La feuille de route de la sécurité numérique de l'État, fixant les efforts prioritaires que doivent fournir les ministères en matière de sécurité numérique, a été publiée le 9 avril 2026. Dans un contexte de menace élevée et face à une situation géopolitique altérée, la décision a été prise de rendre publique la feuille de route 2026-2027.
Objectif : renforcer la portée en accroissant accroître la transparence et la mobilisation collective. Ces feuilles de route annuelles constituent un instrument structurant de pilotage stratégique, permettant de fixer des priorités claires et partagées entre l'ensemble des ministères. Elles permettent aussi d'aligner les efforts nationaux avec les exigences européennes, notamment celles issues de la directive NIS 2. La feuille de route de sécurité numérique de l'État pour 2026-2027 s'inscrit dans la continuité des exigences de la directive NIS 2, en réponse à une intensification des cybermenaces et à des incidents majeurs survenus en 2025. Elle vise à renforcer la résilience des systèmes d'information publics tout en tenant compte des contraintes budgétaires. Le document met l'accent sur une gouvernance renforcée, avec un pilotage au plus haut niveau des ministères et une responsabilisation accrue des établissements publics. L'homologation des systèmes d'information devient prioritaire, notamment pour les systèmes critiques et ceux migrés vers le cloud. Une attention particulière est portée à la maîtrise des prestataires et à la sécurisation de la chaîne d'approvisionnement, afin de garantir un niveau de sécurité homogène. Le maintien en condition de sécurité constitue également un axe clé, avec des exigences renforcées en matière de mises à jour, de gestion des vulnérabilités et de réduction de l'obsolescence. La feuille de route insiste sur la sécurisation des services exposés sur Internet, en particulier les infrastructures DNS et les systèmes de messagerie, souvent ciblés par les attaques. Elle prévoit aussi un renforcement des mécanismes d'authentification, avec la généralisation de l'authentification multi-facteur et une gestion automatisée des identités. La protection des comptes à privilèges et des systèmes d'administration est renforcée, tout comme les capacités de détection et de réponse aux incidents via les CSIRT. Les plans de reprise d'activité doivent être régulièrement testés pour améliorer la résilience.
Enfin, le document anticipe les ruptures technologiques en engageant dès maintenant la transition vers la cryptographie post-quantique, avec des objectifs structurants à horizon 2030.
