FIC 2025 : au-delà de NIS2, l'ANSSI active les leviers du "passage à l'échelle"

Surprenant ? Agaçant ? Inquiétant ? Moralement inacceptable ? Les vulnérabilités dans les équipements de sécurité de bordure (pare-feu, VPN...), c'est un peu de tout cela pour Vincent Strubel.

Au deuxième jour du FIC 2025, le directeur général de l'ANSSI a choisi d'ouvrir son intervention en plénière par ce sujet.

Plus de la moitié des opérations de cyberdéfense que l'agence a menées en 2024 avaient pour origine de telles vulnérabilités, affirme l'intéressé. Une situation "moralement inacceptable, [...] parce qu'on achète assez cher des équipements de sécurité auxquels on fait confiance et qui se trouvent être une porte d'entrée pour les attaquants".

Le phénomène est d'autant plus inquiétant qu'il est "apparu assez brutalement". Il "nécessite un effort collectif : on doit mieux superviser ces équipements, réagir plus vite, faire une remédiation plus massive. À l'ANSSI, on a malheureusement appris à le faire dans la douleur tout au long de l'année."

Autre phénomène marquant en 2024 : la menace de déstabilisation. Difficile, selon Vincent Strubel, de ne pas la lire dans le contexte géopolitique, vu le continuum qui se dessine entre des États-nations, des acteurs du crime organisé tolérés et des hacktivistes qui prennent fait et cause. "Cette menace, on y a fait face pendant les [Jeux olympiques], mais il faut garder à l'esprit que ce n'était peut-être pas si compliqué que ça dès lors qu'on avait le temps pour se préparer."

Le levier normatif, réaffirmé avec le projet de loi résilience

Dans ce contexte, l'ANSSI a, au-delà de sa responsabilité d'action, un devoir de communication, a fortiori "dans un moment qui se prête à pas mal de fébrilité et d'irrationnel". En ce sens, la NIS2 "arrive à point nommé". Et avec elle, le projet de loi résilience, par lequel la France va transposer la directive (en plus de DORA et du règlement sur la cyberrésilience ).

DR

Vincent Strubel - Directeur général de l'ANSSI

Ce texte - et les débats parlementaires associés - est "l'occasion de parler de cybersécurité aux petites structures qui sont loin du sujet". C'est aussi l'opportunité de fixer un cadre de référence. Qui établit, en miroir, une limite de responsabilité "particulièrement importante alors qu'on voit se multiplier les procès entre acteurs économiques à mesure que les cyberattaques perturbent les chaînes de valeur".

Il s'agira, en parallèle, d'adapter les modes d'action à ces structures. "On le fait par exemple en adaptant notre cadre de prestataires qualifiés", afin qu'ils soient ouverts à des prestations moins exigeantes, explique Vincent Strubel. Il évoque aussi des services tels que MonServiceSécurisé (aide à la sécurisation des services publics numériques) et MonAideCyber (diagnostic et accompagnement ; ouvert au secteur privé). Ainsi qu'un nouveau portail MesServicesCyber, censé présenter les ressources de l'ANSSI de manière plus lisible "en guidant l'utilisateur en fonction de sa maturité, sa taille et son statut, régulé ou pas".

Mention également pour le réseau des CSIRT territoriaux "qu'on continue à densifier et structurer" (ils viennent de publier un premier rapport d'activité) et son articulation avec le 17Cyber. Le Campus Cyber doit quant à lui aider à l'adaptation de l'offre privée.

La certification européenne, entre rêves et réalité

Vincent Strubel n'oublie pas de faire référence au cadre européen de cybersécurité. En toile de fond, la signature, cette semaine, des premiers certificats établis au nom de l'EUCC.

Le règlement sur la cyberrésilience est une autre pièce importante de ce que l'ANSSI a appelé le "changement d'échelle" - en d'autres termes, apporter à chacun les moyens de se protéger. Il est effectivement l'occasion de "fixer pour la première fois, pour les fournisseurs de produits, des obligations qui tiennent à la conception sécurisée des produits [et] à la gestion de leurs vulnérabilités". Reste toutefois un gros travail de standardisation pour mettre en oeuvre ce règlement.

Au deuxième semestre 2025, il y aura la révision du Cybersecurity Act. Lequel pose notamment la base des chémas de certification dont EUCC est un exemple. L'occasion de "se reposer des questions" sur ce qui n'a "pas marché"... comme EUCS, le schéma consacré aux services cloud. Et Vincent Strubel d'appeler à "rediscuter de tout cela de manière dépassionnée, à l'aune d'un contexte géopolitique qui a un peu évolué"...

L'ANSSI aura aussi un rôle à jouer sur le soutien aux filières industrielles, dans le cadre du programme pour une Europe numérique. Elle a en l'occurrence été désignée centre national de compétences cyber. Il lui incombe donc de veiller à l'efficacité du soutien à la recherche dans le domaine cyber.

En matière de certification, l'agence nourrit des perspectives européennes pour ce qui est des prestataires de cybersécurité (PASSI, PRIS, PDIS...). Un modèle à cette échelle ferait sens, insiste Vincent Strubel. Il répondrait notamment au besoin d'une réserve, d'une forme de solidarité européenne.