Alors que nombre de cyberattaques réussies ayant affecté ces derniers mois de nombreux services publics de premier plan (ministères des Sports, de l'Intérieur et de l'Education nationale, fichier national des comptes bancaires (Ficoba), Urssaf, et même la Dinum (direction interministérielle du numérique) a explosé, l'Anssi semble bien en peine de montrer son efficacité. Si l'Agence de la sécurité des systèmes d'information met en avant dans son dernier rapport d'activité 2025 la « mise en place d'actions nécessaires pour répondre à l’objectif de garantir une résilience cybersécurité la plus efficace possible », sur le terrain le compte n'y est pas. Depuis le 15 avril dernier, avec la fuite massive de l'agence nationale des titres sécurisés ayant débouché sur le vol de millions de données de permis de conduire, cartes d'identités et de passeports, l'Anssi apparait même sur la sellette. Une attaque de trop pour le Premier ministre Sébastien Lecornu qui a même mis directement dans son viseur l'agence en annonçant la création d'une autorité numérique de l'Etat directement pilotée par Matignon, regroupant en partie la Dinum et la DITP, qui sont les directions interministérielle du numérique et de la transformation publique. Une décision en forme de camouflet, voire de désaveux.
« Le problème c'est que l'Anssi est devenue une grosse machine administrative et ne remplit plus ses missions », explique sous couvert d'anonymat un ancien agent de l'agence au Canard Enchainé. Avec à peine plus d'une vingtaine de contrôle et moins d'une dizaine d'audits de sécurité inopinée par an selon notre confrère, la force de frappe de l'Anssi relève davantage du pétard mouillé que de l'artillerie lourde. Le ministère de l'Intérieur, dont dépend l'Ants, en a fait les frais : étrangement non considéré comme étant « d'importance vitale » il n'a tout simplement pas bénéficié d'une surveillance renforcée par l'Anssi qui aurait pu se rendre compte facilement de l'existence de dans son infrastructure d'une faille vielle de 2007 de type insecure direct object reference (IDOR) ayant permis à un adolescent de 15 ans de modifier des identifiants dans des URL pour réaliser son hack du siècle. L'occasion d'essayer de comprendre aussi pourquoi le ministère de l'Intérieur n'a pas été lui-même capable de détecter une vulnérabilité aussi banale. Si l'Anssi, tout comme la Cnil, dispose d'un pouvoir de sanction financière des organismes publics en cas de défauts manifestes de sécurité, elle n'a - contrairement à cette dernière - jamais usé de cette capacité. « On voit mal l'agence exiger une amende de France Travail, par exemple, et faire payer l'Etat », plaide un parlementaire, également anonyme, interrogé par Le Canard Enchainé. « Elle a peur d'avoir des emmerdements si elle sanctionne un ministère, surtout s'il est garant de son financement. »
Vincent Strubel monte au créneau pour défendre son poste
Auditionné par la Commission de la défense de l'Assemblée nationale dans le cadre d'une intervention prévue de longue date portant sur la guerre hybride et le continuum de conflictualités, Vincent Strubel a tenté d'éteindre l'incendie. « Non il n'y a pas de tension entre le Premier ministre et l'Anssi [...] Je réfute ce qui est dit dans l'article [...] Il n'y a pas de remise en cause des missions de l'Anssi et de l'efficacité de son travail. » M. Strubel a aussi expliqué que l'agence est en capacité de mener près de 50 audits de sécurité par an, en regard de milliers de SI de l'Etat et ceux des 300 OIV. « Nous ne pouvons pas tout contrôler systématiquement et nous avons une logique de priorisation sur les systèmes les plus critiques, sensibles, et complexes. »
En attendant le temps presse, le nombre de cyberattaques visant les collectivités, les hôpitaux, les ministères, mais aussi bien sûr les entreprises ne cessent de grimper. Tout comme celui des violations de données. Dans son dernier rapport publié lundi, la Cnil souligne qu'elles ont atteint un niveau exceptionnel. Après une année 2024 déjà record, ce sont 17 802 violations de données personnelles qui ont été enregistrées sur l'année écoulée, en hausse de près de 10 %. Avec sans surprise en tête des modes opératoires : le piratage (ransomware, phishing, credential stuffing…) 50 %, devançant notamment et largement le vol ou la perte de matériel de données (7 %). Dans un futur proche, les deux organismes prévoient par ailleurs de continuer à unir leurs forces, bien que cela nécessitera d'accorder quelques violons : « L'Anssi est un acteur important pour la Cnil et notre collaboration est étroite depuis des années, que ce soit en matière de sensibilisation, d'accompagnement ou d'élaboration d'outils de droit souple », explique Fabien Tarissan, membre du Collège en charge des secteurs de la cybersécurité et des technologies innovantes de la Cnil. « Ce lien va naturellement se renforcer avec NIS 2, mais son articulation avec le RGPD demande un peu de clarification sur nos rôles respectifs, notamment en cas d'incidents de sécurité. » Tout particulièrement ces derniers temps pour l'Anssi.