Les Assises 2024 : de la NIS2 à l'EUCS... une ANSSI pragmatique

Monaco - Envoyé spécial - Que se passera-t-il le 17 octobre ? « Pas grand-chose de spécial », selon Vincent Strubel. En tout cas, pas la transposition de la NIS2 dans le droit français.

Le projet de loi n'aura pas été examiné et voté au Parlement d'ici là, concède le directeur général de l'ANSSI. « Ça va reprendre dans les jours qui viennent, sans précipitation : au-delà du parcours législatif, on a encore devant nous des moins de travail [...] sur le cadre réglementaire et les mesures techniques qui vont [le] décliner. »

« On se donnera au moins trois ans avant d'envisager des sanctions pour les manquements », poursuit l'intéressé. Mais on n'attendra pas ce délai, tempère-t-il, pour l'enregistrement des entités régulées auprès de l'ANSSI ou la notification des incidents.

Un " complément naturel et nécessaire" de la NIS2 devrait entrer en vigueur d'ici à fin 2024 : le Cyber Resilience Act. Il encadre les produits numériques vendus sur le marché intérieur européen. D'une part sur leurs caractéristiques (security by design, notamment). De l'autre, sur les bonnes pratiques de cycle de vie (gestion de vulnérabilités, fourniture de mises à jour de sécurité gratuitement pour une période clairement affichée...). Des règles censées "rééquilibrer les responsabilités entre fournisseurs et utilisateurs du numérique". Cela passe par un travail de rédaction de standards, que porte l'ENISA.

EUCS : "Ce qui ne fait pas consensus, on le gardera au niveau national"

Quant à l'EUCS (schéma européen de certification de cybersécurité), Vincent Strubel l'annonce : « On ne peut pas forcément imposer nos vues [...], mais on ne va pas pour autant renoncer à nos convictions.»

Aussi, « on va harmoniser tout ce qui peut l'être et ce qui ne fait pas consensus, on le gardera [...] au niveau national ». Aux dernières nouvelles, l'EUCS autoriserait un tel compromis : les pays membres de l'UE auraient la possibilité d'établir leurs propres critères. Et de les imposer dans des cas "dûment justifiés".

Vincent Strubel lorgne une autre échéance : un sommet international sur l'IA que la France accueillera en février 2025. L'occasion, estime-t-il, de rappeler la nécessité de rationaliser le débat sur ce sujet. « Ça n'est pas ce changement brutal, magique, [...] qui va faire qu'on ne pourra plus apporter aucune garantie de sécurité sur quoi que ce soit.»

Quant à la menace quantique, davantage d'inquiétude transparaît. « On ne sait pas si ça se produira, mais le jour où ça se produira, ce sera la première vraie rupture technologique qui interviendra dans le champ de la cybersécurité », clame-t-il. Une rupture que n'engendreront « ni le cloud, ni l'IA ».

En écho au thème des Assises 2024 ("Ensemble pour une cybersécurité renforcée"), le DG de l'ANSSI n'a pas manqué de se réjouir de l'issue des Jeux de Paris 2024 : « Dans nos métiers de la cyber, ça n'arrive pas souvent qu'on puisse revendiquer une victoire claire ». Et de souligner que sur les quelque 500 entités accompagnées, une majorité étaient des petites structures (PME, collectivités, fédérations...).

« Passer à l'échelle, c'est toujours notre défi principal », résume-t-il. Une problématique qui fut le fil rouge de son intervention lors des Assises 2023... et de celle de son prédécesseur Guillaume Poupard en 2022.