Réponse en séance, et publiée le 29 avril 2026

AGENCE NATIONALE DES TITRES SÉCURISÉS
M. le président . La parole est à M. Mickaël Cosson, qui remplace M. Philippe Latombe, pour exposer sa question, no 727, relative à l'Agence nationale des titres sécurisés.

M. Mickaël Cosson . Le piratage de près de 12 millions de comptes sur le site de l'Agence nationale des titres sécurisés (ANTS), par un adolescent de 15 ans qui aurait utilisé une méthode simple et parfaitement documentée, a provoqué une onde de choc sans précédent. Si les Français conservaient peu d'illusions sur la capacité de l'État à protéger leurs données personnelles – on recense trois cas de vols de données par jour –, ils espéraient encore, naïvement, que l'ANTS – dont le S signifie « sécurisés » – soit fiable. À qui faire encore confiance si le saint des saints du ministère de l'intérieur s'avère aussi vulnérable ? La présentation, par le premier ministre, de son plan pour renforcer la cybersécurité de l'État marque une prise de conscience de la gravité de la situation, notamment d'un retard accumulé sur plusieurs décennies.

Cependant, si le chef du gouvernement tente d'y répondre par des réformes structurelles et une enveloppe financière de 200 millions d'euros, ces annonces restent floues et leurs effets seront progressifs, alors que la menace est immédiate et en continuelle progression. En attendant, les Français s'étonnent de l'absence de sanctions prises à l'encontre d'organismes publics ou assimilés défaillants et contre ceux qui, en leur sein, n'ont pas été à la hauteur de leurs missions. D'ailleurs, une association vient de porter plainte auprès de la Commission nationale de l’informatique et des libertés (Cnil) contre France titres et son ministère de tutelle ; il y a fort à parier que d'autres plaintes seront déposées. Dans un tel contexte, quelles mesures précises prévoyez-vous pour assurer la sécurité des données personnelles stockées par France titres ou France identité et plus généralement celle des différents services d'un ministère lui-même piraté en décembre dernier ? La cybersécurité n'étant plus un sujet simplement technique, mais une responsabilité de gouvernance, quelles obligations envisagez-vous d'imposer aux agents qui en ont la charge, et à quelles sanctions s'exposeraient-ils en cas de défaillance ?

M. le président . La parole est à M. le ministre délégué auprès du ministre de l'intérieur.

M. Jean-Didier Berger, ministre délégué auprès du ministre de l'intérieur . Vous avez raison, le 15 avril dernier, un incident de sécurité majeur a eu lieu. Une importante attaque a conduit à l'extraction des données personnelles de 11,67 millions de comptes individuels et professionnels de l'ANTS. Pour les particuliers, nous parlons d'identifiants de connexion, de civilité, de noms, de prénoms, d'adresses électroniques, parfois même de lieux de naissance, d'adresses postales ou de numéros de téléphone et, pour les professionnels, de numéros d'habilitation ou d'agrément.

Toutefois, aucune des pièces justificatives nécessaires à la réalisation des démarches administratives pour l'obtention d'un titre sécurisé n'est concernée par cette fuite de données, ni aucune donnée biométrique. Dès que l'attaque a été connue, des mesures d'endiguement et d'information de la Cnil ont été prises : information des usagers concernés, fermeture du portail dès le vendredi 24 avril à 19 h 30 pour treize jours, afin de procéder au déploiement de la sécurisation et de l'identifiant multifacteur des démarches engagées dès avant l'attaque.

Un signalement au procureur de la République de Paris a été effectué, et l'enquête a abouti à l'interpellation d'un adolescent de 15 ans, placé sous contrôle judiciaire. Cependant, j'invite tout le monde à rester prudent, parce que nous sommes dans le temps de l'enquête. Les investigations techniques en cours devront faire toute la lumière sur les éventuels manquements, qui pourront faire l'objet de sanctions. J'imagine que, comme nous, vous n'aspirez pas à ce qu'une justice expéditive désigne des responsables avant que toutes les responsabilités aient été établies.

Par ailleurs, il est nécessaire de comparer l'incident qui est survenu avec les milliers de tentatives d'attaques quotidiennes contre nos systèmes de sécurité, et contre celui-ci en particulier. C'est une attaque qui a abouti sur des milliers ou des dizaines de milliers de tentatives.

Le 30 avril, le premier ministre a fait des annonces claires. D'abord, il a rappelé la détermination de l'État, et sa conscience de la gravité et de la sensibilité du sujet face au défi que constituent ces trois vols de données par jour en moyenne. Il a annoncé une nouvelle gouvernance numérique de l'État, avec la création de l'Autorité numérique de l'État, née de la fusion de la Direction interministérielle du numérique et de la Direction interministérielle de la transformation publique. Elle sera placée directement auprès de lui, pour assurer la standardisation et la sécurisation des infrastructures numériques des ministères, avec des moyens renforcés de 200 millions d'euros. Dès le prochain budget, les montants des amendes prononcées par la Cnil seront affectés à un fonds de modernisation des infrastructures numériques de l'État. Enfin, 5 % des budgets numériques des ministères seront dédiés au cyber dès 2027.