Félicitations adressées à “l’équipe de France de la cyber”, grands chantiers règlementaires (NIS2 et CRA), SecNumCloud vs EUCS, le directeur général de l’Anssi Vincent Strubel est venu ouvrir, à Monaco, la 24ème édition des Assises de la cybersécurité et présenter les grandes lignes de la roadmap de l’Agence nationale de sécurité des systèmes d’information.
Pour démarrer, Vincent Strubel, directeur général de l’Anssi (Agence nationale de sécurité des systèmes d’information), s’est, avant tout, réjoui de la mobilisation de toute “l’équipe de France de la cyber” à savoir l’Etat, les organisateurs, les partenaires privés, les relais de proximité et les partenaires internationaux : “Ça n’arrive pas souvent dans nos métiers de la cyber de pouvoir revendiquer une victoire claire et non ambiguë. Une victoire qui illustre parfaitement le thème des Assises de cette année “ensemble”. La victoire d’un collectif très largement représenté ici. Des jeux qui se sont déroulés dans un contexte sans précédent avec la superposition d’une menace stratégique et systémique. Notre objectif était de parler un maximum des jeux avant pour en parler le moins possible pendant. Voire pas du tout. Objectif atteint, rappelle-t-il. Si, de l’extérieur, l’impression a pu être donnée que rien de s’est produit, des choses, on en en vues.
Des gens nous en voulaient vraiment et dans toutes les composantes de la menace. Ceux qui savent faire des attaques et ceux qui le savent moins, mais qui sont très bon communicants et savent entretenir l’anxiété.” Le directeur général a adressé ses remerciements et un immense bravo, déclarant “que nous pouvons être fiers collectivement d’avoir apporté notre petite pierre dans la ligne d’eau de cet événement exceptionnel”. Vincent Strubel a également évoqué un constat porteur d’espoir, à savoir l’aide apportée aux petites structures, celles pour qui la cybersécurité n’est, et ne sera jamais, une priorité. “Cela fonctionne et produit des résultats. On en a accompagné des centaines dans le déploiement d’hygiène numérique de base, des bonnes pratiques. On les a aidées à s’entrainer pour réagir vite et bien, et elles ont été capables de faire face. Cela rend à notre portée le passage à l’échelle et nous prépare pour la suite.”
NIS2 et le CRA pour répondre à l’enjeu global de sécurité nationale
La suite sous-entendue ici, c’est NIS2 et le CRA. Deux chantiers majeurs. “Pour NIS 2, je corrige le quiproquo : il ne va se passer se passer grand-chose le 17 octobre, car il faut un projet de loi. Les choses vont reprendre dans un esprit de co-construction et de recherche de proportionnalité. Cela va se passer sans précipitions, car il y a des mois encore de préparation sur le cadre réglementaire et les mesures techniques qui vont décliner tout ça. Je rappelle que nous attendrons trois ans avant d’exiger une conformité complète et d’envisager des sanctions pour les manquements.” Pas de précipitation, certes, mais pas de désinvolture pour autant, a-t-il ajouté : “Nous n’attendrons pas trois ans pour exiger certaines choses simples, comme l’enregistrement auprès de l’Anssi, la notification des incidents. Trois ans ça passe très vite.”
EUCS : la France ne renoncera pas à ses convictions
Sur le règlement Cybersecurity Resilience Act (CRA), deuxième chantier, qui n’exige pas de travail de transposition et prévu pour le même horizon temporel que NIS2, « il y a un enjeu sur ce qui s’apparente à une prolongation de NIS2 quant à la sécurité de tous les produits numériques. Y compris les brosses à dents connectées !”, illustre, amusé par l’exemple, Vincent Strubel. Enfin, pour terminer, le directeur général a voulu délivrer un message fort sur le sujet du cloud et de la difficulté d’aboutir à un cadre harmonisé au nouveau européen portant nos exigences, nos convictions en matière de sécurité y compris en matière de droit non européen : “Je remercie tous les acteurs qui se mobilisent pour rappeler l’importance de ces critères aux autres Etats membres et les rassurent : on ne peut pas forcément imposer nos vues, mais on ne va pas pour autant renoncer à nos convictions. Donc on va harmoniser tout ce qui peut l’être et ce qui ne fait pas consensus on le garder au niveau national dès l’ordre que cela rejoint les enjeux de sécurité nationale.”