NIS 2 : comment l’Anssi entend concilier son rôle d’aidant et de gendarme

Entre la préparation des Jeux olympiques et paralympiques, la transposition de la directive NIS 2 et la multiplication des cyberattaques de ces dernières semaines, le directeur général de l’Anssi ne manquait pas de sujets à aborder lors du Forum InCyber qui s’est tenu fin mars 2024 à Lille.

Trois ans de rodage pour NIS 2

Alors que l’échéance d’octobre 2024 approche – date à laquelle la France devra avoir transposé en droit français la directive « Network and Information Security » dite NIS 2 – l’agence doit se préparer à de sérieux bouleversements. Car de quelque 300 entités régulées elle va devoir surveiller 10 à 20 fois plus d’organisations. Un chiffre estimatif car il reviendra au Parlement de trancher définitivement les critères, notamment sur le seuil de population à partir duquel les collectivités sont considérées comme des entités « essentielles » ou « importantes » soumises aux obligations de NIS 2. Ce texte va faire de l’Anssi un gendarme, ayant le pouvoir d’infliger des sanctions financières aux entités trop laxistes en matière de cybersécurité. Vincent Strubel s’est cependant voulu rassurant. « Il faudra trois ans pour exiger une conformité totale. Une différence très claire sera faite entre les différents acteurs concernés, selon leur taille et niveau de maturité », a-t-il assuré. L’agence va également adapter son organisation pour dissocier son rôle d’appui de ses missions de contrôle. Vincent Strubel a annoncé la mise en place au sein de l’agence d’une « structure indépendante », avec une « formation collégiale » chargée d’instruire et de prononcer les sanctions.

Diagnostic cyber gratuit

Parallèlement, l’agence s’est engagée à renforcer l’accompagnement cyber des entreprises, associations et collectivités les moins préparées face aux risques cyber. Dans la continuité de « mon service sécurisé », dédié à la mise en conformité des services publics en ligne, l’incubateur de l’agence a lancé récemment « MonAideCyber« . La plateforme MonAideCyber met en relation les entités de faible maturité cyber avec des « aidants » bénévoles qui réalisent des diagnostics cyber gratuits de premier niveau. Ce diagnostic, inspiré des parcours cyber dont ont pu bénéficier certaines collectivités dans le cadre du plan de relance, permet d’établir une liste de six mesures de sécurité prioritaires que l’entité aidée pourra mettre en œuvre dans les six mois. La plateforme vise aussi à faciliter l’orientation des structures vers les aides et dispositifs territoriaux. Elle est notamment destinée aux onze centres régionaux de cybersécurité (CSIRT) pour les appuyer dans leurs missions d’accompagnement des TPE et collectivités.

JOP : une responsabilité collective

2024 s’annonce ensuite comme une année chargée pour l’Anssi avec les élections européennes et les jeux olympiques et paralympiques. Pour les élections, l’agence travaille ainsi avec les équipes de campagne des partis politiques « sans distinction » et le Conseil d’Etat, le juge électoral. Pour les JOP, le directeur de l’Anssi s’est déclaré « confiant » dans la capacité de l’agence à « faire face » sans que « la confiance veuille dire insouciance ». L’agence s’attend en effet à un déferlement de cyberattaques émanant « d’hacktivistes de tous poils » voulant profiter de la médiatisation de l’événement.  Certaines seront très visibles – à l’image des attaques en déni de service qui ont touché ces dernières semaines plusieurs sites gouvernementaux (voir notre article du 18 mars 2024)- d’autres pouvant être beaucoup plus graves. Face à ces menaces, le directeur de l’agence a insisté sur « notre responsabilité collective » afin de ne pas alimenter un climat anxiogène et d’éviter toute panique.