FIC 2026 : L'Anssi réclame moins de dépendance numérique

Environ 7 000 personnes (fournisseurs, partenaires, RSSI, DSI,…) se sont données rendez-vous au Palais des congrès de Lille pour la 18^ème édition du Forum Incyber (ex Forum international de la cybersécurité) qui se déroule du 31 mars au 2 avril. Cette année le thème choisi porte sur la maîtrise des dépendances numériques. Un sujet sur lequel Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est revenu dans son discours inaugural. « Ce qui m'inquiète le plus, c'est le décalage évident, croissant, entre d'une part un monde politique qui n'en finit pas de se durcir et puis d'autre part un monde numérique qui n'est pas à la hauteur de ces circonstances », observe le dirigeant. Il souligne que ce monde « présente des défauts de sécurité à tous les niveaux. Il est de moins en moins maîtrisé ». Et d’interpeller l’assemblée sur un exemple récent, « combien parmi vous se sont posé ces dernières 24 heures des questions épineuses au sujet d'un obscur paquetage NPM qui s'appelle Axios. Pour savoir qu'est-ce que c'est, est-ce que nous l'utilisons et si oui, où ? »

Cette bataille sur les vulnérabilités est en train d’être perdue, note Vincent Strubel avec des résultats visibles et désastreux. Selon le panorama des menaces de l’Anssi, le nombre de victimes double chaque année. Pour essayer de retrouver une certaine maîtrise, le directeur général écarte une approche purement technique et tacle l’idée selon laquelle « l’IA serait la solution magique. Tout miser sur ce type d’outils seraient une erreur ». Une autre technologie est mise à l’index, le cloud qui est attaqué de manière récurrente et qui « rappelle que nous avons peut-être un peu trop coupé dans certains virages quand nous avons délégué notre numérique et la gestion de sa sécurité ».

La réglementation pour retrouver du contrôle

Pour faire face à l’ensemble de ces problématiques, le gouvernement a présenté la revue stratégique nationale pour la période 2026-2030. Sur le volet cybersécurité, Vincent Strubel met l’accent sur deux axes. Le premier « est de rehausser le niveau de sécurité pour « retrouver une maîtrise des vulnérabilités les plus fondamentales ». Le cadre réglementaire doit aider à réaliser cet objectif et en particulier la directive NIS 2 dont la transposition en France a pris du retard. Le texte doit être étudié en deuxième lecture au mois de juillet prochain nous a indiqué Jean-Michel Mis député de la Loire lors de l'évènement. « Il faut s’y mettre maintenant, car la menace n’attend pas » exhorte le directeur général. Pour accompagner les entreprises et les administrations concernées, l’ANSSI a publié récemment Recyf, un référentiel des exigences attendues pour NIS2. « Ce document a vocation à devenir le socle commun des démarches de cybersécurité en France », précise-t-il. Dans son tour d’horizon, il n’épargne pas l’Etat qui doit être exemplaire sur ces sujets, « il y a évidemment des marges de progression significatives qui demeurent et donc on a un vrai travail à mener pour faire mieux ». Une référence aux multiples fuites de données dans différents ministères : Intérieur, Jeunesse et Sport, …

Le second axe de travail porte sur la capacité à reprendre en main la maîtrise de certaines technologies et risques. C’est le cas par exemple de la sécurité de l’IA, « notre capacité d'évaluation de l'IA est déficiente aujourd'hui », reconnait-il sans toutefois donner des pistes pour y remédier. Anticiper l’arrivée de l’informatique quantique est également évoqué avec deux questions que doivent se poser les entreprises « quelles sont les données sensibles que l’on doit protéger contre le risque quantique et que proposent les fournisseurs dans le chiffrement post quantique ? ». Concernant la dépendance numérique, Vincent Strubel souhaite plus de transparence et de traçabilité sur les solutions et services de sécurité dans le cadre du CRA (Cyber Resiliency Act). Un brin moqueur, il observe qu’aujourd’hui « nous avons beaucoup plus d'informations fiables quand nous achetons une saucisse que quand nous achetons une solution numérique ». Il n’oublie pas les réflexions à avoir sur d’autres risques comme « la captation de nos données au titre du droit à portée extraterritorial d’où qu’ils viennent ou la coupure brutale de service au titre de ce même droit ». Le directeur général plaide pour identifier l'ensemble des leviers des fournisseurs pour contraindre les usages « savoir si c'est acceptable ou non, et savoir quelles mesures nous mettons en place le cas échéant pour les contrer ». Un discours à mettre en cohérence avec les actes : la session d'ouverture du Forum InCyber était sponsorisé par l'américain SentinelOne...