Un casse du siècle pratiquement tous les mois » : comment le piratage de l'ANTS a fait sortir l'État de son déni cyber

ROOMCA·8 mai 2026·9 min
Cybersécurité de l'État · Décryptage
Le 30 avril 2026, deux semaines après la fuite de données de 12 millions de Français passés par l'ANTS, Sébastien Lecornu débloque 200 millions d'euros et redessine la gouvernance numérique de l'État. Récit d'une réaction politique, et anatomie de ce qu'elle dit du retard français en cybersécurité.


Une menace qui ne se cache plus

Il fut un temps où le piratage d'une administration relevait de l'exception.

Un incident isolé. Un communiqué technique. Une page de journal.

Ce temps est révolu. En l'espace de deux semaines, l'Agence nationale des titres sécurisés (ANTS) puis l'Agence nationale des fréquences (ANFR) ont été frappées coup sur coup. Des millions de données personnelles dans la nature. Un mineur de 15 ans interpellé. Et, au sommet de l'État, un constat que personne, jusqu'ici, n'avait osé formuler aussi clairement. Les systèmes d'information de la République ont accumulé une dette technique massive, et les pirates, eux, ne l'ont pas attendue.

12 millions de Français exposés, en quelques heures

12M
de comptes ANTS exposés le 15 avril 2026.


Les chiffres ne traduisent pas seulement une attaque. Ils révèlent un basculement. La cybermenace contre l'État français est devenue un phénomène récurrent, dont la fréquence dépasse désormais la capacité de réaction politique habituelle. Selon les éléments présentés par le Premier ministre, la France enregistre depuis janvier 2026 en moyenne trois vols de données par jour visant la sphère publique.

Une faille triviale, un attaquant adolescent

Le détail technique mérite qu'on s'y arrête, parce qu'il en dit long sur l'état réel de la sécurité applicative dans l'administration française.

L'attaquant, un mineur de 15 ans depuis interpellé, n'a pas exploité une vulnérabilité exotique ni une faille zero-day. Il a utilisé une faille IDOR (Insecure Direct Object Reference). Documentée depuis plus de quinze ans dans tous les référentiels OWASP. Élémentaire à corriger.

Concrètement, il suffisait de modifier un identifiant dans les requêtes envoyées au serveur, sans qu'aucun contrôle d'autorisation ne soit effectué côté serveur, pour accéder aux données d'autres utilisateurs. Quelques heures d'automatisation. Des millions d'enregistrements.

L'attaquant lui-même, dans un message posté sur un forum cybercriminel, aurait qualifié la faille de « vraiment stupide », selon Numerama.

Ce qu'il faut comprendre

Une faille IDOR est l'équivalent numérique d'une porte d'immeuble qui ouvrirait sur l'appartement de tout le monde dès qu'on tape un numéro différent. Le problème n'est pas la sophistication de l'attaque. C'est l'absence d'un contrôle de base qui aurait dû être posé dès la conception.


L'ANTS n'est pas un cas isolé

Au mois d'avril seul, plusieurs administrations ont été touchées.

Cible Date Données concernées
ANTS (titres sécurisés) 15 avril 2026 ~12 millions de comptes
ANFR (téléservice Radiomaritime) 13 avril 2026 (détectée) ~330 000 usagers
Éducation nationale Cas de « vétusté numérique » Logiciels datant des années 1990

Pour l'ANFR, l'ANSSI a signalé la mise en vente des données et la publication d'un extrait en ligne. Une plainte a été déposée. La CNIL a été notifiée.

Quand l'État admet, enfin, l'échec

Le décor du 30 avril est étudié. Sébastien Lecornu ne convoque pas la presse à Matignon. Il se déplace dans les locaux mêmes de l'ANTS. À ses côtés, le ministre de l'Intérieur Laurent Nuñez et la ministre déléguée à l'IA et au Numérique Anne Le Hénanff.

Devant les caméras, le Premier ministre lâche une phrase que les comptes spécialisés en cybersécurité ont aussitôt fait circuler.

Un casse du siècle qui a pratiquement lieu tous les mois.

Sébastien Lecornu, 30 avril 2026

Évoquant une « situation assez grave » face à « des adversaires déterminés », qu'il s'agisse d'États, de groupes criminels ou de loups solitaires, le chef du gouvernement a reconnu que « plus on s'écarte du cœur du régalien, plus les fragilités sont là », citant explicitement le ministère de l'Éducation nationale et sa « dette numérique assez importante ».


Le moment qui rompt

Pour la première fois, un Premier ministre admet publiquement, et avec ces mots, que l'État a échoué à protéger ses propres systèmes. Le déplacement physique à l'ANTS, le ton, le vocabulaire. Tout indique une volonté de dramatiser pour libérer la décision.

Le plan en trois temps


Le plan présenté s'articule autour de trois leviers, l'argent, la gouvernance, la doctrine. Décortiquons-les.

Levier Mesure phare Horizon
Argent 200 M€ via France 2030, 5 % obligatoires des budgets numériques en 2027, amendes CNIL fléchées Immédiat à 2027
Gouvernance Fusion DINUM et DITP en une « autorité numérique de l'État » rattachée au Premier ministre Structurel
Doctrine Auto-attaques, scénarios de blackout, IA défensive, post-quantique Continu

L'argent, trois enveloppes, un signal


200 M€
débloqués via France 2030.EDR, audits, post-quantique. 2024
5%
des budgets numériques ministériels.Obligation à partir de 2027.
500M
d'amendes CNIL en 2025.Désormais fléchées sur la cyber.

Les 200 millions sont mobilisables dès la semaine du 5 mai 2026. Trois usages affichés. La sécurisation des applications publiques. Les outils de détection d'intrusion (EDR, SOC mutualisés). La cryptographie post-quantique, pour anticiper la menace liée à l'arrivée d'ordinateurs capables, à terme, de casser les chiffrements actuels.

Mesure inédite. À compter de 2027, chaque ministère devra consacrer au moins 5 % de son budget numérique à la cybersécurité. Et les amendes infligées par la CNIL (qui représentaient près de 500 millions d'euros en 2025 selon le Premier ministre) seront affectées à un fonds dédié de modernisation des infrastructures numériques de l'État.


La gouvernance, naissance d'une autorité numérique


C'est sans doute la mesure structurellement la plus forte. La DINUM (Direction interministérielle du numérique) et la DITP (Direction interministérielle de la transformation publique) fusionnent au sein d'une « autorité numérique de l'État », directement rattachée au Premier ministre. Sa mission, standardiser et sécuriser les infrastructures numériques de tous les ministères.

Le constat sous-jacent est sans détour. Il faut une infrastructure IT de l'État standardisée, parce que l'éparpillement actuel est lui-même une cause de vulnérabilité.

La doctrine, auto-attaque et scénario du pire


Le gouvernement demande aux services de sécurité de l'État de pratiquer des exercices d'auto-attaque, autrement dit de tester leurs propres systèmes pour identifier les failles avant les adversaires.

Des scénarios de crise seront construits, allant jusqu'au « blackout numérique total », y compris l'hypothèse, assumée, d'une coupure des outils technologiques américains. Le recours à l'intelligence artificielle pour la détection de vulnérabilités est aussi mis en avant, sur fond de débat européen quant à l'accès aux modèles spécialisés (Anthropic, OpenAI) qui ont restreint l'accès à certains pays.

Et pourtant, l'unanimité se fissure

C'est ici que les choses se compliquent.

La voix critique, « mesurettes »


Dans Le Monde Informatique, Jacques Cheminat titre sans détour sur des « mesurettes ». Sa critique tient en deux points.

Critique n°1, pas de moyens humains

Acheter des EDR ou de la cryptographie post-quantique est une chose. Les déployer, les paramétrer, les maintenir en demande des compétences rares, déjà très disputées sur le marché. Le plan reste muet sur ce point.

Critique n°2, mauvais ordre des priorités

Investir dans le post-quantique alors que
l'authentification multifacteur
(MFA), brique de base, fait défaut dans une grande partie des services publics, c'est mettre la charrue avant les bœufs.


La ministre du Numérique elle-même tempère


Plus inattendu, la critique vient aussi du gouvernement. Interrogée le 4 mai sur France Inter, Anne Le Hénanff a qualifié les 200 millions d'euros de « mesure d'urgence » tout en concédant qu'ils « ne suffiront pas ».


Son diagnostic est sans appel sur l'état réel des budgets cyber dans l'administration.

1 à 5%
du budget IT en cyber selon les ministères.Source, Anne Le Hénanff sur France Inter, 4 mai 2026.
10%
seuil minimal couramment admis.Dans la profession.

Les premiers fonds débloqués serviront à financer des « audits flash » dans chaque ministère pour cartographier les vulnérabilités, avant un travail de mise à niveau des systèmes d'information.

Trois lectures, une certitude

L'épisode du 30 avril se prête à trois lectures qui se superposent.

Lecture politique

L'État admet, enfin, ce que les RSSI publics répètent depuis des années. Le déplacement à l'ANTS, le vocabulaire dramatique, le timing. Tout sert un même objectif, libérer la décision en obligeant le système à reconnaître son propre retard.

Lecture industrielle

Les 200 millions sont une enveloppe ponctuelle. Elle ne dit rien du modèle d'achat, des compétences internes à recruter, ni de la dépendance aux fournisseurs américains, pourtant directement pointée par la doctrine du « blackout numérique ». Cohérent dans l'intention. Lacunaire dans l'exécution.

Lecture systémique

L'attaque qui a déclenché tout cela ne procède d'aucun raffinement. Une faille IDOR. Un adolescent. Douze millions de Français exposés. Ce n'est pas une question de moyens face à une menace exotique. C'est une question d'hygiène de base, à savoir revues de code, contrôles d'autorisation, tests d'intrusion, MFA.

Avis

Tant que l'hygiène de base ne sera pas systématiquement assurée, les enveloppes financières, fussent-elles à neuf zéros, ne feront que retarder le prochain incident.


Le vrai test commence maintenant


La cybersécurité ne se décrète pas.

Elle se construit dans le détail des architectures.

Dans le grain des audits.

Dans la patience des formations.

Les annonces du 30 avril marquent un tournant. Un État qui assume publiquement son retard, investit, structure et oblige. Mais entre l'annonce et l'exécution, il y a tout. Les mois qui viennent, et notamment l'examen du prochain projet de loi de finances, diront si la France est passée du discours à l'acte, ou si l'épisode ANTS rejoindra la longue liste des électrochocs sans suite.

La seule question qui compte vraiment

Quand le prochain incident frappera, et il frappera, l'autorité numérique de l'État aura-t-elle eu le temps de poser, dans chaque ministère, la couche d'hygiène élémentaire qui aurait évité l'épisode ANTS ?


Sources

  1. Banque des Territoires / Localtis, Virginie Fauvel, « Cyberattaques contre l'État, 200 millions d'euros débloqués d'urgence et une nouvelle gouvernance numérique », 4 mai 2026. Lien
  2. LCP, Assemblée nationale, Soizic Bonvarlet, « Cybersécurité, face à une "situation assez grave" Lecornu annonce une "doctrine de protection" des données numériques de l'État », 30 avril 2026. Lien
  3. Le Monde Informatique, Jacques Cheminat, « Les mesurettes de Sébastien Lecornu sur la cybersécurité de l'État », 4 mai 2026. Lien
  4. Service d'information du Gouvernement, « Cybersécurité, le Premier ministre annonce un plan d'action pour renforcer la protection numérique de l'État », 30 avril 2026. Lien
  5. Le Monde / Pixels, « Piratage de l'ANTS, Sébastien Lecornu annonce le déblocage de 200 millions d'euros », 30 avril 2026. (Source initiale citée par l'utilisateur, non accessible en consultation directe au moment de la rédaction. Son contenu factuel a été recoupé via les autres sources ci-dessus.) Lien



Partager :X / TwitterLinkedInFacebook✉️Email
ROOMCA
L'équipe ROOMCA, basée à Lyon.

Commentaires (0)

Connectez-vous pour commenter cet article.
Soyez le premier à commenter.

Envie de tester ROOMCA ?

Lancez une simulation de phishing en 10 minutes sur vos équipes.