À côté de la cyberdéfense pilotée par l'État-major des armées, la cybersécurité civile a son organisation propre et s'appuie sur différents leviers. Face aux menaces, une stratégie nationale pour la cybersécurité civile a été adoptée fin 2024.
Dans ses observations définitives sur la réponse de l'État aux cybermenaces, la Cour des comptes analyse les implications financières de la nouvelle stratégie et, au-delà, observe la cohérence des systèmes de pilotage et des moyens mis en œuvre.
L'organisation de la cybersécurité civile
Face à la diffusion des cybermenaces, une structuration de la politique de cybersécurité a été réalisée, à partir de 2018, en trois volets :
- l'organisation de la réponse de l'État aux cyberattaques : elle est pilotée par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et s’appuie sur le centre de coordination des crises cyber (C4). Le C4 est un mécanisme interministériel permanent d’analyse de la menace et de coordination de la réponse aux attaques. Il réunit les ministères des armées, de l’Europe et des affaires étrangères, de la justice et de l’intérieur ;
- le pilotage de la cybersécurité de l'État et de ses établissements publics : il est organisé par l’instruction générale interministérielle (IGI) n° 1337. La stratégie de sécurité numérique de l’État est rattachée au SGDSN ;
- la coordination des politiques publiques visant à renforcer la cybersécurité de l’ensemble du tissu social : elle fait l’objet d’une stratégie nationale d'accélération pour la cybersécurité lancée en février 2021. Pilotée par le secrétariat général pour l'investissement (SGPI), cette stratégie vise à développer une politique industrielle de cybersécurité. La protection des entreprises et des solutions innovantes relève du dispositif de contrôle des investissements étrangers en France, piloté par la direction générale du Trésor (DGT).
La nouvelle stratégie de cybersécurité de 2024 confirme le maintien d’un comité directeur cyber, présidé par le Premier ministre. Elle instaure également un comité de pilotage des politiques publiques cyber (C3PC), à caractère interministériel, sous la responsabilité du SGDSN, chargé d’établir la planification interministérielle pluriannuelle des ressources de l’État, sa déclinaison annuelle et le suivi et la synthèse des moyens dédiés dans les différents ministères.
Quel rôle pour l'ANSSI ?
L'Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée en 2009. Service à compétence nationale, rattaché au SGDSN, l'ANSSI est l'autorité nationale compétente en matière de défense et de sécurité des réseaux et des systèmes d'information :
- l’ANSSI assure un soutien technique aux administrations et aux opérateurs d’importance vitale, aux opérateurs de services essentiels et aux fournisseurs de services numériques, pour la conception et la mise en œuvre de leurs systèmes d'information les plus critiques ;
- elle met en place des procédures de qualification et de certification visant à évaluer et à approuver les produits, services et prestataires de cybersécurité ;
- elle répond aux incidents de sécurité des systèmes d'information essentiels victimes de cyberattaques (CERT-FR94). En 2023, l'agence a dû gérer 3 incidents majeurs et 17 opérations de cyberdéfense. Selon l'ANSSI, la complexité des opérations d’endiguement, de remédiation ou de gestion d’une crise est croissante, du fait de l’élargissement des menaces.
L'ANSSI va voir son périmètre d'intervention évoluer avec la directive européenne NIS 2. Dans ce contexte, la Cour des comptes considère que l'agence va devoir réviser ses moyens d’actions et s’appuyer sur des organismes relais. En outre, la Cour pointe la nécessité de renforcer sa mission d'observation de la menace pour permettre une véritable prévention des risques cyber.
Plus largement, pour la Cour, l'ANSSI doit être dotée d’une feuille de route priorisant ses missions. Son plan stratégique 2025-2027 doit être assorti d’un véritable plan d’actions, d’un échéancier précis et d’une budgétisation des moyens à mettre en œuvre.
