Skip to main content
Travaux des adhérents

Cybersécurité, une politique fiscale et d’investissements au service de la souveraineté

29 mai 2026
istockphoto 2233776792 612x612

Par Pascal Tierce, adhérent du CRSI  

Cybersécurité : l’urgence d’une stratégie d’investissement

La dangerosité de la cybermenace pour les organisations, qu’elles soient du secteur privé ou public, se révèle souvent très sous-évaluée. Traditionnellement, on estime qu’il y a trois façons de gérer un risque : l’accepter, le réduire (par des mesures appropriées), le transférer (via une assurance par exemple). En sécurité des systèmes d’informations et de protection des données, on a l’impression qu’il en existe une quatrième : l’ignorer, tant certaines entreprises, associations, administrations ou entités publiques apparaissent dans le déni des réalités.

La montée en puissance des cybermenaces contre aussi bien les administrations, les collectivités territoriales ou les hôpitaux que le secteur privé (industries, services) met en danger des milliers d’emplois (fermetures d’entreprises), fragilise le tissu industriel et des services, abîme une image réputationnelle, engendre une perte de compétitivité, désorganise des services publics avec un impact sur les citoyens à travers l’exposition des données personnelles… Le phénomène est d’autant plus prégnant que l’IA, sa puissance et sa rapidité d’adaptation fournissent une aide aux hackers qui n’ont plus besoin de compétences particulières et rares.

Il ne s’agit pas ici de dénoncer telle ou telle organisation que l’actualité récente (ou passée) a mise en lumière, mais de pointer la banalisation du phénomène. La presse se fait l’écho quasi quotidiennement d’attaques, réussies, contre des structures qui précisément ne devraient pas être attaquables (ou difficilement), d’autant qu’à maintes reprises, l’agresseur, quand il peut être identifié, se trouve être un jeune adulte, voire un mineur. On pourrait donc en déduire 3 hypothèses : soit les hackers sont des génies précoces, soit les défenses des entités ne sont pas (plus) au niveau de l’état de l’art, soit ces deux premières agissent comme un effet ciseaux. Il est à craindre que la seconde option soit d’abord celle sur laquelle il conviendrait de se pencher. Pour cela, deux politiques d’ampleur devraient être actionnées, sachant qu’elles sont destinées à s’inscrire dans le temps et à s’adapter à un contexte technologique en évolution rapide. La première a trait à une politique fiscale et d’investissements incitative ; la seconde à la mise en place d’une réelle politique de sécurité des systèmes d’information au sein des entités ; politique indépendante, non rattachée à une vague fonction perdue au milieu de l’organigramme d’une direction du numérique.

Il y a urgence bien que depuis des années les gestionnaires de capitaux et les assureurs tirent la sonnette d’alarme :

– BlackRock place à nouveau le risque cyber en troisième position (cf. Blackrock geopolitical risk dashboard de mars 2026 identifiant les 10 risques majeurs au niveau mondial). Dans le baromètre des risques Allianz 2025, le même risque est au 1er rang des préoccupations ;

– AXA dans son livre blanc cyber de 2025 rappelle que 1/ la menace est désormais mondiale (+30 % d’attaques entre 2023 et 2024 dans le monde), 2/ tous les secteurs d’activité sont exposés, l’attaque n’étant plus forcément frontale mais via la sous-traitance, 3/ les PME/PMI sont aussi ciblées que les grandes entreprises mais avec des impacts vitaux plus forts du fait de leur sous-dimensionnement en cybersécurité (hausse de 53 % des cyber-extorsions sur la même période 2023/2024). En 2025, 36 000 scans automatisés par seconde étaient lancés dans le monde par les cybercriminels pour repérer les failles éventuelles et les exploiter.

Dans son Future risk report 2025, l’assureur AXA relève que si 95% des experts estiment que la vulnérabilité du monde aux menaces de toutes sortes s’est fortement accrue ces dernières années, ils ne sont plus que 20% à considérer que les pouvoirs publics sont bien préparés à faire face à l’émergence des risques cyber.

La présente note propose de traiter de façon synthétique la nécessaire politique fiscale et d’investissements à mettre en place.

Promouvoir une telle politique consiste à aller au-delà des simples constats et dénonciations auxquels nous sommes habitués. Elle ne peut non plus se contenter de juste mettre une amende pour perte de données à ceux qui seraient attaqués, leur infligeant ainsi une double peine. Il faut un cadre d’ensemble où une politique volontariste proactive envoie des signaux économiques forts pour pousser les entreprises à investir durablement dans la cybersécurité plutôt que de réagir après une attaque. L’enjeu n’est rien moins que de sauvegarder notre économie, notre démocratie et notre souveraineté en assurant un cadre de développement sécurisé et de long terme. Pour cela, il est nécessaire que chacun puisse agir à son niveau en dégageant les moyens pour se défendre. Les solutions doivent se rechercher sur le terrain, non par la création d’une énième autorité étatique.

Crédits d’impôt

● Crédits d’impôt pour certaines dépenses en cybersécurité :

– Audits : le recours à des prestataires certifiés ANSSI est nécessaire, PASSI (prestataires d’audit de la sécurité des systèmes d’information) et PRIS (prestataires de réponse aux incidents)

– Solutions de protection (EDR, SIEM, chiffrement, sauvegardes)

– Formation des employés (souvent un point faible, notamment en matière de sensibilisation)

● Extension de dispositifs existants (comme le crédit d’impôt recherche) à la cyber, en particulier pour les PME/PMI

Amortissements accélérés des investissements liés à la cybersécurité

● Déductibilité accélérée des investissements en sécurité numérique et protection des données (logiciels de sécurité, infrastructures comme le cloud sécurisé, les serveurs durcis et ceux intégrant une consommation électrique moindre)

● Amortissement renforcé des équipements de protection (pare-feu, systèmes de détection …)

Il s’agit de réduire le coût réel à court terme pour l’entité tout en encourageant des investissements immédiats

Exonération et allégements d’impôts

● Réduction d’impôts pour les PME/PMI investissant dans des solutions et dispositifs certifiés

● Allégements fiscaux pour les entreprises respectant certains standards de sécurité (avec une condition d’engagement sur 3 ans) ou une certification ISO

Bonus/Malus de dotation annuelle pour les administrations, organismes publics et associations justifiant (ou non) l’atteinte d’un niveau de sécurité suffisant

L’ANSSI est en capacité de juger et décerner un satisfecit en la matière.

Incitations indirectes

● TVA réduite sur certains services de cybersécurité

● Avantages fiscaux pour les primes d’assurance (ou primes partiellement déductibles)

Soutien fiscal à la formation et aux talents

● Mise en place et organisation, conjointement entre le ministère de l’enseignement supérieur et l’ANSSI, d’une filière cyber (avec des partenariats public/privé) incluant primo-formation mais aussi des formations de remise à niveau des personnels. En effet, l’obsolescence professionnelle en matière cyber est particulièrement rapide et impose une remise à niveau régulière tant des cadres que des ingénieurs et techniciens

● Crédit d’impôt pour les formations en cybersécurité

● Exonérations pour l’embauche d’experts

Aides renforcées pour les PME/PMI/associations qui restent les plus vulnérables

● Aides et assistance à la certification (ex. : normes de sécurité)

● Label de confiance pour les entreprises ayant un bon niveau de sécurité

● Procédures simplifiées et guichet unique

Aides à l’adhésion à des plateformes sur les menaces et des centres d’assistance en cas d’incident au travers des CSIRT (Computer security incident response team)

Il en existe actuellement 14 répartis en régions et territoires ultramarins. Ils assurent une réponse de premier niveau à un incident d’origine cyber. Surtout, ils ont vocation à faire des missions de prévention, de sensibilisation et d’accompagnement dans la montée en maturité des acteurs locaux. En plus de ces CSIRT régionaux, certains secteurs sensibles ont déployé des CSIRT sectoriels (maritime, aviation, défense, santé)

Conditionnalité des aides publiques (subventions) et de l’accès aux marchés publics par l’exigence préalable d’une conformité à un standard de cybersécurité

Ce levier puissant est souvent sous-employé. Beaucoup d’entreprises (et associations) dépendent de la commande publique tant au niveau national que local. Si la loi, en particulier au travers du code des marchés publics, impose une conformité préalable, les sociétés/associations/organismes publics n’auront pas d’autre choix que d’obtempérer

Organiser la mesure et les contrôles

La mesure est indispensable car sans évaluation, pas d’incitations réellement efficaces dans le temps. Mais elle ne doit pas être tatillonne. Le référentiel destiné à évaluer le niveau de protection cyber doit donc être simple, facilement compréhensible, même par des non initiés, et sans lourdeur excessive en temps comme en coûts. L’objectif pourrait être l’obtention d’un label valable 3 ans qui, Directive NIS 2 oblige, se déclinerait en trois niveaux : entreprises essentielles, entreprises importantes, entreprises hors NIS 2 ; les entités relevant des deux premières ayant des contraintes d’objectifs naturellement plus fortes que celles de la troisième catégorie.

En complément de cette politique fiscale, il serait judicieux d’étudier la faisabilité de constituer un fonds souverain (français) destiné à investir dans des entreprises françaises, en particulier PME/PMI, afin à la fois :

1 – de leur apporter des capitaux (actions, obligations). En effet, trouver des investisseurs est parfois un parcours du combattant dès lors que l’entreprise n’intervient pas dans des secteurs d’activité “à la mode” (IA, quantique, puces électroniques,…). Le “crowdfunding” a ses limites car il ne peut concerner que les petites structures, surtout les start-up. La BPI, de son côté, ne peut tout faire. Quant aux organismes intervenant dans le “private equity”, l’objectif est avant tout de maximiser le gain sur du court terme (3/5 ans), le côté souverainiste n’est ici pas une variable de décision (ou d’investissement).

2 – de les accompagner dans les transmissions générationnelles.

3 – de les assister dans leurs développements, voire dans des opérations de fusions/acquisitions.

Un tel fonds souverain, qui d’ailleurs peut ne pas être limité au seul domaine de la cybersécurité mais étendu à l’ensemble de la BITD, est susceptible de mobiliser rapidement plusieurs milliards d’euros surtout s’il permet de bénéficier d’une réduction d’impôt, à condition de conserver les parts pendant une période (3 ans par exemple), et de dividendes annuels.

Les esprits chagrins objecteront que cela va coûter de l’argent et/ou réduire les rentrées fiscales. Certes, peut-être à court terme et sur des montants maîtrisés. Mais il faut voir à plus long terme.

La mise en place d’un écosystème (intégration de la problématique par les acteurs, assurance, formation, normes) capable d’organiser la défense de nos entreprises (et de nos administrations) ne peut avoir qu’un effet bénéfique sur le “business” et donc la productivité de l’impôt direct ou indirect.

Le coût de la cybercriminalité mondiale est estimé à 9 220 milliards de USD au titre de 2024 (source : livre blanc AXA). Ce chiffrage seul doit être de nature à engendrer une réelle prise de conscience des dirigeants politiques, des chefs d’entreprise et des hauts fonctionnaires pour protéger nos industries, nos services, les emplois induits. Il en va de la souveraineté et de l’indépendance de notre pays