Contexte général

La conférence s’appuie sur la Stratégie nationale de cybersécurité 2026-2030, publiée en parallèle de la Revue Nationale Stratégique de juillet 2025. Vincent Strubel en présente les grandes orientations et le contexte de menace qui les justifie.

En synthèse

Le message central de Strubel est celui d’une menace réelle et croissante, mais maîtrisable si l’on se prépare collectivement. La France est dans le premier cercle des nations cyber-capables. L’enjeu n’est plus de protéger quelques acteurs critiques, mais d’élever le niveau de l’ensemble de la société — entreprises, collectivités, citoyens — avant que le scénario du pire ne se matérialise.

Résumé de la conférence

1. Le paysage des menaces : un triptyque qui se brouille

Trois catégories d’acteurs structurent la menace depuis quelques années :

• Les États — espionnage traditionnel, mais aussi sabotage émergent d’infrastructures physiques via le cyber (exemple : attaque coordonnée contre le réseau électrique polonais le 29 décembre 2025)
• Les cybercriminels — très organisés, industrialisés, motivés par le gain financier. Tendance récente : pivot du rançongiciel vers le vol de données, plus simple et plus rentable
• Les activistes — motivés par des causes ou leur réputation, souvent alignés avec des intérêts étatiques (groupes prorusses, pro-iraniens)

Le phénomène marquant : un brouillard croissant entre ces trois catégories. Les techniques d’attaque ruissellent des États vers les criminels, les infrastructures sont mutualisées, et l’écosystème cybercriminel russophone opère sans être inquiété par les autorités locales — ce qui interroge sur la nature réelle de cette tolérance.

2. Deux tendances particulièrement préoccupantes

La course aux vulnérabilités est en train d’être perdue : +18 % de vulnérabilités publiées par an sur les 5 dernières années, avec un cap de 50 000 vulnérabilités en 2026. Surtout, 30 % des vulnérabilités exploitées le sont dans les 24 heures suivant leur publication — voire avant. La fenêtre de réaction des défenseurs s’est effondrée.

La médiatisation des attaques est devenue une stratégie à part entière pour les attaquants : amplifier la perception de l’impact pour pousser les victimes à payer, ou pour provoquer un effet de sidération. Une asymétrie structurelle difficile à corriger — l’attaquant parle en premier et n’a aucune raison d’être honnête.

3. Le scénario central de la Revue Nationale Stratégique

La stratégie se prépare à un scénario de crise géopolitique majeure combinant engagement militaire à la périphérie de l’Europe et tempête hybride sur le territoire national : sabotage, manipulation de l’information et cyberattaques coordonnées visant simultanément les infrastructures critiques ET les PME, collectivités et entreprises du quotidien — pour provoquer un effet de submersion et de sidération à l’échelle nationale.

4. Les priorités de la stratégie nationale

Changement d’échelle — déployer un socle minimal de cybersécurité dans tous les pans de la société, pas seulement chez les opérateurs critiques. S’appuie sur NIS2, le CRA, et un réseau étendu de CSIRT territoriaux et sectoriels. Publication du référentiel RÉCIF le 17 mars pour ne pas attendre la transposition législative.

Imposer un coût à l’attaquant — mobiliser tous les leviers : judiciaire, diplomatique, économique, voire militaire. Première attribution publique française en avril 2025 contre APT28 (GRU russe). Les sanctions économiques européennes (entreprises iranienne et chinoises sanctionnées récemment) font partie de la boîte à outils.

Souveraineté numérique — définie autour de trois piliers : ne pas être vulnérable aux cyberattaques, faire respecter ses lois dans l’espace numérique, avoir une liberté de choix technologique. SecNumCloud en est l’illustration concrète pour le cloud. Pas d’autarcie numérique, mais une maîtrise des dépendances critiques.

Ressources humaines et technologiques — former davantage de spécialistes en allant déconstruire les stéréotypes dès le collège et le lycée, développer l’expertise en cryptologie, IA et anticiper la rupture quantique.

5. Sur l’intelligence artificielle

Strubel distingue trois dimensions qu’il juge souvent confondues :

• L’IA comme outil pour les attaquants : accélération et automatisation de ce qu’ils faisaient déjà (phishing ciblé à grande échelle, exploitation de données, génération de code malveillant). Pas de rupture de paradigme, mais une démocratisation des attaques évoluées.
• L’IA comme outil pour les défenseurs : utile mais avec des limites réelles, notamment le taux élevé de faux positifs dans la détection de vulnérabilités.
• La sécurité de l’IA elle-même : risque systémique si quelques IA dominantes écrivent tout le code et reproduisent les mêmes erreurs à grande échelle. On ne sait pas encore “patcher” une IA comme on patche un logiciel.

6. Sur la menace quantique

Pas d’alarmisme à court terme — un ordinateur quantique capable de casser la cryptographie actuelle n’est pas pour demain (horizon 2035 plutôt que 2030). Mais l’urgence est réelle : il faut commencer maintenant à déployer la cryptographie post-quantique partout, car le cycle de renouvellement des systèmes est long. L’ANSSI n’acceptera plus de certifier des produits sans cryptographie post-quantique à partir de 2027.

7. Coopération internationale

La France reste attachée au multilatéralisme avec une prééminence de l’échelon européen. Le débat sur la certification cloud européenne intégrant des critères non techniques (dépendance juridictionnelle) se rouvre dans le cadre de la révision du Cyber Security Act. Le processus de Pall Mall vise à encadrer les offres privées d’outils offensifs type Pegasus. L’appel de Paris a contribué, dans la durée, à l’émergence du CRA européen.

---

Liens officiels — Ressources citées par Vincent Strubel

1. Stratégie nationale de cybersécurité 2026-2030

• Document officiel (PDF) : sgdsn.gouv.fr — SNC-FR.pdf
• Page SGDSN : sgdsn.gouv.fr/publications/strategie-nationale-de-cybersecurite-2026-2030
• Page ANSSI : cyber.gouv.fr/nous-connaitre/lagence/strategie
• Conférence IFRI associée : ifri.org — Ambition 2030

2. NIS2 — Directive européenne

• Texte officiel EUR-Lex : Directive (UE) 2022/2555
• Page ANSSI dédiée NIS2 : cyber.gouv.fr — directive NIS2

3. Référentiel ReCyF (anciennement appelé RÉCIF dans la conférence)

L’ANSSI a dévoilé le Référentiel Cyber France (ReCyF) le 17 mars 2026 au Campus Cyber.

• Page ANSSI NIS2 / ReCyF : cyber.gouv.fr — NIS2 accompagnement
• Lab ANSSI — ReCyF : lab.cyber.gouv.fr — ReCyF
• Accès direct au référentiel : MesServicesCyber — NIS2

4. CRA — Cyber Resilience Act

• Texte officiel EUR-Lex : Règlement (UE) 2024/2847

5. SecNumCloud

• Page officielle ANSSI : cyber.gouv.fr — Cloud / SecNumCloud
• FAQ SecNumCloud ANSSI : cyber.gouv.fr — FAQ SecNumCloud
• Référentiel SecNumCloud 3.2 : cyber.gouv.fr — actualisation SecNumCloud

6. Réseau des CSIRT territoriaux et sectoriels

• Vue d’ensemble ANSSI : cyber.gouv.fr — réseau CSIRT
• CSIRT territoriaux : cyber.gouv.fr — CSIRT territoriaux
• CSIRT sectoriels : cyber.gouv.fr — CSIRT sectoriels
• CERT-FR — réseaux CSIRT : cert.ssi.gouv.fr — CSIRT

7. Cyber Security Act (CSA) — Règlement européen

• Texte officiel EUR-Lex : Règlement (UE) 2019/881
• Page ENISA dédiée : enisa.europa.eu — Cybersecurity Act

8. Processus de Pall Mall

• Déclaration officielle (MAE France) : diplomatie.gouv.fr — Pall Mall Process
• Code de bonnes pratiques (avril 2025) : diplomatie.gouv.fr — Code of Practice
• Déclaration UK (GOV.UK) : gov.uk — Pall Mall Process

9. Appel de Paris pour la confiance et la sécurité dans le cyberespace

• Site officiel : pariscall.international
• Texte des 9 principes : pariscall.international/fr/call
• Forum de Paris sur la Paix : parispeaceforum.org — Appel de Paris

Bonus — Sources complémentaires citées dans la conférence

• Cybermalveillance.gouv.fr : cybermalveillance.gouv.fr
• CERT-FR (ANSSI) : cert.ssi.gouv.fr
• Panorama annuel de la menace ANSSI 2025 : cyber.gouv.fr — panorama menace