2 février 2026

Stratégie cybersécurité 2026 : les nouveaux piliers de la résilience

Le 1er janvier 2026, l’ANSSI a pris la présidence du Groupe de travail sur la cybersécurité du G7. Un mois plus tard, le gouvernement dévoilait sa stratégie nationale pour 2026-2030. Ces deux événements dessinent un virage net : on passe d’une logique de protection périmétrique à une approche de résilience globale. Pour les RSSI et DSI, ce n’est pas qu’un changement de vocabulaire. Les obligations évoluent, les référentiels se durcissent, et la pression réglementaire s’étend désormais aux sous-traitants et aux PME. Voici ce qu’il faut comprendre et anticiper.

ANSSICybersécurité
Illustration abstraite montrant une structure géométrique bleue et cyan se transformant en réseau orange lumineux avec nœuds interconnectés et symboles de connectivité.
Logo

Le 1er janvier 2026, l’ANSSI a pris la présidence du Groupe de travail sur la cybersécurité du G7. Un mois plus tard, le gouvernement dévoilait sa stratégie nationale pour 2026-2030. Ces deux événements dessinent un virage net : on passe d’une logique de protection périmétrique à une approche de résilience globale.

Pour les RSSI et DSI, ce n’est pas qu’un changement de vocabulaire. Les obligations évoluent, les référentiels se durcissent, et la pression réglementaire s’étend désormais aux sous-traitants et aux PME. Voici ce qu’il faut comprendre et anticiper.

La France à la tête du G7 Cyber : ce que ça implique concrètement

La présidence du Cybersecurity Working Group du G7 n’est pas honorifique. Elle donne à la France la main sur l’agenda des discussions entre les sept principales économies mondiales en matière de sécurité numérique.

Vincent Strubel, directeur général de l’ANSSI, a défini quatre priorités pour cette année :

  1. Sécurité de l’IoT industriel. La multiplication des objets connectés dans les usines et les infrastructures critiques crée des vulnérabilités que les attaquants exploitent déjà. Le G7 travaille sur des standards minimaux de sécurité pour ces équipements.
  2. Transition vers la cryptographie post-quantique. Les ordinateurs quantiques capables de casser RSA et ECC ne sont plus de la science-fiction. L’horizon se situe entre 2030 et 2035. Les données chiffrées aujourd’hui et interceptées par des acteurs étatiques pourront être déchiffrées demain. D’où l’urgence.
  3. Sécurité de l’intelligence artificielle. Les LLM sont partout, y compris dans des processus critiques. Comment garantir l’intégrité des données d’entraînement ? Comment empêcher les manipulations de sortie ? Ces questions font l’objet de travaux communs.
  4. Partenariats public-privé. Les gouvernements ne peuvent pas tout. Les éditeurs, les hébergeurs et les entreprises utilisatrices doivent être impliqués dans la détection et la réponse aux menaces.

Ce qui se décide au G7 finit généralement dans les réglementations européennes quelques années plus tard. Autant s’y préparer maintenant.

Plan national 2026-2030 : les points structurants

Le 29 janvier, Anne Le Hénanff, ministre déléguée au Numérique, a présenté la nouvelle feuille de route. Le document fait 80 pages, mais l’essentiel tient en quelques axes.

La cybersécurité sort du périmètre technique

Le plan insiste sur une idée simple : tant que la sécurité reste l’affaire des informaticiens, elle restera fragile. L’objectif est d’en faire une compétence partagée, au même titre que les gestes de premiers secours ou le code de la route.

Concrètement, cela se traduit par des campagnes de sensibilisation grand public, des modules obligatoires dans l’éducation nationale, et des incitations fiscales pour les entreprises qui forment leurs collaborateurs.

Sur le terrain, on constate que l’ingénierie sociale – phishing, usurpation d’identité, manipulation téléphonique – reste le vecteur d’entrée dans plus de 80 % des incidents graves. La technique a beau être au point, c’est souvent un humain qui ouvre la porte.

L’Observatoire de la résilience cyber

Nouvelle instance créée par le plan, cet observatoire aura pour mission de mesurer le niveau de maturité des différents secteurs. Il produira des indicateurs publics et sectoriels.

Pour un RSSI, c’est un outil de benchmark. Vous pourrez comparer votre posture à celle de vos pairs, identifier vos écarts, et surtout disposer de données objectives pour défendre vos budgets devant la direction générale.

L’observatoire recensera également les incidents déclarés, ce qui permettra d’avoir une vision plus réaliste de la menace que les estimations actuelles, souvent sous-évaluées faute de reporting systématique.

Le label PME : NIS2 en version accessible

La directive NIS2 impose des obligations strictes aux entreprises essentielles et importantes. Mais ses exigences sont calibrées pour des structures disposant de moyens conséquents. Les PME, pourtant souvent ciblées comme porte d’entrée vers leurs donneurs d’ordres, se retrouvaient dans un flou juridique et technique.

Le nouveau label vient combler ce vide.

Ce qu’il exige

Les critères sont pragmatiques : politique de gestion des accès, processus de mise à jour documenté, sauvegardes déconnectées testées régulièrement, sensibilisation des collaborateurs. Rien de révolutionnaire, mais un socle solide.

L’ANSSI a précisé que le coût de certification serait plafonné pour rester accessible aux structures de moins de 50 salariés.

Pourquoi c’est important commercialement

Les grandes entreprises soumises à NIS2 doivent désormais évaluer le risque que représentent leurs fournisseurs. Un sous-traitant non labellisé devient un risque. Certains donneurs d’ordres commencent déjà à intégrer le label comme critère éliminatoire dans leurs appels d’offres.

C’est la logique de l’attaque par rebond : on vise le plus faible pour atteindre le plus gros. Le label permet aux PME de prouver qu’elles ne sont pas ce maillon faible.

IA et cryptographie post-quantique : deux chantiers urgents

Sécuriser l’IA en production

Les modèles de langage sont intégrés dans des processus métiers critiques : analyse de contrats, support client, aide à la décision. Mais leur sécurité reste mal maîtrisée.

Les risques sont multiples : empoisonnement des données d’entraînement, injection de prompts malveillants, exfiltration d’informations sensibles via les réponses générées.

Le plan 2026-2030 prévoit des financements pour développer des outils d’audit spécifiques. Nos équipes intègrent déjà des tests d’intrusion ciblant les applications basées sur l’IA dans leurs missions. Les résultats sont souvent instructifs : des failles basiques (absence de contrôle d’accès aux API, logs insuffisants) côtoient des vulnérabilités plus sophistiquées.

La transition PQC : commencer par l’inventaire

La cryptographie post-quantique n’est pas un sujet pour 2035. C’est un sujet pour maintenant.

Pourquoi ? Parce que des acteurs étatiques collectent déjà des données chiffrées en attendant de pouvoir les déchiffrer. Si vos données ont une durée de vie de dix ans ou plus (brevets, données de santé, secrets industriels), elles sont potentiellement exposées.

La première étape est de savoir ce que vous utilisez. Quels algorithmes ? Quels certificats ? Quels équipements embarquent du chiffrement matériel ? Cet inventaire est souvent plus complexe qu’on ne l’imagine. Ensuite, il faut établir une feuille de route de migration vers les algorithmes validés par le NIST.

Former et recruter : le vrai goulot d’étranglement

Tous les plans stratégiques du monde ne servent à rien sans les compétences pour les mettre en œuvre. La pénurie de profils cyber qualifiés reste le principal frein à l’amélioration de la résilience.

Diversifier le vivier

Le plan national fixe un objectif de parité dans les métiers cyber. Ce n’est pas qu’une question d’équité : c’est une nécessité arithmétique. On ne peut pas doubler les effectifs du secteur en ne recrutant que dans la moitié de la population.

Des programmes de mentorat, des interventions dans les collèges et lycées, et des parcours de reconversion sont prévus. Les résultats prendront du temps, mais la direction est la bonne.

Miser sur la formation continue

Recruter à l’extérieur coûte cher et prend du temps. Former en interne est souvent plus efficace. Le plan encourage les entreprises à créer des parcours de montée en compétence pour leurs équipes IT existantes.

Les exercices de crise : de l’option au standard

L’exercice REMPAR25, mené en 2025, a mobilisé plusieurs centaines d’organisations publiques et privées. Les retours sont unanimes : on ne réagit pas correctement à une crise qu’on n’a jamais simulée.

Ce que les exercices révèlent

Les problèmes ne sont généralement pas techniques. Ils sont organisationnels. Qui décide quoi ? Qui prévient qui ? Où sont les procédures de repli ? Comment communique-t-on en interne et en externe ?

Les organisations qui s’entraînent régulièrement réduisent significativement leur temps de reprise d’activité. Celles qui découvrent leurs procédures le jour de l’incident perdent des heures précieuses.

SOC et automatisation

Les Security Operations Centers évoluent. L’intégration d’outils SOAR (Security Orchestration, Automation and Response) permet d’automatiser les premières réponses : isolation d’une machine compromise, blocage d’un compte, création d’un ticket d’incident.

Mais l’automatisation ne remplace pas l’analyse humaine. Elle libère du temps pour que les analystes se concentrent sur les décisions qui comptent.

PCA et PRA : les outils de la résilience

La question n’est plus « serons-nous attaqués ? » mais « comment continuerons-nous à fonctionner pendant et après l’attaque ? ».

Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) bien conçus et régulièrement testés font la différence entre une crise maîtrisée et une catastrophe. Trop d’organisations disposent de documents qui n’ont jamais été confrontés à la réalité.

Ce qu’il faut retenir

  • La France pilote la stratégie cyber du G7 en 2026, avec quatre priorités : IoT, IA, cryptographie post-quantique et partenariats public-privé.
  • Le Plan National 2026-2030 élargit la cybersécurité au-delà du périmètre technique. La résilience devient l’affaire de tous.
  • Le nouveau label PME, basé sur NIS2, devient un prérequis pour travailler avec les grands donneurs d’ordres.
  • L’Observatoire de la résilience cyber fournira des indicateurs de benchmark sectoriels.
  • La pénurie de talents reste le principal frein. Formation continue et diversification du recrutement sont prioritaires.
  • Les exercices de crise passent du statut d’option à celui de standard pour les organisations matures.

Questions fréquentes

Qu’est-ce que l’Observatoire de la résilience cyber ?

C’est une nouvelle instance nationale créée par le plan 2026-2030. Elle collectera des données sur les incidents, la maturité des organisations par secteur, et l’évolution de la menace. Pour les RSSI, c’est un outil de pilotage : vous pourrez situer votre organisation par rapport à vos pairs et disposer d’arguments factuels pour vos arbitrages budgétaires.

Le label PME est-il obligatoire ?

Pas au sens juridique strict. Mais il devient un standard de marché. Les entreprises soumises à NIS2 doivent évaluer leurs fournisseurs. Un sous-traitant sans label représente un risque documenté. Certains grands comptes l’exigent déjà dans leurs appels d’offres.

Par où commencer pour la cryptographie post-quantique ?

Par un inventaire. Listez les algorithmes de chiffrement utilisés dans votre SI, les certificats, les équipements embarquant du chiffrement matériel. Identifiez les données à cycle de vie long (plus de 10 ans). Contactez vos éditeurs pour connaître leur feuille de route d’intégration des algorithmes NIST. La migration sera progressive, mais elle doit être planifiée dès maintenant.

Quel impact concret de la présidence française du G7 ?

Les décisions du G7 orientent les futures normes internationales et européennes. Les priorités définies cette année (IoT, IA, PQC) se retrouveront probablement dans des réglementations d’ici deux à trois ans. S’aligner maintenant sur ces orientations, c’est prendre de l’avance sur la conformité future.

Que retenir des exercices type REMPAR25 ?

La technique fonctionne généralement. Ce qui dysfonctionne, c’est la coordination humaine : chaîne de décision floue, procédures non connues, communication défaillante. Les organisations qui s’entraînent réduisent leur temps de reprise d’activité de façon mesurable.

Passer à l’action

Les orientations sont claires. Reste à les traduire en actions concrètes pour votre organisation.

À court terme :

  • Auditer vos actifs critiques et votre exposition aux risques actuels
  • Évaluer votre écart par rapport aux exigences NIS2 et au futur label PME
  • Lancer ou renforcer vos programmes de sensibilisation

À moyen terme :

  • Cartographier vos dépendances cryptographiques pour préparer la transition PQC
  • Intégrer des critères de sécurité dans vos relations fournisseurs
  • Planifier des exercices de crise réguliers

Chez Digitemis, nous accompagnons les organisations sur l’ensemble de ces sujets. Notre qualification PASSI délivrée par l’ANSSI atteste de notre expertise technique. Notre pratique quotidienne de la gouvernance et de la conformité (RGPD, NIS2, ISO 27001, DORA) nous permet de proposer des approches adaptées à votre contexte et à votre maturité.

Audit d’architecture, tests d’intrusion, accompagnement stratégique : nous intervenons là où vous en avez besoin. Contactez-nous pour en discuter.

Blog

Nos actualités cybersécurité

Privacy

Sanctions RGPD : ce que révèle le milliard d’euros d’amendes de 2025

5 février 2026

Privacy

Mise en conformité RGPD en 2026 : exigences de preuve et convergence réglementaire

Le RGPD a huit ans. Les grandes lignes n’ont pas changé, mais la manière dont les autorités vérifient leur application, elle, a considérablement évolué. Les déclarations de bonne intention ne suffisent plus. La CNIL et ses homologues européens veulent des preuves : des logs, des rapports d’audit, des attestations techniques. Ajoutez à cela l’entrée en application de l’AI Act et du Data Act, et vous obtenez un environnement réglementaire où la conformité RGPD ne peut plus se gérer en silo. Cet article fait le point sur ce qui a changé, ce qui se durcit et ce que ça implique concrètement pour les RSSI, DPO et directions juridiques.

4 février 2026

Cybersécurité

Stratégie cybersécurité 2026 : les nouveaux piliers de la résilience

Le 1er janvier 2026, l’ANSSI a pris la présidence du Groupe de travail sur la cybersécurité du G7. Un mois plus tard, le gouvernement dévoilait sa stratégie nationale pour 2026-2030. Ces deux événements dessinent un virage net : on passe d’une logique de protection périmétrique à une approche de résilience globale. Pour les RSSI et DSI, ce n’est pas qu’un changement de vocabulaire. Les obligations évoluent, les référentiels se durcissent, et la pression réglementaire s’étend désormais aux sous-traitants et aux PME. Voici ce qu’il faut comprendre et anticiper.

2 février 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

Index