Non Christine, le pare-feu d’Open Office ne peut pas sauver la France !

Fuites de données, cyberattaques, failles de sécurité : pas un jour ne se passe sans que l’actualité rappelle la vulnérabilité des infrastructures numériques. C’est le cas dans les entreprises privées, mais aussi dans l’administration publique et notoirement en France. Sébastien Lecornu a annoncé plusieurs mesures pour essayer de remettre d’aplomb les capacités de cyberdéfense de l’Hexagone.

La fuite de données chez France Titres avec ses 11,7 millions de comptes touchés a rappelé la fragilité des systèmes informatiques de l’État. La garde à vue d’un ado de 15 ans soupçonné de l’effraction ne fait que souligner l’urgence de renforcer la défense des infrastructures publiques. Sébastien Lecornu, en visite dans les locaux de l’ANTS et surfant sur cette arrestation, a fait plusieurs annonces dans ce sens.

Le Premier ministre va débloquer la semaine prochaine 200 millions d’euros (prélevés sur les crédits de France 2030) pour investir dans des outils de cybersécurité, d’IA et sur la crypto post-quantique… un bel enchainement de buzzwords, mais on attend plus.

Il ajoute : « La plupart des entreprises françaises consacrent quelque chose comme 10 % de leur budget global aux infrastructures numériques. L’État en est davantage proche de 1 % que de 10 % ». La question est maintenant de savoir où trouver cet argent, dans un contexte économique déjà très difficile.

Le gouvernement veut réallouer les amendes infligées par la CNIL

Un fonds dédié à la modernisation des infrastructures numériques va être créé. Il sera abondé par les amendes infligées par la CNIL, dans une logique assumée de « pollueur-payeur ». Une drôle de comparaison, à l’opposé de celle de Vincent Strubel, le patron de l’ANSSI, qui refuse de stigmatiser les entités victimes de fuites affirmant qu’il y a une différence fondamentale « entre alerter sur la menace et donner des leçons, voire taper sur les victimes, ce que l’ANSSI ne fera jamais ».

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

Quoi qu’il en soit, cet argent représentait l’année dernière « quelque chose comme 500 millions d’euros, un demi-milliard d’euros, on est sur des sommes qui sont tout à fait considérables ». C’est vrai pour 2025, mais en 2024 c’était 10x moins avec 55 millions d‘euros et 89 millions en 2023. Ces sommes pourraient donc ne plus repartir dans le budget général de l’État. « On va faire un effet de levier pour obliger les différents ministères à remettre un peu d’argent sur la table », ajoute le Premier ministre.

Que dire des 5 millions d’euros d’amende de France Travail de début 2026… Une nouvelle manière de définir l’argent circulaire ? France Travail proposait alors que, « plutôt que de prononcer une amende administrative, lui enjoindre d’allouer une certaine somme à la sécurisation de son système d’information ». L’annonce de Sébastien Lecornu va dans ce sens.

• France Travail écope de 5 millions d’euros d’amende pour sa gigantesque fuite de données

DINUM + DITP = DIDFD (Direction interministérielle des fuites de données) ?

Sur un plan plus structurel, Sébastien Lecornu veut accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), tous deux placés sous l’autorité du ministre de la Fonction publique.

L’objectif de cette autorité sera de standardiser et mieux organiser les infras numériques : « [Actuellement], c’est un jardin à l’anglaise […], dans une forme de désorganisation désormais dangereuse ». Il y a trois semaines seulement, l’État dévoilait pour rappel un plan pour renforcer la cybersécurité des ministères.

Le gouvernement va également travailler sur une clarification des responsabilités :

« Quand vous êtes cambriolé chez vous, il est clair pour tout le monde que vos portes, vos fenêtres, votre système d’alarme, il est pour vous. Il ne viendrait à l’esprit de personne de se dire que c’est à l’État de payer mes serrures et mes portes. Et en même temps, vous êtes cambriolé, vous faites le 17, et l’État apporte une solution régalienne. C’est exactement pareil pour la gestion des données ».

Les acteurs, qu’il s’agisse des collectivités, des établissements, des entreprises, doivent sécuriser leurs systèmes, avec l’État qui vient en appui pour la détection, la réponse et l’enquête. L’ANSSI est déjà sur ses sujets et verra son rôle renforcé avec NIS2… dont le projet de loi est en attente de validation à l’Assemblée nationale et déjà largement en retard sur le calendrier.

• NIS 2 : l’ANSSI publie son ReCyf, la CSNP s’impatiente et le fait savoir

« Il y a des fuites qui sont graves et des fuites qui ne sont pas graves »

Autre volet des annonces : une clarification de la « doctrine de protection » inscrite dans la stratégie 2026 - 2030. « Il y a des fuites qui sont graves et des fuites qui ne sont pas graves », assume le Premier ministre. Des données qu’on pouvait trouver jadis dans le bottin ne sont pas la même chose que les données de Parcoursup, « ce sont des données qui peuvent intéresser un service étranger ». « L’enjeu important [est] de bien clarifier le rôle de chacun, ce qui dépend d’un investissement propre et ce que l’État doit prendre en charge », indique-t-il. 

Dans le même temps, le Premier ministre rappelle qu’« on a une dette numérique assez importante […] Depuis le début de l’année, on est sur quelque chose comme trois vols de données par jour […] On est donc au fond sur un casse du siècle, mais qui a pratiquement lieu tous les mois. Et donc, ça dit quelque chose de nos vulnérabilités, ça dit quelque chose de nos fragilités sur lesquelles, effectivement, il nous faut réagir ». Une déclaration forte… mais on se demande du coup pourquoi l’attente a été aussi longue.

Les infras publiques vont subir des « stress tests » pour éprouver leur résistance face aux cyberattaques. Il y a aussi le côté humain et le « mode legacy », comme le rappelait Vincent Strubel. Parfois, d’anciens systèmes sont laissés en place pour calmer la grogne de certains (anciens) utilisateurs : nous avons « probablement devant nous un phénomène de coupure un peu brutale des systèmes un peu obsolescents ».

Souveraineté mon amour

« Qu’est-ce qui se passe si nous avions, par exemple, une administration américaine qui décidait de nous priver d’un certain nombre d’outils, parce que beaucoup de choses sont quand même sous licence américaine », ajoute-t-il. Quelles seraient les conséquences d’un « black-out numérique » ? Il s’agit d’assurer la continuité des services de l’État en cas de crise.

La réponse, pourtant, on la connait déjà avec le juge français de la Cour pénale internationale, Nicolas Guillou, qui n’a plus la possibilité d’accéder aux services numériques états-uniens ou bancaires tels que Visa et Mastercard.

• Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains

Par conséquent, « j’ai donné des instructions aux différents services de sécurité de l’État pour nous attaquer nous-mêmes »… sans faire « n’importe quoi », rassure-t-il. Il faut « stresser les vulnérabilités, et plutôt que d’attendre de voir comment un adversaire peut le faire, autant le faire nous-mêmes avec nos propres capacités ». Ces opérations permettront d’identifier les « axes importants ». Il s’agit là encore de mettre en œuvre ce que la communauté de la cybersécurité fait depuis des années, mais à l’échelle de tout un pays. Il n’apporte pas de précision sur les moyens d’y arriver.

Telegram n’est pas suffisamment réactif pour retirer les contenus illicites, a jugé l’Arcom. Une décision qui pourrait peser lourd pour la messagerie, dans le viseur des ayants droit et des régulateurs européens.

L’application Telegram est dans la ligne de mire des diffuseurs officiels de compétitions sportives. La messagerie permet en effet d’échanger des liens de streaming illicite et de regarder illégalement des matchs, mais ce qui pose problème c’est surtout qu’elle ne répond pas assez rapidement aux demandes de retrait des ayants droit. C’est du moins l’avis de l’Arcom repris par Les Échos.

Le régulateur de l’audiovisuel avait été saisi en fin d’année dernière par l’Association pour la protection des programmes sportifs (APPS). L’organisation de diffuseurs reproche à Telegram de ne pas réagir avec suffisamment de diligence à ses demandes d’intervention. Le problème n’est effectivement pas nouveau : en 2024, la Ligue de football professionnel (LFP) déplorait des délais de réponse fluctuants, jusqu’à 24 heures. Ce qui est évidemment totalement incompatible avec des retransmissions illégales de matchs qu’il faut pouvoir couper tout de suite.

Telegram assure de son côté que ses délais de réponse sont « supérieurs aux standards du secteur » et que les signalements sont traités « avec réactivité ». L’APPS reconnait d’ailleurs une amélioration dans le traitement des signalements par rapport à la période examinée. Néanmoins, l’Arcom a jugé que la messagerie n’avait pas été suffisamment prompte à répondre aux infractions des droits d’auteur.

L’avis s’appuie sur le règlement européen sur les services numériques (DSA), bien que Telegram n’ait pas été désigné « très grande plateforme en ligne » (VLOP). La messagerie réfute compter plus de 45 millions d’utilisateurs actifs mensuels, le seuil au-delà duquel une plateforme reçoit son rond de serviette au club européen. En revanche, plusieurs de ses fonctions peuvent être classifiées de la sorte et doivent respecter les règles de modération et de transparence de l’UE. Ce qui a forcé l’entreprise à désigner un représentant en Europe, en l’occurrence en Belgique. 

C’est la raison pour laquelle l’Arcom a transmis son avis à l’Institut belge des services postaux et des télécommunications (IBPT), une première en la matière. Le régulateur instruit le dossier, qui sera enrichi des enquêtes de ses homologues européens. La sanction pourrait être lourde : jusqu’à 6 % du chiffre d’affaires mondial, voire une suspension temporaire au sein de l’Union européenne.

Les ayants droit sont en attente du vote de la proposition de loi relative à l’organisation, à la gestion et au financement du sport professionnel. Le texte contient des mesures renforçant la lutte contre le piratage des contenus sportifs, qui permettra aux diffuseurs d’obtenir immédiatement le blocage des flux illégaux. Après son adoption par le Sénat en juin dernier, il sera de retour à l’Assemblée nationale le 18 mai.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Tout est bon dans le macaron

Pas convaincues par la grille de notation dévoilée par Bruxelles en fin d’année dernière, des entreprises européennes du cloud ont lancé leur propre référentiel pour des services infonuagiques « souverains et résilients ». Les fournisseurs ayant décroché leur badge ont fait l’objet d’audits approfondis.

Un badge rouge pour les fournisseurs de cloud « souverains », un bleu pour les entreprises « résilientes », et des chevrons vert et gris pour préciser respectivement l’impact environnemental de l’entreprise et son recours à du code open-source.

Ces logos vont fleurir chez 40 services (cloud public, stockage, Kubernetes) ayant franchi la course d’obstacles du cadre mis en place par le CISPE (Cloud Infrastructure Service Providers in Europe), le lobby des entreprises européennes du cloud.

Ce framework a été « développé, défini et testé exclusivement par des fournisseurs européens d’infrastructures cloud » pour certifier les garanties des entreprises en matière de souveraineté et de résilience. Le CISPE explique que le marché aujourd’hui est inondé d’offres « souveraines » non vérifiées : difficile dans ces conditions pour les clients de « comprendre ce qu’ils achètent réellement ».

Il n’en reste pas moins un problème de taille : que veut dire exactement souveraineté. Si tout le monde s’accorde plus ou moins sur les grandes lignes, les visions peuvent diverger dans les détails. Pour le Conseil d’État par exemple, la souveraineté « est historiquement et juridiquement la capacité d’exercer le « dernier mot », la liberté de choisir […] sans dépendre d’aucune autorité supérieure ».

• La souveraineté en 10 questions (version courte, version longue)

Question de badges

Pour l’organisation, les définitions officielles de la souveraineté restent floues, et les méthodes d’évaluation manquent de transparence. Elle affirme que « les clients doivent pouvoir savoir si les services cloud sont protégés contre des ingérences juridiques étrangères (« Trump proof »), ou s’ils présentent des risques en matière d’interruption de service et d’accès aux données ».

Le cadre du CISPE est une réponse directe à la grille de souveraineté du cloud mise en place en octobre 2025 par la Commission européenne. Destinée aux pouvoirs publics des États membres de l’UE pour évaluer le niveau de souveraineté d’un fournisseur de services infonuagiques, cette grille repose sur un système assez simple : huit critères (souveraineté stratégique, juridique et juridictionnelle, données et IA…) dont les poids sont modulés par un système de pondération.

Ces critères permettent d’établir une classification des fournisseurs (SEAL, pour « Sovereignty Effectiveness Assurance Levels ») : SEAL 4 représente le maximum possible pour une offre vertueuse, SEAL 0 correspond à une offre sans souveraineté.

Le problème de cette grille, soulevé à l’époque par le CISPE, est qu’une entreprise dépendant d’une juridiction étrangère (au hasard, les États-Unis) peut tout de même marquer des points ailleurs et finir avec une « bonne » note. Comme le faisait remarquer à Next Audrey Louail, co-présidente d’Ecritel, « le critère d’extraterritorialité devrait être une condition sine qua non. »

• Le score souverain européen ne convainc pas les opérateurs de cloud français

« Il existe un besoin urgent de transparence et d’un cadre auditable pour éviter toute forme de « souveraineté washing » », affirme le CISPE. D’où le lancement de ce cadre, qui introduit deux approches à la fois distinctes et complémentaires pour assurer les clients et les autorités publiques qu’une offre « garantisse un contrôle effectif des données, des infrastructures, des charges de travail et des opérations », au-delà d’un macaron en cybersécurité qui ne suffit pas.

Souverain, résilient, ou les deux ?

Le référentiel du CISPE contient donc deux approches « distinctes mais complémentaires » : souveraine et résiliente. La première concerne les services détenus, gouvernés et exploités au sein de la juridiction concernée. « Les puissances étrangères ne disposent d’aucun moyen, ni juridique ni technique, d’y accéder, d’interférer ou de les interrompre ». C’est ce que l’organisation appelle un contrôle « par conception ».

La seconde concerne les services sur lesquels le client conserve un contrôle effectif grâce à des garanties techniques et opérationnelles solides, même en présence d’éléments non souverains (une approche dite « par les capacités »). Parmi les garanties : le chiffrement géré par le client, la portabilité, les sauvegardes indépendantes, la possibilité de changer de fournisseur ou de redéployer les charges de travail.

« La souveraineté vise à prévenir le risque, la résilience permet au client d’y faire face », résume le CISPE qui assure que le référentiel résilient impose des contraintes telles qu’il n’autorise pas l’installation d’une porte dérobée. Lorsque des services pleinement souverains ne sont pas encore disponibles, « des alternatives résilientes peuvent constituer des solutions légitimes et efficaces pour les clients », indique encore le groupe.

Ce référentiel s’aligne avec le niveau 3 de Gaia-X, le plus haut palier de cette infrastructure européenne de données lancée en 2020 et qui a depuis connu quelques départs tonitruants. Le framework des fournisseurs étend cependant la notion de souveraineté au-delà de l’UE. 

Un service cloud hébergé au Japon par un fournisseur japonais pourrait obtenir un label « souverain au Japon », par exemple. Et s’il n’est pas souverain sur le Vieux Continent, il pourrait tout de même décrocher un label « résilient en Europe » en démontrant son interopérabilité et la présence de ressources locales pour réduire les sollicitations d’accès aux données depuis l’étranger. Pas question donc d’exclure certains services du marché : il s’agit de « renforcer la confiance dans le contrôle des données et des charges de travail dans le cloud ».

Les fournisseurs intéressés devront faire réaliser un audit auprès d’un tiers accrédité pour obtenir la certification et le droit de déclarer un service comme souverain ou résilient.

SecNumCloud 3.2 en France, tentative ratée avec EUCS High+ en Europe

Cette annonce arrive quelques jours après que Bruxelles attribue 180 millions d’euros de contrats à des acteurs du cloud, notamment des Français. Dans le lot, l’opérateur belge Proximus avec S3NS, la co-entreprise Thales et Google, ce qui avait fait bondir Francisco Mingorance, la secrétaire générale du CISPE : « Reconnaître S3NS, qui exploite la technologie cloud de Google, comme « souveraine » est clairement une erreur stratégique et menace d’institutionnaliser le blanchiment de souveraineté au plus haut niveau ».

• Bruxelles flèche 180M€ de contrats vers les acteurs du cloud, les Français en bonne place

En France, il existe déjà une qualification permettant de s’assurer d’une étanchéité aux lois extraterritoriales (américaines et chinoises pour ne citer qu’elles) : le référentiel SecNumCloud de l‘ANSSI, dont la version 3.2 de 2022 intégre « principalement des critères de protection vis-à-vis du droit extra-européen ». Pour rappel, S3NS a obtenu sa qualification fin 2025 par l’ANSSI.

Au niveau européen, EUCS (European Union Cybersecurity Certification Scheme for Cloud Services dans sa version longue) est un projet porté par l’agence européenne pour la cybersécurité. Il prévoyait quatre niveaux, dont High+ qui devait être calqué sur SecNumCloud, mais il n’en reste désormais que trois.

Alain Garnier, patron de Jamespot, ne cachait pas son agacement : « Le Cybersecurity Act 2 acte une chose très claire : EUCS parlera sécurité. Pas souveraineté […] La Commission européenne ferme la porte aux critères juridiques type Cloud Act. La tech américaine respire. La France grimace ». L’Allemagne et les Pays-Bas jugeaient ce seuil High+ trop exclusif et susceptible de freiner l’innovation.

• Cybersecurity Act 2 en Europe : « EUCS parlera sécurité. Pas souveraineté. »
• La souveraineté numérique face à la réalité du terrain

Nouveau coup dur pour l’industrie française du jeu vidéo. Les difficultés d’Ubisoft font régulièrement la une de l’actualité, mais un autre acteur est en grand danger : le groupe Nacon, planté par sa maison mère BigBen Interactive. Un de ses studios, Spiders, vient de mettre la clé sous la porte.

Nacon est un nom qui compte dans le secteur du jeu vidéo en France. Distributeur de périphériques gaming, l’entreprise exerce également une importante activité d’édition : on lui doit plusieurs succès récents, comme RoboCop: Rogue City, Hell is Us, les simulations de rallye WRC, ou encore l’adaptation officielle du Tour de France. Autrement dit, du AA au sens large : des jeux aux budgets intermédiaires visant à la fois le grand public et une niche de fans.

Depuis le début de l’année, La situation financière est bien mal engagée. Bigben Interactive, la maison mère de Nacon, avait alerté le 17 février d’un refus de ses créanciers d’un aménagement des modalités de remboursement partiel sur une dette de 43 millions d’euros. Effet domino : le 25 février, Nacon procédait à une déclaration de cessation de paiement auprès du tribunal de commerce de Lille Métropole, qui a ouvert une procédure de redressement judiciaire le 3 mars.

• Jeux vidéo : Nacon, filiale de Bigben, sollicite un redressement judiciaire

Vingt jours plus tard, quatre des filiales de Nacon sollicitaient auprès du même tribunal l’ouverture de procédures de redressement judiciaire (PDF). Il s’agit des studios Cyanide (racheté en 2018), KT Racing (anciennement Kylotonn, aussi racheté en 2018), Spiders (racheté en 2019) et Nacon Tech, qui s’est spécialisé dans la motion capture. Selon Origami, Nacon avait l’intention de rebondir en cédant deux de ses filiales, à savoir Spiders et Nacon Tech, d’ici la mi-avril.

Malheureusement, aucun chevalier blanc n’est venu à leur rescousse. Par conséquent, Spiders va fermer ses portes. « Allons droit au but pour éviter toute ambiguïté : après une longue période sans réponses claires, nous avons reçu la confirmation que Spiders est en liquidation », confirme le studio. « Qu’est-ce que cela signifie ? Cela veut dire que l’entreprise, dans son ensemble, n’existe plus. Nous cessons immédiatement nos activités ».

Spiders a été fondée à Paris en 2008. Après quelques piges pour Xbox, le studio s’est spécialisé dans les jeux de rôle : Of Orcs and Men avec Cyanide en 2012, Mars: War Logs l’année suivante, puis sa suite spirituelle The Technomancer. En 2019, GreedFall est assez bien accueilli et, trois ans plus tard, dépassait les deux millions de copies vendues. Le second volet, The Dying World, est sorti le 10 mars dernier. L’extension prévue sortira bien chez Nacon, mais ce sera complètement terminé pour Spiders par la suite. En interne, la dégradation des conditions de travail et des négociations salariales bloquées ont débouché sur une grève en 2024. 

Nacon n’a pas voulu commenter la fermeture du studio, ni l’impact que cela aura sur le reste de la procédure judiciaire en cours. Mais, ça n’augure rien de très bon. Le groupe a d’ailleurs reporté (PDF) la publication de son chiffre d’affaires pour l’année fiscale 2025/2026 au 18 mai, et celle des comptes annuels pour le 20 juillet.

L’application mobile de YouTube va finalement permettre aux utilisateurs du monde entier de regarder une vidéo dans une vignette par-dessus l’interface de son smartphone ou d’une autre app (picture-in-picture), sans avoir à payer un abonnement Premium.

Fini les manipulations douteuses, exit les bidouilles de fortune, terminé les sorts de magie noire à base de sang de poulet séché jeté au sommet d’un volcan en fusion. YouTube a en effet annoncé que la fonction « image dans l’image » va se déployer auprès de tous les utilisateurs de son app mobile (iOS et Android) partout dans le monde « dans les prochains mois ». L’attente reste donc de mise, néanmoins cela reste une bonne nouvelle.

La fonction permet de continuer à regarder une vidéo YouTube en dehors de l’application. Elle bascule alors dans un format vignette que l’on peut agrandir ou réduire, tout en continuant à faire autre chose avec son smartphone. Ce « picture-in-picture » (PiP) est une fonction de base pour les apps vidéo depuis des années (dès 2015 sur les iPad sous iOS 9, à partir de 2020 sur les iPhone avec iOS 14, à partir d’Android 8 Oreo en 2017), mais elle est parfois bloquée derrière un paywall.

Chez Netflix, les abonnés à l’offre avec pub en sont privés, par exemple. Chez YouTube, il faut avoir souscrit à une formule payante pour en profiter… sauf aux États-Unis où tous les utilisateurs en bénéficient sans frais supplémentaires (depuis 2021 sur iPhone). Le reste du monde doit passer à la caisse, ou une bidouille bancale.

Ces dernières années, Google avait sporadiquement testé le PiP en Europe gratuitement chez une poignée d’utilisateurs, sans officialiser la fonction. C’est désormais chose faite. « Pour les utilisateurs en dehors des États-Unis, vous avez désormais accès au mode image dans l’image pour les contenus longs, hors musique, sur Android et iOS », écrit YouTube. Les vidéos musicales restent à l’écart, c’est un privilège toujours exclusif à Premium.