L’ANSSI le garant de la cybersécurité et de la cyberdéfense de la France

Vie des Entreprises

Dossier : Vie des entreprisesMagazine N°795 Mai 2024Par Vincent STRUBEL (X00)

Cheffe de la cybersécurité et de la cyberdéfense en France, l’ANSSI se mobilise pour défendre les intérêts de la France et pour protéger le tissu économique et sociétal national dans un monde où le numérique est de plus en plus omniprésent et la menace cyber de plus en plus sophistiquée. Vincent Strubel (X00), Directeur général de l’ANSSI, nous présente cette autorité, ses missions, ses enjeux, ainsi que ses forces vives.

Pouvez-vous nous rappeler le rôle et les missions de l’ANSSI ?

L’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Au sein de l’État, l’ANSSI a un positionnement particulier : elle fait partie des services du Premier ministre au sein du Secrétariat général de la sécurité et de la défense nationale. La France a ainsi fait un choix assez original dans le paysage international en se dotant d’une agence interministérielle placée à proximité du sommet de l’exécutif et qui a comme mission unique et exclusive la cybersécurité, là où la plupart de nos voisins combinent les services de renseignement, d’enquêteurs…
Notre rôle et nos missions sont exclusivement défensifs. Nous nous adressons à l’ensemble du tissu national afin de garantir la cybersécurité de tous et de trouver les solutions les plus adéquates pour les particuliers, les entreprises et les administrations. Nous accompagnons principalement deux types de bénéficiaires : les administrations et les opérateurs régulés (opérateurs d’importance vitale et les opérateurs de services essentiels), dont le statut est défini par la loi.

Plus particulièrement, les missions de l’ANSSI s’articulent autour de trois grands axes :
• Répondre aux attaques : dans ce cadre, il ne s’agit pas d’avoir une démarche offensive dans le cyberespace. Nos enjeux sont de mieux comprendre la menace qui cherche à porter atteinte aux intérêts français ; détecter les attaques, notamment celles visant l’État ; intervenir en cas d’incident pour y mettre fin, remettre le système d’information en état acceptable pour maintenir l’activité… ;
• Sécuriser l’État et les activités d’importance vitale : l’ANSSI dispose d’un pouvoir d’autorité et peut ainsi imposer aux administrations et aux opérateurs du secteur privé des mesures afin de se sécuriser avec une obligation de reporting ;
• Promouvoir la cybersécurité dans la société française : nous mettons à la disposition de l’ensemble du tissu économique et sociétal national (PME, associations…), les moyens qui vont leur permettre de se protéger et de se sécuriser. Pour ce faire, nous menons un important travail de pédagogie. Nous collaborons avec les industriels pour développer et renforcer leur offre en la matière. Nous mobilisons l’État au service de nos concitoyens pour répondre à ces enjeux de cybersécurité.

Pour porter ces vastes missions, l’ANSSI s’appuie sur plus de 600 agents.

Au cours des dernières décennies, la cybersécurité est devenue un sujet central et stratégique pour les États, les administrations, les villes, les collectivités et les entreprises de toute taille. Quelles sont les évolutions qui ont marqué ce secteur ?

Dans les années 90 à 2000, la cybersécurité a d’abord été une nuisance. C’était l’époque où nous installions tous des antivirus sur nos ordinateurs et les conséquences étaient assez restreintes. À la fin des années 2000 et le début des années 2010, la cybersécurité est devenue un enjeu stratégique pour les États, qui ont été les premières cibles des cyberattaques, mais aussi, pour certains, les premiers cyberattaquants dans une logique d’espionnage et de déstabilisation. La création de l’ANSSI en 2009 est intervenue entre deux événements majeurs : les cyberattaques de 2007 qui ont fortement déstabilisé l’Estonie et les premières affaires d’espionnage à Bercy.

Une décennie plus tard, la cybersécurité n’était alors plus seulement un enjeu stratégique pour les États, mais un enjeu de société à cause de deux phénomènes qui ont totalement redessiné le monde de la cybersécurité. Nous avons assisté au développement du crime organisé dans le domaine de la cybersécurité avec l’explosion du recours aux rançongiciels. Les cyberattaquants ne s’en prennent alors plus aux États, mais vont cibler tout et tout le monde : les entreprises, les hôpitaux, les administrations, les collectivités locales… Aujourd’hui, l’industrialisation et la concentration des acteurs du numérique, notamment dans le domaine du cloud, posent un défi en matière de cybersécurité, mais aussi de souveraineté nationale.

Le Plan de Relance suite à la pandémie prévoyait un volet cybersécurité. Que faut-il retenir ?

Le plan de relance prévoyait, en effet, un volet cybersécurité, dont nous avons assuré le pilotage, avec un budget de 176 millions d’euros sur deux ans, soit près de 7 fois le budget annuel de l’ANSSI. Dans un contexte post-pandémie marqué par l’accélération de la transformation numérique, ce plan a été un formidable accélérateur pour nos missions ainsi que la possibilité de déployer des projets pour lesquels nous ne disposions pas de moyens financiers jusque-là. Le Plan de Relance nous a également permis de nous positionner sur de nouveaux domaines. Nous avons notamment pu déployer une logique de parcours de cybersécurité destinés aux hôpitaux et aux collectivités locales, qui n’ont pas forcément la même maturité sur le sujet que nos bénéficiaires habituels. Cette démarche permet aujourd’hui à des établissements hospitaliers d’éviter d’être paralysés par des rançongiciels.

En juin 2023, l’Assemblée a voté un élargissement de vos prérogatives. Qu’en est-il ?

L’ANSSI, à sa création, a été dotée de moyens d’action, de prérogatives et de leviers par des textes de loi successifs, et plus particulièrement par les différentes Lois de Programmation Militaire de 2013, de 2018 et de 2023. Cette démarche nous permet, dans le cadre de la loi, de fixer des prérogatives, de vérifier leur proportionnalité, leur équilibre, mais aussi de fixer les limites que nous devons respecter. C’est une dimension que plusieurs de nos voisins et partenaires internationaux nous envient, car ces derniers ne bénéficient pas de la même écoute et prise en compte au niveau de leurs parlements nationaux. Et c’est aussi une très belle illustration du fonctionnement de notre démocratie !

Plus particulièrement, la Loi de la Programmation Militaire de 2023 est venue développer spécifiquement nos capacités opérationnelles, dans le cadre de notre première mission de réponse aux attaques. Si nos capacités en la matière ont été renforcées, les actions et les moyens déployés doivent néanmoins s’inscrire dans un cadre légal. Ce renforcement de nos prérogatives a donné lieu à un débat sur de la notion de proportionnalité et des sujets sensibles, comme l’accès aux données, le blocage de flux… Ce travail et ces dialogues ont permis d’aboutir à un très bon encadrement de ces enjeux. Nous nous félicitons de pouvoir avoir ces échanges constructifs et ouverts avec la représentation nationale.
En parallèle, nous nous préparons à la transposition de la directive européenne NIS 2 qui va étendre nos prérogatives de réglementation en amont et nos capacités à cadrer les mesures de cybersécurité qui sont déployées par des myriades d’acteurs. Dans cette continuité, nous allons ainsi passer de 500 à près de 10 000 acteurs régulés.

Les grands événements sportifs prévus dans notre pays, tels que les JOP 2024, posent aussi un enjeu en matière de cybersécurité. Un rapport a, d’ailleurs, été publié en ce sens. Quelles en sont les grandes lignes ?

Ces événements, et encore plus particulièrement les Jeux Olympiques et Paralympiques, jouissent d’une très forte visibilité et ont une très grande portée symbolique, médiatique et économique. C’est aussi des cibles pour l’ensemble des cyberattaquants, notamment les attaquants étatiques qui pourraient vouloir s’en prendre à ce symbole et porter ainsi atteinte à l’image de la France, au regard du contexte géopolitique actuel extrêmement complexe. La France est ainsi une cible pour le crime organisé qui est conscient de la portée économique et « business » d’un tel événement.

Pour des acteurs plus revendicatifs et de la mouvance activiste, qui ne sont pas notre cœur de cible traditionnel, c’est une occasion pour attirer l’attention médiatique et gagner en visibilité. Forts de ces constats, nous sommes amenés à considérer divers scénarios d’attaque qui ont été décrits dans ce rapport et qui peuvent prendre la forme, par exemple, d’atteinte à la compétition, aux systèmes antidopage, aux systèmes de chronométrage… Des attaques qui viendraient, in fine, perturber le bon déroulement des épreuves sportives et de l’événement dans sa globalité. Et à cela s’ajoute un risque plus élevé d’attaques sur le tissu économique pendant les Jeux Olympiques et Paralympiques.
Nous devons donc nous préparer à toutes ces éventualités. Pour ce faire, nous sommes amenés à collaborer et à interagir avec l’univers du monde sportif et les acteurs qui opèrent dans cet écosystème afin de se préparer aux Jeux Olympiques et Paralympiques.

“Notre rôle et nos missions sont exclusivement défensifs. Nous nous adressons à l’ensemble du tissu national afin de garantir la cybersécurité de tous et de trouver les solutions les plus adéquates pour les particuliers, les entreprises et les administrations.”

Dans un monde fortement perturbé notamment sur le plan géopolitique, la cybersécurité représente un enjeu pour la France, mais aussi pour l’Europe de manière plus générale. Pour déployer une stratégie européenne de la cybersécurité, quels sont les principaux enjeux selon vous ?

S’il est bien évidemment nécessaire de préserver un arbitrage subtil entre les prérogatives nationales et européennes, l’ANSSI soutient la construction de la cybersécurité au niveau européen. En effet, parce que les États membres sont tous interconnectés, il est nécessaire, voire vital, d’avoir une approche européenne de la cybersécurité. Toutefois, il s’agit d’une démarche complexe à cause de plusieurs facteurs, dont les principaux sont les niveaux de maturité très hétérogènes entre les différents États, ainsi que des différences notables en termes de moyens alloués, d’exposition et de perception de la menace, d’organisation. Dans cette démarche d’harmonisation de la cybersécurité à une échelle européenne, le premier volet est réglementaire. J’ai précédemment cité la directive NIS 2, mais d’autres projets sont en cours de préparation.

Ils ont vocation à rendre le cadre européen de la cybersécurité plus lisible et vont également avoir un impact bénéfique sur le plan économique et sociétal. Nous sommes aujourd’hui dans une phase pivot, où au-delà de ce travail réglementaire, il y a également des efforts pour optimiser le pilotage de la recherche et du développement en matière de cybersécurité en s’appuyant sur un réseau de centres de compétences nationaux, qui travaillent de concert. Il s’agit aussi d’arriver à mettre en place une forme de solidarité entre États membres. Aujourd’hui, dans le cadre du réseau CyCLONe, j’échange avec mes 26 homologues européens quand nous sommes confrontés à des situations d’urgence. En parallèle, le commissaire Thierry Breton a présenté une initiative législative pour structurer cette solidarité qui ne doit pas uniquement concerner les agences, mais doit aussi inclure les prestataires.

Les compétences restent aussi un enjeu clé dans ce secteur où il y a une véritable guerre des talents. Quels sont les profils que vous recherchez et quelles sont les perspectives de carrière que votre agence peut offrir aux ingénieurs ?

L’agence est une entité atypique dans le paysage administratif de par ses missions et le profil de ses agents. Au sein de l’ANSSI, nous avons un très fort ADN d’ingénieurs. La majorité de nos effectifs sont des ingénieurs et on retrouve également une belle proportion de docteurs qui réalisent leurs travaux de thèses au sein de nos laboratoires de recherche internes. La constitution de nos équipes est donc très différente de celle des services « classiques » de l’État et du Premier ministère, plus particulièrement. Au-delà, on retrouve aussi dans nos équipes des juristes, des spécialistes de la communication, des relations internationales, des politiques publiques.

J’ai tendance à dire que la principale force de l’ANSSI est d’être une « maison polyglotte » qui maîtrise la technique et les dimensions politiques. En effet, nous devons être en mesure d’échanger avec nos différentes parties prenantes, les parlementaires, nos partenaires internationaux, les médias, dans la langue qu’elles comprennent.

Pour des ingénieurs, il est évident que le monde de la cybersécurité et de la cyberdéfense est porteur d’une multitude d’opportunités. C’est aussi un secteur ultra-compétitif où il y a une guerre des talents. Dans ce monde, l’ANSSI se démarque à plusieurs niveaux. Nous sommes véritablement au cœur du réacteur, de l’action publique, de la technique et des enjeux politiques, géopolitiques, économiques et sociétaux.
Nous avons un impact qui est mesurable sur le monde qui nous entoure. En effet, au sein de l’ANSSI, nous servons la France et ses intérêts.
Sur un plan plus personnel, j’ai passé quinze ans à l’ANSSI et, après un passage à l’OSIIC, l’Opérateur des Systèmes d’Information Interministériels Classifiés, j’y suis de retour depuis un peu plus d’un an. Nous avons la chance de travailler sur des sujets et des enjeux passionnants et intéressants, qui évoluent très vite. Aucune journée ne se ressemble ! Enfin, l’ANSSI, c’est aussi une formidable carte de visite. Aujourd’hui, on retrouve des anciens de l’ANSSI dans tous les métiers de la cybersécurité en France et dans le monde entier.

Et pour conclure, quelles pistes de réflexion pourriez-vous partager avec nos lecteurs ?

Tout d’abord, il me semble important de se demander, voire d’anticiper, comment la cybersécurité, et plus largement le numérique, vont évoluer et se structurer. Il me semble évident que nous nous dirigeons vers une logique de bloc, avec un monde du numérique qui restera dominé par les États-Unis.

En parallèle, se pose aussi la question de l’industrialisation de la cybersécurité, dans un monde où le numérique est omniprésent et où le risque cyber ne menace plus uniquement les États ou les grandes entreprises, mais tout le monde. Le principal défi est de faire passer à l’échelle les solutions de cybersécurité sans tomber dans un schéma où les compétences sont concentrées entre les mains de quelques grands acteurs, ce qui créerait une situation de dépendance et donc un risque pour notre souveraineté.

Enfin, dans une démarche plus prospective, il s’agit aussi de réfléchir à comment nous pouvons mieux accompagner les futures grandes évolutions technologiques. Cela nécessite une réflexion approfondie autour des notions de dépendance, de gestion des risques, de continuité et de résilience, mais aussi une forme d’anticipation technique en s’assurant notamment que nous disposons des forces vives, ingénieurs, docteurs, chercheurs, pour mieux les appréhender.

Cybersécurité Sécurité informatique