Lors des Assises de la Cybersécurité, Vincent Strubel, président de l'ANSSI, a souligné les succès notables dans la lutte contre les cybermenaces pendant les Jeux Olympiques de Paris 2024. Avec un bilan positif, marqué par une mobilisation collective, il a mis en avant l'importance de poursuivre les efforts pour renforcer la cybersécurité à tous les niveaux et implémenter rapidement les exigences des directives et règlements à venir.
Lors de la plénière des Assises de la Cybersécurité, le président de l’Anssi, Vincent Strubel, est revenu sur une autre victoire des Jeux Olympiques de Paris 2024 : la lutte contre la cybermenace, dans un contexte pourtant pour le moins tendu. Deux jours après la clôture des Jeux Olympiques de Paris 2024, l'ANSSI a dressé un bilan de la sécurité des systèmes d’information des Jeux. Au total, 141 incidents ont été recensés entre le 26 juillet et le 11 août, dont 22 actes cybermalveillants qui ont été menés à bien, mais avec un impact faible dans la plupart des cas. Bref, un bilan extrêmement positif, que n’a pas manqué de souligner Vincent Strubel.
Des PME à la hauteur
« Cette victoire reflète parfaitement le thème de nos assises cette année : 'Ensemble'. C'est une victoire d'un collectif, largement représenté ici », a-t-il déclaré. En effet, pour une fois, la victoire contre les cyberattaques a été quasi totale.
Vincent Strubel a profité de l’occasion pour saluer un travail intense de préparation, mené sur plusieurs années. L’État, l'Anssi, les organisateurs et les partenaires privés français se sont mobilisés exceptionnellement, selon lui. « Nous avons assisté à une mobilisation exceptionnelle de toute l'équipe de France », a-t-il ajouté. Le président de l’Anssi n’a pas manqué non plus de rendre hommage aux partenaires nationaux. « C'était un test unique que nous avons réussi (...) C'est l'occasion de vous adresser un grand merci, un grand bravo, et de dire qu'on peut être fiers, collectivement, d'avoir apporté notre petite pierre. Nous aurons sans doute encore quelques semaines de travail pour tirer toutes les leçons de ces Jeux, mais ce que je retiens avant tout, c’est la force du collectif. »
Voilà pour les lauriers. Et maintenant ? Il s’agit désormais de transformer l’essai. « La deuxième leçon, c'est qu'aider les petites structures, celles pour lesquelles la cybersécurité n'est pas et ne sera jamais la priorité, c'est possible, ça fonctionne et ça produit des résultats. » Les PME, les fédérations sportives et les collectivités représentaient la grande majorité des 500 partenaires accompagnés par l’Anssi. Réputées particulièrement vulnérables et souvent cibles de cyberattaques, ces organisations ont dû se mettre à niveau et déployer des mesures d’hygiène numérique et des bonnes pratiques de base. « Ça a marché, elles ont été capables de faire face. »
Après les JO, l’enjeu est de passer à l’échelle et d’impliquer des milliers d’entités. « La suite, c’est évidemment deux chantiers », a précisé Vincent Strubel, en faisant référence au Cyber Resilience Act (CRA). Ce règlement imposera directement de nouvelles exigences de sécurité pour les produits dès leur conception. « Il est important que nous commencions à investir très rapidement, encore une fois, pour créer quelque chose de réaliste, pertinent et compréhensible. »
Mobiliser l’écosystème
À plus court terme, la directive NIS2, qui entrera en application le 17 octobre prochain, est une priorité. Pour rappel, cette directive établit un ensemble de mesures juridiques, techniques et organisationnelles que les entités régulées devront adopter, en fonction du niveau de risque, pour améliorer leur cybersécurité et renforcer leur résilience opérationnelle. La transposition de cette directive a pris du retard, notamment en raison de la dissolution de l’Assemblée nationale en mai, et elle ne semble pas être en haut des priorités des parlementaires. D’autant que, une fois la loi en vigueur, les entreprises auront trois ans pour mettre en œuvre les mesures de sécurité attendues. « Pas de précipitation, mais pas de désinvolture non plus. Déjà parce qu'on ne va pas forcément attendre trois ans pour exiger certaines mesures simples », a averti Vincent Strubel, citant par exemple l’enregistrement des entités auprès de l’Anssi. Les entités concernées devront également utiliser la plateforme MonEspace NIS2 pour la notification des incidents. « Nous n’allons pas attendre trois ans pour l’implémenter, car c’est crucial. »
Il existe déjà une plateforme appelée MonEspace NIS2. « Concernant la notification des incidents, sa mise en place ne sera pas complexe, et nous ne comptons pas attendre trois ans pour l’implémenter, car c’est crucial. Trois ans peuvent sembler longs, mais avec les nombreux défis à relever, le temps passe vite, et de nombreuses actions peuvent être lancées dès maintenant. » Les retours des consultations avec l’écosystème seront primordiaux pour fixer un équilibre jugé « essentiel » par le président de l’Anssi : « Fixer des exigences trop élevées coûte trop cher et devient impraticable, tandis que des standards trop bas sont inefficaces et gaspillent des ressources. »
Malgré les encouragements du président de l’Anssi et la montée en compétence de certaines entités, le défi reste de taille pour passer à l’échelle. Selon une enquête IPSOS pour Okta – sur l'état de la maturité et des investissements en cybersécurité en France – 23 % des décideurs déclarent n’avoir jamais entendu parler de NIS2, et 26 % ne connaissent pas les principes du règlement DORA, qui vise à accroître la résilience des organisations face aux cyberattaques.