Comment l'ANSSI veut piloter la politique cyber de l'Etat

En plein examen de la loi de transposition de NIS 2, appelée "Résilience des infrastructures critiques et renforcement de la cybersécurité", devant le Sénat, l'ANSSI publie son plan stratégique pour les deux prochaines années. Intitulé "Au coeur d'un collectif, pour une Nation cyber-résiliente", l'autorité nationale en matière de cybersécurité et de cyberdéfense réaffirme son rôle de pilote de la politique de résilience cyber de la France. Elle propose quatre axes d'action, dans la continuité de son rôle actuel, à la fois coordinateur des actions de prévention et de défense et régulateur d'un écosystème cyber qui articule le secteur privé (entreprises) et les divers services d'intérêt publics de protection.

Fédérer les acteurs de la cybersécurité

" L'action publique cyber requiert une évolution dans la gouvernance et la coordination des acteurs", souligne le document, qui prône une "refonte des modes d'interaction" et d'une "logique de co-construction". Une action qui passe notamment par le renforcement de la gouvernance de la cybersécurité de l'État, en coordination avec la Direction interministérielle du numérique (DINUM) et le Centre de coordination des crises cyber (C4).

Autre chantier en cours, accompagner la mise en oeuvre de la transposition de NIS 2 et du règlement européen sur la résilience cyber (CRA) entré en vigueur en décembre dernier. L'Agence s'engage à "préparer et accompagner ce changement d'échelle", en simplifiant les règles imposées aux organisations régulées pour favoriser leur adoption.

Elle souhaite aussi recentrer les capacités opérationnelles du CERT-FR sur la protection des intérêts fondamentaux face aux "attaquants stratégiques" avec le déploiement d'un nouveau système de supervision interministériel.

Renforcer l'expertise cyber

Le deuxième axe de son plan est une montée en compétences en développant l'expertise "sur les technologies à fort enjeu de cybersécurité". Elle prévoit ainsi de conduire un plan de transition vers la cryptographie post-quantique. Les technologies d'intelligence artificielle et le cloud font également partie des domaines prioritaires à développer et à surveiller.

Son troisième axe d'action porte sur la promotion d'une "action cyber européenne et internationale efficace" en poursuivant son implication dans la définition des normes et le partage des bonnes pratiques. Elle soutient " le développement d'un marché unique dynamique de solutions de confiance", notamment à travers la révision du règlement sur la cybersécurité (CSA) et veut renforcer son rôle d'autorité nationale de certification de cybersécurité.

Si la thématique semble avoir perdu de la vigueur, dans un contexte géopolitique menaçant, l'Agence s'engage à "prendre en compte l'impact environnemental de la cybersécurité", en évaluant et maîtrisant l'impact environnemental de ses recommandations et en réduisant sa propre empreinte carbone. Elle prévoit également de "développer une politique ambitieuse de diversité", en favorisant notamment une plus grande mixité dans le secteur de la cybersécurité et en mettant en oeuvre une politique spécifique de promotion du parcours de carrière des femmes.

Pas de budget supplémentaire en 2025

Reste une question centrale : comment l'ANSSI va-t-elle financer ses ambitions ? Pour cette année, elle avait demandé une rallonge de son budget, soit 35 millions € et 60 emplois supplémentaires, notamment pour accompagner la transposition de NIS2. Elle ne devrait pas toucher un euro de plus et conserver son budget annuel de 27 millions € (hors salaires des personnels). Et aucune nouvelle création de poste n'a été validée par la commission sur le projet de loi de finances pour 2025.

Cette mauvaise nouvelle aura des répercussions : le passage à l'échelle de NIS2 devra être retardé ainsi que la création d'un laboratoire dédié à l'intelligence artificielle et d'un second centre de données sécurisées. L'ANSSI ne pourra pas non plus continuer à étendre sa couverture des ministères, ni faire l'acquisition de nouveaux téléphones sécurisés.