Quand l'État laisse la porte ouverte : cybersécurité, ANSSI

Je tiens un blog personnel depuis une vingtaine d'années, et si je m'y suis souvent consacré à des questions liées à l'intégration des ERP, il m'arrive aussi d'élargir le propos dès que la technologie touche à des questions de société. Ce fut le cas en lisant le 23 juillet un article rapportant une énième attaque par rançongiciel, cette fois ciblant France Travail. Et encore une fois, je me suis demandé ce qu'il faut de plus pour que l'administration française prenne réellement la menace au sérieux.

Je suis inquiet, sincèrement. Et ce n'est pas une inquiétude théorique. C'est celle d'un professionnel du numérique, d'un Français, mais aussi d'un chef de projet habitué à la gestion de crise. Car une attaque par ransomware, ce n'est pas seulement une perte de données : cela peut provoquer la désorganisation complète d'une structure, l'arrêt de services publics essentiels, la perte de contrôle sur les systèmes critiques. Et trop souvent, on découvre après coup que les bases de la sécurité informatique n'étaient simplement pas respectées.

Je vous partage mon opinion sur le thème de la cybersécurité et de l'ANSSI, où comment l'État laisse la porte ouverte

Je lis les recommandations de l'ANSSI, et j'avoue être de plus en plus dubitatif. Leur travail de veille est indéniable, leur expertise aussi. Mais la réalité de terrain, celle que je vois en collectivité, dans les hôpitaux, ou même dans certaines agences d'État, me pousse à m'interroger : qui applique réellement ces recommandations ? Qui vérifie que les protocoles sont mis en place ? Qui audite sérieusement les pratiques ? Parce qu'entre les guides PDF de l'ANSSI et la configuration d'un serveur Exchange mal sécurisé, il y a souvent un gouffre.

Et ce gouffre, les pirates l'exploitent. Chaque jour. Il suffit d'un mot de passe faible, d'un poste non mis à jour, d'un VPN sans double authentification, et c'est tout un SI qui tombe. Et je ne parle même pas de ces pratiques courantes, parfois dans des mairies ou établissements publics, où les mots de passe sont partagés, les accès non révoqués, les sauvegardes non testées. Le jour où ça tombe, c'est la panique. Plus rien ne fonctionne, pas même les courriels. On se demande même si certaines administrations ne devraient pas simplement pratiquer l'abandon de mail, tant leur usage est peu sécurisé.

Ce qui me sidère, c'est qu'à côté de cette négligence apparente, le grand public est quant à lui abreuvé de messages anxiogènes sur la protection de la vie privée, sur les dérives de la surveillance numérique, sur le fait qu'il serait “impossible” de retrouver l'IP de quelqu'un ou de trouver tous les comptes d'une personne en ligne. Alors que dans la réalité, les cybercriminels, eux, n'ont aucun mal à le faire. Et les institutions sont souvent les premières à exposer des métadonnées sensibles, à travers des fuites non corrigées ou des services mal configurés. Et ça, aucun rapport annuel de l'ANSSI ne le mentionne vraiment.

Je ne dis pas que la situation est simple. Je sais combien il est difficile de sécuriser des systèmes hétérogènes, avec des couches techniques anciennes, des moyens parfois limités, des ressources humaines insuffisantes. Mais je ne peux m'empêcher de penser qu'il y a aussi un problème de culture. Une sorte de déni latent, où l'on pense que “ça n'arrive qu'aux autres”, que les ransomwares visent les grands groupes, pas les écoles ou les conseils départementaux. Jusqu'au jour où ça tombe. Et là, tout le monde feint la surprise.

Dans mon blog personnel, j'ai déjà raconté des histoires de gestion de crise IT. Mais ces dernières années, ce qui me frappe, c'est que de plus en plus de crises ne viennent pas de mauvaises décisions stratégiques, ni d'erreurs humaines classiques… mais d'une pure impréparation face aux cyberattaques. Des audits jamais réalisés, des budgets de cybersécurité refusés, des alertes ignorées. On se repose sur l'ANSSI, sur ses logos, ses chartes, ses recommandations… mais au final, la réalité, c'est que peu d'organisations publiques ont un plan de continuité digne de ce nom.

Alors je pose la question : faut-il attendre que plusieurs services régaliens tombent en même temps pour réagir ? Faut-il que la justice, la police, les finances publiques soient tous pris en otage par un ransomware pour qu'on prenne conscience de l'enjeu ? Je ne le souhaite pas. Mais j'ai peur que ce soit le seul électrochoc capable de réveiller l'appareil d'État. Car aujourd'hui, malgré les signaux, malgré les précédents, j'ai le sentiment que la cybersécurité n'est toujours pas considérée comme une composante fondamentale du service public.

Et pourtant, c'est bien une question de souveraineté. Un système d'information piraté, c'est une perte de contrôle. C'est une faille pour notre pays! C'est la vie quotidienne des Français qui est affectée : une carte d'identité qui ne s'imprime plus, un dossier médical inaccessible, une école dont les systèmes de notes sont effacés. Ce ne sont pas des scénarios de science-fiction, ce sont des faits.

Je continuerai donc à écrire, à alerter sur mon blog personnel, à rappeler que la sécurité informatique ne peut pas être une option, encore moins une variable d'ajustement budgétaire. Et surtout, j'invite ceux qui conçoivent les politiques publiques à se poser la vraie question : dans quelle mesure notre administration est-elle réellement résiliente ? Et si la réponse n'est pas claire, alors il est temps d'agir. Avant que le prochain rançongiciel ne nous le rappelle avec violence.

👉 ( ◍•㉦•◍ ) Michel Campillo consultant expert en solutions de gestion écrit et publie régulièrement depuis 2004 des articles sur son site web professionnel dédié aux outils d'entreprise et aux questions du numérique et des technologies. Comme tout blogueur il écrit aussi sur des sujets divers, voir le blog pour un aperçu des thèmes abordés.

Outre l'email, mobile, téléphone, Linkedin, réseaux sociaux, vous pouvez me retrouver également sur Teams. Installé sur mon poste de travail, je reçois instantanément vos messages. Envoyez-moi votre identifiant par SMS ou email.

Pays de Provence, le 23 juillet 2025

Michel Campillo
Consultant chef de projet IT
☎ 06 89 56 58 18  ✉ contact par email

➽ Les articles d'actualité sur les problématiques d'entreprise sont repris chronologiquement sur la page d'accueil du blog. J'aime cet article sur l'informatique: « Le Fediverse peut-il décentraliser le Web ? ».

Ce billet vous a intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous:

Merci de vos partages! 👷🏻‍



🎯 Autres options: Mentions légales, L'IA et le vol de contenus, Les modules d'un ERP, Logiciel de gestion de l'innovation, Mise en place d'un ERP dans une entreprise, Process mining, Logiciel de gestion des achats, expérience d'implémentation, L'innovation à Marseille et les startups, Donkey Kong Bananza... Quel voyage dans le temps !, Décarboner les réseaux de chauffage urbains, Structure de répartition du travail (WBS) et diagramme de Gantt, Manque de sponsoring et échec des projets, Une communication déficiente affecte la réussite des projets, Réduire le risque d'échec d’un projet de déploiement ERP, Gestion de projet ERP, les dangers d'une terminologie non maîtrisée, La question de la planification dans les projets ERP, Le délicat sujet de l'estimation budgétaire dans les projets ERP, Déploiement ERP dans les PME grâce à l'IA, Quand l'ERP devient un point de rupture : enseignements d'un naufrage numérique, ERP et cybersécurité : ce que certains refusent encore de comprendre, ERP et réglementation : pourquoi tout commence au cadrage (et pas après), Quand l'État laisse la porte ouverte : cybersécurité, ANSSI, Quand l'intégration fait la différence, le défi derrière le choix d'un ERP, TikTok et les mirages de la finance facile, attention au piège, L'opérateur Orange, cible d'une cyberattaque, Être à jour sur sa veille technologique?, L'IA Act, acte 2 : Google signe... mais pour moi, les doutes persistent.
☀️ Sous le soleil éclatant et la forte chaleur d'un bel été 🏖️

Copyright © 2004-2025 Michel Campillo, tous droits réservés