Alors que les crédits consacrés à la sécurité et la défense, dont je suis le rapporteur avec mon collègue Mickaël Vallet (*) ne devrait pas subir de baisse de crédit (+6%), j’ai néanmoins fait remarquer que les budgets affectés à la cybersécurité par certaines entités privées sont sans commune mesure avec ceux de la nation !

Mon intervention s’est articulée autour de plusieurs axes : la stratégie nationale de cybersécurité et la stratégie de lutte contre les manipulations de l’information ; l’organisation nationale du dispositif cyber français en me référant aux Etats-Unis ; certains choix budgétaires de l’ANSSI ; la transposition de NIS2 ; les recommandations du rapport de la Cour des comptes et les mesures concrètes attendues, comme le filtre « anti-arnaque ».

Notre administration était représentée par MM. Nicolas Roche, secrétaire général du SGDSN, Secrétariat général de la défense et de la sécurité nationale ; Vincent Strubel, directeur général de l’ANSSI, Agence nationale de sécurité des systèmes d’information et Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), lors de leur audition budgétaire annuelle devant notre commission des Affaires étrangères et de la Défense, ce 4 novembre.

Voir l’intégralité de l’audition Budget 2026 : cybersécurité et ingérences étrangères du 4 novembre 2025 sur le site du Sénat

VERBATIM de mon intervention

Monsieur le Secrétaire général,

Votre rôle est central dans l’élaboration des stratégies nationales de défense et de sécurité de notre pays.

Après l’actualisation de la Revue nationale stratégique que vous étiez venu nous présenter au printemps dernier, comme notre président l’a rappelé, je me réjouis de vous entendre, cette fois en audition publique, sur les crédits de la coordination de la sécurité et de la défense du programme 129 de « coordination du travail gouvernemental ».

Le grand public ne vous connait pas. Pourtant vos services rendent des services essentiels à la population contre les cyberattaques et les ingérences étrangères ;

je pense évidemment à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour la cybersécurité, de l’ensemble des organismes d’intérêts vitaux (infrastructures, énergies, transports, etc.), des hôpitaux, des services publics et au sens large de tout le tissu socio-économique ;

et au service VIGINUM de lutte contre les ingérences numériques étrangères qui dévoile des menaces très concrètes orchestrées depuis l’étranger, que M. le chef de service de Viginum vient d’illustrer parfaitement.

D’après les données budgétaires pour 2026 les crédits de paiement de la coordination de la sécurité et de la défense soient confortés (et même en hausse de 6 % à 431 millions d’euros, contre 406,1 M€ en 2025).

On pourrait s’en réjouir, cependant à titre de comparaison, le budget cyber de la seule banque JP Morgan est de 1 milliard de dollars sur un budget IT de 15 milliards de dollars.

J’ai plusieurs questions sur l’utilisation de nos crédits.

– En premier lieu, à la même époque l’an dernier, il nous avait été annoncé pour 2025 d’abord l’actualisation de la stratégie nationale de cybersécurité, ensuite l’élaboration d’une stratégie de lutte contre les manipulations de l’information.
C’était également une demande de notre excellent collègue Rachid Temal en qualité de rapporteur de la commission d’enquête sur les politiques publiques face aux influences étrangères.

Qu’en est-il des stratégies de cybersécurité et de lutte contre les manipulations de l’information ?

Quand seront-elles publiées et a minima communiquées au Parlement ?

Cette question de la stratégie rejoint un constat que nous avons déjà fait sur l’organisation qui apparaît anarchique et inutilement coûteuse : nous avons des points d’entrée avec une multiplication des interlocuteurs institutionnels face aux cyberattaques : ANSSI, cyber-malveillance, les CERT sectoriels (computer emergency response team), et les CSIRT régionaux (computer security incident response team).

À titre de comparaison, aux Etats-Unis, le bureau local du FBI est le seul point d’entrée. Les USA ont unifié l’ensemble du dispositif pour tracer les cyber-attaquants.
On remplit une plainte et le FBI bloque les transactions de paiement des rançons.

Nous pensions que la création du 17Cyber et que le projet de loi Résilience & Cybersécurité allait conduire l’ANSSI à mettre de l’ordre et de la lisibilité sur le rôle des différents acteurs.

Bien au contraire, nous avons appris au cours de nos auditions préparatoires que l’ANSSI avait lancé pendant l’été 2025 un appel à manifestation d‘intérêt (AMI) pour le renforcement de l’accompagnement local aux enjeux de cybersécurité, doté de quelque 7 millions d’euros.

Ces fonds contribuent au financement des CSIRT, alors même que le directeur de l’Anssi avait pris l’engagement en juillet devant le président Philippe Latombe de la commission spéciale à l’AN, de ne plus les financer.

Par contre pour GIP ACyma : rien.

Pourquoi ce revirement et ce dispositif qui ne figurait pas au PLF 2025 ?

Quels sont les résultats attendus qui justifient cette dépense et l’arrivée de nouveaux intervenants ?

Concernant la mise en œuvre du projet de loi relatif à la résilience des entités critiques et au renforcement de la cybersécurité, le Sénat a rempli sa mission.

Il a adopté dès mars dernier, sous ma présidence, un texte modifié en première lecture, qui attend toujours de passer à l’Assemblée nationale…

L’ANSSI n’a toujours pas indiqué en quoi consisterait NIS2 pour les entreprises françaises.

Ne craignez vous pas de mettre nos entreprises en retard ou en danger en faisant planer l’incertitude, voire en ne leur suggérant pas d’être certifiés ISO 27001, pour s’aligner sur nos voisins belges puisque nous parlons d’une directive européenne ?

Pour nos banques qui officient aux Etats-Unis, les attentes du régulateur américain sont supérieures au règlement européen Dora.

À titre d’exemple, pour le Vulnérability Patch Management, le délai de réponse exigé par la FED est d’une semaine.

Il est de 3 mois chez nous.

Comment justifier cette distorsion qui fait courir un risque de responsabilité important à nos établissements financiers vis à vis des autorités américaines ?

Enfin, la cour des comptes a publié un rapport relatif à “La réponse de l’État aux cybermenaces sur les systèmes d’information civils”, dont plusieurs des 11 recommandations rejoignent nos sujets de préoccupation, notamment la nécessité de mettre en place à court terme un observatoire national de la cybermenace, centralisant à l’échelle nationale les données et analyses utiles.

Les vols de données massives chez France Travail, DGFIP, Santé nous inquiètent et révèlent des échecs cuisants pour nos systèmes qui affectent des dizaines de millions de compatriotes.

Quand disposerons-nous de cet observatoire pour suivre concrètement l’efficacité de notre réponse aux attaques cyber ?

Le filtre « anti-arnaque » qui existe dans de nombreux pays a été voté en France en 2024 dans la loi SREN promulguée depuis 18 mois. Nous déplorons 50 800 dépôt de plainte via la plateforme dédiée aux e-escroqueries en 2024. Quand est-ce que le filtre entrera en vigueur ?

Cela fait déjà beaucoup de questions, principalement dans le domaine cyber, et mon collègue Mickaël Vallet pourra les compléter.

(*) Rapport pour avis sur les crédits de l’action n°2 du programme 129 « Coordination du travail gouvernemental » (gestion de crises, cyberdéfense, renseignement), au nom de la commission des Affaires étrangères et de la Défense.