Ces derniers mois, les attaques ayant visé l’Assurance-maladie, la CAF ou l’Agence nationale des Titres sécurisés ont concerné des centaines de milliers de personnes. Dans ce contexte, la question de la souveraineté et de la sécurité des données est devenue un enjeu essentiel.
Des alertes répétées
Ce ne sont plus des incidents isolés. Ce sont des alertes répétées. En quelques mois, plusieurs services publics français ont été touchés par des cyberattaques d’ampleur, exposant parfois des volumes considérables de données personnelles, notamment dans le champ de la santé. Les attaques ayant visé l’Assurance-maladie et la CAF ont concerné des centaines de milliers de personnes. Celle contre l’Agence nationale des Titres sécurisés (ANTS) en avril 2026, même si son périmètre exact reste débattu, a une nouvelle fois rappelé la vulnérabilité de systèmes au cœur du quotidien des Français.
Les failles ne sont pas neutres. Elles sont dangereuses, pour les individus comme pour la confiance numérique entre les services publics et les usagers. Ces attaques touchent désormais des données parmi les plus sensibles comme l’identité, les coordonnées, les informations fiscales, mais aussi des données de santé. Leur exploitation malveillante peut avoir des conséquences directes (usurpation d’identité, fraude, chantage…), mais aussi indirectes, en alimentant un climat de défiance durable.
Une relation numérique massive
Dans le même temps, la relation entre les usagers et les services publics est devenue massivement numérique : déclaration d’impôts en ligne, suivi des remboursements de santé, demandes de titres d’identité, démarches sociales ou encore suivi scolaire par l’intermédiaire d’outils comme Pronote. Ces usages impliquent des flux constants de données personnelles et deviennent la norme. Pourtant, cette dématérialisation s’accompagne souvent d’une perception mitigée, associée à des parcours complexes et à des interfaces peu intuitives.
Lorsque les parcours sont perçus comme difficiles, lorsque l’usager doit fournir à répétition des informations sensibles, la promesse implicite est claire : ces données seront protégées. Si cette promesse est rompue, c’est l’ensemble de la relation numérique avec les services publics qui vacille.
La cybersécurité, un enjeu stratégique
C’est pourquoi la cybersécurité ne peut plus être abordée comme un sujet technique ou réglementaire. Certes, le RGPD encadre strictement la protection des données personnelles et la directive européenne NIS2 (sécurité des réseaux et des systèmes d’information) impose un renforcement des dispositifs de sécurité pour les entités essentielles. Mais ces cadres juridiques ne suffisent pas à répondre à l’ampleur du défi.
Les services publics sont en première ligne. À ce titre, la protection des données n’est pas un sujet périphérique. Elle est un pilier de la transformation publique, au même titre que la modernisation des services ou leur accessibilité. Cette exigence est aujourd’hui renforcée par l’essor de l’intelligence artificielle (IA) générative dans les administrations. Si ces outils ouvrent des perspectives considérables comme l’automatisation, l’assistance aux agents, l’amélioration des services, ils introduisent aussi de nouveaux risques comme par exemple la réutilisation non maîtrisée de données, l’opacité des traitements, la dépendance à des fournisseurs extérieurs.
Les solutions dites « agentiques », capables d’agir de manière autonome en mobilisant des données et en enchaînant des actions, accentuent encore ces risques. Elles peuvent manipuler des informations sensibles, prendre des décisions sans supervision humaine directe, rendant plus complexe le contrôle des flux de données et la traçabilité des usages.
Le phénomène du shadow IT
À cela s’ajoute le phénomène bien connu du « shadow IT » (l’informatique fantôme). Face à des outils parfois jugés insuffisants, des agents peuvent recourir à des solutions non validées, y compris des outils d’IA accessibles en ligne. Les risques immédiats sont la fuite involontaire de données, la perte de maîtrise sur les traitements, le transfert vers des environnements hors de tout contrôle public.
Dans ce contexte, la question de la souveraineté des données devient centrale. Où sont stockées les données des citoyens ? Avec quelles garanties d’accès, de sécurité et de non-exploitation ? Les services publics ne peuvent déléguer ces enjeux sans exigence forte vis-à-vis des opérateurs numériques avec lesquels ils travaillent. Transparence des usages, audit des systèmes, maîtrise des chaînes de traitement, ces conditions doivent devenir non négociables.
Un effort global nécessaire
La réponse ne peut être partielle et suppose un effort global au travers de la sécurisation des infrastructures, de la montée en compétences des agents, d’une gouvernance rigoureuse des outils numériques, de la clarification des responsabilités. Elle implique aussi une pédagogie renforcée auprès des agents publics, car chaque usage pouvant devenir un point d’entrée.
Bien sûr, cela a un coût. Mais la question n’est plus seulement budgétaire. Elle est stratégique. Car à mesure que les attaques se multiplient, c’est la satisfaction des usagers qui est en jeu. Une accumulation d’incidents, même mineurs en apparence, peut suffire à installer une défiance durable. La transformation numérique des services publics repose sur un contrat implicite : simplicité, efficacité, sécurité. Si la sécurité n’est pas au rendez-vous, ce contrat se fissure. Et avec lui, la confiance qui fonde l’action publique.
Cet article est une tribune, rédigée par un auteur extérieur au journal et dont le point de vue n’engage pas la rédaction.
