La France est-elle prête à faire face aux cyberattaques ? Les réponses du patron de l’Anssi
Il est à la tête des "cyberpompiers" français. Vincent Strubel, patron de l'Anssi, l'Agence nationale de la sécurité des systèmes d'information, veille depuis 2023 à la protection des données des Françaises et Français. Sa mission est vaste. L'agence doit s'assurer que les systèmes de l'Etat résistent aux cyberattaques et aux tentatives d'infiltrations, aider les entreprises françaises en cas de problème et mettre en place les meilleures protections possibles. Une bataille intense : la pression exercée par les adversaires, que ce soit des groupes de cybercriminels motivés par l'argent, des hacktivistes politiques ou des groupes étatiques d'espionnage cyber, ne mollit pas.
Surtout, elle n'épargne personne. Les grandes entreprises ne sont plus les seules visées par les hackers. Les TPE de moins de 50 salariées sont désormais la cible de 12 % des attaques, d'après une étude d'InterCERT. Un tiers des attaques utilisent des rançongiciels. Les fuites de données touchent aussi l'Etat : en décembre 2025, le ministère de l'Intérieur a été piraté et des dizaines de fichiers sensibles ont été consultées. En février 2026, c'est le fichier Ficoba, qui rassemble les comptes bancaires français, qui a été consulté illégalement. Enfin, fin mars, le ministère de l'Intérieur a confirmé que des hackers avaient eu accès au SIA, regroupant les informations des propriétaires d'armes à feu. La France est-elle à la hauteur ? Entretien.
L'Express : L'Etat français a subi ces derniers mois de nombreuses fuites en raison de problèmes de sécurité. Est-il à la hauteur ?
Vincent Strubel : Je dirais que personne n'est réellement à la hauteur. Il y a eu un changement dans la menace : les cybercriminels font, de manière systématique, du vol de données, car c'est très facile et lucratif. Il y a des demandes de rançon, et potentiellement de la revente des données. C'est un fait bien réel, identifié dans le panorama de la menace 2025. Mais cela s'accompagne aussi de beaucoup d'exagérations. Certains attaquants font du marketing, exagèrent leurs exploits pour mettre la pression sur les victimes.
C'est un rappel de vulnérabilités qui existent de longue date. Il y a des bonnes pratiques de base qui ne sont pas appliquées. C'est vrai pour l'Etat, c'est vrai pour le secteur privé. Il y a un réel effort à mener au sein de l'Etat - on y travaille - pour déployer ces solutions à très grande échelle. Le système d'information de l'Etat est probablement le plus gros en France, avec 60 millions d'utilisateurs. Le changer prend du temps. Mais il y a une réelle prise de conscience et un vrai effort mené qui va se poursuivre dans les mois et les années à venir.
Les administrations ont-elles toutes bien mis en place l’authentification à double facteur ?
Cela fait partie des choses qu'il faut généraliser en priorité. On peut se demander pourquoi ce n'est pas déjà fait, mais encore une fois, c'est un système d'information complexe, qui s'est construit année après année avec un empilement d'applications. Notre défi principal est d'avoir un niveau de sécurité homogène partout. Et cela ne concerne pas que la double authentification, car certaines attaques peuvent contourner ce système. C'est une sécurité importante, mais elle ne va pas résoudre tous les problèmes.
Une de vos récentes interventions suggère que nous sommes en train de perdre collectivement le combat de la cybersécurité à l'échelle mondiale. Le pensez-vous toujours ?
Perdre la bataille de la cybersécurité, non. Perdre la bataille de la sécurité, des solutions, des vulnérabilités, oui, cela fait partie des choses qui m'inquiètent et je ne suis pas le seul à m'en inquiéter. Derrière toutes les attaques qui se produisent, il y a des vulnérabilités, des défauts de sécurité dans des logiciels. Et le volume de ces vulnérabilités augmente. La hausse moyenne est de 18 % par an sur les cinq dernières années. Des taux de croissance faramineux. Et les attaquants s'organisent pour exploiter ces vulnérabilités de plus en plus vite. En 2025, 30 % des vulnérabilités exploitées l'ont été dans la journée. Autrement dit, les défenseurs ont moins d'une journée pour corriger une vulnérabilité. C'est un défi fondamental qui fait qu'on se dirige probablement vers un nombre accru d'attaques.
L'intelligence artificielle peut-elle aider à détecter ces vulnérabilités ? L'Anssi s'en sert-elle ?
On utilise de l'IA comme tout le monde, pour gagner en efficacité sur un certain nombre de missions. Cela peut faire partie de la solution à cette explosion des vulnérabilités, mais cela ne résoudra pas l'intégralité du problème. Les attaquants utilisent eux aussi l'IA pour gagner du temps, et exploitent donc ces vulnérabilités bien plus vite. Notre préoccupation majeure est : comment apporter de la sécurité à l'IA ? Cette technologie commence à s'intégrer dans tout ce que nous faisons en matière de numérique. Le code et les logiciels sont désormais générés par l'IA.
Or, nous n'avons pas les mêmes garanties de sécurité avec l'IA qu'avec des logiciels classiques. C'est cela qu'il faut construire dans les mois et années qui viennent. Des capacités d'évaluation, des capacités des recommandations aussi. On en formule un certain nombre, mais ce n'est que le début, nous devons accompagner cette grande évolution.
Quels acteurs maîtrisent le mieux l’IA pour organiser des attaques ?
Je ne pense pas qu'on puisse faire de palmarès. Tous s'en emparent dans le fond sensiblement de la même manière. Dans le paysage habituel de la menace, les meilleurs attaquants restent les Etats, les services de renseignement étrangers qui s'en prennent à des cibles stratégiques, à des administrations, à des entreprises du secteur de la défense par exemple. Notons que le ruissellement se fait de plus en plus vite : les techniques de pointe des attaquants étatiques se retrouvent très rapidement entre les mains d'attaquants criminels qui recherchent l'argent, ou des hacktivistes qui souhaitent se mettre en valeur. Tous s'emparent des mêmes outils, des mêmes infrastructures, ce qui rend notre métier plus complexe encore.
Comment l’IA est-elle utilisée concrètement ?
Ils utilisent l'IA pour générer du code, plutôt que d'écrire eux-mêmes des logiciels d'attaque ou d'exploitation des vulnérabilités. Pour envoyer de manière automatisée des e-mails très convaincants afin de pousser les personnes à cliquer sur des liens. Ou pour explorer de grands volumes de données. Ce que l'on ne voit pas encore, ce sont des attaques menées entièrement par des IA. Il y a des exemples en laboratoire, des preuves de concept, mais cela n'a pas encore été observé en dehors. Nous n'en sommes pas encore au point où des IA savent mener en autonomie des attaques plus efficaces et plus intelligentes que des humains.
De la Chine ou de la Russie, quel acteur est le plus dangereux dans le domaine cyber ?
Je ne fais pas de classement, ni d'attribution. Ce n'est pas à l'Anssi en tant que telle de dire que tel pays nous attaque. Cela appartient aux relations diplomatiques de la France avec ses partenaires. Le panorama de la menace année après année montre une forte prédominance d'acteurs affiliés à la Russie et à la Chine, dans les attaques stratégiques d'espionnage notamment. On ne se préoccupe pas de l'origine de la menace dans notre travail de prévention. Les techniques d'attaque sont les mêmes tout comme les vulnérabilités. Notre priorité est d'améliorer notre sécurité pour faire en sorte que ces attaques n'arrivent pas.
Depuis le retour de Donald Trump au pouvoir, les relations de l'Union européenne et des Etats-Unis se sont tendues. Il y a eu les menaces d'annexion du Groenland en début d'année. Le président américain agite la menace d'un retrait de l'Otan. Peut-on toujours compter sur les Etats-Unis dans le domaine cyber ?
Les Etats-Unis sont nos alliés et ils le restent factuellement, avec les traités, l'Otan, les organisations. Dans notre pratique quotidienne, il y a une forme d'entraide, de signalement mutuel. On alerte les Etats-Unis et nos partenaires américains de menaces qui vont les cibler, tout comme eux continuent à nous prévenir d'attaques qui vont nous cibler. C'est vrai depuis des années. Cela s'est vérifié pendant les Jeux olympiques et paralympiques. C'est vrai aujourd'hui. Mais je le rappelle, nous ne nous protégeons pas des attaques d'un pays spécifique, nous nous protégeons de toutes les attaques. Donc, nous n'avons pas de naïveté particulière vis-à-vis de qui que ce soit.
Y a-t-il un risque que la France soit dépendante de technologies cyber américaines ?
Ce risque n'est pas limité à la cyber, ni aux Etats-Unis. C'est un vrai sujet qui n'est pas neuf. L'Anssi s'en préoccupe depuis des années. Nous l'avons déjà fait dans le cloud à travers une qualification SecNumCloud pour identifier proprement et objectivement les risques et les mesures que nous pouvons mettre en place. Les réseaux 5G sont aussi un sujet, raison pour laquelle des lois ont été passées en France en 2019. C'est une question à se poser tous les jours, qui ne se réglera pas en un claquement de doigts. Le travail sera sans fin, mais l'identification de nos dépendances est critique, et il faut le faire plus que jamais au niveau européen. Il y a des travaux en la matière, pour mettre sous contrôle certaines de ces dépendances et favoriser le développement d'alternatives européennes. Il faut le faire dans le temps long, pas uniquement chercher des solutions à très court terme, qui n'existent même pas toujours.
Quelle est la situation la plus stressante que vous ayez eue à gérer à la tête de l'Anssi ?
J'aurais du mal à en citer une en particulier. A l'Anssi, on gère des crises de manière permanente. Je fais cette analogie : si vous devez être pris en charge par le Samu, vraisemblablement, leurs équipes sembleront moins stressées que vous. Non pas qu'ils prennent la situation à la légère, mais c'est leur métier. Les attaques cybercriminelles sont désormais une réalité constante, avec beaucoup de communication "marketing". Il faut éviter les attaques et garder une vision objective de leurs impacts lorsqu'elles se produisent. Ne pas se laisser entraîner par les déclarations des attaquants qui parfois exagèrent afin de vous sidérer. Je retiens tout de même les Jeux olympiques. Nous étions tous dans nos bureaux le soir de la cérémonie d'ouverture, afin d'être sur place en cas de problème. Chaque sonnerie de téléphone générait un pic de stress et d'adrénaline, mais finalement tout s'est bien passé. Hormis la météo, mais ça, nous n'y étions pour rien ! (rires)
