Attendu sur les péripéties du FIC 2023, Vincent Strubel, directeur général de l’Anssi, n’entend pas commenter l’absence ou la présence a minima de l’administration et de l’agence à Lille. Il sera néanmoins présent pour son intervention prévue jeudi et des agents de la maison circuleront dans les allées, « pour discuter avec l’écosystème », précise le dirigeant. Sur le salon, il mettra en avant son principal défi : le passage à l’échelle de la cybersécurité en France.
Profiter de la transposition de la directive NIS 2
« Il ne faut plus d’angles morts dans la cybersécurité, car plus personne n’est épargné, petites entreprises, collectivités, hôpitaux,... », précise Vincent Strubel en renvoyant au panorama des menaces présentées il y a quelques mois. Cette « massification doit également préparer une crise majeure, avec plusieurs cyberattaques ou des campagnes en volume », prévient-il avant d’ajouter « nous devons être capables de mobiliser l’écosystème avec un cadre commun de réponse ». Ce passage à l’échelle passe par ailleurs par le cadre réglementaire et plus exactement la transposition de la directive NIS 2.
Cette dernière a été adoptée en décembre 2022 et doit être maintenant transposée dans la loi française. « Elle change de paradigme avec une extension massive des opérateurs qui vont être soumis à des contraintes de cybersécurité », observe le directeur général. Il estime que le nombre d’OSE (opérateurs de service essentiel) devrait être « multiplié en fonction des projections par 10 ou 20 par rapport à NIS 1 ». Une forte augmentation qui devra mobiliser les talents de l’Anssi (qui voit ses recrutements augmenter de 40 personnes par an) mais aussi « d’un outillage et d’une automatisation pour accompagner les OSE dans leurs démarches ». Dans ce cadre, Vincent Strubel estime que l’agence va devoir évoluer et utilise des métaphores « nous avons été habitués à faire de la « haute couture » et il faut cultiver cette excellence, mais nous devons maintenant faire du « prêt-à-porter » pour toucher plus de monde ».
Le challenge des JO 2024
Un autre événement de taille internationale va mobiliser les équipes de l’Anssi : les Jeux Olympiques et Paralympiques de 2024. « Depuis 6 mois, nous avons réalisé une cartographie des acteurs et nous débutons maintenant la phase d’audit et de l’accompagnement avant d’aller vers la phase de préparation opérationnelle et la gestion de crise », indique Vincent Strubel. Ces travaux « sont nouveaux pour l’Anssi », mais l’agence dispose de base solide pour y faire face.
Interrogé sur les récentes campagnes DDoS notamment sur celle ayant touché l’Assemblée nationale, le patron de l’Anssi a relativisé cette menace, « il ne faut pas confondre embouteillage et carambolage ». Il est plus inquiet sur la menace crapuleuse qui attaque pour faire de l’argent et qui aujourd’hui « pêche au chalut », ainsi que les offensives d’origine étatique et para-étatique. Enfin, sur le cloud de confiance et la labellisation des différentes initiatives Bleu, S3NS, … Il a rappelé que « la mise à jour du référentiel a été faite, plusieurs qualifications sont en cours et le niveau d’exigence est très élevé ». A propos des différents candidats, il ajoute « ce sont des candidats naturels et ils semblent crédibles ».