Après avoir fait du sur-mesure, l’Anssi veut faire du « prêt-à-porter » en industrialisant la réponse aux attaques informatiques. Quelques mois après sa prise de fonctions, le nouveau directeur général du cyberpompier français Vincent Strubel vient de livrer à la presse sa feuille de route pour l’agence. Un programme qui tient en un mot : la « massification ».
Vincent Strubel, le patron de l’ @ANSSI_FR, a fait ce matin sa deuxième apparition devant la presse depuis sa prise de fonctions au début de l’année, un petit récap’
— Gabriel Thierry (@gabrielthierry) April 4, 2023
« On ne peut plus laisser d’angle mort dans notre dispositif de prévention et de réponse, car plus personne n’est épargné », a-t-il détaillé devant la presse, mardi 4 avril. « Il est plus que jamais nécessaire de cultiver ce que l’on sait bien faire, mais aussi de développer une capacité pour traiter la masse [des attaques informatiques] et le tout venant avec une offre de prêt-à-porter. »
Pêche au chalut
Focalisée d’abord sur la sécurité de l’Etat et des infrastructures critiques, l’Anssi veut en effet désormais plancher davantage sur la protection des particuliers et des petites et moyennes entreprises. Des cibles déjà dans son viseur, mais jusqu’ici d’abord au nom d’actions de sensibilisation. Sur fond de « pêche au chalut » des attaquants, l’agence estime que les attaques informatiques contre les particuliers, PME ou collectivités ont « un impact sur le fonctionnement de la nation » et qu’il est donc urgent de renforcer leur résilience.
Pour améliorer la sécurité informatique du plus grand nombre, l’Anssi mise sur le lancement d’outils automatisés, tels que des outils de diagnostic en ligne et de déclaration d’incident. Vincent Strubel a ainsi cité l’exemple de « MonServiceSécurisé », cet outil d’aide à l’homologation des téléservices publics. L’agence veut également s’appuyer sur les prestataires privés et les services de police et de gendarmerie pour proposer une réponse de proximité.
Changement de paradigme
Outre cet enjeu de protection des particuliers et des petites entreprises, l’Anssi s’attend à une multiplication par 10 ou 20 du nombre d’acteurs régulés avec la transposition de la directive NIS 2, adoptée à la fin de l’automne 2022. « Ce sera pour nous un vrai changement de paradigme, avec une extension massive du périmètre des organisations soumises à des obligations réglementaires », a souligné Vincent Strubel.
En insistant sur cet enjeu du « passage à l’échelle », Vincent Strubel s’inscrit dans les pas de son prédécesseur, Guillaume Poupard. Ce dernier avait insisté dans ses dernières interventions publiques en tant que patron de l’Anssi sur l’importance de développer une cybersécurité de service, à l’image du NCSC britannique. Une administration qui, rappelait-il, « propose nombre de services répondant à des problématiques simples, mais qui compliquent la vie aux attaquants ».
Si Vincent Strubel s’était déjà exprimé devant des journalistes à l’occasion de la présentation du dernier panorama de la menace, en janvier, c’était toutefois sa première intervention en solo. A l’aise, le cadre dirigeant s’est toutefois montré peu loquace sur certains sujets, comme celui de la participation de l’agence au FIC. « Aucun commentaire », a-t-il déclaré sur ce point. L’Anssi n’a pas réservé de stand, mais prendra la parole au cours de ce salon boudé par les services de l’Etat.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));