NIS 2 : l'accompagnement promis suspendu aux moyens alloués à l'Anssi
Le Sénat a entamé fin décembre 2024 ses auditions sur la transposition des directives sur la cybersécurité. Vincent Struble, DG de l'Anssi, a appelé le Parlement à ne pas "surtransposer". Les représentants des entreprises, à l'unisson de ce qu'ont déjà déclaré les collectivités, ont insisté sur l'accompagnement pour un texte qui va faire passer les entités régulées de 500 à au moins 15.000.
© Capture vidéo Sénat/ Vincent Struble
Quel que soit le gouvernement Bayrou, le texte sur la cybersécurité – transposition de trois directives, dont NIS 2 sur l'extension des obligations cyber des organisations intervenant dans des secteurs critiques - figurera sur le haut de la pile des dossiers à traiter. Et comme la discussion parlementaire s'annonce expresse, le Sénat s'y prépare en menant tambour battant des auditions. L'Anssi, a l'origine du projet de loi en circulation (voir notre article du 29 octobre 2024), figurait naturellement en tête de liste. Vincent Strubel, son directeur général, a défendu une adaptation "sèche" de la directive européenne, autrement dit sans ajout de mesures contraignantes supplémentaires. Une absence de surtransposition qui a l'assentiment de la commission spéciale sénatoriale présidée par Olivier Cadic. L'Anssi, qui sera dotée d'un pouvoir de sanction pour faire respecter les nouvelles obligations, promet une mise en œuvre "progressive", échelonnée sur 3 ans, avec quelques exceptions pour l'obligation d'enregistrement des entités ou la notification des incidents de cybersécurité.
La mise en conformité aura un coût
Concernant les collectivités, Vincent Strubel a rappelé que leur inclusion dans le périmètre NIS 2 s'était fondé sur "des choix rationnels et raisonnables" où la forte sinistralité dans les collectivités a pesé. Il a concédé que la mise aux normes aurait un coût, confirmant que l'investissement initial demandé à une entité importante pourrait être "de l'ordre de 100.000 à 200.000 euros", auxquels s'ajouteront des frais récurrents de l'ordre de 10 % de ce montant. Il a cependant souligné que "ce qui est demandé en termes d'investissement initial, c'est 10 fois moins que le coût d'une cyberattaque." Il a promis un "accompagnement continu" que cela soit sous forme d'audits ou d'outils comme Mon Aide Cyber, lancé lors du Salon des maires 2024. Les collectivités seront en outre exemptées des sanctions prévues par le texte.
L'Anssi demande 50 nouveaux postes
L'ampleur de l'accompagnement dépendra cependant des moyens financiers affectés à l'agence. Vincent Strubel a estimé que la mise en œuvre du texte demandera "50 postes en équivalents temps plein (ETP) sur une perspective triennale, en plus de la croissance triennale déjà actée de 40 ETP." Si les coupes envisagées dans le PLF (voir notre article du 28 novembre 2024) venaient à être confirmées par le nouveau gouvernement, le pilotage du dossier nécessiterait de "redéployer des ressources internes", ce qui pourrait "impacter d'autres missions stratégiques de l'agence", a-t-il mis en garde. Quel que soit le cas de figure, l'agence devra s'appuyer sur des relais locaux pour accompagner les organisations, tels que les gendarmeries ou les centres de réponse à incidents de sécurité régionaux (C-Sirt) mais aussi les CCI ou les agences de développement économique "sous réserve qu'ils soient formés".
Renforcer les moyens des C-Sirt
Car le besoin de communication est immense comme l'ont confirmé les représentants des entreprises à l'occasion d'une autre audition de la commission spéciale. Selon le Medef, "environ un tiers des entreprises sondées avouent une méconnaissance complète des questions réglementaires" liées à la directive. A l'unisson de ce que l'on a pu entendre du côté des collectivités (voir notre article du 12 décembre 2023), les représentants du patronat ont souligné les difficultés des dirigeants à déterminer si leur organisation relève des catégories entité "essentielle" ou entité "importante". Ils ont souhaité que les obligations cyber soient adaptées à la taille des entreprises. Le CGPME a aussi déploré l'ampleur des sanctions, notamment l’interdiction d'exercer pour les dirigeants en cas de manquement. Si les représentants du patronat ont salué l'existence des C-Sirt, en citant l'exemple des formations gratuites proposées en Aquitaine, ils ont souligné la disparité des C-Sirt, appelant à un "renforcement" de leurs moyens. On rappellera que les C-Sirt ont bénéficié pour leur mise en place d'une subvention d'un million d'euros de l'Anssi, par région et pour 3 ans. Un financement qui est aujourd'hui arrivé à son terme, leur pérennité dépendant désormais des régions.
