État des lieux de la cybersécurité dans le secteur public face aux cybermenaces

Secteur public et cybersécurité : l’état des lieux

Mis à jour le 13/11/2025

Depuis 2019, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) alerte sur la montée en puissance des cybermenaces qui touchent l’ensemble des organisations, y compris le secteur public. En 2024, elle a ainsi traité plus de 4 000 événements de sécurité, soit une augmentation de 15 % par rapport à 2023.
Parmi les cibles les plus touchées par les rançongiciels figurent les collectivités territoriales
(17 %) et les établissements d’enseignement supérieur (12 %). Ces attaques, de plus en plus structurées, sont menées non seulement par des groupes cybercriminels, mais aussi par des acteurs soutenus par des puissances étrangères telles que la Russie ou la Chine.

Ces tendances s’inscrivent dans un climat de tensions géopolitiques et d’événements à forte visibilité, comme les Jeux Olympiques de Paris. Si aucun incident majeur n’a perturbé l’organisation, la hausse des attaques par déni de service (DDoS) et les tentatives de sabotage illustrent une évolution vers une logique de déstabilisation.

Les organismes publics, souvent confrontés à des contraintes humaines et financières, sont considerés comme des cibles vulnérables. En particulier, les établissements de santé et les collectivités constituent les structures les plus impactées,  cybermalveillance.gouv.fr considérant même le risque cyber comme la menace principale des collectivités.

Dans ce contexte, la résilience cyber du secteur public est bel et bien un enjeu stratégique pour l’état français. Pour y répondre, des cadres réglementaires comme la directive européenne NIS 2, le dispositif Care dans le secteur de la santé ou encore le plan France Relance sont progressivement mis en place, témoignant de la volonté du gouvernement d’accompagner et renforcer la sécurité des organisations face aux cybermenaces.

De France Relance à NIS 2 : vers une sécurisation accrue des acteurs publics

Pour aider les collectivités et les organismes au service des citoyens à renforcer leur résilience face aux cybermenaces, l’État a lancé fin 2020 un volet cybersécurité dans le cadre du plan France Relance. Piloté par l’ANSSI, ce programme ambitieux a mobilisé 136 millions d’euros avec une ambition claire : donner une impulsion financière forte aux entités les plus vulnérables pour les engager dans une démarche de sécurisation durable, notamment via la mise en œuvre de solutions IAM.

En 2025, l’ANSSI dresse un bilan largement positif : en quatre ans, 945 entités ont bénéficié de ce dispositif, dont 707 collectivités territoriales, 134 établissements de santé, 87 autres établissements publics et 17 centres de recherche et d’enseignement supérieur. En moyenne, ces bénéficiaires ont progressé d’un niveau de maturité cyber D+ à B, traduisant une nette amélioration de leur capacité de défense.

Ces parcours de cybersécurité ont ainsi permis de poser des bases solides, en particulier en vue de la mise en œuvre de cadres réglementaires comme la directive NIS 2, grâce à des outils et méthodes adaptés aux besoins concrets des organisations publiques.

Côté santé, après la publication Référentiel d’Identification Électronique (RIE), le ministère des Solidarités et de la Santé (MSS) et l’Agence du Numérique en Santé (ANS) poursuivent leurs efforts avec le programme CaRe. Parmi les chantiers prioritaires, on y retrouve le domaine Hospiconnect qui vise à renforcer l’identification et l’authentification des professionnels de santé dans les établissements, en généralisant l’authentification forte ou multifacteur (MFA). Pour en savoir plus sur les avancées de CaRe et Hospiconnect, rendez-vous sur notre blog Santexpo.

Zoom sur le projet de loi de résilience

Adopté en première lecture par le Sénat le 12 mars 2025, le projet de loi de résilience vise à intégrer dans le droit français trois textes majeurs de l’Union européenne : la directive sur la résilience des entités critiques (REC), la directive NIS 2 et le règlement DORA. Ce projet marque un tournant pour les organismes publics, en renforçant considérablement leurs obligations en matière de cybersécurité et de résilience. 

Environ 1 500 collectivités territoriales, groupements de collectivités et autres organismes placés sous leur tutelle sont désormais explicitement concernés, alors que la précédente réglementation ne s’appliquait qu’à un nombre restreint d’opérateurs.

Les logiciels IAM, essentiels pour sécuriser et mettre en conformité les accès

Pour se conformer au projet de loi de résilience, les collectivités, comme l’ensemble des entités dites essentielles ou importantes, devront s’appuyer sur des dispositifs robustes de gestion des identités et des accès (IAM). Ce texte introduit en effet des exigences renforcées en la matière:

  • Authentification multifacteur (MFA) : Désignée comme mesure de sécurité minimale dans la directive NIS 2, l’authentification forte devra être systématiquement déployée, notamment pour les accès sensibles et distants.
  • Centralisation et automatisation des droits d’accès : La réglementation impose un suivi strict des droits, fondé sur les principes de moindre privilège, l’unicité des comptes et la gestion des droits temporaires. Une campagne de recertification devra être menée au minimum une fois par an.
  • Journalisation et traçabilité : Toutes les actions liées aux identités et aux accès devront être systématiquement journalisées, afin de pouvoir être examinées en cas d’audit ou de contrôle réglementaire.

Parallèlement, les solutions IAM ont été largement mises en avant dans le cadre du plan France Relance, via les parcours cybersécurité conçus pour renforcer la protection des systèmes d’information. L’intégration d’un établissement public dans l’un des quatre parcours dépend de son niveau de maturité face aux cybermenaces.

À chaque étape, les fondamentaux d’une stratégie de gestion des identités sont recommandés :

  • Pour les structures les moins matures, un référentiel centralisé des identités constitue le point de départ.
  • Pour les structures plus avancées, les recommandations portent sur la gestion du cycle de vie des accès et l’automatisation des droits.
  • Enfin, les entités les plus matures sont invitées à mettre en œuvre une revue régulière des habilitations. Pour aller plus loin, elles peuvent s’appuyer sur notre guide pratique sur le sujet.

Les solutions d’Access Management occupent également une place centrale. Avec la généralisation du télétravail, la sécurisation des accès distants est désormais incontournable. L’authentification forte devient obligatoire dès le niveau intermédiaire. Pour les entités du parcours renforcé, une stratégie SSO (Single Sign-On) est préconisée pour concilier sécurité et confort d’usage.

Les solutions d’Access Management occupent également une place centrale. Avec la généralisation du télétravail, la sécurisation des accès distants est désormais incontournable. L’authentification forte devient obligatoire dès le niveau intermédiaire. Pour les entités du parcours renforcé, une stratégie SSO (Single Sign-On) est préconisée pour concilier sécurité et confort d’usage.

Ces différents dispositifs visent à garantir aux collectivités un parcours d’authentification fluide et sécurisé, en cohérence avec les tendances du marché, où l’ergonomie n’est plus un compromis mais un levier de sécurité.

Santé : l’authentification forte s’impose dans les établissements

Plus qu’une simple recommandation, l’authentification multifacteur (MFA) est devenue une exigence pour l’accès aux services sensibles dans les établissements de santé. Dans le cadre de la PGSSI-S, l’Agence du Numérique en Santé (ANS) et le ministère des Solidarités et de la Santé (MSS) précisent que la solution d’authentification choisie doit être compatible avec le fédérateur d’identités Pro Santé Connect.

En s’appuyant sur la fédération d’identité, les acteurs du secteur de la santé pourront proposer plusieurs moyens d’identification via Pro Santé Connect. Attention toutefois : seuls les moyens d’identification de niveau substantiel ou supérieur seront valides, dès lors que ce niveau est requis.

Liste des moyens d’identification fournis par Pro Santé Connect :

  •  les cartes CPx (CPS RPPS, CPS ADELI, CPF, CPE libérale, CPE structure, …)
  • l’application mobile e-CPS

Côté implémentation, Pro Santé Connect utilise le standard OpenID Connect. Ce standard est nativement couvert par la plateforme IAM d’Ilex. Si vous souhaitez en savoir plus à ce sujet, nous vous invitions à consulter notre article dédié aux protocoles de fédération les plus répandus, OAuth2 et OpenID Connect.

 Ilex IAM Platform permet en effet une couverture globale de l’ensemble des applications tout en étant compatible avec tous les moyens d’identification proposés par l’ANS :

 Parmi les autres exigences indiquées dans la PGSSI-S, on retrouve des critères fondamentaux d’une gestion des identités rigoureuse comme par exemple ::

Identification/AuthentificationCarte CPxMFACharte sécuritéApplication Mobile
eSSO✔️✔️✔️✔️
WAM/fédération✔️✔️✔️
Authenticator✔️✔️✔️

Parmi les autres exigences indiquées dans la PGSSI-S, on retrouve des critères fondamentaux d’une gestion des identités rigoureuse comme par exemple :

  • la notion de source autoritaire, l’identifiant doit provenir d’un répertoire sectoriel de référence
  • la notion de séparation des tâches, seuls les responsables d’un service numérique sensible doivent détenir le droit d’homologation du moyen d’identification

Pour faciliter toutes ces exigences, l’ANS souligne la possibilité d’utiliser une solution IAM car la définition et le contrôle des autorisations d’accès sont simplifiés.

IAM : une plateforme unique pour sécuriser la gestion des identités dans le secteur public

Via la mise en place des parcours cybersécurité et du projet de loi de résillience en passant par la PGISS-S, la maîtrise de la stratégie de gestion des identités et des accès est devenue incontournable pour le secteur public.

 Grâce à une centralisation de la configuration et de la supervision associée, les solutions IAM sont effectivement recommandées pour faciliter la définition et le contrôle des autorisations d’accès. En optant pour une plateforme IAM, les établissements ont donc la possibilité d’assurer une sécurisation optimale de leurs systèmes d’information. C’est notamment le cas du GHT Vendée qui a mis en place un annuaire IAM en utilisant Ilex IAM Platform.

 Choisir de baser sa stratégie IAM via une plateforme globale permet également d’éviter l’assemblage de technologies provenant d’éditeurs différents au profit d’un socle unique, complet et évolutif pour vous accompagner à long terme. Vous êtes ainsi certain de retirer tous les bénéfices escomptés de votre stratégie IAM : renfort de la sécurité du SI, garanties de conformité réglementaire, meilleure expérience utilisateur, soutien de la transformation digitale, ouverture du SI et retour sur investissement.

 Enfin, pour bénéficier pleinement de votre plateforme IAM, nous rappellerons l’importance de la mise en place d’une stratégie IAM en amont. Parce que les fonctionnalités diffèrent selon la taille de votre organisation, cerner vos enjeux de gestion des identités et des accès est une étape incontournable dans votre stratégie de défense.

Poursuivez votre lecture sur l’analyse des principaux enjeux rencontrés dans les organisations du secteur Santé et Social et les administrations publiques.

https://www.senat.fr/leg/pjl24-394.html
https://cyber.gouv.fr/la-directive-nis-2
https://cyber.gouv.fr/directive-nis-2-ce-qui-va-changer-en-france-pour-les-entreprises-et-les-administrations
https://www.maire-info.com/cybersecurite-les-inquietudes-des-collectivites-sur-la-directive-nis-2-article2-29365
https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf
https://www.watchguard.com/wgrd-resource-center/security-report-q1-2022
https://www.ssi.gouv.fr/actualite/cybersecurite-faire-face-a-la-menace-la-strategie-francaise/
https://esante.gouv.fr/produits-services/pgssi-s
https://www.ssi.gouv.fr/uploads/2021/06/anssi-france_relance-parcours_cybersecurite-2021.pdf