{"id":189,"date":"2026-06-17T08:23:16","date_gmt":"2026-06-17T08:23:16","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/17\/faille-idor-services-publics-france-2026\/"},"modified":"2026-06-17T08:25:14","modified_gmt":"2026-06-17T08:25:14","slug":"faille-idor-services-publics-france-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/17\/faille-idor-services-publics-france-2026\/","title":{"rendered":"Faille IDOR : 31 millions de comptes publics expos\u00e9s [2026]"},"content":{"rendered":"\n

Quatre portails publics, une seule et m\u00eame erreur de code. En l’espace de quelques semaines au printemps 2026, l’\u00c9tat fran\u00e7ais a vu fuiter plus de 31 millions de comptes et dossiers citoyens \u00e0 travers une succession de violations qui partagent toutes le m\u00eame point faible technique : la faille IDOR<\/strong>. Derri\u00e8re l’acronyme barbare (Insecure Direct Object Reference, ou r\u00e9f\u00e9rence directe non s\u00e9curis\u00e9e \u00e0 un objet) se cache une vuln\u00e9rabilit\u00e9 de contr\u00f4le d’acc\u00e8s si banale qu’un adolescent de 15 ans a suffi \u00e0 la d\u00e9clencher sur l’un des plus gros fichiers de l’administration.<\/p>\n\n\n\n

Cette analyse retrace la m\u00e9canique de ces attaques, chiffre leur impact, et explique pourquoi cette vuln\u00e9rabilit\u00e9 est devenue la premi\u00e8re cause de fuite massive dans le secteur public en France. Nous donnons la parole \u00e0 quatre experts fran\u00e7ais, comparons la situation europ\u00e9enne, et livrons cinq pr\u00e9dictions pour la seconde moiti\u00e9 de 2026.<\/p>\n\n\n\n

Faille IDOR : la vuln\u00e9rabilit\u00e9 qui a fait plier l’administration fran\u00e7aise<\/h2>\n\n\n\n

Le constat est brutal. Selon une analyse publi\u00e9e en avril 2026 par le cabinet RM3A et reprise par plusieurs m\u00e9dias sp\u00e9cialis\u00e9s, la France a enregistr\u00e9 plus de 54 000 incidents de s\u00e9curit\u00e9 au seul premier trimestre 2026, soit une hausse d’environ 37 % par rapport \u00e0 la m\u00eame p\u00e9riode de 2025. Au c\u0153ur de ce pic, deux des plus grandes fuites administratives de l’ann\u00e9e reposent sur la m\u00eame classe de vuln\u00e9rabilit\u00e9 applicative.<\/p>\n\n\n\n

\u00c9duConnect, le portail d’identit\u00e9 unique des familles et \u00e9l\u00e8ves de l’\u00c9ducation nationale, a \u00e9t\u00e9 attaqu\u00e9 le 14 avril 2026. Bilan : 3,5 millions d’\u00e9l\u00e8ves concern\u00e9s, via une faille IDOR<\/strong> confirm\u00e9e. Le lendemain, le 15 avril 2026, c’est l’Agence nationale des titres s\u00e9curis\u00e9s (ANTS), g\u00e9r\u00e9e par France Titres, qui tombait \u00e0 son tour. 11,7 millions de comptes officiels expos\u00e9s, jusqu’\u00e0 19 millions revendiqu\u00e9s par l’attaquant, avec une faille IDOR l\u00e0 encore tr\u00e8s probable. Ces deux portails partagent un point commun lourd de sens : un tr\u00e8s fort volume d’usagers et un m\u00eame d\u00e9faut de contr\u00f4le d’acc\u00e8s c\u00f4t\u00e9 serveur.<\/p>\n\n\n\n

Ajoutez \u00e0 cela la fuite chez Cegedim Sant\u00e9 (15 millions de patients) et le piratage du fichier FICOBA de la DGFiP (1,2 million de comptes bancaires), et le total d\u00e9passe 31 millions de citoyens directement touch\u00e9s. La cyberattaque service public<\/strong> n’est plus un risque th\u00e9orique : elle est devenue le quotidien de l’administration num\u00e9rique fran\u00e7aise.<\/p>\n\n\n\n

Qu’est-ce qu’une faille IDOR, techniquement ?<\/h2>\n\n\n\n

Une faille IDOR<\/strong> est une vuln\u00e9rabilit\u00e9 d’autorisation, pas de chiffrement. Elle appara\u00eet quand une application web expose un identifiant direct d’objet (un num\u00e9ro de dossier, un identifiant de patient, un code de facture, un identifiant de ressource d’API) et v\u00e9rifie mal, ou pas du tout, si l’utilisateur connect\u00e9 a r\u00e9ellement le droit d’acc\u00e9der \u00e0 cet objet pr\u00e9cis.<\/p>\n\n\n\n

Le sc\u00e9nario type tient en une ligne. Un usager l\u00e9gitime consulte son dossier \u00e0 l’adresse \/api\/dossier?id=12345<\/code>. S’il remplace manuellement le param\u00e8tre par id=12346<\/code> et que le serveur lui renvoie le dossier du voisin, l’application souffre d’une IDOR. Le probl\u00e8me n’est pas que la donn\u00e9e soit mal chiffr\u00e9e : c’est que le serveur ne contr\u00f4le pas, \u00e0 chaque requ\u00eate, l’appartenance de l’objet demand\u00e9 \u00e0 l’utilisateur authentifi\u00e9.<\/p>\n\n\n\n

# Requ\u00eate vuln\u00e9rable : le serveur ne v\u00e9rifie pas le propri\u00e9taire du dossier\nGET \/api\/v1\/usagers\/482913\/documents HTTP\/1.1\nHost: portail.exemple.gouv.fr\nAuthorization: Bearer <jeton_utilisateur_A>\n\n# L'attaquant incr\u00e9mente l'identifiant et obtient le dossier d'autrui\nGET \/api\/v1\/usagers\/482914\/documents HTTP\/1.1   # -> 200 OK (fuite)\nGET \/api\/v1\/usagers\/482915\/documents HTTP\/1.1   # -> 200 OK (fuite)<\/code><\/pre>\n\n\n\n
R\u00e9f\u00e9renc\u00e9e sous le code CWE-639 par le MITRE, l’IDOR appartient \u00e0 la cat\u00e9gorie A01 \u00ab Broken Access Control \u00bb (contr\u00f4le d’acc\u00e8s d\u00e9faillant), class\u00e9e num\u00e9ro un du Top 10 de l’OWASP depuis 2021. Sa dangerosit\u00e9 tient \u00e0 trois facteurs : elle est simple \u00e0 exploiter (un script qui incr\u00e9mente un compteur suffit), elle passe souvent sous les radars des scanners automatiques, et elle permet l’exfiltration en masse, dossier par dossier, sans d\u00e9clencher d’alerte de force brute.<\/p>\n\n\n\n
Pourquoi les portails publics sont des cibles id\u00e9ales<\/h3>\n\n\n\n
Les services publics num\u00e9riques cumulent les facteurs aggravants. Ils manipulent des identifiants s\u00e9quentiels h\u00e9rit\u00e9s de bases historiques, agr\u00e8gent des donn\u00e9es ultra-sensibles (\u00e9tat civil, sant\u00e9, fiscalit\u00e9), et exposent des API construites par couches successives sur plusieurs d\u00e9cennies. Surtout, leur volume garantit qu’une IDOR exploit\u00e9e \u00e0 grande \u00e9chelle rapporte des dizaines de millions d’enregistrements en quelques heures, ce qui en fait des cibles particuli\u00e8rement rentables pour la revente sur les forums clandestins.<\/p>\n\n\n\n
Chronologie de la vague de cyberattaques 2026<\/h2>\n\n\n\n
Pour mesurer l’ampleur du ph\u00e9nom\u00e8ne, il faut le replacer dans la s\u00e9quence des incidents qui ont frapp\u00e9 les services publics et parapublics fran\u00e7ais au premier semestre 2026. Le tableau ci-dessous recense les principales violations li\u00e9es \u00e0 un d\u00e9faut de contr\u00f4le d’acc\u00e8s ou \u00e0 un fort volume de donn\u00e9es citoyennes.<\/p>\n\n\n\n
Service touch\u00e9<\/th>Date<\/th>Volume expos\u00e9<\/th>Secteur<\/th>Cause technique<\/th><\/tr><\/thead>
\u00c9duConnect<\/td>14 avril 2026<\/td>3,5 millions d’\u00e9l\u00e8ves<\/td>\u00c9ducation<\/td>Faille IDOR confirm\u00e9e<\/td><\/tr>
ANTS \/ France Titres<\/td>15 avril 2026<\/td>11,7 M comptes (jusqu’\u00e0 19 M revendiqu\u00e9s)<\/td>Identit\u00e9 \/ titres<\/td>Faille IDOR probable<\/td><\/tr>
Cegedim Sant\u00e9<\/td>D\u00e9but 2026<\/td>15 millions de patients<\/td>Sant\u00e9<\/td>Acc\u00e8s non autoris\u00e9<\/td><\/tr>
FICOBA \/ DGFiP<\/td>D\u00e9but 2026<\/td>1,2 million de comptes bancaires<\/td>Finances publiques<\/td>Exposition de donn\u00e9es<\/td><\/tr>
Free Mobile (sanction CNIL)<\/td>14 janvier 2026<\/td>24 millions de comptes<\/td>T\u00e9l\u00e9coms<\/td>S\u00e9curit\u00e9 insuffisante (42 M\u20ac d’amende)<\/td><\/tr><\/tbody><\/table>
Source : analyse RM3A (avril 2026), CNIL, m\u00e9dias sp\u00e9cialis\u00e9s. Chiffres confirm\u00e9s ou revendiqu\u00e9s selon les cas.<\/figcaption><\/figure>\n\n\n\n
Au total, depuis janvier 2026, la France cumulerait plus de 300 services pirat\u00e9s et pr\u00e8s de 250 millions de donn\u00e9es expos\u00e9es, selon le d\u00e9compte tenu par la plateforme FrenchBreaches. Un volume qui place le pays parmi les plus expos\u00e9s d’Europe sur la p\u00e9riode.<\/p>\n\n\n\n
Le hacker de 15 ans qui a fait tomber l’ANTS<\/h2>\n\n\n\n
Le d\u00e9tail qui a marqu\u00e9 l’opinion tient \u00e0 l’\u00e2ge de l’auteur pr\u00e9sum\u00e9 du piratage de l’ANTS : un adolescent de 15 ans, connu sous le pseudonyme \u00ab breach3d \u00bb. L’information, relay\u00e9e dans l’\u00e9mission Tech&Co Business sur BFM, illustre cr\u00fbment le d\u00e9s\u00e9quilibre entre l’effort offensif et l’effort d\u00e9fensif. Exploiter une telle faille ne demande ni infrastructure, ni budget, ni expertise rare : un navigateur, un script d’incr\u00e9mentation et de la patience suffisent.<\/p>\n\n\n\n
Cette asym\u00e9trie est le vrai message de la vague 2026. Quand une vuln\u00e9rabilit\u00e9 de contr\u00f4le d’acc\u00e8s est pr\u00e9sente, la barri\u00e8re d’entr\u00e9e pour l’attaquant s’effondre. La sophistication des assaillants n’est plus la variable critique : c’est la qualit\u00e9 du code c\u00f4t\u00e9 serveur. Et sur ce terrain, des portails publics con\u00e7us pour la disponibilit\u00e9 avant la s\u00e9curit\u00e9 paient aujourd’hui leur dette technique.<\/p>\n\n\n\n
Ce que disent les experts fran\u00e7ais<\/h2>\n\n\n\n
G\u00e9r\u00f4me Billois, associ\u00e9 Cybers\u00e9curit\u00e9 et Confiance num\u00e9rique chez Wavestone, rappelle que la menace financi\u00e8re domine toujours le paysage : \u00ab Le ran\u00e7ongiciel reste la menace num\u00e9ro un, c’est 42 % des attaques que nous avons trait\u00e9es l’an dernier \u00bb, r\u00e9sume-t-il. Il pointe surtout un angle mort dans la d\u00e9tection : \u00ab Une grande entreprise d\u00e9tecte en moyenne une attaque au bout de 18 jours. Pour les petites structures, c’est 71 jours. \u00bb Transpos\u00e9 aux portails publics, ce d\u00e9lai laisse \u00e0 un attaquant tout le temps d’aspirer des millions de dossiers avant la moindre alerte.<\/p>\n\n\n\n
Pascal Le Digol, directeur France de WatchGuard Technologies, insiste sur la bascule observ\u00e9e dans le panorama de l’ANSSI : la pression se d\u00e9place vers les structures les moins pr\u00e9par\u00e9es et les attaques par rebond via des tiers se multiplient, une \u00ab vraie faiblesse de la cyber-r\u00e9silience \u00bb fran\u00e7aise. Pour Benoit Grunemwald, expert en cybers\u00e9curit\u00e9 chez ESET France, l’enjeu est moins technologique qu’organisationnel : la s\u00e9curit\u00e9 des API et le contr\u00f4le d’acc\u00e8s doivent \u00eatre trait\u00e9s comme des exigences de conception, pas comme un correctif de fin de projet.<\/p>\n\n\n\n
Michel Juvin, ecosystem advisor chez Alliancy, souligne enfin la dimension g\u00e9opolitique : selon le panorama de l’ANSSI, la part des attaques visant des entreprises et services strat\u00e9giques est pass\u00e9e de 4 % \u00e0 12 % en un an, port\u00e9e par les tensions internationales et la mont\u00e9e des acteurs \u00e9tatiques. Les services publics, par nature, figurent en t\u00eate des cibles d’espionnage et de d\u00e9stabilisation.<\/p>\n\n\n\n
Le r\u00f4le de l’ANSSI et de la CNIL face \u00e0 la crise<\/h2>\n\n\n\n
Deux autorit\u00e9s encadrent la r\u00e9ponse fran\u00e7aise. L’ANSSI (Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information) pilote la pr\u00e9vention, l’assistance et la r\u00e9ponse aux incidents majeurs, notamment pour l’\u00c9tat et les op\u00e9rateurs essentiels. Ses CERT (Computer Emergency Response Team) constituent le bras op\u00e9rationnel d’analyse et de rem\u00e9diation. La CNIL, de son c\u00f4t\u00e9, contr\u00f4le la conformit\u00e9 des traitements de donn\u00e9es personnelles et sanctionne les manquements \u00e0 la s\u00e9curit\u00e9.<\/p>\n\n\n\n
Le cadre du RGPD impose une notification de toute violation de donn\u00e9es dans un d\u00e9lai de 72 heures apr\u00e8s d\u00e9tection. Le probl\u00e8me : ce compteur ne d\u00e9marre qu’\u00e0 la d\u00e9tection, or les d\u00e9lais \u00e9voqu\u00e9s par G\u00e9r\u00f4me Billois (jusqu’\u00e0 71 jours pour les petites structures) montrent qu’une IDOR peut rester invisible des semaines. La CNIL a d\u00e9j\u00e0 montr\u00e9 sa fermet\u00e9 en sanctionnant Free Mobile et Free \u00e0 hauteur de 42 millions d’euros le 14 janvier 2026 pour des mesures de s\u00e9curit\u00e9 jug\u00e9es insuffisantes, un signal envoy\u00e9 \u00e0 toutes les organisations g\u00e9rant des volumes massifs de donn\u00e9es.<\/p>\n\n\n\n
NIS2 et l’arsenal r\u00e9glementaire europ\u00e9en<\/h2>\n\n\n\n
La directive NIS2 change la donne pour le secteur public. Elle impose aux entit\u00e9s essentielles et importantes des exigences renforc\u00e9es : gouvernance des risques cyber au niveau de la direction, gestion structur\u00e9e des incidents, s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement et obligations de notification \u00e9largies. En France, sa transposition \u00e9tend le p\u00e9rim\u00e8tre des organisations soumises \u00e0 des obligations de cybers\u00e9curit\u00e9, bien au-del\u00e0 du champ de l’ancienne directive NIS1.<\/p>\n\n\n\n
Pour les administrations, l’enjeu est concret : la responsabilit\u00e9 de la s\u00e9curit\u00e9 remonte au niveau des dirigeants, qui peuvent d\u00e9sormais \u00eatre tenus comptables des d\u00e9faillances. Une faille IDOR<\/strong> non corrig\u00e9e sur un portail \u00e0 fort volume ne rel\u00e8ve plus seulement de la dette technique : elle devient un risque juridique et financier direct pour l’entit\u00e9 et sa gouvernance. NIS2 vient compl\u00e9ter un arsenal qui inclut d\u00e9j\u00e0 le RGPD pour les donn\u00e9es personnelles, DORA pour le secteur financier et le Cyber Resilience Act pour les produits num\u00e9riques.<\/p>\n\n\n\n
Comparaison europ\u00e9enne : la France championne malgr\u00e9 elle<\/h2>\n\n\n\n
Avec plus de 250 millions de donn\u00e9es expos\u00e9es depuis janvier 2026, la France figure parmi les pays europ\u00e9ens les plus touch\u00e9s sur la p\u00e9riode. Le ph\u00e9nom\u00e8ne n’est pas isol\u00e9 : le ran\u00e7ongiciel a progress\u00e9 de plus de 44 % en nombre de victimes en Europe, et plusieurs \u00c9tats membres affrontent la m\u00eame mont\u00e9e des attaques par rebond et des compromissions d’API publiques. Le tableau ci-dessous met en regard les facteurs de risque dans les principaux pays.<\/p>\n\n\n\n
Pays<\/th>Tendance 2025-2026<\/th>Vecteur dominant<\/th>Cadre de r\u00e9ponse<\/th><\/tr><\/thead>
France<\/td>+37 % d’incidents au T1 2026<\/td>IDOR \/ contr\u00f4le d’acc\u00e8s, ran\u00e7ongiciel<\/td>ANSSI, CNIL, transposition NIS2<\/td><\/tr>
Allemagne<\/td>Forte pression sur les collectivit\u00e9s<\/td>Ran\u00e7ongiciel, hame\u00e7onnage cibl\u00e9<\/td>BSI, transposition NIS2<\/td><\/tr>
Espagne<\/td>Hausse des attaques sur le secteur public<\/td>Ran\u00e7ongiciel, vol d’identifiants<\/td>INCIBE, CCN-CERT<\/td><\/tr>
Italie<\/td>Multiplication des fuites administratives<\/td>Mauvaises configurations, API expos\u00e9es<\/td>ACN<\/td><\/tr>
Union europ\u00e9enne<\/td>+44 % de victimes de ran\u00e7ongiciel<\/td>Cha\u00eene d’approvisionnement, tiers<\/td>ENISA, NIS2, DORA<\/td><\/tr><\/tbody><\/table>
Synth\u00e8se \u00e0 partir des donn\u00e9es ENISA, ANSSI et analyses sectorielles 2025-2026.<\/figcaption><\/figure>\n\n\n\n
La sp\u00e9cificit\u00e9 fran\u00e7aise tient moins \u00e0 la nature des attaques qu’\u00e0 la concentration de portails publics monolithiques, \u00e0 tr\u00e8s fort volume, d\u00e9ploy\u00e9s t\u00f4t et maintenus longtemps. Cette avance dans la d\u00e9mat\u00e9rialisation, longtemps pr\u00e9sent\u00e9e comme un atout, se retourne en surface d’attaque quand le contr\u00f4le d’acc\u00e8s n’a pas suivi.<\/p>\n\n\n\n
Le co\u00fbt \u00e9conomique r\u00e9el d’une violation IDOR<\/h2>\n\n\n\n
Chiffrer une violation publique d\u00e9passe le seul montant d’une \u00e9ventuelle amende. Le co\u00fbt total agr\u00e8ge la r\u00e9ponse \u00e0 incident, l’interruption de service, la remise en \u00e9tat du code et des bases, les frais juridiques, la notification aux millions d’usagers, la surveillance renforc\u00e9e des comptes compromis et la perte de confiance dans le service num\u00e9rique. Pour une faille de ce type ayant expos\u00e9 plusieurs millions de dossiers, ces postes se chiffrent rapidement en dizaines de millions d’euros.<\/p>\n\n\n\n
S’ajoute le co\u00fbt pour les citoyens eux-m\u00eames. Les donn\u00e9es fuit\u00e9es (\u00e9tat civil, coordonn\u00e9es, parfois donn\u00e9es de sant\u00e9 ou bancaires) alimentent des campagnes d’hame\u00e7onnage ultra-cibl\u00e9es, d’usurpation d’identit\u00e9 et de fraude administrative. La sanction de 42 millions d’euros inflig\u00e9e \u00e0 Free Mobile donne un ordre de grandeur du risque r\u00e9glementaire que court d\u00e9sormais toute organisation n\u00e9gligeant la s\u00e9curit\u00e9 de ses traitements \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n
Comment corriger et pr\u00e9venir une faille IDOR<\/h2>\n\n\n\n
La bonne nouvelle : l’IDOR se corrige avec des principes bien \u00e9tablis. La r\u00e8gle d’or consiste \u00e0 contr\u00f4ler l’autorisation c\u00f4t\u00e9 serveur \u00e0 chaque requ\u00eate, pour chaque objet, en v\u00e9rifiant que l’utilisateur authentifi\u00e9 est bien propri\u00e9taire de la ressource demand\u00e9e. Remplacer les identifiants s\u00e9quentiels par des identifiants non devinables (UUID) ralentit l’\u00e9num\u00e9ration, mais ne remplace jamais le contr\u00f4le d’acc\u00e8s lui-m\u00eame.<\/p>\n\n\n\n
Mesure<\/th>Effet<\/th>Priorit\u00e9<\/th><\/tr><\/thead>
Contr\u00f4le d’autorisation par objet, c\u00f4t\u00e9 serveur<\/td>Bloque l’acc\u00e8s aux ressources d’autrui<\/td>Critique<\/td><\/tr>
Identifiants opaques (UUID v4) au lieu de compteurs<\/td>Emp\u00eache l’\u00e9num\u00e9ration facile<\/td>\u00c9lev\u00e9e<\/td><\/tr>
Limitation de d\u00e9bit et d\u00e9tection d’\u00e9num\u00e9ration<\/td>Rep\u00e8re l’exfiltration en masse<\/td>\u00c9lev\u00e9e<\/td><\/tr>
Tests de s\u00e9curit\u00e9 d’API automatis\u00e9s (DAST, fuzzing d’autorisation)<\/td>D\u00e9tecte les IDOR avant production<\/td>\u00c9lev\u00e9e<\/td><\/tr>
Journalisation et alertes sur acc\u00e8s anormaux<\/td>R\u00e9duit le d\u00e9lai de d\u00e9tection (72 h RGPD)<\/td>Moyenne<\/td><\/tr>
Revue de code centr\u00e9e sur le contr\u00f4le d’acc\u00e8s<\/td>Corrige la cause racine<\/td>Critique<\/td><\/tr><\/tbody><\/table>
Mesures de rem\u00e9diation des failles IDOR, inspir\u00e9es des recommandations OWASP.<\/figcaption><\/figure>\n\n\n\n
L’OWASP recommande de combiner ces mesures plut\u00f4t que de miser sur une seule. Aucun identifiant opaque ne prot\u00e8ge un endpoint qui ne v\u00e9rifie pas les droits ; aucun contr\u00f4le d’acc\u00e8s ne compense l’absence de d\u00e9tection d’\u00e9num\u00e9ration. C’est la superposition des d\u00e9fenses, valid\u00e9e par des tests d’autorisation automatis\u00e9s, qui ferme durablement la porte aux abus.<\/p>\n\n\n\n
Impact sur le march\u00e9 de la cybers\u00e9curit\u00e9 fran\u00e7aise<\/h2>\n\n\n\n
La vague 2026 dope un march\u00e9 d\u00e9j\u00e0 en tension. Les cabinets de conseil comme Wavestone, qui pilote des \u00e9quipes de plus de 1 000 consultants \u00e0 l’international, voient la demande exploser sur l’audit d’API et le test d’intrusion d’autorisation. Les \u00e9diteurs de s\u00e9curit\u00e9, \u00e0 l’image de WatchGuard ou ESET, repositionnent leur offre autour de la protection des portails \u00e0 fort volume et de la d\u00e9tection comportementale.<\/p>\n\n\n\n
C\u00f4t\u00e9 secteur public, la transposition de NIS2 et la pression de la CNIL transforment le budget cybers\u00e9curit\u00e9 en d\u00e9pense non n\u00e9gociable. Les administrations qui pr\u00e9sentaient la d\u00e9mat\u00e9rialisation comme une fin en soi doivent d\u00e9sormais financer la dette de s\u00e9curit\u00e9 accumul\u00e9e. Cette r\u00e9orientation profite \u00e0 l’\u00e9cosyst\u00e8me fran\u00e7ais de la cybers\u00e9curit\u00e9, mais creuse l’\u00e9cart avec les petites collectivit\u00e9s, sous-dot\u00e9es, que G\u00e9r\u00f4me Billois et Pascal Le Digol d\u00e9crivent comme le maillon faible de la cyber-r\u00e9silience nationale.<\/p>\n\n\n\n
Cinq pr\u00e9dictions pour la fin 2026<\/h2>\n\n\n\n
\u00c0 partir des tendances observ\u00e9es et des positions des experts, voici cinq \u00e9volutions probables d’ici fin 2026.<\/p>\n\n\n\n