Directive NIS 2 : l’Anssi promet des obligations cyber « adaptées » aux communes

Vincent Strubel a détaillé le 4 avril 2023 la nouvelle feuille de route de l’Agence nationale de la sécurité des systèmes d’information (Anssi) dont il a pris la tête début 2023. « Jusqu’ici, l’Anssi se concentrait sur 500 à 700 acteurs régulés : État, acteurs liés à la sûreté nationale, opérateurs d’importance vitale (OIV) et de services essentiels. C’est généralement contre eux que se concentraient les attaques. Mais, désormais, les attaquants pêchent au chalut. Il n’y a plus de particuliers, de PME, de collectivités, d’établissements de santé qui puissent se considérer comme à l’abri  » a-t-il déclaré à l’AFP.

Mesures réglementaires adaptées aux communes

Cet élargissement du périmètre d’intervention de l’Anssi va également de pair avec la directive européenne NIS 2 (Network and Information Security, voir notre article du 16 janvier 2023). Celle-ci va multiplier par un facteur de « 10 ou 20 », le nombre de structures concernées par des obligations cyber et soumises à de potentielles sanctions. Le directeur de l’Anssi a indiqué que la directive était en cours de transposition mais il se confirme que les petites collectivités seront impactées. « La directive NIS 2 a vocation à s’appliquer aux collectivités et aux entreprises, y compris des petites, avec un niveau d’ambition dans les mesures réglementaires applicables qui sera forcément adapté à ces acteurs-là », a-t-il déclaré à France Inter. L’Anssi se fixe comme priorité de « porter ces sujets de cybersécurité au niveau des décideurs (…) parce que ce n’est pas que de la technique, la cybersécurité ». L’objectif est de « leur faire prendre les réflexes de base, des mesures de prévention élémentaire » telles que la mise à jour des logiciels, le renforcement de la robustesse des mots de passe ou encore la mise en place de mécanismes d’authentification. Mais il faudra aussi que ces petites collectivités « se préparent à gérer la crise ».

Interlocuteurs et services cyber pour tous

La directive NIS 2 comme la massification des attaques obligent l’Anssi à « changer d’échelle ». L’agence souhaite « industrialiser » la réponse et développer du « prêt-à-porter pour toute la société ». Elle souhaite ainsi que les particuliers, les associations, comme les collectivités et TPE disposent d’un « interlocuteur identifié » et de « services automatisés » tels que des outils de diagnostic en ligne, de déclaration d’incident ou encore une aide à la sécurisation des téléservices et sites publics (voir notre article du 14 décembre 2022). Pour mener à bien ce projet, l’agence entend s’appuyer sur l’écosystème des prestataires de sécurité, les « forces de police et de gendarmerie », Cybermalveillance et les centres régionaux de réponse aux incidents cyber (CSIRT). Interrogé sur la question des moyens, le directeur de l’Anssi a convenu que ses 600 agents « ne lui permettront pas de multiplier par 20 le nombre de traitement de bénéficiaires selon les mêmes logiques », ce qui nécessite « une nouvelle approche ». Parmi les points en suspens, il y notamment le financement du fonctionnement des CSIRT régionaux, au-delà du million d’euros alloué par l’Anssi dans le cadre du plan de relance pour aider les conseils régionaux à les mettre en place.

Préparation des Jeux olympiques

À court terme, l’agence se concentre sur la préparation des Jeux olympiques et paralympiques de 2024. L’Anssi s’attend à une nouvelle vague de rançongiciels mais aussi à des attaques ciblant les infrastructures qui pourraient « porter atteinte au déroulé même des Jeux ou à l’image de la France ». Parcours cyber, kits de sensibilisation, exercices simulant des cyberattaques… l’agence s’efforce de préparer au mieux les acteurs territoriaux et sportifs à cette échéance. L’occasion aussi de tester des dispositifs auprès des territoires, susceptibles d’être étendus par la suite. L’agence sera enfin sur le pied de guerre pour aider à la gestion des éventuelles crises de cybersécurité pendant l’évènement.