Quelques jours avant la présentation de son panorama de la menace, un exercice traditionnel attendu, l’Anssi vient de dévoiler son plan stratégique pour les années 2025-2027. Un exercice, long de seize pages, inédit. Les années précédentes, le cyber-pompier de l’Etat avait publié aux mêmes dates son rapport d’activité.
Toutefois, l’agence de Vincent Strubel souhaitait visiblement marquer le coup cette année, une façon de s’inscrire dans le cadre de la nouvelle stratégie nationale de cybersécurité pour la France, précise-t-elle en préambule. Résultat, une nouvelle stratégie interne divisée en quatre axes.
Sans surprise, le premier est relatif à l’amplification et à la coordination de la réponse cyber face à la massification de la menace. Avec la transposition de la directive européenne NIS 2, l’Anssi va devoir gérer un nombre bien plus important d’organisations, un véritable « changement d’échelle ».
Menaces en constante évolution
L’agence assure qu’elle va mettre en oeuvre « une organisation adaptée pour s’assurer de prises de décisions impartiales dans les missions de contrôles ». Elle plaide également pour « par la structuration d’une offre de services plus lisible permettant d’articuler les accompagnements ciblés ou massifiés ».
En matière d’expertise cyber, son deuxième axe, l’Anssi prévoit de poursuivre ses efforts pour une transition vers la cryptographie post-quantique, par exemple. Pour répondre à des menaces « en constante évolution », l’agence veut notamment pouvoir « développer des méthodes plus automatisées pour s’adapter aux menaces de masse ».
L’Anssi rappelle également vouloir partager au maximum son savoir, une façon d’aider à la protection de tous contre la menace informatique. L’agence souhaite ainsi amplifier « les échanges d’informations opérationnelles au sein de communautés agréées », citant l’InterCERT ou les centres de réponse à incidents régionaux.
Diversité et qualité de vie
Au niveau international et européen, le troisième axe d’effort, l’Anssi prévoit de s’impliquer « fortement sur la révision du règlement sur la cybersécurité ». La certification européenne est « un outil clé pour apporter davantage de confiance et de transparence sur le niveau de sécurité des produits et services », rappelle-t-elle à ce sujet. L’agence veut également faire entendre sa voix en Europe en vue d’une harmonisation des normes et du cadre réglementaire.
Ensuite, et c’est le quatrième axe de travail, l’Anssi veut renforcer la prise en compte des enjeux sociétaux. Cela passe par la prise en compte de l’impact environnemental de la cybersécurité ou le développement d’une politique « ambitieuse de diversité ». Un terme, au passage, qui vient d’être banni par l’administration américaine.
L’Anssi rappelle que ses nouvelles responsabilités lui imposent un principe d’information et de transparence. Elle signale enfin ses réflexions sur l’adaptation de son organisation pour une meilleure qualité de vie au travail « dans un contexte de télétravail ». Une modalité de travail à distance qui n’a pas forcément toujours été bien vue dans la sécurité informatique.