Trois mois après sa prise de fonction, Vincent Strubel, nouveau directeur général de l’Anssi, a tenu une conférence de presse pour faire le point sur les principales missions de l’Agence nationale des systèmes d’information mais aussi sur les défis à relever comme celui de la massification.
Ce matin, Hotel des Invalides à Paris, Vincent Strubel, nouveau directeur général de l’Anssi, entamait sa conférence de presse par un bref rappel quant aux trois missions fondamentales de l’Agence. “La première est de répondre aux cyberattaques. Ce qui veut dire, les détecter, les analyser et coordonner la remédiation mais aussi diffuser rapidement l’information pour les intercepter avant qu’elles ne se produisent ailleurs.”, a-t-il expliqué. Deuxième mission, la sécurité de l’Etat et des activités vitales avec un rôle d’autorité réglementaire qui confère à l’Agence une mission de prévention assise sur de la réglementation. “Qu’il s’agisse de l’Etat, d’administrations, d’opérateurs, y compris privés qui portent des missions vitales, nous avons un pouvoir d’injonction. Nous pouvons ordonner à ces acteurs de se sécuriser au juste niveau”. Troisième mission, protéger les citoyens en apportant des réponses en termes de prévention aux besoins de cybersécurité des particuliers, des PME et des collectivités locales. “En résumé, tout ce qui n’est pas vital et régulé de manière ambitieuse”.
Une offre cyber prête-à-porter en plus de la Haute-Couture
Face aux menaces stratégiques, étatiques, “crapuleuses” ou revendicatives, Vincent Strubel s’est mis en quête de relever le défi de la lutte contre la massification des attaques : “Nous ne pouvons plus laisser d’angles morts dans notre dispositif. Nous devons donc cultiver ce que nous savons déjà bien faire à savoir le traitement d’attaque très pointu. Mais, au-delà ce cette approche “Haute-Couture”, nous devons réussir à traiter la masse et le tout venant, à savoir ces attaques qui ne ciblent personne mais qui ciblent tout le monde, avec une offre de prêt-à-porter.” Tout cela doit, selon Vincent Strubel, s’appuyer sur un écosystème comme les CSIRT, cybermalveillance.gouv.fr, dont il salue le travail au passage, et les forces de police et de gendarmerie qui assurent le dernier kilomètre auprès des citoyens. “Il y a aussi une question d’outillage dans ce prêt-à-porter. J’ai l’ambition de multiplier dans l’offre de service de l’Anssi des outils automatiques qui passent naturellement plus à l’échelle que la relation de conseil humain. Et ça, il n’y a pas que l’Anssi qui peut s’en charger. D’autres acteurs économiques peuvent proposer ce type d’outils automatisés, soit qui facilitent le dialogue, soit qui aident à prendre en main ce sujet pour des nouveaux venus.” Vincent Strubel fait ici référence à Mon service sécurisé, la plateforme d’homologation simplifiée lancée il y a moins d’un an. Enfin, dernière réponse à cette massification : la préparation aux potentielles crises majeures qui relèvent d’actions étatiques ou du cybercrime. “En plus de l’écosystème que l’on peut mobiliser, nous avons un travail à mener pour définir un cadre commun de remédiation. Ne serait-ce que réussir à utiliser les mêmes termes. Il y a aussi un travail d’entraînement collectif pour être opérationnel au quotidien. Un dernier volet est d’organiser la solidarité au niveau européen, sachant que les impacts sur les voisins ne se limitent pas aux frontières des Etats membres.”
JO 2024 et NIS2 : deux grands chantiers stratégiques
Dans cette dynamique de massification, Vincent Strubel entrevoit, pour les deux prochaines années, deux grands chantiers. Le premier étant la directive NIS2, publiée en décembre et largement soutenue et poussée dans le cadre de la Présidence française de l’UE au premier semestre 2022. La directive, qui doit encore être transposée en droit national, porte en elle une ambition nouvelle avec un vrai changement de paradigme à savoir l’extension massive du périmètre d’acteurs qui seront soumis à des obligations réglementaires. “Nous allons multiplier par dix ou vingt le nombre d’acteurs et la désignation se fera automatiquement en fonction de certains critères prédéfinis. On sera donc automatiquement désigné si on dépasse un certain seuil dans un secteur donné.” NIS2 apporte également son lot de sanctions qui pourrait de par nature devenir un sujet de COMEX avec un enjeu fondamental de porter les sujets de sécurité au-delà des cercles très techniques. Enfin, pour terminer, Vincent Strubel a fait référence à ce qui a pris beaucoup de place dans les agendas ces six derniers mois : les JO 2024. “Là encore, dans une dynamique de massification, l’Anssi a été chargée de coordonner la cybersécurité de l’évènement. Ce qui nous projette dans un domaine qui n’est pas forcément habituel pour nous. Nous avons dû faire l’inventaire des acteurs et avoir une idée claire de comment les JO étaient organisés et comment cela se projette dans le cyberespace. Sur la base de cette cartographie nous allons mener des audits et des accompagnements d’un certain nombre d’acteurs et mettre en place toute une phase de préparation opérationnelle. La crise cyber est quelque chose qui s’anticipe, on n’apprend pas à la gérer le jour où elle se produit.”, a conclu le directeur Général.
