matière de sécurité numérique de l'État 2026-2027 a été signée par le Premier ministre et validée en comité interministériel. En première lecture, c'est un document interne à l'administration. En réalité, ses implications dépassent largement le périmètre étatique.

Trois raisons majeures pour les entreprises. D'abord, ce document est la déclinaison opérationnelle de la directive européenne NIS 2 (2022/2555), qui concerne aussi les entreprises des secteurs critiques : énergie, santé, transports, numérique, industrie, services financiers. Ensuite, les fournisseurs et sous-traitants de l'État vont être directement impactés par de nouvelles exigences contractuelles dès fin 2026. Enfin, ce document définit de facto le niveau de sécurité attendu sur le marché, dont s'inspirent les acheteurs privés, les assureurs cyber et les investisseurs.

1. Gouvernance cyber : le sujet remonte enfin au niveau de la direction

L'État demande à chaque ministère de désigner un conseiller numérique dédié aux sujets cyber, d'intégrer la cybersécurité dans les lettres de mission des directeurs, et de mobiliser les corps d'inspection pour contrôler la mise en œuvre.

Ce mouvement — ancrer la responsabilité cyber au niveau de la direction — est exactement ce que les entreprises tardent encore à faire. Trop souvent, la cybersécurité reste confinée à la DSI, sans portage réel au COMEX ou au conseil d'administration.

Ce que votre entreprise doit faire

• • Désigner un référent cybersécurité au COMEX ou au CA, avec une responsabilité nominative
  • Inclure la cybersécurité dans les objectifs annuels des directeurs de BU et responsables SI
  • Réaliser au moins une revue cyber annuelle en COMEX : incidents, vulnérabilités, avancement des chantiers
  • Formaliser ou mettre à jour votre Politique de Sécurité des Systèmes d'Information (PSSI)

Homologation et cloud : une rigueur que les entreprises doivent s'approprier

La feuille de route impose que toute migration vers le cloud soit traitée comme un nouveau système d'information, déclenchant une procédure de sécurité. Les ministères devront également formaliser une politique d'hébergement cloud intégrant des critères de cybersécurité dans la sélection des offres.

Pour les entreprises, cette logique est directement transposable. Combien d'organisations ont migré vers le cloud sans revoir leurs configurations de sécurité, leurs contrôles d'accès ou leurs politiques de chiffrement ? La migration cloud n'est pas une mise à jour technique : c'est un changement de modèle de sécurité qui exige une réévaluation complète des risques.

Trois questions clés sur votre cloud

3. La chaîne d'approvisionnement sous pression : vos fournisseurs font partie de votre périmètre

C'est l'un des axes les plus structurants pour les entreprises privées. La feuille de route demande d'intégrer des exigences de cybersécurité dans tous les marchés numériques avant fin 2026, et dans tous les marchés ayant une composante numérique avant fin 2027.

Si vous êtes prestataire informatique, éditeur de logiciel, intégrateur, hébergeur ou fournisseur de services numériques à des entités publiques, vous allez devoir démontrer votre niveau de sécurité de façon formelle et vérifiable. Ce mouvement ne s'arrêtera pas aux portes de l'administration — les grandes entreprises soumises à NIS 2 appliquent la même logique.

Anticiper les exigences contractuelles à venir

• Inventorier vos fournisseurs critiques et évaluer leur niveau de sécurité actuel
• Intégrer des clauses cyber dans les contrats fournisseurs : droit d'audit, notification d'incident, niveau minimal requis
• Viser ou exiger une certification reconnue (ISO 27001, SOC 2, qualification ANSSI)
• Définir une politique d'accès tiers : VPN dédié, traçabilité des connexions, révocation rapide en fin de prestation
• Se préparer à répondre aux questionnaires sécurité de vos clients — et à en envoyer à vos fournisseurs

4. Correctifs et obsolescence : les deux talons d'Achille que les attaquants adorent

Le maintien en condition de sécurité repose sur deux enjeux : la gestion des correctifs (patches) et la réduction de l'obsolescence. La grande majorité des intrusions réussies exploitent des vulnérabilités connues et corrigibles — mais non appliquées faute de processus ou par peur de casser des applicatifs métier.

Le document impose un calendrier clair : équipements de sécurité obsolètes remplacés avant fin 2026, autres éléments des SI à enjeux avant début 2028. Pour les systèmes ne pouvant être mis à jour (legacy, systèmes industriels), il préconise des mesures compensatoires : segmentation réseau, surveillance accrue, limitation des accès.

5. MFA et Zero Trust : la bascule est en cours, avec un calendrier serré

C'est probablement l'axe avec le plus d'impact immédiat. La feuille de route pose un calendrier précis pour le déploiement de l'authentification multi-facteur (MFA) : sur tous les systèmes à enjeux avant février 2027, sur l'ensemble des SI avant février 2028. Le texte va plus loin en posant les fondations d'une approche Zero Trust : gestion automatisée des identités, revues régulières des droits d'accès, suppression des comptes génériques.

Calendrier MFA de l'État — référence pour votre planification

30 juin 2026 Suppression des comptes génériques ou traçabilité renforcée si impossible techniquement

31 décembre 2026  MFA obligatoire pour tous les administrateurs de systèmes d'information

28 février 2027  MFA déployé sur tous les SI à enjeux pour l'ensemble des utilisateurs

28 février 2028  MFA généralisé à l'ensemble des systèmes d'information

6. Détection et réponse à incidents : investir dans la visibilité

L'État demande de déployer des EDR ou XDR sur l'ensemble des postes et serveurs avant fin 2026, et de consolider les équipes de réponse à incidents. En cas d'incident important, un point de suivi devra être adressé 6 mois après au Premier ministre et au corps d'inspection — une obligation de transparence et d'accountability rare.

Pour les entreprises, la capacité de détection est souvent le maillon faible. Des intrusions restent non détectées pendant des semaines, voire des mois. L'objectif est de réduire le MTTD — le temps moyen de détection d'une attaque.

Construire sa capacité de détection par paliers

7. Plans de reprise d'activité : si vous ne testez pas, vous ne reprendrez pas

Le message est court et percutant : tester les plans de reprise au moins une fois par an et tester régulièrement les sauvegardes des systèmes critiques. Ce constat s'applique à la majorité des entreprises privées. Avoir un PRA sur le papier ne suffit pas.

• Sauvegardes selon la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site (idéalement air-gapped)
• Test de restauration au moins semestriel sur les données et systèmes critiques
• RTO et RPO définis et validés par la direction
• Exercice de crise cyber annuel impliquant direction, communication et équipes juridiques
• Annuaire de crise à jour : CERT, assureur, prestataire forensics, avocat...

8. Cryptographie post-quantique : l'horizon 2030 se prépare dès aujourd'hui

L'État engage dès maintenant la transition vers la cryptographie post-quantique. Un ordinateur quantique suffisamment puissant rendrait caducs les algorithmes actuels (RSA, ECDSA). Des adversaires pratiquent déjà les attaques « harvest now, decrypt later » : ils capturent aujourd'hui des données chiffrées pour les déchiffrer demain.

Pour les données à protéger sur 10 à 20 ans — secrets industriels, données de santé, informations stratégiques — le risque est réel et immédiat. La transition vers des algorithmes standardisés par le NIST est longue et doit être anticipée.

Calendrier de transition post-quantique de l'État

Fin 2026 Inventaire des données durablement sensibles pour lesquelles la migration sera prioritaire

Fin 2027 Identification des briques techniques concernées (chiffrement, signature, échange de clés)

Fin 2030 Déploiement pour tous les systèmes traitant d'informations sensibles

À partir de 2030 Obligation : ne déployer que des produits de chiffrement intégrant la cryptographie post-quantique

La checklist des 10 priorités cyber pour votre entreprise en 2026

Synthèse opérationnelle directement inspirée de la feuille de route de l'État, adaptée aux PME et entreprises industrielles :