Concrètement, l’authentification multifacteur, dont l’absence est à l’origine de plusieurs fuites notamment au ministère de l’Intérieur, va être généralisée d’ici deux ans. Pour les systèmes d’information « à enjeux » d’ici le 28 février 2027, et sur tous les autres, un an après. Et les postes d’administrateurs disposant de droits étendus seront équipés avant la fin de l’année. Les comptes « génériques » seront pour leur part supprimés. Les ministères sont aussi invités à surveiller « la chaîne d’approvisionnement » (les prestataires), par laquelle se produisent de nombreuses attaques.
L’État prévoit ensuite d’améliorer sa gestion des correctifs et de remplacer les équipements les plus critiques. Sur le cloud, la feuille de route précise que tout système faisant l’objet d’une migration dans le nuage doit être considéré comme un nouveau système d’information. À ce titre, il devra être « homologué » et les critères cyber seront systématisés dans tous les appels d’offres numériques ministériels.
La feuille de route aborde également le déploiement d’outils de détection « avancés » sur l’ensemble des postes et serveurs, la prise en compte du cyber dans les plans de reprise d’activité, et un axe inédit de préparation à la cryptographie post-quantique, dont le déploiement complet est attendu d’ici à 2030.
.
