Alors que les cyberattaques se multiplient et que les acteurs publics comme privés sont confrontés à des menaces d’une ampleur inédite, la Cour des comptes vient de publier, ce 16 juin 2025, un rapport particulièrement critique sur la réponse de l’État face aux cybermenaces pesant sur les systèmes d’information civils. Un rapport accablant, qui pointe retards, lacunes structurelles, manque de coordination et absence d’évaluation efficace.
Un pilotage gouvernemental trop flou et inefficace
Selon les magistrats financiers, l’État ne dispose toujours pas d’une stratégie claire et cohérente pour la cybersécurité des acteurs civils (collectivités, hôpitaux, entreprises sensibles…). Le pilotage interministériel, théoriquement placé sous la houlette du Premier ministre via le SGDSN (Secrétariat général de la défense et de la sécurité nationale), souffre d’un « manque d’autorité » et de moyens humains et budgétaires très limités. De plus, le rôle respectif des différents ministères (Intérieur, Santé, Économie, etc.) reste mal défini.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information), bras armé technique de l’État en la matière, se trouve en première ligne… sans pour autant disposer de moyens suffisants pour couvrir tout le champ civil, notamment les petites structures locales ou les PME.
Une exposition croissante des collectivités et des hôpitaux
Le rapport consacre une large place aux collectivités territoriales et aux établissements de santé, cibles de plus en plus fréquentes des cybercriminels. Or, dans ces structures, la prise de conscience reste trop souvent faible, les systèmes informatiques sont hétérogènes et anciens, les responsables de la cybersécurité sont rares, et les moyens humains dérisoires. Résultat : des centaines de cyberattaques réussies, parfois dramatiques, comme à l’hôpital de Corbeil-Essonnes en 2022 ou à la Ville de Lille en 2023.
Pire encore : l’État ne dispose d’aucun mécanisme de suivi centralisé des attaques. Aucune statistique fiable n’est tenue, ce qui empêche de dresser un état des lieux objectif et d’adapter les réponses. Le manque de mutualisation des bonnes pratiques renforce la vulnérabilité globale du tissu institutionnel français.
L’absence d’évaluation réelle de l’impact des aides de l’État
Depuis 2021, des plans d’action ont été lancés, notamment dans le cadre de France Relance et de France 2030, avec plusieurs centaines de millions d’euros fléchés vers la cybersécurité civile. Mais la Cour des comptes souligne qu’aucune évaluation sérieuse n’a été menée sur leur efficacité. Les enveloppes ont parfois été allouées sans diagnostic précis, et les aides n’ont pas toujours atteint les structures les plus exposées.
Le rapport dénonce également une trop faible culture de la sécurité numérique en France. Les formations initiales sont insuffisantes, y compris dans les écoles d’ingénieurs, et les compétences manquent dramatiquement dans les fonctions publiques. La cybersécurité demeure un domaine sous-investi dans l’appareil d’État.
Les recommandations : plus d’autorité, de coordination et de moyens
La Cour formule 13 recommandations précises pour remédier à ces carences : renforcement du rôle du SGDSN, clarification des responsabilités ministérielles, amélioration du suivi statistique des attaques, évaluation systématique des politiques publiques, mutualisation des ressources, et montée en puissance de la culture cybersécurité à tous les niveaux.
Elle appelle également à repenser les obligations imposées aux opérateurs publics et privés, à renforcer le rôle des préfets, et à conditionner les aides de l’État à des audits de sécurité numérique.
Derrière ces constats, c’est aussi la question de la souveraineté numérique qui est posée. En 2025, la France ne peut plus se permettre de dépendre d’acteurs extérieurs pour protéger ses infrastructures critiques. La guerre hybride que livrent certains États hostiles – Chine, Russie, Iran – passe par la cyberattaque. Et face à cette menace, la France ne peut pas se contenter de rustines administratives.
En conclusion, la Cour des comptes tire une nouvelle fois la sonnette d’alarme. Alors que la menace cyber est désormais permanente, transversale et stratégique, la réponse de l’État reste partielle, fragmentée et souvent inefficace. Un constat inquiétant à quelques mois seulement des Jeux olympiques de Paris et dans un contexte de tensions géopolitiques croissantes.
