Dans son rapport publié en juin 2025, la Cour des comptes tire un signal d’alarme : la réponse de l’État face aux cybermenaces est fragmentée, sous-financée et inadaptée à la gravité de la menace.
👉 En 2023, près de 280 000 infractions numériques ont été recensées, soit une hausse de 9 % en un an. Un chiffre qui masque une réalité plus inquiétante encore : des attaques plus complexes, plus ciblées et aux impacts plus lourds, en particulier dans les secteurs critiques.
Le diagnostic est clair : l’organisation institutionnelle de la cybersécurité en France reste confuse. Les responsabilités sont partagées entre l’ANSSI, la DINUM, les ministères, les ARS, la DGSI, sans instance centrale forte pour piloter une stratégie d’ensemble.
🛠️ Résultat : des injonctions parfois contradictoires, une coordination lacunaire et une difficulté à garantir un niveau homogène de sécurité sur tout le territoire.
Malgré l’inscription de la cybersécurité dans le plan France 2030, les moyens concrets alloués à la protection des SI restent faibles. Entre 2021 et 2022, moins de 11 % des budgets de transformation numérique ont été consacrés à la cybersécurité.
⚠️ La Cour dénonce aussi une sous-estimation chronique des besoins humains : le manque d’experts qualifiés ralentit les projets, limite les audits, retarde la détection des incidents.
Le rapport insiste sur la vulnérabilité des établissements de santé et des collectivités territoriales, fréquemment ciblés et peu outillés.
Entre juillet 2022 et juin 2023, 13 % des attaques par rançongiciel recensées en Europe ont visé le secteur de la santé. Or, les capacités de réaction, les plans de continuité et la protection des données sensibles restent très hétérogènes.
Le cas emblématique du secteur santé
Dans ce secteur, l’absence d’investissement soutenu en matière cyber expose non seulement les établissements… mais aussi les données de santé des patients, dont la sensibilité impose des mesures spécifiques (notamment en lien avec la certification HDS, obligatoire dès qu’il y a hébergement de données de santé de patients français).
Alors même que le pilotage de l’État reste fragile, la directive NIS 2 entre en vigueur. Elle impose à des centaines d’organisations françaises :
✅ une gouvernance formalisée des risques
✅ la mise en place d’un plan de continuité d’activité
✅ des politiques de sécurité documentées
✅ la déclaration des incidents significatifs
✅ des contrôles renforcés par l’ANSSI
💡 La Cour appelle explicitement à renforcer les capacités de contrôle de l’État, ce qui annonce des audits plus fréquents et des exigences accrues pour les entités soumises à NIS 2.
1️⃣ Les contrôles vont s’intensifier : les autorités disposent désormais d’un arsenal renforcé.
2️⃣ Les amendes et sanctions seront bien réelles, en cas de non-respect des obligations.
3️⃣ Les cyberattaques, elles, ne prennent pas de retard. Être non conforme, c’est être vulnérable.
4️⃣ Les exigences réglementaires convergent : RGPD, NIS 2, HDS, doctrine SecNumCloud… les organisations doivent bâtir une stratégie cyber intégrée et durable.
Chez DPO Consulting, nous combinons expertise réglementaire, vision stratégique et pragmatisme opérationnel.
Nous vous accompagnons pour :
🔐 Auditer votre posture cybersécurité au regard de NIS 2, RGPD, HDS
📄 Construire votre documentation : PSSI, PCA, politique de gestion des incidents
👥 Structurer votre gouvernance : désignation de référents, formation des équipes
📊 Piloter votre mise en conformité grâce à des outils clairs et personnalisés
✔️ La Cour des comptes pointe une faille systémique dans la stratégie cyber publique.
✔️ Le cadre juridique, notamment NIS 2, devient plus contraignant et opérationnel.
✔️ Les secteurs critiques sont les plus exposés : santé, collectivités, éducation, numérique.
✔️ Se préparer, c’est anticiper, sécuriser, rassurer… et éviter les sanctions.
🎯 Vous êtes concerné par NIS 2 ou par des obligations sectorielles spécifiques ?
👉 Prenez un rendez-vous gratuit avec un de nos experts : cliquez ici.
Pour en savoir plus sur le sujet : cliquez ici.