Directive NIS 2 : l'Anssi promet des obligations cyber "adaptées" aux communes

Le nouveau directeur de l'Anssi, Vincent Strubel, a détaillé sa feuille de route placée sous le signe de la "massification" de la réponse aux menaces cyber. Il a confirmé que les obligations cyber européennes de la directive NIS 2 s’appliqueraient bien aux communes mais seraient "adaptées".

Vincent Strubel a détaillé le 4 avril 2023 la nouvelle feuille de route de l’Agence nationale de la sécurité des systèmes d’information (Anssi) dont il a pris la tête début 2023. "Jusqu’ici, l'Anssi se concentrait sur 500 à 700 acteurs régulés : État, acteurs liés à la sûreté nationale, opérateurs d’importance vitale (OIV) et de services essentiels. C’est généralement contre eux que se concentraient les attaques. Mais, désormais, les attaquants pêchent au chalut. Il n’y a plus de particuliers, de PME, de collectivités, d’établissements de santé qui puissent se considérer comme à l’abri " a-t-il déclaré à l’AFP.

Mesures réglementaires adaptées aux communes

Cet élargissement du périmètre d’intervention de l’Anssi va également de pair avec la directive européenne NIS 2 (Network and Information Security, voir notre article du 16 janvier 2023). Celle-ci va multiplier par un facteur de "10 ou 20", le nombre de structures concernées par des obligations cyber et soumises à de potentielles sanctions. Le directeur de l’Anssi a indiqué que la directive était en cours de transposition mais il se confirme que les petites collectivités seront impactées. "La directive NIS 2 a vocation à s'appliquer aux collectivités et aux entreprises, y compris des petites, avec un niveau d'ambition dans les mesures réglementaires applicables qui sera forcément adapté à ces acteurs-là", a-t-il déclaré à France Inter. L’Anssi se fixe comme priorité de "porter ces sujets de cybersécurité au niveau des décideurs (…) parce que ce n'est pas que de la technique, la cybersécurité". L’objectif est de "leur faire prendre les réflexes de base, des mesures de prévention élémentaire" telles que la mise à jour des logiciels, le renforcement de la robustesse des mots de passe ou encore la mise en place de mécanismes d’authentification. Mais il faudra aussi que ces petites collectivités "se préparent à gérer la crise".

Interlocuteurs et services cyber pour tous

La directive NIS 2 comme la massification des attaques obligent l’Anssi à "changer d’échelle". L’agence souhaite "industrialiser" la réponse et développer du "prêt-à-porter pour toute la société". Elle souhaite ainsi que les particuliers, les associations, comme les collectivités et TPE disposent d’un "interlocuteur identifié" et de "services automatisés" tels que des outils de diagnostic en ligne, de déclaration d’incident ou encore une aide à la sécurisation des téléservices et sites publics (voir notre article du 14 décembre 2022). Pour mener à bien ce projet, l’agence entend s’appuyer sur l’écosystème des prestataires de sécurité, les "forces de police et de gendarmerie", Cybermalveillance et les centres régionaux de réponse aux incidents cyber (CSIRT). Interrogé sur la question des moyens, le directeur de l’Anssi a convenu que ses 600 agents "ne lui permettront pas de multiplier par 20 le nombre de traitement de bénéficiaires selon les mêmes logiques", ce qui nécessite "une nouvelle approche". Parmi les points en suspens, il y notamment le financement du fonctionnement des CSIRT régionaux, au-delà du million d’euros alloué par l’Anssi dans le cadre du plan de relance pour aider les conseils régionaux à les mettre en place.

Préparation des Jeux olympiques

À court terme, l'agence se concentre sur la préparation des Jeux olympiques et paralympiques de 2024. L’Anssi s’attend à une nouvelle vague de rançongiciels mais aussi à des attaques ciblant les infrastructures qui pourraient "porter atteinte au déroulé même des Jeux ou à l'image de la France". Parcours cyber, kits de sensibilisation, exercices simulant des cyberattaques… l'agence s’efforce de préparer au mieux les acteurs territoriaux et sportifs à cette échéance. L’occasion aussi de tester des dispositifs auprès des territoires, susceptibles d’être étendus par la suite. L’agence sera enfin sur le pied de guerre pour aider à la gestion des éventuelles crises de cybersécurité pendant l'évènement.