NIS 2 : comment l'Anssi entend concilier son rôle d'aidant et de gendarme
Le directeur général de l'Agence nationale pour la sécurité des systèmes d'information (Anssi), Vincent Strubel, a profité du Forum InCyber pour faire un point d'étape sur la transposition de la directive NIS 2. L'agence prévoit une période transitoire de trois ans avant d'actionner le volet sanction à l'encontre des nouvelles entités régulées.
Entre la préparation des Jeux olympiques et paralympiques, la transposition de la directive NIS 2 et la multiplication des cyberattaques de ces dernières semaines, le directeur général de l'Anssi ne manquait pas de sujets à aborder lors du Forum InCyber qui s'est tenu fin mars 2024 à Lille.
Trois ans de rodage pour NIS 2
Alors que l'échéance d'octobre 2024 approche – date à laquelle la France devra avoir transposé en droit français la directive "Network and Information Security" dite NIS 2 - l'agence doit se préparer à de sérieux bouleversements. Car de quelque 300 entités régulées elle va devoir surveiller 10 à 20 fois plus d'organisations. Un chiffre estimatif car il reviendra au Parlement de trancher définitivement les critères, notamment sur le seuil de population à partir duquel les collectivités sont considérées comme des entités "essentielles" ou "importantes" soumises aux obligations de NIS 2. Ce texte va faire de l'Anssi un gendarme, ayant le pouvoir d'infliger des sanctions financières aux entités trop laxistes en matière de cybersécurité. Vincent Strubel s'est cependant voulu rassurant. "Il faudra trois ans pour exiger une conformité totale. Une différence très claire sera faite entre les différents acteurs concernés, selon leur taille et niveau de maturité", a-t-il assuré. L'agence va également adapter son organisation pour dissocier son rôle d'appui de ses missions de contrôle. Vincent Strubel a annoncé la mise en place au sein de l'agence d'une "structure indépendante", avec une "formation collégiale" chargée d'instruire et de prononcer les sanctions.
Diagnostic cyber gratuit
Parallèlement, l'agence s'est engagée à renforcer l'accompagnement cyber des entreprises, associations et collectivités les moins préparées face aux risques cyber. Dans la continuité de "mon service sécurisé", dédié à la mise en conformité des services publics en ligne, l'incubateur de l'agence a lancé récemment "MonAideCyber". La plateforme MonAideCyber met en relation les entités de faible maturité cyber avec des "aidants" bénévoles qui réalisent des diagnostics cyber gratuits de premier niveau. Ce diagnostic, inspiré des parcours cyber dont ont pu bénéficier certaines collectivités dans le cadre du plan de relance, permet d'établir une liste de six mesures de sécurité prioritaires que l’entité aidée pourra mettre en œuvre dans les six mois. La plateforme vise aussi à faciliter l'orientation des structures vers les aides et dispositifs territoriaux. Elle est notamment destinée aux onze centres régionaux de cybersécurité (CSIRT) pour les appuyer dans leurs missions d'accompagnement des TPE et collectivités.
JOP : une responsabilité collective
2024 s'annonce ensuite comme une année chargée pour l'Anssi avec les élections européennes et les jeux olympiques et paralympiques. Pour les élections, l'agence travaille ainsi avec les équipes de campagne des partis politiques "sans distinction" et le Conseil d'Etat, le juge électoral. Pour les JOP, le directeur de l'Anssi s'est déclaré "confiant" dans la capacité de l'agence à "faire face" sans que "la confiance veuille dire insouciance". L'agence s'attend en effet à un déferlement de cyberattaques émanant "d'hacktivistes de tous poils" voulant profiter de la médiatisation de l'événement. Certaines seront très visibles – à l'image des attaques en déni de service qui ont touché ces dernières semaines plusieurs sites gouvernementaux (voir notre article du 18 mars 2024)- d'autres pouvant être beaucoup plus graves. Face à ces menaces, le directeur de l'agence a insisté sur "notre responsabilité collective" afin de ne pas alimenter un climat anxiogène et d'éviter toute panique.
Le rapport annuel de l'Anssi, publié fin mars 2024, détaille la nouvelle organisation de l'Agence. Une montée en puissance nécessaire face à l'augmentation des cybermenaces, qui ont fait un bond de 30% en un an. En 2023, l'agence a ainsi eu à traiter 3.703 événements cyber dont 1.112 ont donné lieu à un "incident" causant des dommages. L'agence, dotée de 634 agents, se prépare aussi à l'entrée en vigueur de la directive NIS 2. Face à ces enjeux, l'agence a renforcé son organisation territoriale. Outre les délégués régionaux de l'Anssi et les 11 centres de réponse à incident cyber (CSIRT) mis en place avec l'appui des régions, l'agence s'appuie aussi sur des "comités départementaux de sécurité numérique" présidés par les préfets. Enfin, avec son nouveau site à Rennes inauguré en 2023, l'agence se veut moins parisienne. Baptisé Artefact, ce site doit venir renforcer les activités de détection et de supervision des réseaux de l'agence et contribuer à améliorer sa connaissance de la menace. |