"Notre défi principal est le passage à l'échelle, ce qui va nous occuper un bon bout de temps", a déclaré Vincent Strubel, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), lors des Assises, un événement dédié à la cybersécurité qui se tient à Monaco du 11 au 14 octobre 2023. Ce défi est imposé par "l'évolution de la menace" : "des menaces étatiques très ciblées sur un petit nombre d'entités" et "des attaques qui touchent surtout les petits - les PME, les collectivités, les hôpitaux".



Ces menaces doivent être traitées au quotidien tout en conservant "des approches très expertes" pour gérer "les opérations dans le temps long". Un équilibre à trouver qui nécessite de "gagner en efficacité opérationnelle" notamment en élargissant "la couverture réglementaire". "La réglementation est un levier extrêmement utile, note le directeur général. La transposition de NIS 2 va beaucoup nous aider."

NIS 2 mobilise beaucoup de monde

La directive NIS 2, l'acronyme de "Network and Information Security", a été votée par les députés européens le 10 novembre 2022 et publiée au Journal officiel un mois plus tard. Après une période de transposition de 21 mois, ce texte entrera en vigueur en France au deuxième trimestre 2024. "C'est peut-être le chantier le plus structurant à l'Anssi, raconte Vincent Strubel. Cela mobilise beaucoup de monde."



Pour harmoniser et renforcer la cybersécurité du marché européen, NIS 2 met en place de nouvelles obligations en élargissant considérablement le champ d'application de NIS 1. Elle va engendrer "une multiplication par 10,20 ou 30 des acteurs régulés", indique le directeur général. En pratique, elle va s'appliquer à plus de 18 secteurs avec environ 600 types d'entités différentes concernées (entreprises et administrations publiques). "Nous allons devoir travailler avec de plus petits acteurs avec des approches différentes", ajoute-t-il.

Pour les JO, l'entraînement fait toute la différence

L'autre chantier majeur de 2024 est les Jeux Olympiques et Paralympiques qui vont se tenir à Paris du 26 juillet au 11 août 2024. "Nous nous préparons à gérer des crises majeures, déclare le directeur. L'entraînement fait toute la différence." Cet événement est aussi l'occasion, d'après lui, de "préparer des mécanismes d'escalade, de mobilisation voire de réquisition pour pouvoir faire face collectivement s'il y a une attaque massive qui déborde les capacités de l'Anssi".



Cette menace n'est absolument qu'hypothétique. Les Jeux de Tokyo en 2021 avaient subi 450 cyberattaques. Quelques années plus tôt, en février 2018, le Comité international olympique (CIO) avait révélé avoir été victime d'un incident lors de la cérémonie d'ouverture des Jeux de Pyeongchang en Corée du Sud. Les attaquants étaient parvenus à compromettre plusieurs services dont le Wi-Fi, la retransmission télévisuelle et la gestion des billets.