La Cour des comptes a publié un rapport à l'apparence critique sur la cybersécurité française. L'ANSSI, avec laquelle elle a longuement pu discuter, va devoir adapter sa stratégie face à l'explosion des cybermenaces.
Les cyberattaques explosent et visent désormais tout le monde, des hôpitaux aux mairies, en passant par les PME. Dans un rapport que certains pourront trouver dur, la Cour des comptes a révélé cette semaine les failles d'un système qui doit protéger beaucoup plus d'entités qu'aujourd'hui. Malgré son expertise à la fois reconnue et saluée, l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, est invitée à repenser ses méthodes pour répondre à la croissance des cyberattaques.
Les cyberattaques changent de cibles, avec des conséquences dramatiques
Fini le temps où pirater une centrale nucléaire faisait rêver les cybercriminels. Désormais, ces derniers ont compris l'art de la guerre asymétrique : frapper les petits, pour paralyser les grands. Collectivités territoriales, sous-traitants, PME et établissements de santé deviennent des cibles de choix pour s'attaquer aux géants par ricochet. Toutes et tous doivent en avoir conscience pour très vite améliorer leur sécurité informatique.
La directive européenne NIS 2, censée être applicable depuis l'an dernier, matérialise ce bouleversement. La France devra surveiller près de 15 000 entités, contre 500 actuellement, un bond stratosphérique qui change complètement la donne, même s'il n'est même pas encore suffisant. Il n'est donc plus question de se contenter du « haut du spectre » des infrastructures ultrasensibles, tout l'écosystème est d'accord là-dessus.
Cette révolution touche directement nos vies. En 2023 par exemple, 17% des incidents traités par l'ANSSI concernaient des collectivités territoriales. Traduction concrète ? L'hôpital de Corbeil-Essonnes a déboursé 5,5 millions d'euros après son attaque de 2022. Pour une PME lambda, la facture moyenne grimpe à 466 000 euros.
L'ANSSI, un crack français aux prises avec la réalité
L'agence française de cybersécurité fait des jaloux à l'international. Créée en 2009 avec 128 agents, l'ANSSI en compte aujourd'hui 622, et on peut dire qu'elle a carrément inspiré la réglementation européenne. Un petit prodige tricolore, qui force l'admiration de nos voisins dans ce domaine ultrastratégique.
Mais cette excellence cache des failles béantes. L'agence réalise seulement une vingtaine d'audits par an, alors que la demande explose littéralement. Pire encore : elle n'a jamais sanctionné aucun opérateur défaillant, privilégiant ce qu'elle appelle la « relation de confiance » aux amendes, pourtant inscrites dans le marbre législatif.
Le directeur général de l'ANSSI, Vincent Strubel, a d'ailleurs réagi sur LinkedIn mercredi. « Ces constats (…) guident les principaux chantiers que nous avons engagés ces dernières années, qu'il s'agisse de changement d'échelle dans nos leviers de prévention et de réponse, de travail avec un collectif étendu de partenaires (…), de renforcement de la gouvernance ou de développement de nos capacités de contrôle et de sanction, sans remettre en cause notre rôle fondamental de cyberpompier : aider toujours, punir parfois, et surtout pas l'inverse. »
Cette approche, que la Cour des comptes juge un peu trop diplomate, montrerait donc ses limites. Comment contrôler efficacement 15 000 entités avec les mêmes méthodes ou presque ? La Cour des comptes tire la sonnette d'alarme : il faut industrialiser les processus et accepter de sortir le bâton quand la carotte ne suffit plus.
Cap vers une cyber-France repensée
Les magistrats de la Cour des comptes dégainent ainsi onze recommandations pour moderniser l'arsenal français. Priorité numéro un : établir une vraie programmation pluriannuelle, faites d'objectifs chiffrés et d'un calendrier bétonné. Fini l'improvisation budgétaire, place à la planification stratégique digne de l'enjeu colossal que représente notre souveraineté numérique.
En parallèle, l'État continue de déployer de nouveaux services grand public. Le 17 Cyber, tout frais sorti depuis décembre dernier, permet aux victimes de signaler une attaque et d'être épaulées. La plateforme Cybermalveillance.gouv.fr a déjà traité plus de 280 000 demandes d'assistance en 2023, un chiffre qui en dit long.
Reste l'équation impossible des ressources humaines. Oui, 15 000 postes d'experts attendent preneur, selon les estimations officielles. La formation, la vraie, doit devenir l'enjeu crucial des prochaines années. Car posséder les meilleurs outils ne sert strictement à rien sans les cerveaux pour les faire fonctionner efficacement.
