Le papier du Canard enchaîné a fait sortir Vincent Strubel de sa réserve : le directeur général de l’ANSSI y voit une mise en cause « abjecte » du travail de ses agents. Mais derrière la brutalité de l’attaque médiatique, une question demeure : l’ANSSI a-t-elle trop longtemps accompagné là où elle aurait dû contraindre ? L’affaire ANTS/France Titres ne révèle pas l’absence de règles. Elle révèle l’écart entre des règles très écrites – RGS, PSSIE, homologation – et une exécution que personne ne semble toujours capable d’imposer.
La phrase claque : « On en a chié des ronds de chapeau pour appliquer ce RGS ». Mais elle vient d’un homme qui n’a pas découvert l’État dans les communiqués. Ancien DSI public, familier des arbitrages interministériels et des contraintes de terrain, il sait ce que coûte une homologation lorsqu’elle est prise au sérieux : des audits, des réunions, des preuves, des retards, des compromis refusés, des risques qu’il faut nommer et signer. C’est tout le paradoxe français de la cybersécurité publique. L’État sait écrire la règle. Il sait produire des référentiels, des guides, des comités, des doctrines, des feuilles de route. Il sait aussi demander à ses administrations des efforts considérables pour se mettre en conformité. Mais quand les données sortent malgré tout, la question n’est plus seulement de savoir si les règles existaient. Elle est de savoir qui les faisait réellement respecter.
C’est précisément pour cela que l’affaire ANTS/France Titres dérange. Non parce que l’attaque serait la seule, ni même la plus grave au regard des scénarios de sabotage évoqués par l’ANSSI. Mais parce qu’elle touche un guichet central de l’État numérique, utilisé par des millions de citoyens pour des démarches sensibles : identité, passeport, permis de conduire, immatriculation. Elle rappelle surtout une évidence trop souvent oubliée : dans les services publics numériques, l’usager ne choisit pas toujours de confier ses données. Il le fait parce qu’il doit obtenir un droit, un titre, une aide, une autorisation, une inscription, un accès.
Lors de son audition du 13 mai 2026 devant la commission de la Défense nationale, dans le cadre du cycle « Guerre hybride et continuum de conflictualités », Vincent Strubel a été interpellé sur les effets sociaux des cyberattaques. Un député a rappelé que les fuites de données ne frappent pas seulement des systèmes : elles touchent aussi des publics déjà fragiles – personnes privées d’emploi, allocataires de prestations sociales, patients – et peuvent aggraver leur situation. Ce n’est pas un détail social ajouté à un sujet technique. C’est le cœur du problème. Une fuite de données publique n’est pas seulement une compromission de comptes. C’est une rupture de confiance imposée à des usagers captifs.
Vincent Strubel ne nie pas la gravité de la situation. Mais il la déplace. À propos de l’attaque de l’ANTS, il explique devant les députés que ce qu’elle révèle, c’est « fondamentalement […] la complexité du système d’information de l’État ». Et il ajoute : « C’est là que le bât blesse aujourd’hui. »
L’argument est solide. Le SI de l’État est fait de milliers d’applications, de...
[Courte citation de 8% de l'article original]