La stratégie nationale française de cybersécurité 2026–2030, publiée fin janvier 2026 par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) sous l’autorité du Premier ministre, a été présentée publiquement par Anne Le Hénanff, ministre déléguée chargée de l’intelligence artificielle et du numérique, depuis le Campus Cyber Nouvelle-Aquitaine à Bordeaux. Nous publions ci-dessous le communiqué (Photo : www.imazpress.com)
Cette présentation intervient dans un contexte marqué par une intensification des cyberattaques et des campagnes de déstabilisation, touchant aussi bien de grandes entreprises que des PME, des services publics, des ministères et des collectivités territoriales. Elle confirme que la cybersécurité est désormais un enjeu systémique, dépassant largement le cadre technique.
- Cinq piliers pour répondre aux enjeux des cinq prochaines années -
Pour répondre aux défis à venir, la stratégie nationale repose sur cinq piliers structurants :
- La montée en compétences, via la formation et le recrutement,
- Le renforcement de la cyber-résilience,
- L’entraînement et la préparation à la gestion de crise,
- La maîtrise des fondements numériques et des innovations,
- La coopération à l’échelle européenne et internationale.
Si ce cadre stratégique est nécessaire, son impact réel dépendra étroitement de sa déclinaison territoriale, du niveau de maturité des territoires et des moyens financiers et opérationnels effectivement mobilisés.
À La Réunion, un socle existe déjà.
Le territoire dispose d’un CSIRT régional, d’une mobilisation des acteurs publics, de prestataires privés implantés et d’une offre de formation en cybersécurité qui s’est structurée ces dernières années.
Dans ce contexte, la stratégie nationale peut jouer un rôle d’accélérateur, en favorisant la montée en gamme de l’écosystème, une meilleure coordination territoriale et un renforcement de la préparation à la gestion de crise.
Il convient toutefois d’être précis sur la réalité opérationnelle. À ce stade, le CSIRT réunionnais assure principalement des missions de diagnostic, d’orientation et de mise en relation avec des prestataires, sans disposer encore de capacités étendues de réponse opérationnelle. Cette situation doit être pleinement intégrée dans la déclinaison territoriale de la stratégie.
Par ailleurs, malgré un niveau de maturité plus avancé, des fragilités structurelles subsistent : difficultés d’insertion professionnelle pour les jeunes formés localement et capacité limitée des TPE et PME à financer leur cybersécurité.
Sans dispositifs de soutien adaptés, le risque est double : une faible absorption des compétences et une exposition durable du tissu économique local.
À Mayotte, les enjeux sont de nature différente.
Le territoire ne dispose pas encore du même niveau de structuration : absence de CSIRT territorial pleinement opérationnel, écosystème cyber embryonnaire, offre de formation limitée et capacités locales fortement contraintes.
Dans ce contexte, la stratégie nationale ne peut être déclinée à l’identique. Elle doit prioritairement permettre la construction des fondamentaux : développement des compétences de base, actions de sensibilisation, premières capacités de réponse aux incidents et accompagnement renforcé des acteurs publics et privés.
Sans investissements spécifiques et mécanismes d’aide ciblés, la stratégie risque de rester largement théorique pour le tissu économique local, en particulier pour les TPE et PME.
Des moyens financiers différenciés, condition de la réussite
Dans les deux territoires, la question des moyens financiers est centrale, mais selon des logiques distinctes :
- à La Réunion, il s’agit de consolider et professionnaliser l’existant afin de renforcer les capacités opérationnelles et permettre aux entreprises locales de monter en maturité ;
- à Mayotte, l’enjeu est d’investir pour faire émerger un socle minimal de capacités, condition indispensable à toute résilience cyber.
Une stratégie nationale ne produit d’impact que si elle est territorialisée, différenciée et dotée de moyens adaptés aux réalités économiques locales, en particulier celles des TPE et PME.
Une responsabilité politique à assumer
À l’Observatoire de la Cybersécurité de l’Océan Indien (OCOI), nous considérons que ce cadre stratégique doit désormais être pleinement approprié par les dirigeants politiques nationaux et territoriaux.
C’est à ce niveau que doivent être portées des demandes de moyens cohérentes avec la maturité réelle, les contraintes économiques et les priorités propres à chaque territoire.
La réussite de la stratégie nationale française de cybersécurité 2026–2030 se mesurera à sa capacité à transformer un cadre national en investissements concrets, adaptés à La Réunion comme à Mayotte, afin de réduire les écarts territoriaux, et non de les creuser.
La question de la capacité réelle des territoires à absorber cette stratégie est bien posée. Sur le terrain, on voit vite les limites côté TPE/PME, notamment sur les moyens. Le fait de m’appuyer sur un serveur vps m’a permis de structurer un minimum de sécurité sans investissements lourds. Reste à voir si des dispositifs d’accompagnement suivront réellement.