Au cours de l’année 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a enregistré une hausse de 18 % du nombre d’incidents de cybersécurité au sein des systèmes d’informations de ses bénéficiaires. En parallèle, l’arsenal législatif français et européen s’est davantage étayé en faveur d’une protection du cyberespace communautaire plus efficace.
Mi-avril, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié son rapport d’activité 2024, intitulé « La montée en puissance de l’écosystème cyber ». Un compte rendu commenté par son directeur général, Vincent Strubel : au cours de l’année 2024, « le dispositif de cyberdéfense national mis en place par l’Agence a été éprouvé » par les Jeux olympiques et paralympiques de Paris, les élections européennes et législatives, dans un objectif de « déstabiliser ces temps forts démocratiques », développe-t-il.
L’ANSSI, service du Premier ministre, créé en 2009, est placé sous l’autorité du secrétaire général de la défense et de la sécurité nationale. Il s’agit d’une autorité nationale de régulation en matière de cybersécurité et de cyberdéfense, chargée de protéger les systèmes d’information. Elle dispose de cinq principales missions : défendre les systèmes d’information critiques et les victimes de cyberattaques d’ampleur, connaître l’état de la cybersécurité et les menaces cyber, partager la connaissance, les recommandations et son expertise sur ces sujets, accompagner l’écosystème national et international et enfin, réguler les organisations, les produits et les services de cybersécurité.
Hausse de 18 % du nombre d'incidents
Pour l’année 2024, l’Agence disposait d’un budget de 29,6 millions d’euros (hors masse salariale) et comptait dans ses rangs quelque 656 agents civils. Elle a produit 11 rapports de menaces et d’incidents sur l’année et d’observer une hausse de 15 % des événements de sécurité qui ont donné lieu à un traitement par les équipes opérationnelles, par rapport à l’année précédente.
L’ANSSI enregistre également une explosion à hauteur de 59 % des rapports d’audit automatisés et une augmentation de 18 % du nombre d’incidents enregistrés. L’Agence confirme que ces incidents sont les conséquences d’actes malveillants réalisés avec succès sur les systèmes d’information de leurs victimes.
Mobilisée lors des Jeux olympiques et paralympiques de Paris, l’Agence a détecté au total 548 événements de cybersécurité. 465 signalements et 83 incidents cyber ont été enregistrés.
Accompagnement accru par l'ANSSI
En 2024, l'activité de l’ANSSI a été marquée par l’adoption, au cours du mois de janvier, du schéma européen de certification de cybersécurité fondé sur des critères communs, nommé EUCC. Ce dernier vise les produits relatifs aux technologies de l’information et de la communication au sein de l’Union européenne, développé dans le cadre du Cybersecurity Act, et que l'Agence a contribué à concevoir. En tant qu’autorité nationale de certification de cybersécurité, elle est désormais chargée de délivrer les certifications pour le niveau élevé et de surveiller la bonne application du schéma en France.
Autre temps fort, le premier tour des élections législatives en France, en juin dernier. Dans ce cadre, l’ANSSI a réalisé un accompagnement accru du ministère des Affaires étrangères afin de sécuriser le vote sur Internet des Français de l’étranger.
L'Agence semble avoir fait de l'accompagnement un fil rouge en 2024, puisqu'en fin d'année dernière, elle a lancé un nouvel appel à projets, baptisé « Soutien aux PME et start-up pour renforcer leurs compétences dans le domaine de la cybersécurité ». Cette initiative s’inscrit dans le cadre du plan « France 2030 », doté de 54 milliards d’euros de budget sur cinq ans, réalisé en partenariat avec la BPI France.
Par ailleurs,
Cybermalveillance.gouv.fr. - plateforme que pilote le GIP Acyma, incubé par
l’ANSSI - et le ministère de l’Intérieur ont lancé en décembre dernier le
17Cyber, un guichet unique qui offre une assistance en ligne disponible 24
heures/24 et 7 jours/7 à toutes les victimes d’infractions numériques, qu’elles
soient des particuliers, des entreprises ou des collectivités.
La transposition de la directive NIS-2 au cœur des travaux de l’Agence
L’ANSSI a en outre été
chargée de piloter la transposition de la directive NIS-2 et d’assurer sa mise
en application en France. Voté par les députés européens le 10 novembre 2022,
le texte vise à renforcer le niveau de cybersécurité des secteurs économiques
et administratifs des pays membres de l’Union européenne. Contrairement à la
première version de la directive, nommée NIS, le NIS-2 élargit son champ
d’application et ne se concentre pas uniquement sur la cybersécurité des
acteurs économiques européens majeurs. Les administrations étatiques, les
collectivités territoriales, les moyennes et les grandes entreprises agissant
dans le cadre de 18 secteurs d’activité sont ainsi concernées par cette
nouvelle version de la directive.
« La directive NIS-2 engage et redéfinit les rôles de l’Agence, en ajoutant à l’accompagnement et la défense de ses bénéficiaires des prérogatives de contrôle et de supervision des entités concernées par la directive », indique le rapport. L’Agence a ainsi organisé diverses consultations des fédérations professionnelles concernées, des associations d’élus locaux et des ministères, dans « une logique de co-construction » de la transposition de la directive. Objectif : prendre en compte les réalités et les besoins des différentes entités prochainement concernées par le NIS-2.
L'Agence a également assuré, toujours au cours de l’année 2024, la coordination de l’élaboration du projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle du secteur financier. Le titre II, « Cybersécurité », vise justement à transposer la directive NIS2 dans le droit français. Elle a a aussi coordonné les négociations sur le règlement d’exécution NIS-2 au niveau européen.
Au-delà du NIS-2, un cadre réglementaire en profonde mutation
Le règlement sur la cyber-résilience ou Cyber Resilience Act fait partie de ce volet règlementaire en cours d’approfondissement à l’échelle européenne et complète le NIS-2. Il entend sécuriser les produits numériques utilisés dans l’Union européenne par les organisations, mais aussi par le grand public. Publié en novembre 2024 et entièrement applicable dès décembre 2027, le texte « définit des exigences minimales de cybersécurité pour l’ensemble des produits comportant des éléments numériques mis à disposition sur le marché européen », développe le rapport de l’ANSSI.
L’Agence a participé, au cours de l’année 2024, « à l’aboutissement des négociations du règlement sur la cyber-résilience au niveau européen » avant d’entamer des travaux de mise en œuvre du texte, comme l’explique le bilan d’activité de l’Agence. Pour le chef de la division Produits et services de sécurité au sein de l’ANSSI, Sylvain Leroy, le Cyber Resilience Act « a été pensé en miroir de NIS-2 pour permettre une juste répartition de l’effort sur l’élévation du niveau de cybersécurité européen entre les fournisseurs de solutions numériques et les organisations soumises à la réglementation NIS-2 ».
Le rapport d’activité de l’Agence se félicite également de la récente révision du règlement eIDAS, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur européen. L’objectif de ce texte, dont la première version date de juin 2014, est de faciliter la sécurité des transactions numériques transfrontalières. Dix ans plus tard, l’ANSSI a participé aux travaux de révision du règlement, afin « d’inclure plus largement le secteur privé et de promouvoir une identité numérique fiable pour tous les citoyens européens », précise le rapport.
Enfin, le cadre réglementaire européen a été davantage étayé en 2024, avec l’adoption de l’EUCC (EU Common Criteria), le premier schéma de certification européen conforme aux réglementations communautaires de cybersécurité pour les produits issus des technologies de l’information et de la communication. Cet EUCC a été adopté le 31 janvier 2024 avant d’entrer en vigueur le mois suivant. C’est dans ce cadre que l’ANSSI a déposé un dossier auprès du Comité français d’Accréditation (COFRAC), en octobre 2024, pour devenir le centre de certification national, habilité à délivrer les certificats EUCC. Si elle obtient l’autorisation, l’Agence deviendra alors l’Autorité nationale de certification et de cybersécurité.
Anticiper les nouveaux enjeux technologiques
En parallèle de ce travail d’approfondissement des réglementations nationales et européennes, l’Agence s’est engagée dans la stratégie nationale sur l’IA, financée à partir du plan d’investissement « France 2030 », dont le but est d’accompagner « la montée en maturité » de start-up et de projets de recherche sur la cybersécurité face et avec l’intelligence artificielle. Elle a aussi publié un guide nommé « Recommandations de sécurité pour un système d’intelligence artificielle générative ».
Par ailleurs, d’autres enjeux de cybersécurité sont intrinsèquement liés à la cryptographie post-quantique qui pourrait, à moyen terme, être développée par des individus malveillants et engendrer un effondrement de « la sécurité de la cryptographie à clé publique largement déployée pour sécuriser les infrastructures numériques », explique le rapport d’activité. Face à ce constat, l’Agence a défini, en 2024, deux axes stratégiques afin d’entamer de premières réflexions sur le sujet : l’un pour accompagner le développement d’une offre de produits de sécurité qui intègre une nouvelle génération d’algorithme cryptographiques capables de résister à l’ordinateur quantique et le second pour accompagner la migration des systèmes d’information des bénéficiaires de l’Agence.
L’ANSSI a également entamé des réflexions à l’échelle européenne et en partenariat avec ses homologues allemands, néerlandais et suédois. Un position paper, pour aider les décideurs et responsables politiques à porter un jugement éclairé sur la question, est né de cette collaboration. Même si le travail et les discussions sont amorcés, l’ANSSI estime qu’une transition vers une cryptographie post-quantique nécessitera plusieurs années de travail et représenterait l’un des principaux défis européens et internationaux de la prochaine décennie.
Inès Guiza