L’Agence nationale de la sécurité des systèmes d'information a publié hier son rapport d’activité pour 2024. Une année charnière dans la cybersécurité, tant elle a été chargée en travaux. Elle a consacré la montée en puissance de l’ANSSI et son rôle au sein de l’Union européenne, l’agence était l’une des plus actives d’Europe. Sa labellisation SecNumCloud avait même servi à établir le niveau de sécurité High+ dans la première version d’EUCS, avant que le projet ne soit gelé, en attente d’une reprise des débats dans un contexte très différent de tensions avec les États-Unis.

• En France, le niveau de risque des cybermenaces est « particulièrement élevé »
• Vincent Strubel (ANSSI) : « On est en Ligue 1 des nations cyber »… face aux Russes et Chinois

Un travail de fond sur les nouvelles lois

L’ANSSI aborde en long et en large le nécessaire travail d’adaptation à l’évolution des cadres juridiques. L’Agence est ainsi très occupée avec la transposition en cours des directives européennes NIS2, DORA et REC. En France, ce travail a franchi une étape décisive il y a un mois avec le passage au Sénat du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, aussi appelé « PJL Cyber Résilience », qui transpose d’un coup les trois directives.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Cette loi va chambouler profondément la vie de nombre d’entreprises, qui vont devoir s’adapter à de nombreuses exigences. C’est surtout le cas avec la directive NIS2, comme nous l’avions détaillé dans un précédent article. L’ANSSI a commencé son travail d’accompagnement des milliers d’infrastructures concernées. Dans son édito, le directeur de l’ANSSI, Vincent Strubel, indique d’ailleurs que la transposition de NIS2 est vectrice d’une « transformation profonde de son organisation, de ses méthodes et de sa manière d’interagir avec ses bénéficiaires et ses partenaires ». Elle est également qualifiée d’ « extrêmement dimensionnante ».

L’ANSSI se dit ainsi « pleinement mobilisée » pour les 18 secteurs d’activités visés par NIS2. Elle a par exemple organisé des consultations auprès des fédérations professionnelles concernées, coordonné le travail d’élaboration du projet de loi et les négociations européennes sur le sujet, développé sa stratégie d’accompagnement, lancé un site dédié (MonEspaceNIS2, toujours en bêta), préparé son accompagnement et adapté ses outils.

On note aussi l’aboutissement d’un projet lancé en 2022 pour adopter une nouvelle organisation interne, apte à gérer les nouveaux défis. Il a débouché en début d’année 2025 sur la création de la mission Contrôles et Supervision, rattachée directement au directeur de l’ANSSI. Elle contrôlera la conformité des activités d’importance vitale, au règlement eIDAS (identité numérique) ou encore au règlement sur la cybersécurité (CSA). Ce sera aussi à elle de préparer les mesures correctrices qui seraient à prendre par les entités concernées par les nouveaux textes.

Coopération et action collective

On ne reviendra pas en détail sur les Jeux olympiques et paralympiques de l’année dernière, considérés par l’ANSSI comme un très grand succès. Le long travail préparatoire avait payé, comme l’indiquait déjà l’agence l’année dernière. « Comme pour nos athlètes olympiques, la cybersécurité des Jeux olympiques et paralympiques s’est préparée sur le temps long, bien avant le coup d’envoi », résume Julien Garcin, chargé de mission gouvernance.

• Bilan des JOP 2024 par l’ANSSI : 465 signalements et 83 incidents de cybersécurité

L’ANSSI revient surtout dans son rapport sur sa place centrale, la nécessité de la coopération et le succès d’une approche collective. L’agence se trouve en effet au cœur d’un grand écosystème mettant en présence des acteurs politiques (dont le gouvernement et le Parlement), institutionnels (ministères, autorités, collectivités, organismes de normalisation…), tous ceux de la cyberdéfense (dont les CSIRT et les forces de l’ordre), la communauté scientifique et technique, l’industrie de la cybersécurité et enfin les partenaires internationaux (dont l’ENISA européenne et l’OTAN).

L’anticipation des prochaines menaces

L’activité cybersécurité de l’ANSSI a été particulièrement intense en 2024. Ses capacités opérationnelles sont en pleine mutation, poussées par le besoin de s’adapter aux nouveaux cadres, mais également par la Loi de Programmation Militaire 2024 - 2030. Les JOP 2024 étaient d’ailleurs la première grande épreuve depuis le vote de cette dernière en 2023.

Le reste de l’année a vu tous les indicateurs décoller. L’ANSSI indique ainsi avoir traité 1 361 incidents de sécurité, soit 18 % de plus qu’en 2023. 4 386 évènements de sécurité ont été rapportés, soit 15 % de plus. L’ANSSI a également reçu 59 191 rapports d’audits automatisés, une progression de 56 %. 1 696 personnes ont été formées au CFSSI (Centre de formation à la sécurité des systèmes d’information) et 117 856 attestations SecNumacadémie ont été délivrées (le premier MOOC de l’ANSSI, lancé en 2022), une progression de 21 %. Pour cette année, le budget de l’agence était de 29,6 millions d’euros, hors masse salariale.

Si 2024 est qualifiée « d’exceptionnelle » par Vincent Strubel, l’ANSSI planche aussi sur la suite, en particulier quatre grandes verticales de réflexion et de recherche. L’IA d’abord et son rapport à la sécurité, qu’elle l’épaule ou qu’elle l’impacte. L’ANSSI a d’ailleurs publié l’année dernière ses recommandations pour l’IA générative.

La cryptographie post-quantique dans le collimateur

Autre « gros morceau », la cryptographie post-quantique (PQC). Comme le rappelle l’agence, « la menace d’attaques rétroactives (dites store now, decrypt later) nécessite une prise en compte de ce risque dès aujourd’hui ». La problématique n’a rien de nouveau et ne concerne pas que le quantique, on en parlait déjà il y a… plus de 10 ans. Nous avions expliqué le fonctionnement de cette cryptographie et étions revenu sur l’offre existante, jugée « très immature » par l’ANSSI.

Son avis étant connu, elle a poursuivi l’année dernière un travail sur deux axes : garantir la disponibilité d’une offre plus adaptée (intégrant notamment des algorithmes résistants) et accompagner la migration des systèmes chez les bénéficiaires de l’agence.

Enfin, les deux autres axes concernent la sécurité du cloud (avec la promotion de SecNumCloud bien sûr) et la Data-Centric Security (DCS). Celle-ci est explorée avec Inria et se penche sur l’approche visant à sécuriser la donnée elle-même, où qu’elle se trouve. Le partenariat doit notamment définir les « mécanismes cryptographiques répondant aux exigences de sécurisation de ces nouvelles architectures ».