2024 a été une année intense en menaces et « 2025 commence comme 2024, peut-être en pire », a indiqué Vincent Strubel directeur général de l’ANSSI dans son discours inaugural du Forum Incyber, qui se déroule à Lille du 1er au 3 avril. Une approche anxiogène pour bien appuyer sa démonstration et qui se résume en « il faut remonter le niveau de jeu en matière de cybersécurité, face aux bouleversements géopolitiques ». L’agence a dressé quelques pistes de ces changements dans le panorama des menaces 2024 notamment autour de la déstabilisation par des acteurs étatiques ou de la cybercriminalité organisée. C’était vrai notamment pendant la période des Jeux Olympiques, mais Vincent Strubel appelle à ne pas baisser la garde. « Il faut garder à l'esprit que c'était peut-être un exercice pas si compliqué, dès lors que nous avions du temps pour nous préparer, que nous savions ce à quoi nous devions faire face », observe-t-il.

Pour lui, « cette pression permanente est quelque part un moyen de nous affaiblir sur le plan économique, par la perturbation, voire la faillite de nombreuses entreprises ». Face à ces risques, les experts de la cybersécurité doivent se mobiliser à la fois pour en parler, mais aussi pour agir. Sur ce second point, « la directive NIS 2 arrive à point nommé et c’est une nécessité », poursuit Vincent Strubel. La transposition du texte et deux autres cadres - REC (résilience des infrastructures critiques) et Dora (pour les établissements financiers) - a été adoptée récemment par le Sénat et doit prochainement être discutée à l’Assemblée nationale. « Ces textes vont être l’occasion de parler de cybersécurité à des petites structures et cela avant que des attaquants leurs en parle de manière moins agréable », glisse le dirigeant.

Un portail dédié pour les petites structures est ouvert

Pour adresser ces structures, il est nécessaire d’adapter l’offre de cybersécurité. Impossible d’appliquer les mêmes exigences que pour des opérateurs d’importance vitale (OIV). Vincent Strubel mise sur la pédagogie et la simplicité avec plusieurs initiatives : Monservicesecurise, Monaidecyber et le dernier né, un portail Messervicescyber.gouv.fr. Celui-ci « guide le lecteur en fonction de sa maturité, de sa taille, de son statut régulé ou pas, vers les bonnes ressources, pour ne pas se perdre dans les mélanges d'un référentiel hyper technique, alors que ce qu'il cherche, c'est juste les 12 mesures d'hygiène », souligne-t-il.

La mobilisation n’est pas que l’œuvre de l’Anssi, mais d’autres initiatives sont à mettre en avant comme la montée en puissance des CSIRT régionaux. Ces entités en charge de l’assistance aux victimes au niveau local gagnent en visibilité avec l’annonce dans le cadre du FIC d’un rapprochement avec la plateforme 17Cyber de deux CSIRT (Occitanie et Nouvelle Aquitainep). Dans ces territoires, les victimes sollicitant le 17Cyber bénéficieront désormais de l’assistance téléphonique des CSIRT. Vincent Strubel n’écarte pas le développement de l’offre privée toujours au niveau local à travers les Campus cyber régionaux. « Ils sont un lieu de rencontre naturelle entre les bénéficiaires de ces outils et les offreurs », appuie-t-il.

Des chantiers européens en cours

Il n’oublie pas le niveau européen en ayant signé au début de la semaine pour les premières certifications de sécurité EUCC. A cette échelle, plusieurs chantiers vont être lancés dans les prochains mois comme celui du Cyber Resilience Act, qui fixe des obligations pour les fournisseurs de produits numériques, sur la conception, mais aussi sur la gestion des vulnérabilités, du cycle de vie.

Une manière de rajouter une couche sur les équipements de sécurité en bordure de réseau (firewall, gateway, VPN, …) qui ont été particulièrement ciblés par les attaquants ces derniers temps. « Nous prenons le risque d’être submergés, car en quelques heures des milliers d’équipements sont compromis », souligne Vincent Strubel. Et de marteler l’intérêt de la certification et des visas de sécurité. « Il y a un énorme travail de standardisation », assure-t-il.