L’année 2022 a été particulièrement dense pour l’ANSSI. L’agence fait le point sur ses actions, entre adoption des CSIRT régionaux, arrivée de la directive NIS 2, l’arrivée de plusieurs réglementations, ou encore le lancement de MonServiceSécurisé, le tout sur fond de présidence française de l’Union européenne.
L’Agence nationale de la sécurité des systèmes d’information publie chaque année un rapport d’activité pour résumer dans les grandes lignes ses actions au cours des douze mois précédents. Le nouveau est arrivé la semaine dernière et évoque une année très chargée. C’est même un euphémisme, tant les actions ont été multiples.
Les missions de l’ANSSI sont en effet nombreuses, de la défense des systèmes critiques de la Nation à la surveillance de l’espace cyber, en passant par le partage des connaissances, le renforcement et la sensibilisation. Le tout pour un budget en 2022 de 22,8 millions d’euros (hors masse salariale). Sur la même période, l’Agence a embauché 149 personnes et créé 40 postes.
Le grand déploiement des CSIRT
Dans le domaine auquel on l’associe toujours en premier, l’ANSSI indique que l’année 2022 a été coupée en deux. Durant la première moitié, elle a recensé une baisse de l’activité des rançongiciels. Puis, à partir de l’été, ces attaques ont connu une recrudescence, en particulier contre les collectivités territoriales et les établissements de santé. En tout, l’ANSSI a recensé 2 173 signalements et 831 incidents.
L’Agence indique que ses équipes ont été copieusement mobilisées, dans l’objectif de limiter les conséquences de ces attaques, souvent « conséquentes ». Autre domaine pour lequel elles interviennent beaucoup : l’espionnage informatique. Il a non seulement perduré, mais c’est également « la catégorie de menace qui a le plus impliqué l’ANSSI sur l’année écoulée ».
Sur le plan de la sécurisation des infrastructures, 2022 a marqué une rupture. Dix CSIRT (Computer security incident response team, désignés en français comme « centres de réponse aux incidents cyber ») ministériels ont ainsi été mis en place l’année dernière.
Une évolution souhaitée par l’Agence de longue date, puisque ces ministères ont maintenant l’infrastructure pour collecter les données attenantes et les partager, ainsi que du personnel dédié à la gestion des incidents. Le développement de la réponse dans les ministères s’est également fait en partenariat avec la DINUM, avec notamment la mise en place de fonctions de cyberdéfense automatisée sur le réseau interministériel de l’État.
Par ailleurs, 2022 a vu la continuation du plan France Relance débuté en 2021, aboutissant à la création de douze CSIRT régionaux pour renforcer les capacités de réponse dans le secteur privé. Les entreprises, collectivités territoriales ou encore les associations victimes d’attaques informatiques peuvent donc se tourner vers ses structures pour un accompagnement de premier niveau, gratuit et complémentaire à d’autres services proposés par des prestataires, la plateforme Cybermalveillance.gouv.fr et le CERT-FR (qui est le CSIRT gouvernemental français).
La mission des CSIRT est aussi de « prêcher la bonne parole », autrement dit de sensibiliser à la protection des systèmes d’information. Cinq CSIRT sectoriels ont ainsi été créés, toujours dans l’optique de fluidifier la réponse et de partager les connaissances.
Pour ce dernier point, la suite du plan France Relance a permis l’accompagnement de 950 structures supplémentaires, dont 715 collectivités territoriales. Selon l’ANSSI, ce plan permet « d’aider les entités à initier un parcours de cybersécurité, d’appuyer le développement des centres de réponse à incident cyber régionaux et de favoriser la mutualisation d’outils ». Le maillage progresse donc, un développement en phase avec la directive NIS2 adoptée l’année dernière et en vigueur depuis janvier.
Entre certifications, coordination et émulation
L’Agence joue un rôle important en tant qu’organisme de certification. Elle revient souvent dans les médias technologiques quand on évoque le cloud, notamment pour son référentiel SecNumCloud, qui en est aujourd’hui à sa version 3.2 et dont on a vu récemment les premiers lauréats pour le plan d’accompagnement. L’année dernière, l’ANSSI a également lancé un nouveau référentiel, cette fois pour les prestataires d’administration et de maintenance sécurisées (PAMS).
Elle a été plusieurs fois sollicitée pour d’autres travaux, comme l’accompagnement technique de France Identité Numérique (voir notre dossier), ou encore la révision du règlement eIDAS.
L’Agence joue aussi un rôle clé au sein de plusieurs structures plus grandes, notamment européennes. Elle a par exemple été nommée centre national de coordination (NCC-FR) pour épauler le centre européen de compétences cyber et participé à l’élaboration du réseau CyCLONe (Cyber Crisis Liaison Organisations Network). Ce dernier, que nous évoquions dans notre actualité sur la directive NIS2, rassemble toutes les agences chargées des crises cyber dans les 27 États membres, dans l’objectif de partager les stratégies de défense nationale et de coordonner « la construction d’une analyse consolidée » en cas de crise.
L’ANSSI rappelle également qu’elle noue régulièrement des partenariats, comme celui signé avec le CEA en juin 2022. Cet accord-cadre de trois ans doit « améliorer la sécurité des systèmes numériques en préparant en particulier les futures générations d’environnements d’analyse logicielle ». Il passe par le développement de nouveaux outils pour « vérifier l’absence de vulnérabilités dans les systèmes numériques, aussi bien en phase de conception que d’intégration ». Dans une démarche équivalente, elle accompagne Inria au Campus Cyber (rejoint également en juin dernier) pour favoriser le transfert des technologies vers l’industrie.
On note aussi le lancement, à l’automne dernier, de MonServiceSécurisé. Cette startup d’État a été incubée par l’ANSSI et est membre du réseau Beta Gouv. L’objectif est encore une fois de montrer l’exemple, en proposant un parcours d’accompagnement pour les services publics, qui peuvent y puiser des ressources et profiter de l’expertise de l’Agence, afin d’autonomiser les équipes et surtout d'homologuer leurs produits (sites web, applications ou API).
Formation et éducation
La sensibilisation est probablement l’un des domaines où l’ANSSI investit le plus. La diffusion des connaissances et la prise en compte des enjeux reviennent régulièrement sur le devant de la scène quand on aborde les travaux à entreprendre pour augmenter le niveau général de sécurité.
L’ANSSI se veut donc attentive au volet éducation et suit de près l’évolution de la perception des métiers de la cybersécurité. On se souvient de l’observatoire qu’elle avait publié en novembre dernier à ce sujet.
2022 signait d’ailleurs la reprise des cours en présentiel au CFSSI (centre de formation à la sécurité des systèmes d’information) et de son installation au Campus Cyber. 27 nouvelles formations sont venues s’ajouter au label SecNumedu. À ce jour, 1 157 personnes ont été formées au centre et 306 101 se sont inscrites au MOOC (gratuit).
Dans le même ordre d’idée, l’ANSSI évoque également CyberEnJeux. Cette expérimentation, qui s’est faite entre l’automne 2021 et janvier 2022, a pour but de créer un kit destiné aux enseignants qui souhaiteraient initier leurs élèves à la cybersécurité. Elle est le fruit d’un partenariat entre l’Agence et le 110bis, le laboratoire d’innovation de l’Éducation nationale. Une dizaine d’enseignants et environ 300 élèves ont participé. Il a été décidé de relancer une phase d’expérimentation en tenant compte des retours, mais on est sans nouvelle depuis.
Dans le domaine de la formation, il faut également parler de REMPAR22. Il s’agit du premier grand exercice de gestion de crise cyber en France. Lancé en décembre avec le Campus Cyber et le Club de la Continuité d’Activité, il a rassemblé une centaine d’organisations publiques et privées. L’ANSSI est particulièrement satisfaite des résultats, d’autant que 70 % des organisations participantes ne provenaient pas du milieu cyber.
L’idée derrière cet exercice était, comme d’habitude, la sensibilisation et la formation : enjeux de continuité d’activité face au risque de blackout numérique, test des dispositifs, prise en compte des spécificités des attaques, coordination des acteurs, communication interne et externe, échanges entre les communautés, etc.
Il ressort clairement de 2022 un début d’aboutissement dans la stratégie de l’Agence depuis des années, qui cherche à diffuser ses informations dans tous les secteurs. Ces efforts doivent aboutir à une sensibilisation plus prononcée de la population, faisant grimper d’autant le niveau global de sécurité. Avec le déploiement en masse des CSIRT et l’application de la directive NIS 2, l’année 2023 devrait être au moins aussi dense, particulièrement pour les entreprises.
Commentaires (1)
#1
un lien direct vers ce rapport ?