II. SGDSN : PLUS DE MOYENS POUR REMPLIR PLUS DE MISSIONS ET FAIRE FACE À PLUS DE MENACES
La progression du budget 2026 du SGDSN s'explique par l'évolution du contexte international, en particulier le retour de conflits militaires de haute intensité sur le sol européen, ainsi que le changement de paradigme dans les relations entre l'Union européenne et les États-Unis d'Amérique. Cela justifie des investissements supplémentaires dans la politique de défense nationale. L'impact de cette analyse se matérialise par le renforcement significatif des moyens :
· en crédits de personnels (titre 2) avec une progression de 12,7 M€ de la masse salariale par rapport à la LFI 2025 (+13,9 %) ;
· en crédits hors titre 2 (fonctionnement, investissement et intervention), entre la LFI 2025 et le PLF 2026, avec une hausse de 10,2 M€ pour se porter à 213,9 M€ en CP. Cette évolution s'explique par l'augmentation des crédits à destination des capacités techniques interministérielles (CTIM) (+10,4 M€ en CP) et une mesure d'économie sur la subvention de l'IHEDN (-0,5 M€) (cf. encadré ci-après).
Point de situation sur l'IHEDN
À la suite du débat sénatorial sur l'évolution des crédits et missions de l'IHEDN, un contrat d'objectifs et de performance 2026 a été adopté en mars 2025 visant à poursuivre la réforme de l'Institut (baisse de la subvention 2026 à 6,7 M€ contre 7,2 en 2025) tout en consolidant ses effectifs (74 prévus pour 2026 contre 68 en 2025 par un relèvement du nombre d'apprentis) et son offre de services vers les territoires et les jeunes avec une progression du nombre d'auditeurs.
A. 2026 : UNE ANNÉE CHARNIÈRE POUR L'ANSSI
1. Des missions nouvelles : mettre en oeuvre la stratégie nationale de cybersécurité et adapter l'agence à la transposition des directives européennes REC et NIS 2
Au titre de la RNS 2025, l'Anssi est chargée de l'application des mesures principales de la stratégie nationale de cybersécurité dont le SGDSN a indiqué en audition à la demande des rapporteurs pour avis qu'une version publique serait publiée dans les prochaines semaines.
Cette stratégie, qui a débuté courant 2025 et porte sur la période 2025-2030, implique l'Anssi dans le pilotage, le suivi et la gouvernance de la cybersécurité de l'État selon trois missions :
· La mission « L'État défend la nation » a pour objectifs la connaissance de la menace et l'élaboration de la réponse de la France aux cyberattaques ; elle est organisée autour de la chaîne du centre de coordination des crises cyber (C4) ;
· La mission « L'État se sécurise » assure le pilotage de la sécurité des systèmes d'information de l'État et des secteurs d'activité d'importance vitale ; elle est organisée autour de la chaîne de sécurité des systèmes d'information de l'État (CINUS , COSINUS , RIM Cyber) ;
· La mission « La Nation se protège » coordonne l'action publique et les efforts privés concourant à renforcer la cybersécurité des particuliers, des entreprises, des associations et des collectivités territoriales. Il est prévu qu'un comité de pilotage des politiques publiques de cybersécurité (C3PC) soit lancé d'ici la fin de l'année 2025.
Ce dernier point rejoint l'autre volet majeur de travail de l'Anssi à conduire des travaux et des consultations auprès des représentants des futures entités assujetties sur le référentiel de sécurité NIS 2 en parallèle de l'examen par le Parlement du projet de loi relatif à la résilience des entités critiques et au renforcement de la cybersécurité, à la suite de l'adoption par le Sénat du texte en première lecture. Parmi les travaux préparatoires à la mise en oeuvre de la réglementation sont cités les dispositifs suivants :
· Le lancement de la nouvelle mission « Contrôles et Supervision » début 2025 (5 ETP en juillet 2025) ;
· Des ateliers réguliers avec les associations d'élus locaux pour préparer l'accompagnement des collectivités territoriales ;
· Le développement en cours de finalisation de la plateforme d'enregistrement des futures entités assujetties ;
· Le portail MesServicesCyber qui réunit l'offre de services d'accompagnement de l'ANSSI ;
· Un travail avec les autres autorités nationales, notamment ACPR et CNIL, de définition des modalités de coopération dans le cadre de la mise en oeuvre de la réglementation.
Pour remplir ces nouvelles missions, l'effort budgétaire est essentiellement axé sur le renforcement des ressources humaines. Ainsi les crédits dits « métiers » resteront stables à 26,9 M€, l'accent portant sur une augmentation du schéma d'emplois qui passera de 656 ETP début 2025 à 668 ETP en 2026.
Il reste que la configuration actuelle de l'agence restera à redéfinir en fonction des répercutions de la future loi en cours d'examen à l'Assemble nationale sur le périmètre des entités publiques et privées assujetties. Force à ce stade est de constater que ni les ministres de tutelle successifs, ni l'Anssi elle-même, n'ont présenté de schéma global sur les contours de ce qui relèvera de la compétence directe de l'agence et de ce qui sera partagé ou confié à d'autres entités institutionnelles - très variées en nombre et en compétences - entre le GIP Acyma Cybermalveillance, les CERT sectoriels (computer emergency response team), les CSIRT régionaux (computer security incident response team) ainsi que tous les nouveaux opérateurs que l'Anssi aura retenu dans le cadre d'un appel à manifestation d`intérêt pour le renforcement de l'accompagnement local aux enjeux de cybersécurité (AMI-RALEC), doté de quelque 7 millions d'euros sur trois ans.
Les rapporteurs pour avis appellent de leurs voeux une clarification de l'organisation et du financement de l'écosystème de cybersécurité.
À cet égard, la Cour des comptes a publié un rapport relatif à « La réponse de l'État aux cybermenaces sur les systèmes d'information civils » dont plusieurs des 11 recommandations rejoignent les sujets de préoccupation des rapporteurs, notamment :
· la nécessité de définir l'articulation entre les CSIRT ministériels, sectoriels et territoriaux et s'assurer de la pérennité de leur financement ;
· la nécessité également de définir une programmation pluriannuelle des moyens de l'ANSSI cohérente avec la stratégie nationale de cybersécurité, le changement d'échelle et l'évolution des missions de l'agence en cohérence avec la loi Résilience et cybersécurité ;
La Cour s'interroge également sur le modèle économique de fonctionnement du GIP Acyma et du Campus cyber, ainsi que sur la simplification des critères de labellisation des solutions de cybersécurité pour les petites et moyennes entreprises et les collectivités territoriales.
2. Des cyberattaques toujours plus nombreuses
L'année 2024 a notamment été marquée par l'organisation des jeux Olympiques et Paralympiques de Paris (JOP24), l'ANSSI a constaté que la France restait confrontée à une menace particulièrement intense d'attaques informatiques - émanant principalement des États chinois et russe ainsi que de l'écosystème cybercriminel - dont elle a été saisie de 4 386 événements de sécurité, soit une augmentation de 15% par rapport à l'année 2023.
Sur ce total, l'agence a traité directement 310 événements de sécurité numérique ayant affecté des ministères français. Ces différents événements ont requis un niveau variable d'engagement et d'expertise des agents de l'ANSSI, 304 d'entre eux (dont 221 concernent des compromissions de comptes de messagerie) se sont révélés mineurs au sens où un engagement minimal a été requis pour leur traitement. Cinq événements peuvent être qualifiés de notables car ils ont requis l'emploi d'expertises particulières pour leur résolution.
Dans le même temps, le ministère des Armées a, quant à lui, traité 115 événements de sécurité cyber (20 incidents et 95 alertes) touchant son périmètre et ayant nécessité une action du COMCYBER (en augmentation de 4 % par rapport à 2023), dont 2 en collaboration avec l'ANSSI et 2 au profit d'établissements publics placés sous la tutelle du ministère des Armées.
Par type de cibles, 310 événements de sécurité numérique ont affecté les ministères (contre 260 l'année précédente) dont 304 se sont révélés mineurs (cf. infra tableau pluriannuel de répartition entre ministères des incidents et leur niveau de gravité).
Tableau de suivi pluriannuel des cyber incidents par ministère traités par l'ANSSI
|
Ministères |
Nombre d'incidents traités par l'ANSSI |
Caractérisation des incidents |
||||
|
2020 |
2021 |
2022 |
2023 |
2024 |
||
|
Ministère de l'agriculture et de la souveraineté alimentaire |
14 |
3 |
2 |
2 |
4 |
|
|
Ministère de l'aménagement du territoire et de la décentralisation |
2 |
2 |
0 |
0 |
3 |
|
|
Ministère de la culture |
11 |
10 |
6 |
16 |
64 |
Dont 54 compromissions de messagerie |
|
Ministère des armées |
4 |
5 |
2 |
4 |
14 |
|
|
Ministère de l'économie, des finances et de la souveraineté industrielle et numérique |
18 |
24 |
8 |
25 |
29 |
Dont 10 attaques par déni de service (DDoS) |
|
Ministère de l'éducation nationale, de la jeunesse et des sports |
58 |
149 |
187 |
160 |
157 |
Dont 141 compromissions de messagerie |
|
Ministère de l'enseignement supérieur, de la recherche et de l'innovation |
3 |
0 |
0 |
0 |
||
|
Ministère de l'Europe et des affaires étrangères |
14 |
10 |
5 |
8 |
5 |
Dont 1 incident majeur |
|
Ministère de l'intérieur et des outre mer* |
13 |
11 |
4 |
- |
37 |
|
|
Ministère de la justice |
4 |
4 |
2 |
2 |
6 |
Dont 4 attaques par déni de service (DDoS) |
|
Ministère de la santé et des préventions |
14 |
6 |
6 |
7 |
7 |
|
|
Ministère de la transition écologique |
18 |
12 |
6 |
5 |
13 |
|
|
Ministère du travail, de l'emploi et de l'insertion |
6 |
1 |
0 |
5 |
(voir ministère de la santé) |
|
Source : réponse au questionnaire budgétaire
Pour les particuliers, entreprises et collectivités territoriales (hors OIV et OSE2(*) suivis par l'ANSSI) le GIP Acyma a enregistré les tendances suivantes pour l'année 2024 :
· la plateforme Cybermalveillance.gouv.fr a vu son audience croître de façon significative à 5,4 millions de visiteurs uniques (+47%) ;
· 420 000 demandes d'assistance ont été enregistrée en 2024 (+49,9 %). L'hameçonnage demeure la principale menace avec 1,9 million de consultations d'articles et 64 000 demandes d'assistance, suivi du piratage de compte ou du rançongiciel selon que les victimes sont des particuliers, des entreprises ou des collectivités territoriales (cf. schéma ci-après).
Podium des demandes d'assistance sur la plateforme cybermalveillance
(source : GIP Acyma)
Le GIP Acyma explique l'augmentation des statistiques de consultations et de demandes d'assistance par la création de nouveaux services proposés sur le site Cybermalveillance.gouv.fr (e-sensibilisation SensCyber pour le grand public, opération Cactus auprès des collégiens et lycéens, MOOC de gestion de crise cyber SenCy-Crise réalisé en collaboration avec le COMCYBER-MI et la Gendarmerie nationale) et par le lancement du guichet unique 17Cyber lancé en collaboration avec le ministère de l'Intérieur. En année pleine de fonctionnement et de diffusion du dispositif 17Cyber, ces chiffres devraient croître naturellement.
Il ressort de ces différentes approches de quantification de la cybermenace - 4 386 saisines de l'ANSSI contre 420 000 demandes d'assistance auprès du GIP Acyma - une disproportion entre le champ d'action de l'agence et les besoins de l'ensemble de la population qui conforte la nécessité d'une mise en cohérence d'ensemble du dispositif public de réponse aux cybermenaces.
Ce constat repose la question récurrente du financement du GIP Acyma - dont la subvention de 845 000 euros accordée par l'Anssi n'a pas varié depuis 2017 (ce qui équivaut à une réduction tendancielle) - comme des acteurs régionaux qui ont été encouragés à créer des campus cyber et des CSIRT, sans financement pérenne associé.
B. VIGINUM : UNE MISSION RECONNUE EN FRANCE ET À L'INTERNATIONAL
Alors que l'exercice 2025 laissait entrevoir une stagnation des effectifs de Viginum à 53 personnels (42 ETPT), les ajustements en cours d'exercice ont permis au service de poursuivre sa croissance (60 personnels en cours d'année 2025) pour remplir trois nouveaux objectifs visant, premièrement, à passer d'une posture de défense passive à une posture de défense active, deuxièmement, à assumer un rôle de chef de file pour une meilleure défense globale contre les ingérences numériques étrangères, enfin à agir sur l'environnement international au profit des intérêts de la France.
Ces objectifs ont pour objet de mettre en oeuvre plusieurs des recommandations émises par le rapport de la commission d'enquête sur les politiques publiques face aux opérations d'influences étrangères3(*) tendant à la création d'une académie de lutte contre les manipulations de l'information (LMI) et d'un pilotage stratégique contre les ingérences étrangères numériques. Cette montée en puissance de Viginum était également prônée par le rapport d'activité 2023-2024 de la délégation parlementaire au renseignement (DPR)4(*). La question de la coordination interministérielle de la stratégie LMI devient cruciale à mesure que deviennent opérationnels de nouveaux outils tels que le dispositif « French Response » lancé en septembre 2025 par le ministère de l'Europe et des affaires étrangères.
Sur la période du 1er septembre 2024 au 5 août 2025, VIGINUM a diffusé 164 productions à destination de ses partenaires interministériels, parmi lesquelles 128 relevés de détection, 32 notes d'analyse de la menace et 4 notes de caractérisation :
· décembre 2024, le rapport UN-notorious BIG de la campagne numérique de manipulation de l'information impliquant des acteurs azerbaïdjanais ciblant les DROM-COM et la Corse ;
· février 2025, le rapport Guerre en Ukraine : trois années d'opérations informationnelles russes, synthétisant les principaux modes opératoires informationnels observés depuis le début de la guerre d'agression menée par la Russie en Ukraine ;
· mai 2025, le rapport d'analyse du mode opératoire informationnel russe Storm-1516 ;
· juin 2025, le rapport sur African Initiative, une agence de presse russe, conçue comme l'un des principaux vecteurs d'influence de la Russie en Afrique post-Prigojine, réalisé en collaboration avec le Service européen pour l'action extérieure et le Ministère des Affaires étrangères et du Commonwealth britannique,
La reconnaissance nationale et internationale du service étant établies, il reste à adopter la stratégie de lutte contre les manipulations de l'information qui était annoncée pour le courant de l'année 2025.
* 2 Opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OIV).
* 3 Rapport n° 739 (2023-2024), du 23 juillet 2024, présenté par MM. Dominique de Legge, président, et Rachid Temal, rapporteur.
* 4 Rapport n° 211 (2024-2025) relatif à l'activité de la délégation parlementaire au renseignement pour l'année 2023-2024, présenté par M. Cédric Perrin, président.