Pour la Cour des comptes, l’Anssi doit mieux faire en matière de « contrôle des entités régulées ». Une mission « jusqu’à présent insuffisamment remplie », tance-t-elle dans un touffu rapport de 116 pages paru en début de semaine. Certes,le cyber-pompier de l’État « dispose déjà de la capacité à imposer des sanctions administratives ».
Mais « cette dimension doit être plus fortement structurée, afin de garantir une exécution efficace des obligations réglementaires de cybersécurité », poursuivent les magistrats financiers. Ces derniers sont chargés de s’assurer du bon emploi de l’argent public.
Comme le rappelle la Cour des comptes, les troupes de Vincent Strubel réalisent toutes sortes d’audits. Que ce soit pour des homologations, des évaluations avant mise en production ou des contrôles réglementaires. En 2024, l’Anssi avait réalisé 32 audits, un nombre à peu près équivalent en 2023.
Personnels recherchés
Le premier problème remarqué est relatif aux capacités d’audit du bureau en charge. Elles « ne permettent pas de suivre la croissance significative des demandes ». Outre une programmation laborieuse, avec des conventions prenant plus d’un an à être formalisées, les personnels en charge des audits sont une denrée recherchée sur le marché du travail. Résultat : en 2021 et 2022, les départs « n’ont pas été compensés » par des recrutements. Avec même une baisse de l’effectif.
Le second questionnement des magistrats financiers pointe « la relation de confiance » recherchée par l’Anssi auprès des organismes audités, notamment les opérateurs privés. Il s’agit, rappelle la Cour des comptes, de les inciter à dépasser « la notion de secret industriel et commercial » et « leur réticence à dévoiler les défaillances de leur système d’information ».
Pour l’Anssi, cette relation de confiance lui permet d’avoir « une meilleure connaissance ». Et donc une « maîtrise des vulnérabilités » de ces organisations. Mais pour la Cour des comptes, c’est l’un des facteurs qui explique la « portée relativement faible de ces audits », faute de communication sur les résultats ou de sanctions, comme c’est prévu par la loi de programmation militaire de 2013 et la transposition de la directive NIS 1.
Plus vraiment tenable
Une posture qui est « désormais difficilement tenable » avec NIS 2, dont la transposition est en cours, avertit la Cour des comptes. Et les magistrats financiers de glisser quelques conseils à l’Anssi, qui prévoit de séparer clairement à l’avenir ses missions d’assistance et de contrôle.
Ils préconisent ainsi « la construction d’un dispositif gradué ». Ce dernier doit permettre « en cas d’identification d’une non-conformité » de pouvoir enjoindre la mise en place de mesures adaptées. Puis « éventuellement de recourir à des services d’accompagnement et de soutien désignés, avant d’imposer une sanction ».
Certes, résume la Cour des comptes, la confiance est « un élément capital pour maintenir la capacité à assister ». Mais « un équilibre doit cependant être trouvé avec l’impératif d’efficacité des contrôles ». Notamment au vu de leur coût intrinsèque et des dégâts des cyberattaques. Quitte à réfléchir à communiquer sur les résultats pour « en conforter la valeur d’exemplarité ».