Vincent STRUBEL,Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Le panorama de la cybermenace, publié par notre agence début 2023, a montré que les acteurs malveillants n’hésitaient dorénavant plus, pour atteindre leur cible principale, à viser l’ensemble de la chaîne logistique comme les prestataires, fournisseurs, sous-traitants… et même souvent ceux censés protéger le système d’information !
Dans la gestion de la sécurité numérique, il est impossible de faire cavalier seul. Il est indispensable de pouvoir s’appuyer sur des produits robustes et des prestataires compétents. Le rôle de l’ANSSI, en tant qu’autorité nationale de la défense et sécurité des systèmes d’information, est de mettre en place des dispositifs qui vont permettre de démultiplier notre action, en nous appuyant sur une industrie performante à travers l’ensemble du territoire national. Face à une menace cyber qui croît, et a fortiori dans le contexte de la nouvelle directive NIS et à l’aune d’événements d’envergure comme les Jeux Olympiques et Paralympiques 2024, ce travail avec l’écosystème privé est crucial.
Encourager le développement d’une offre performante
Il s’agit notamment d’accompagner les fournisseurs de services et produits de sécurité numérique vers un renforcement de l’offre pour répondre aux enjeux cyber en France et en Europe.
L’ANSSI intervient dès le stade de l’innovation en cybersécurité, en travaillant avec les acteurs de la recherche et en s’intéressant à la R&D des entreprises, et tout particulièrement celle des startups. Les partenariats de recherche développés par les laboratoires de l’ANSSI avec l’Institut national de recherche en informatique et en automatique (INRIA) et le Commissariat à l’énergie atomique et aux énergies alternatives (CEA), ainsi que la coopération avec le Campus Cyber et à l’avenir avec ses déclinaisons régionales, y contribuent notamment.
En fonction des technologies, des besoins utilisateurs et de l’offre disponible sur le marché, l’agence dispose de différents leviers d’action pour soutenir une offre répondant aux besoins nationaux.
Afin de soutenir le développement de nouvelles offres devant répondre à des besoins encore trop peu couverts, l’ANSSI promeut par exemple ses principes doctrinaux. C’est le cas, par exemple, de la remédiation – pour la reconstruction du système d’information après un incident cyber – pour laquelle l’agence a récemment publié un corpus documentaire complet, avec l’espoir que se développe une offre permettant de mieux faire face collectivement à la menace croissante.
De manière à renforcer certaines offres existantes, nous avons notamment déployé avec la Direction générale des entreprises (DGE), la Direction interministérielle du numérique (DINUM) et Bpifrance un dispositif d’accompagnement pour permettre à des PME et des startups fournissant des services cloud d’atteindre le niveau fixé par la qualification SecNumCloud. La première vague de sélection a déjà permis d’identifier 21 entreprises lauréates et la seconde, qui est en cours, remporte également un franc succès. A l’avenir, ce type de programme pourrait être développé pour l’accompagnement d’offreurs dans d’autres segments de marché.
Enfin, en ce qui concerne le maintien à l’état de l’art des offres déjà matures, nous entretenons un dialogue constant avec les offreurs de solutions – et tout particulièrement les fournisseurs et prestataires de confiance que nous qualifions – pour partager la connaissance, les bonnes pratiques et faciliter le maintien de leur niveau de compétence.
Soutenir la construction de capacités cyber communes au sein de l’Union européenne
Point extrêmement positif pour l’écosystème : l’Union européenne s’investit particulièrement dans les questions cyber ! En tant qu’ANSSI, nous nous inscrivons pleinement dans les initiatives européennes consistant à harmoniser les normes, les pratiques et les compétences sur le marché, et à faciliter la coopération entre les Etats membres. Le Cyber Solidarity Act en cours de négociation devrait à ce titre permettre de disposer de prestataires cyber de confiance au niveau européen, notamment en matière de réponse à incidents.
Afin de développer une politique d’investissement concertée et de construire une communauté d’expertise en cyber, l’Union européenne a créé un centre de compétence cyber à Bucarest. Il s’appuie sur un réseau de centres de coordination nationaux établis dans chaque Etat membre qui fourniront, chacun pour leur pays, des guichets uniques permettant à leurs écosystèmes respectifs de bénéficier des financements européens pour le développement de solutions innovantes. L’agence héberge le Centre de coordination français (NCC-FR), qui a été inauguré fin juin 2023 et s’attache à proposer des priorités pertinentes, pour des investissements en matière d’innovation et pour l’autonomie stratégique cyber européenne.
Par ailleurs, nous continuons de nous investir grandement dans le Cyber Security Act afin de développer une politique de certification de produits de sécurité européenne commune. Le schéma EU Common Criteria, très attendu au niveau européen, pourrait aboutir dans les mois à venir. Nous poursuivons également nos efforts pour que notre expertise inspire les futurs schémas européens, notamment celui sur les services cloud.
Enfin – parce que nous sommes conscients que certaines grandes transformations technologiques sont en train de se réaliser – nous nous attaquons à des problématiques telles que la transition vers la cryptographie post-quantique, pour laquelle nous venons de mettre à jour nos recommandations techniques, ou encore la sécurité de l’intelligence artificielle. De manière plus générale, celles et ceux qui souhaitent participer à cet effort collectif d’enrichissement des capacités de défense de la Nation face à la cybermenace trouveront en l’ANSSI une oreille attentive.