In an unusual move reflecting a "high-threat context," the French government has publicly released its new digital security roadmap, outlining a series of binding deadlines for ministries stretching to 2030.

The roadmap, mandated by a 2022 interministerial directive and updated annually, must be implemented by each ministry. The 2026-2027 version accounts for budgetary constraints that hampered the previous plan's execution. It maintains most actions aligned with the general objectives of the NIS 2 Directive's Articles 20 and 21, while adding a new focus on preparing for the transition to post-quantum cryptography and firming up specific deadlines.

Key Deadlines and Requirements:

* By June 30, 2026: Ministries must have formalized their own versions of the roadmap and established an IT audit and control policy. They must also identify their critical IT systems, formalize a cloud hosting policy, implement a supply chain security control policy, and define procedures for installing security patches. Additional mandates include scheduling the rollout of the ProConnect identity federation system and conducting at least annual access rights reviews for technical admin accounts on critical systems. The security of important directories must reach level 3 on the ADS indicator, and backup tests for IT systems must be performed.

* By September 30, 2026: Ministries must strengthen DNS security, notably by increasing use of the interministerial DNS service.

* By December 31, 2026: The IT audit and control policy must be operational, and IT systems supporting essential missions must be certified. Cybersecurity requirements must be integrated into digital procurement contracts. Ministries must also implement their security patch procedures, establish a process for progressively replacing obsolete components (prioritizing security elements), and reinforce messaging systems. The access rights review must extend to functional admin accounts, ProConnect must be deployed on critical systems, and those systems must switch to automated identity and access lifecycle management. Multi-factor authentication (MFA) becomes mandatory for all system administrators, and dedicated admin workstations must be implemented for critical and national IT systems. Ministries must improve their capacity to collect, centralize, and analyze logs, deploy EDR/XDR on all workstations and servers, and inventory "durably sensitive" data to prioritize for post-quantum cryptography.

* By February 28, 2027: MFA must be deployed for all users on critical IT systems.

* By December 31, 2027: Cybersecurity requirements in contracts must extend to all procurements with a digital component or involving sensitive information exchange. Automated identity and access management will be extended to a yet-to-be-defined perimeter (to be specified in 2026 working groups). ProConnect deployment must be generalized, and dedicated admin workstations must be extended to the IT systems of decentralized services. Ministries must have identified the technical components involved in post-quantum cryptography.

* By February 28, 2028: MFA must be generalized for all users on all IT systems. Obsolete components in critical systems must be replaced (a rule already in effect from end-2026 for security equipment).

* By December 31, 2028: All critical IT systems must be certified. (*Certain components are exempt from certification, including minor updates that don't increase risk, modifications mandated by security or urgent constraints that don't invalidate existing certification, infrastructure/software created under such constraints with incompatible timelines, and experimental systems with limited users where attack impacts are "negligible and easily surmountable."*)

* By December 31, 2030: All systems handling restricted-distribution information must be protected by post-quantum cryptography. From this point forward, ministries may only deploy encryption products that incorporate post-quantum cryptography.

Une fois n’est pas coutume : « dans un contexte de menace élevée », l’État a rendu publique sa nouvelle feuille de route en matière de sécurité numérique.

Cette feuille de route est prévue par une instruction interministérielle de 2022. Elle est établie annuellement. Chaque ministère doit la décliner.

La version 2026-2027 « prend en compte les contraintes budgétaires qui ont pesé sur la mise en œuvre de la précédente ». Elle en reprend les actions – la plupart correspondant aux objectifs généraux que la NIS 2 fixe en ses articles 20 et 21 – et y ajoute une préparation à la transition vers la cryptographie post-quantique. En parallèle, elle « affermit certaines échéances ». Voici un aperçu du calendrier.

Pour mi-2026

Au 30 juin 2026, les ministères devront avoir décliné la feuille de route et formalisé une politique d’audit et de contrôle des SI.

Ils devront aussi avoir identifié leurs SI à enjeux, formalisé une politique d’hébergement dans le cloud, mis en place une politique de contrôle de la chaîne d’approvisionnement et défini des procédures d’installation des correctifs de sécurité.

Il leur incombe également d’avoir défini un calendrier de généralisation de ProConnect (fédération des identités) et mis en place des revues des droits d’accès au moins une fois par an pour les comptes d’administration technique sur les SI à enjeux.

Autre consigne : porter et maintenir au niveau 3 de l’indicateur ADS la sécurité des annuaires importants. Devra s’y ajouter la réalisation d’un test des sauvegardes des SI.

Pour fin septembre 2026

Les ministères devront avoir renforcé la sécurité de leur DNS. « Notamment par un recours accru au service interministériel DNS. »

Pour fin 2026

La politique d’audit et de contrôle des SI devra être mise en œuvre à cette échéance. Il s’agira aussi d’avoir homologué les SI soutenant les missions essentielles.

Les ministères ont aussi jusqu’au 31 décembre 2026 pour s’assurer, sur les marchés numériques, que les documents contractuels intègrent bien les exigences de cybersécurité.

Également attendu pour fin 2026 : mettre en œuvre les procédures d’installation des correctifs de sécurité. Ainsi qu’un processus de remplacement des éléments obsolètes au fil de l’eau, « en donnant la priorité aux briques de sécurité ». Et un renforcement des systèmes de messagerie.

La revue des droits d’accès appliquée pour juin 2026 aux comptes d’administration technique devra être étendue aux comptes d’administration fonctionnelle. ProConnect devra quant à lui avoir été déployé sur les SI à enjeux. Ces derniers auront par ailleurs basculé sur une gestion automatique du cycle de vie des identités et des accès.

Même timing pour l’authentification multifacteur pour tous les administrateurs de SI. Et pour la mise en œuvre de postes dédiés à l’administration des SI à enjeux et des SI nationaux (hors SI propres aux services déconcentrés et SI non soumis à NIS 2).

On attend aussi des ministères qu’ils améliorent leur capacité de collecte, de centralisation et d’analyse des traces. Tout en déployant des EDR ou des XDR sur tous les postes de travail et les serveurs.

Ils devront de surcroît avoir fait l’inventaire des données « durablement sensibles » pour lesquelles la cryptographie post-quantique sera prioritaire.

Pour fin février 2027

À cette échéance, il faudra avoir déployé une authentification multifacteur des utilisateurs sur les SI à enjeux.

Pour fin 2027

L’intégration des exigences de cybersécurité dans les contrats devra avoir été étendue aux marchés ayant une composante numérique ou nécessitant l’échange d’informations sensibles.

Il s’agira aussi d’étendre la gestion automatisée des identités et des accès à un périmètre… encore inconnu (il « sera précisé en 2026 lors de groupes de travail »).

Autres consignes : généraliser le déploiement de ProConnect et étendre aux SI des services déconcentrés l’usage de postes d’administration dédiés.

En matière de cryptographie post-quantique, les ministères devront avoir identifié les briques techniques impliquées.

Pour fin février 2028

C’est la date butoir pour généraliser l’authentification multifacteur des utilisateurs sur tous les SI. Et pour remplacer les éléments obsolètes des SI à enjeux (consigne applicable dès fin 2026 pour les équipements de sécurité).

Pour fin 2028

Le ministères devront avoir homologué l’ensemble de leurs SI à enjeux*.

Pour fin 2030

L’État demande qu’à cette échéance, tous les SI à diffusion restreinte soient couverts en cryptographie post-quantique.

À partir de là, les ministères ne devront déployer que des produits de chiffrement qui embarquent de la cryptographie post-quantique.

* Certaines composantes peuvent être dispensées d’homologation. Dans les grandes lignes :

Évolutions mineures qui n’augmentent pas le niveau de risque

Modifications qui s’imposent par contraintes de sécurité ou d’urgence, dès lors qu’elles ne remettent pas en cause la validité de l’homologation

Infrastructures et logiciels dont la création s’impose du fait de ces mêmes contraintes et qu’elles impliquent des délais incompatibles avec la démarche d’homologation

Infrastructures et logiciels mis en œuvre à titre expérimental, ouverts à un nombre limité d’utilisateurs, dont les impacts d’une attaque informatique sont « négligeables et surmontables sans difficulté »

Illustration générée par IA

The post Cybersécurité : l’État a fixé ses échéances jusqu’à 2030 appeared first on Silicon.fr.