6 mai 2026

Cybersécurité : un service public de base, pas une case à cocher

Réflexion personnelle

Quand une cyberattaque devient un problème de société

Pendant longtemps, la cybersécurité a été perçue comme une affaire technique. Elle relevait des services informatiques, des spécialistes des réseaux ou des experts en sécurité. Pour la plupart des citoyens, elle appartenait à cet univers invisible qui permet aux ordinateurs de fonctionner sans que l’on ait à s’en préoccuper.

Cette époque est révolue.

Lorsqu’un hôpital est paralysé par une attaque informatique, ce ne sont pas seulement des serveurs qui cessent de fonctionner. Ce sont des opérations qui sont reportées, des dossiers médicaux qui deviennent inaccessibles et des soignants qui perdent des outils essentiels à leur travail. Lorsqu’une administration est frappée par un rançongiciel, ce ne sont pas uniquement des données qui disparaissent temporairement. Ce sont des services publics qui deviennent indisponibles pour les citoyens. Lorsqu’une infrastructure critique est compromise, les conséquences peuvent toucher l’énergie, les transports ou les communications.

La cybersécurité n’est donc plus un sujet réservé aux techniciens. Elle est devenue une condition du fonctionnement normal de la société.

C’est dans ce contexte que l’échéance du 18 avril 2026 liée à la directive européenne NIS2 mérite d’être comprise. À partir de cette date, les entités essentielles belges concernées doivent être capables de démontrer la mise en œuvre effective de mesures de gestion des risques. Quelques jours plus tard, le Centre pour la Cybersécurité Belgique adoptait un nouveau plan national de réponse aux crises cyber, rappelant qu’en 2025, 556 incidents avaient été signalés, contre 352 en 2024 et 285 en 2023. Huit d’entre eux ont été considérés comme ayant un impact national.

Derrière ces chiffres se dessine une réalité simple : les attaques augmentent, se professionnalisent et ciblent désormais les infrastructures dont dépend directement la vie quotidienne des citoyens.

La souveraineté commence par la capacité à se défendre

Les débats sur la souveraineté numérique se concentrent souvent sur les données, les plateformes ou les infrastructures cloud. Ces questions sont importantes. Mais elles risquent parfois de faire oublier un principe plus élémentaire : une société n’est réellement souveraine que lorsqu’elle est capable de protéger les systèmes dont elle dépend.

Une centrale électrique qui ne peut être sécurisée n’est pas souveraine.

Un hôpital incapable de résister à une attaque informatique n’est pas souverain.

Une administration qui ne peut garantir la continuité de ses services numériques n’est pas souveraine.

La cybersécurité constitue aujourd’hui l’une des expressions les plus concrètes de la souveraineté. Elle ne se mesure pas dans les discours ou les déclarations d’intention. Elle se mesure dans la capacité réelle à prévenir, détecter et gérer les incidents.

C’est précisément ce que cherche à renforcer la directive NIS2. Son ambition n’est pas de produire un nouveau corpus réglementaire abstrait. Elle vise à créer un niveau minimal de résilience dans les secteurs dont dépend le fonctionnement de la société.

Dans cette perspective, la cybersécurité ressemble de plus en plus à d’autres infrastructures essentielles. Nous n’acceptons pas qu’un réseau d’eau potable fonctionne sans normes de sécurité. Nous n’imaginons pas qu’un fournisseur d’électricité puisse ignorer les exigences minimales garantissant la continuité du service. Il devient difficile de justifier que les infrastructures numériques échappent à la même logique.

Le faux débat entre conformité et liberté d’entreprendre

Comme toute nouvelle réglementation, NIS2 suscite des critiques. Certaines entreprises dénoncent une charge administrative supplémentaire. D’autres s’inquiètent du coût de la mise en conformité ou de la complexité des exigences imposées.

Ces préoccupations sont légitimes. Une économie dynamique ne doit pas être étouffée par des obligations disproportionnées. Mais elles deviennent problématiques lorsqu’elles conduisent à présenter la cybersécurité comme une simple contrainte bureaucratique.

Le débat est alors mal posé.

La question n’est pas de savoir si les entreprises préfèrent être réglementées ou non. La question est de savoir si une société moderne peut se permettre que certaines infrastructures essentielles demeurent insuffisamment protégées.

Personne ne considère aujourd’hui les normes de sécurité incendie comme une atteinte à la liberté d’entreprendre. Personne ne propose de supprimer les obligations sanitaires dans les hôpitaux au nom de la simplification administrative. Ces règles existent parce que les conséquences d’une défaillance dépassent largement l’organisation concernée.

La cybersécurité relève désormais de la même logique. Lorsqu’une organisation essentielle est compromise, les dommages ne se limitent pas à son activité propre. Ils affectent les citoyens, les partenaires économiques et parfois l’ensemble du pays.

Dans cette perspective, NIS2 n’est pas une bureaucratie supplémentaire. C’est le socle minimal d’une résilience collective.

Une obligation sans moyens devient une injustice

Reconnaître la nécessité de ces exigences ne signifie pas ignorer les difficultés de leur mise en œuvre.

C’est même l’une des principales faiblesses des politiques publiques contemporaines : transformer des objectifs légitimes en obligations sans toujours fournir les moyens nécessaires pour les atteindre.

Une grande entreprise internationale dispose souvent d’équipes spécialisées, de budgets dédiés et de capacités importantes en matière de cybersécurité. La situation est très différente pour une PME, une maison de repos, une administration locale ou un établissement hospitalier déjà confronté à des contraintes budgétaires et à une pénurie de personnel.

Or la menace ne fait pas cette distinction.

Les cybercriminels attaquent là où les défenses sont les plus faibles. Ils ciblent souvent les organisations les moins préparées précisément parce qu’elles sont plus vulnérables.

L’exemple des hôpitaux est particulièrement révélateur. Selon les chiffres publiés en 2026, près de deux tiers des hôpitaux belges ont déjà subi une cyberattaque. Plus préoccupant encore, trois établissements sur quatre doivent renforcer leur cybersécurité de manière urgente.

Personne ne souhaite qu’un service de soins intensifs soit interrompu par une attaque informatique. Pourtant, nous continuons parfois à considérer la cybersécurité hospitalière comme une dépense secondaire alors qu’elle participe directement à la continuité des soins.

Exiger une conformité sans accompagner ceux qui doivent la mettre en œuvre revient à transformer une nécessité collective en charge individuelle. À terme, cette logique fragilise l’adhésion aux règles elles-mêmes.

Construire une résilience accessible à tous

Si la cybersécurité est devenue un service public de base, alors son financement et son accompagnement doivent être pensés comme tels.

La première priorité devrait être la création d’un véritable guichet unique permettant aux entités concernées d’accéder facilement aux informations, aux outils et aux expertises nécessaires. Trop souvent, les organisations se retrouvent seules face à des exigences complexes qu’elles peinent à interpréter.

La deuxième priorité consiste à mutualiser davantage les ressources. Toutes les structures n’ont pas besoin de développer individuellement les mêmes capacités. Des audits partagés, des plateformes communes ou des services de soutien coordonnés permettraient de réduire les coûts tout en améliorant le niveau général de protection.

Enfin, certains secteurs devraient bénéficier d’un accompagnement spécifique. Les hôpitaux, les institutions de soins et les services publics locaux remplissent des missions essentielles dont la sécurité concerne l’ensemble de la collectivité. Leur mise à niveau ne peut reposer uniquement sur leurs budgets propres.

Une approche libérale ne consiste pas à abandonner les acteurs à leurs difficultés. Elle consiste à créer les conditions qui permettent à chacun d’assumer ses responsabilités dans un cadre juste et réaliste.

La confiance numérique est un bien commun

Nous parlons souvent de transformation numérique comme d’un processus d’innovation, de modernisation ou de compétitivité. Toutes ces dimensions sont importantes. Mais elles reposent sur une condition préalable : la confiance.

Les citoyens utilisent les services numériques parce qu’ils supposent que leurs données seront protégées. Ils acceptent la dématérialisation des démarches administratives parce qu’ils croient à la continuité du service. Ils confient des informations sensibles aux hôpitaux parce qu’ils estiment que ces informations seront sécurisées.

Cette confiance est devenue un bien commun.

Comme tous les biens communs, elle peut être renforcée ou affaiblie par les choix collectifs. Chaque cyberattaque majeure qui paralyse un service essentiel contribue à l’éroder. Chaque investissement dans la résilience contribue à la consolider.

C’est pourquoi la cybersécurité ne doit plus être considérée comme un coût optionnel ou une formalité réglementaire. Elle constitue l’une des infrastructures invisibles sur lesquelles repose désormais la vie démocratique, économique et sociale.

Une responsabilité collective

L’entrée en vigueur des obligations liées à NIS2 marque une étape importante dans la maturation numérique de l’Europe. Elle traduit une prise de conscience : les infrastructures numériques sont devenues aussi essentielles que les infrastructures physiques.

Mais cette prise de conscience doit aller jusqu’au bout de sa logique. Si nous considérons réellement la cybersécurité comme un service public de base, nous ne pouvons pas nous contenter de vérifier la conformité des organisations ou de sanctionner leurs manquements. Nous devons également leur donner les moyens de construire leur résilience.

La sécurité numérique des citoyens ne devrait jamais dépendre uniquement de la taille du budget de leur hôpital, de leur administration locale ou de leur fournisseur de services essentiels. Elle relève désormais d’une responsabilité collective.

Dans une société connectée, la chaîne de sécurité n’est jamais plus solide que son maillon le plus faible. Renforcer ce maillon n’est pas seulement une question technique. C’est un choix politique qui engage notre capacité à protéger la continuité des services dont dépend la vie quotidienne de chacun.

Actualités récentes

© 2024 Mathieu Michel.Tous droits réservés.

Privacy Preference Center

Privacy Preferences

Ce site web est la propriété de Mathieu Michel

Données de contact:
Adresse du siège social : 1370 Jodoigne
mathieu@mathieumichel.be

Voir notre Politique de confidentialité pour plus d'infos