Cybersécurité · La France en situation de très grande fragilité numérique

12 janvier 2026 • Le JDD • Analyse •

La cyberattaque du 1er janvier contre La Poste révèle la fragilité numérique française. Derrière un discours en apparence ferme, l’empilement d’agences et l’absence de stratégie exposent à un risque systémique. Analyse de Cyrille Dalmont, qui vient de publier un rapport sur la politique numérique d’Emmanuel Macron.

Le 1ᵉʳ janvier 2026, le site de La Poste et celui de La Banque Postale ont une nouvelle fois été rendus inaccessibles par une cyberattaque, quelques jours seulement après un premier incident d’« ampleur inédite ». Il a été précisé par la direction qu’aucune donnée n’a fuité. Comme à chaque nouvel incident de ce type, nous aurons sans doute la réponse sur le darknet dans quelque temps. En revanche, ce que nous savons déjà, c’est que des services publics et privés essentiels ont été paralysés, deux fois en dix jours.

Ce nouvel incident n’est malheureusement que le dernier en date d’une longue série qui ne cesse de démontrer la très grande fragilité numérique de la France. En décembre 2025, une cyberattaque visant les serveurs de messagerie du ministère de l’Intérieur a officiellement été reconnue. Elle concernait notamment le traitement des antécédents judiciaires (TAJ) et le fichier des personnes recherchées (FPR). Le ministre de l’Intérieur a expliqué ce désastre par un manque d’« hygiène numérique » et a reconnu que les intrusions ont perduré plusieurs jours. Spectaculaire, oui, mais pas du tout inédit. En juillet 2025, Naval Group, fleuron français de la construction navale de défense, avait en effet reconnu avoir été victime d’intrusions cybercriminelles de grande ampleur sur une période s’étalant de 2019 à 2024. En juin 2025, près de 40 000 comptes étudiants avaient été compromis via les sites Cyclades et ÉduConnect, alors même qu’en septembre une autre cyberattaque avait déjà exposé les données de sept millions d’élèves affiliés à l’UNSS (Union nationale du sport scolaire).

Nous ne pouvons pas dresser ici la liste de toutes les cyberattaques subies par notre pays : elles sont trop nombreuses Il suffit de dire qu’elles ont touché, pour l’année 2025, le système bancaire, le système hospitalier, le transport aérien et ferroviaire, les télécoms et une multitude d’administrations. ces faits n’ont plus rien d’exceptionnel mais leur banalité même doit nous alerter sur les insuffisances criantes de nos systèmes de défense.

Depuis 2017, l’exécutif a pourtant multiplié programmes, agences et dispositifs publics (souvent sans logique ni articulation claire entre eux). Ont ainsi été créés, promus ou restructurés : le Programme Société Numérique, La MedNum, France Num, FranceConnect (généralisé comme porte d’entrée des démarches en ligne), France Services, l’Observatoire de l’inclusion numérique, TechGouv, la Direction interministérielle du numérique, DesignGouv, Mes Services Essentiels, l’Agence du numérique de défense (dissoute en 2025), ainsi que France Identité.

Ces dispositifs sont venus s’ajouter ou se substituer à des structures déjà existantes, telles que l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Conseil national du numérique, Etalab, beta.gouv.fr, l’Incubateur des Territoires, le portail Service-Public.fr, ainsi qu’à des programmes structurants comme France Très Haut Débit, la French Tech ou la Stratégie nationale pour l’intelligence artificielle. L’ensemble forme un millefeuille dense et éclaté, sans architecture d’ensemble ni efficacité réelle, comme le démontrent l’ensemble des classements internationaux.

À cette fragmentation générale s’ajoute une stratification spécifique au champ de la cybersécurité. Ont ainsi été créés ou renforcés le Commandement de la cyberdéfense (COMCYBER), le groupement d’intérêt public ACYMA, VIGINUM, ainsi que le Campus Cyber, présenté comme le « lieu totem » de la cybersécurité française. Cette accumulation de structures semble inversement proportionnelle à l’aggravation des vulnérabilités observées.

Le cas de La Poste est l’exemple paroxystique de cette faillite car elle est l’un des acteurs majeurs de l’identité numérique en France, au moment où la Commission européenne entend généraliser une identité numérique européenne appelée à devenir, dans les années à venir, un prérequis d’accès indispensable à quasiment l’ensemble des services publics et privés permettant une vie normale (logement, transports, banques, administrations, écoles, etc.). Imaginer que des services appelés à devenir centraux dans l’identité numérique des citoyens puissent être mis hors service à répétition, ou voir leurs données compromises, suffit à mesurer le risque systémique qui se dessine pour l’avenir.

Cette insécurité chronique a aussi un coût considérable : la cybercriminalité représentait près de 129 milliards d’euros en France en 2024, pour 0,9 à 1,5 milliard d’euros de moyens publics annuels consacrés à la cybersécurité et à la cyberdéfense, d’après les données professionnelles du Club des Experts de la Sécurité de l’Information et du Numérique, soit un rapport de 1 pour 100 ou 140 entre le coût subi et l’effort engagé. En outre, ce coût s’inscrit dans une trajectoire de croissance rapide. Selon les mêmes séries statistiques, la cybercriminalité en France est passée d’environ 5 milliards d’euros en 2016 à près de 129 milliards en 2024, soit une multiplication par plus de vingt-cinq en moins de dix ans, tandis que les moyens publics dédiés à la cybersécurité sont restés globalement stables, sans changement d’échelle.

La dynamique est identique à l’échelle mondiale. Le coût global de la cybercriminalité a dépassé 8 100 milliards de dollars en 2023, avec une hausse d’environ 15 % en un an, et pourrait atteindre près de 16 000 milliards de dollars d’ici 2029, soit quasiment l’équivalent du PIB de l’Union européenne pour l’année 2024, faisant de la cybercriminalité l’une des premières économies criminelles mondiales.

L’Union européenne et la France n’ont absolument pas pris la mesure du problème. Elles proposent des solutions du XIXᵉ siècle à des problèmes du XXIᵉ siècle. La cybersécurité d’un pays ne se mesure pas au nombre d’agences créées, à la multiplication des normes ou aux référentiels produits, mais à sa capacité à maîtriser les technologies, les infrastructures et les chaînes de dépendance qui conditionnent la continuité de l’État et de l’économie.

Au terme de ce constat, le paysage est limpide : les données sont européennes, les logiciels majoritairement américains ou israéliens, et le matériel comme les réseaux de communication largement asiatiques. La France administre un système dont elle ne maîtrise ni les briques critiques ni les dépendances stratégiques, tout en confondant souveraineté, puissance et empilement normatif. La recette parfaite de l’impuissance numérique.