La création de la future Autorité du numérique et de l’intelligence artificielle de l’État (Ariane) a alimenté les interrogations sur l’avenir du rôle de l’Anssi. Alors que certaines critiques visent l’agence après plusieurs incidents majeurs, son directeur général, Vincent Strubel, assure que la réforme engagée par le gouvernement concerne avant tout le pilotage du numérique public et non la remise en cause de l’autorité nationale en matière de cybersécurité.
La création d’Ariane, annoncée par le Premier ministre Sébastien Lecornu dans le cadre du plan de renforcement de la cybersécurité de l’État présenté après la fuite de données ayant touché l’Agence nationale des titres sécurisés (ANTS), continue de susciter des commentaires sur l’organisation de la cybersécurité publique.
Selon les informations publiées par Le Canard Enchaîné dans son édition du 13 mai, cette réforme serait interprétée par certains comme un désaveu de l’Agence nationale de la sécurité des systèmes d’information (Anssi), voire comme le prélude à une redistribution de ses prérogatives. L’hebdomadaire évoque également des critiques formulées au sein de l’exécutif à l’égard de l’agence après plusieurs compromissions de données touchant des organismes publics.
Vincent Strubel écarte toute remise en cause du rôle de l’Anssi
Interrogé le 13 mai à l’Assemblée nationale dans le cadre du cycle d’auditions consacré à la « guerre hybride et au continuum de conflictualités », Vincent Strubel a tenu à clarifier la portée de la réforme.
Lors de son audition du 13 mai devant la commission de la Défense de l’Assemblée nationale, Vincent Strubel a affirmé que la création d’Ariane ne remettait pas en cause les missions de l’Anssi. Selon lui, la création d’Ariane répond à un besoin de renforcer le pilotage du numérique de l’État et ne modifie pas les responsabilités exercées par l’autorité nationale de cybersécurité.
Le dirigeant a rappelé que l’Anssi demeure chargée de coordonner la protection des systèmes d’information de l’État et des acteurs sensibles. Ses missions couvrent la détection et la réponse aux incidents, l’assistance aux victimes, l’analyse des menaces, la production de référentiels de sécurité ainsi que les activités de certification, de qualification et de contrôle prévues par les réglementations nationales et européennes.
Placée sous l’autorité du Premier ministre via le Secrétariat général de la défense et de la sécurité nationale (SGDSN), l’agence conserve ainsi son rôle central dans l’organisation française de la cybersécurité.
Une expertise reconnue mais des capacités d’action limitées
Le débat mis en lumière ces dernières semaines porte également sur la capacité de l’Anssi à faire appliquer ses recommandations au sein des administrations.
Dans son enquête, Le Canard Enchaîné souligne que l’agence dispose d’un pouvoir de contrôle et de sanction rarement utilisé. Le journal rappelle également les observations de la Cour des comptes sur le volume des audits réalisés auprès des opérateurs d’importance vitale, ainsi que l’absence de sanctions financières prononcées à ce jour.
Vincent Strubel a lui-même rappelé devant les députés qu’identifier une vulnérabilité ne signifie pas nécessairement disposer des leviers permettant d’imposer sa correction. L’agence produit des doctrines, formule des exigences de sécurité et accompagne les organisations concernées, mais les arbitrages opérationnels restent largement entre les mains des ministères et des organismes responsables de leurs systèmes d’information.
Le cas de l’ANTS illustre cette réalité. Comme le rappelle Le Canard Enchaîné, l’établissement n’entre pas dans la catégorie des opérateurs d’importance vitale soumis aux contrôles spécifiques de l’Anssi. La responsabilité de la sécurisation de ses infrastructures relevait donc directement du ministère de l’Intérieur.
