II. LES QUATRE PRINCIPAUX DÉFIS DE LA CYBERSÉCURITÉ EN 2024
Vos rapporteurs ont identifié au cours de leurs auditions quatre principaux défis à relever en 2024 pour atteindre l'objectif d'une « résilience cyber de premier plan » fixé par la revue nationale stratégique 2022 :
· Assurer la cybersécurité des Jeux olympiques et paralympiques 2024. Le pilotage en a été confié à l'ANSSI mais l'on note encore trop peu de collaborations avec les entreprises privées, sachant qu'il a été identifié qu'un effort particulier doit être orienté vers toute la chaîne des entreprises de sous-traitance ;
· Coordonner l'ensemble des acteurs publics et privés de l'écosystème cyber autour d'une révision de la stratégie nationale de cybersécurité (la dernière datant de 2018) et du lancement de la plateforme numérique « 17 Cyber » en mars 2024. Chaque ministère et chaque entité sont dotés d'un coordinateur : l'ANSSI qui est à la fois un régulateur et un acteur, le Secrétariat général pour l'investissement qui pilote le milliard d'euros de crédits de la stratégie nationale cyber9(*), mais aussi Cybermalveillance pour les particuliers, TPE, PME, ETI et les collectivités territoriales, auxquels s'ajoute également le ministère de l'intérieur qui a pris la charge financière de la création de la future plateforme « 17 cyber ». Se pose la question de la stratégie de communication pour la diffusion de ce nouveau service au plus grand nombre : quel budget pour quels médias10(*) ?
· Réussir la transformation de l'ANSSI en vue de la transposition de la directive NIS 2 (Network and Information Security). Celle-ci prévoit un accroissement du périmètre de compétence de l'agence de quelque 500 OIV à environ 15 000 entreprises dont le suivi constitue un changement d'échelle et nécessite une reconfiguration de son offre de services ;
· Réorganiser le dispositif de coordination en s'inspirant de la grande cause nationale de la sécurité routière qui a permis de réduire drastiquement le nombre de morts sur nos routes en confiant à un coordinateur interministériel clairement identifié la responsabilité de coordonner tous les moyens disponibles.
Pour la cybersécurité des Jeux olympiques et paralympiques 2024, il n'y aura pas de médaille d'argent !
Concernant l'ANSSI, les constats et recommandations établis dans le cadre du rapport d'information11(*) sur la préparation de la loi de programmation militaire 2024-2030 demeurent pleinement d'actualité pour :
· clarifier le périmètre de la transposition en France de la directive NIS 2 ;
· établir un plan de progression des moyens de l'ANSSI, de l'OSIIC et de Viginum en rapport avec l'augmentation du périmètre de protection de la directive NIS 2.
Plus largement, il ressort des auditions que la méthode de travail de l'agence doit profondément évoluer pour s'adapter au « changement d'échelle » qui va la conduire à animer non pas un réseau de quelques centaines de grandes entreprises mais de plusieurs milliers de PME et TPE. Selon le panorama de la cybermenace 2022, ce sont ces dernières qui sont la cible de 60 % des attaques :
· l'ANSSI est reconnue comme un partenaire efficace et de confiance par les OIV et OSE. En revanche, l'agence reconnait elle-même que son offre de service n'est pas lisible au-delà de ce cercle restreint ;
· la date d'entrée en vigueur de la directive NIS 2 est fixée au mois d'octobre 2024 mais il n'existe à ce stade ni périmètre des entités concernées, ni document qui regroupe les exigences réglementaires qui leur seront applicables ;
· l'animation d'un réseau de collectivités territoriales et d'entreprises autres que les OIV et les OSE est manifestement un métier nouveau pour l'ANSSI et, tant les grands opérateurs que les collectivités territoriales, s'inquiètent de l'absence d'une feuille de route sur le calendrier et les étapes de discussion pour la mise en oeuvre de la directive NIS 2 ;
· plusieurs autres points d'attention ont été soulevés quant à la nécessité d'adapter la politique de labellisation de l'ANSSI aux besoins des TPE et PME, d'éviter toute sur-transposition de la directive qui créerait une distorsion de concurrence entre les entreprises françaises et européennes, enfin de revoir les secteurs où l'agence est à la fois l'organe de régulation et un acteur du marché (sondes EDR12(*), centre de réponse aux incidents cyber, etc.).
Enfin, le même constat relatif à l'absence de pérennité du financement des centres cyber régionaux, lequel n'est pas assuré au-delà de l'amorçage du Plan de relance, justifie que les régions signalent le risque de devoir assumer seule la charge d'une mission régalienne.
* 9 Ce budget d'un montant de 1,1 milliard d'euros comprend une dotation de 176 millions d'euros pilotée par l'ANSSI dans le cadre du volet cybersécurité du Plan de relance.
* 10 Les crédits consacrés à parité par la Gendarmerie et la Police nationale sont de 700 000 euros pour la première année de mise en oeuvre, comprenant les coûts de développement, puis de 300 000 euros pour les années suivantes. À la date des auditions, les options de communication (comprises entre 300 000 euros et 2 millions d'euros) n'étaient pas encore arbitrées qu'il s'agisse d'une diffusion très grand public sur des médias nationaux ou d'une communication en ligne seulement sur internet.
* 11 Rapport n° 638 (2023-2024)
* 12 Endpoint Detection and Response : sonde de détection et de réponse pour les terminaux.