En attendant une loi, l'Anssi lance un simulateur sur la directive NIS 2
Si l'Anssi peut se féliciter d'un été cyber calme grâce à un accompagnement ciblé de l'écosystème des JO, la directive NIS 2 lui impose de changer de méthode. L'agence vient ainsi de dévoiler un site pour expliciter les normes cyber européennes. Le sort des collectivités est cependant suspendu à la transposition de la directive. En attendant, une nouvelle enquête sur la maturité cyber des petites collectivités est ouverte jusqu'au 4 octobre.
Dans un bilan publié le 10 septembre 2024, l'Agence nationale pour la sécurité des systèmes d'information (Anssi) a dénombré 548 événements de cybersécurité affectant des entités en lien avec les Jeux olympiques entre le 8 mai et le 8 septembre 2024. Ces incidents se déclinent en 465 signalements d'événements de sécurité à impact mineur (site indisponible, tentative de compromission…) et 83 incidents dans lesquels un acteur malveillant a réussi à pénétrer un système d'information. Au total, un nombre "limité" d'incidents que l'agence impute à sa préparation active de l'écosystème des JO menée depuis 2 ans.
Site d'information sur NIS 2
Forte de ce succès, l'Anssi doit maintenant changer d'échelle avec la mise en œuvre de la directive NIS 2 qui va concerner plusieurs milliers d'entités. Dissolution oblige, le projet de transposition de l'Anssi n'a pas été examiné. Mais comme une partie des obligations s'applique dès le 17 octobre 2024, l'agence a pris les devants en lançant une plateforme d'information, en version bêta, à destination des entreprises. Sa première vocation est d'informer sur les obligations créées par la directive et son champ d'application. L'Anssi va aussi détailler ses actions d'accompagnement et permettre aux organisations de déclarer – c'est une des obligations de la directive – leurs incidents de cybersécurité. Le site se veut pratico-pratique avec des réponses sur le calendrier, les mesures de sécurité ou encore le coût financier induit par la directive.
Simulateur en ligne
Son service phare est un simulateur pour savoir si son organisation est concernée par la nouvelle directive. À ce stade, le résultat est purement indicatif, puisque le périmètre définitif des entités concernées dépend de la transposition de la directive et de décrets d'application. C'est notamment le cas des collectivités territoriales toujours en attente des critères définitifs (population, compétences…) pour savoir si elles sont considérées comme entité "essentielle", "importante" ou "non concernées". Néanmoins, ce site gagnera à être signalé aux entreprises locales, car les auditions menées par la Commission nationale supérieure des postes (CSNP) sur NIS 2 ont révélé un niveau d'ignorance élevé des PME sur cette directive.
Nouvelle enquête sur la maturité cyber des communes
Parallèlement, une nouvelle enquête sur la maturité cyber des communes de moins de 25.000 habitants est ouverte jusqu'au 4 octobre 2024. Initiée par l'Anssi, Cybermalveillance, l'ANCT, la Banque des Territoires et plusieurs associations d'élus, cette troisième vague d'enquête s'adresse aux directeurs des services et aux élus de ces collectivités. Il s'agit de faire un état des lieux des incidents, des protections mises en place et de la culture cyber des petites collectivités. Les résultats de l'enquête seront présentés au Congrès des maires en novembre 2024. Des données qui seront également utiles aux parlementaires pour déterminer la stratégie cyber à adopter à l'égard de collectivités qui restent vulnérables aux cyberattaques. Car au-delà de la transposition de NIS 2, les associations d'élus veulent, ou tout du moins souhaitaient, profiter de la transposition pour muscler l'accompagnement des communes.