L’ANSSI a publié sa feuille de route des efforts prioritaires en matière de sécurité numérique que l’État doit accomplir sur la période 2026-2027. Ce document stratégique impose un rythme soutenu aux ministères pour sécuriser leurs infrastructures critiques et garantir la protection des données publiques. Voici l’essentiel à retenir.
SI de l’État : des vulnérabilités graves
Ce nouveau document intitulé par l’ANSSI rappelle que les infrastructures informatiques de l’État ne sont pas suffisamment sécurisées. “Les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d’information des ministères et des établissements dont ils ont la tutelle rappellent la persistance de
vulnérabilités graves dans l’ensemble de ces infrastructures.”, peut-on lire dès la première page du document. Il est vrai qu’avec la multitude d’incidents de sécurité majeurs de ces derniers mois, le contraire aurait été surprenant.
Surtout, les administrations publiques doivent être en conformité avec la directive NIS 2 poussée par l’Union Européenne. Les actions spécifiées dans cette feuille de route rendue publique par l’ANSSI tiennent compte de cet objectif de mise en conformité.
Ainsi, pour corriger les vulnérabilités principales et améliorer le niveau de sécurité, plusieurs dizaines d’actions ont été déterminées autour de plusieurs thématiques :
Renforcer la gouvernance
Homologuer les systèmes d’information
Maîtriser l’écosystème dans lequel les systèmes d’information sont mis en œuvre
Assurer le maintien en condition de sécurité des systèmes d’information
Sécuriser les services exposés sur Internet
Renforcer l’authentification et la gestion des accès
Renforcer la sécurité de l’administration des systèmes d’information
Améliorer la supervision et la réponse à incidents
Intégrer la cybersécurité dans les plans de reprise d’activité
Préparer la transition vers la cryptographie post-quantique
Le cas de l’authentification multifacteurs
Chaque action est associée à une échéance plus ou moins lointaine. “Ce document fixe deux premières étapes d’inventaire (2026 et 2027) et des objectifs de mise en œuvre à horizon 2030.”, peut-on lire.
L’authentification multifacteurs (MFA) quant à elle, fait l’objet d’un planning serré. D’ici le 31 décembre 2026, le MFA doit être obligatoire pour l’ensemble des comptes administrateurs de systèmes d’information. Un peu plus de souplesse est accordée pour tous les autres utilisateurs du système d’information :
Sur l’ensemble des SI à enjeux avant le 28 février 2027,
Sur l’ensemble des SI avant le 28 février 2028.
De plus, tous les SI concernés par la directive NIS 2 devront disposer de postes dédiés pour l’administration du système d’information. La date limite pour appliquer cette mesure est la même que pour le MFA sur les comptes admins : 31 décembre 2026.
PRA, DNS, cryptographie, etc.
Au-delà du MFA, d’autres actions notables sont évoquées par l’ANSSI. Par exemple, les administrations publiques devront déployer des solutions type EDR ou XDR sur l’ensemble des ordinateurs et serveurs, d’ici le 31 décembre 2026. L’objectif étant d’améliorer les capacités de détection des attaques.
On note également d’autres points intéressants :
La sécurisation du DNS est mentionnée dans ce document, ce qui pourrait passer par exemple par le déploiement de DNSSEC. Il en va de même pour la sécurité des systèmes de messagerie.
Lutte contre l’obsolescence : un inventaire exhaustif des systèmes en fin de vie (End-of-Life) doit être réalisé, suivi d’un plan de migration.
Tester les sauvegardes régulièrement et tester au moins une fois par an les plans de reprise d’activité.
Le document aborde aussi la cryptographie post-quantique, où les ministères doivent faire l’inventaire des “données durablement sensibles pour lesquelles une mise en place de la cryptographie post-quantique sera prioritaire.” – Il est même précisé qu’à partir de 2030, seuls des produits de chiffrement qui intègrent de la cryptographie post-quantique devront être déployés.
Vous pouvez consulter le document complet via ce lien :
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.