Retard de NIS2 : l'Anssi en attente de ses pouvoirs de gendarme
Auditionné par la commission des affaires économiques du Sénat le 8 juillet 2026, Vincent Strubel a insisté sur les conséquences pratiques d'une non-transposition de la directive NIS2, en dehors même du risque d’amende qui se profile avec la saisine de la Cour de justice de l'Union européenne (CJUE) par la Commission. Ce texte est indispensable pour que l'Anssi exerce pleinement son rôle de gendarme à l'heure où la menace est amplifiée par l'intelligence artificielle, l'ordinateur quantique et la géopolitique.
© Capture vidéo Sénat/ Audition de Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information
Hasard de calendrier, le directeur de l’Anssi (Agence nationale de la sécurité des systèmes d’information) était auditionné le jour même où l’on apprend que la Commission européenne a effectivement saisi la CJUE d'un recours contre la France - aux côtés de l'Irlande, de l'Espagne et des Pays-Bas - pour défaut de transposition de la directive NIS2, dont l'échéance était fixée au 17 octobre 2024.
Pouvoir contrôler et sanctionner effectivement
Car le texte revêt une importance particulière pour l'agence sommée par les pouvoirs publics d'en faire plus face à la multiplication des cyberattaques affectant, notamment, les administrations. Il faut "nous donner les moyens d'agir" a plaidé Vincent Strubel devant des sénateurs. En pratique, l'agence ne peut aujourd'hui imposer des règles qu'aux quelque 300 opérateurs d'importance vitale régulés par la loi de programmation militaire de 2013. La directive NIS2 étend son pouvoir à environ 20.000 entités, dont environ 1.500 collectivités en tant qu'entités essentielles, que l’agence pourra contrôler et éventuellement sanctionner si elles ne respectent pas les exigences de la directive.
Ce retard prive l'agence d’une autorité qui lui "fait cruellement défaut", mais pèse aussi sur une filière de plus de 11 milliards d'euros et 50.000 emplois. Malgré les incitations de l'agence à "anticiper", les organisations reportent leurs investissements dans l'attente du cadre légal, avec un effet direct sur les carnets de commandes des entreprises du secteur.
Anticipation d’une période mouvementée
L'urgence est d’autant plus forte que "ça va secouer dans les trois ans à venir" selon le DG de l’Anssi, sous l'influence de plusieurs facteurs, dont la géopolitique. Le directeur ne prend plus de gants en citant nommément la Russie et la Chine dans les menaces pesant sur les systèmes informatiques et les infrastructures physiques. L'intelligence artificielle agit ensuite comme un "multiplicateur de force", permettant de viser bien plus de cibles à la fois. Surtout, elle provoque une explosion des vulnérabilités identifiées dans les logiciels. Le modèle Mythos d'Anthropic, auquel l'agence n'a pas eu accès, n'est que "l'arbre qui cache la forêt" d'un impact documenté de l'IA : si la découverte de failles va progresser, les DSI devront suivre en appliquant les patchs. S'y ajoutent enfin les fausses alertes, avec des attaques revendiquées mais non avérées - 60% des fuites de données sur lesquelles l'agence a enquêté n'en étaient pas - qui pèsent inutilement sur les équipes cyber.
L’Anssi invite enfin à se préparer dès maintenant à l'ordinateur quantique, attendu d'ici 10 ans. Cette technologie menace de casser la cryptographie (1) qui fonde les protections actuelles. La parade, la cryptographie post-quantique, existe mais va devoir être déployée. Dès 2027, l'Anssi cessera de certifier les solutions non résistantes et à partir de 2030, elle n'acceptera plus rien de non protégé.
La cybersécurité, socle de la souveraineté
Interrogé sur la question de la souveraineté, Vincent Strubel a estimé que le premier niveau de souveraineté consistait à "ne pas être une victime facile des cyberattaques". Une exigence de cybersécurité qui intervient avant même le fait de ne pas subir des règles décidées par d'autres (du type lois extraterritoriales ou coupure de service intempestive) et de disposer d'une liberté de choix technologique avec des solutions européennes, "ce qui relève de la politique industrielle". Ces exigences irriguent la démarche SecNumCloud, qui compte désormais 17 offres qualifiées et s'impose aux administrations et à certains GIP pour le stockage de données sensibles. Elle a cependant été récemment remise en cause par des acteurs privés majeurs de la santé numérique qui préféraient voir dans les marchés publics une obligation de résultat, via des audits, à une norme qui briderait l'innovation et renchérit les coûts de stockage.
(1) cryptographie : technique d'écriture où un message chiffré est écrit à l'aide de codes secrets ou de clés de chiffrement.
› Examen en septembre ?À l’occasion d’un événement organisé par le Clusif le 1er juillet 2026, la ministre du numérique, Anne Le Hénanff, a exprimé l’espoir d'un examen du projet de loi Résilience "en septembre", sans pouvoir l'assurer à ce stade. D'ici là, la mission confiée au député Florent Boudié sur les politiques publiques de sécurité à l’ère numérique devrait avoir rendu son rapport. Celui-ci doit éclairer le gouvernement sur la question de l’accès des autorités à certains contenus des messageries chiffrées, les sénateurs ayant introduit une disposition (art.16 bis) visant à l'interdire. Celle-ci a suscité des réserves de la DGSI et explique, en partie, le retard accumulé. |