Déploiement de l’authentification à plusieurs facteurs, renforcement de la sécurité du DNS (Domain Name System) et de la messagerie ou encore le déploiement d’EDR ou d’XDR sur l’ensemble des postes de travail et des serveurs. Le gouvernement vient de dévoiler sa feuille de route sur la sécurité numérique de l’État pour les années 2026-2027.
La publication de ce document de neuf pages est un événement en soit. C’est la première fois que cette feuille de route annuelle est rendue publique depuis sa mise en place. Cela avait été fait à travers l’instruction générale interministérielle n°1337, approuvée par un arrêté du 26 octobre 2022.
« Dans un contexte de menace élevée et d’une situation géopolitique dégradée, décision a été prise de rendre publique [ce document] pour en renforcer sa portée », précise simplement l’Anssi. C’est vraisemblablement une façon de s’assurer que les préconisations soient bien enregistrées par les ministères concernés.
Vulnérabilités graves
Le constat, signalé en préambule, laisse en effet à désirer. « Les multiples intrusions et fuites de données qui ont affecté en 2025 les systèmes d’information des ministères et des établissements dont ils ont la tutelle rappellent la persistance de vulnérabilités graves dans l’ensemble de ces infrastructures », soulignent les auteurs du document.
Au crédit de l’administration, ces derniers évoquent toutefois des « contraintes budgétaires ». Ces dernières ont « pesé sur la mise en œuvre de la précédente » feuille de route. Les pouvoirs publics ont donc un certain retard à rattraper et une marche importante qui s’annonce, la transposition de la directive NIS 2.
Résultat : un méli-mélo de quarante mesures très concrètes et organisationnelles. Déclinées en dix thèmes, elles sont assorties parfois d’un délai court – jusqu’au 30 juin 2026 pour certaines mesures -, une façon de secouer le cocotier.
Calendrier
Côté accès, les administrations vont devoir déployer d’ici le 31 décembre 2026 l’authentification multi-facteur pour l’ensemble des administrateurs de systèmes d’information. Pour le reste des utilisateurs, cela doit être prévu pour les systèmes d’information « à enjeux » d’ici le 28 février 2027. Et d’ici une année supplémentaire pour les autres.
Autres exemples d’actions concrètes attendues : la suppression d’ici le 30 juin 2026 des comptes génériques, ou à défaut, le renforcement de leur traçabilité. Ou encore le renforcement de la sécurité du DNS et des messageries d’ici le 30 septembre et le 31 décembre.
Les auteurs signalent en effet au passage qu’il s’agit de vulnérabilités exploitées « de manière privilégiées » par les attaquants. Elles doivent donc « faire l’objet d’une attention particulière ».
Des EDR ou XDR, ces solutions de détection des attaques, devront enfin être déployés d’ici le 31 décembre 2026 « sur l’ensemble des postes de travail et des serveurs ».
Cryptographie post-quantique
Cette réponse aux failles urgentes à combler se double toutefois d’un volet de plus long terme. Outre NIS 2, la feuille de route intègre ainsi des mesures autour de la transition vers la cryptographie post-quantique, avec « des premières étapes d’inventaire ».
L’État table ainsi sur le déploiement de la cryptographie post-quantique, pour les systèmes d’information traitant d’information « diffusion restreinte », avant la fin 2030. Les pouvoirs publics veulent également ne déployer, à partir de cette même année, uniquement des produits de chiffrement intégrant la cryptographie post-quantique.
Attention : s’il reste encore environ quatre ans avant ces échéances, le calendrier risque de défiler bien trop vite.
Source:
www.zdnet.fr
