L’ANSSI vient de publier son rapport annuel d’activité pour l’année 2022. Ce document revient sur les différents évènements et actions menées par l’agence française de cybersécurité et de défense des systèmes d’information.
Cet exercice a été marqué par la hausse des attaques informatiques, par l’augmentation de leur virulence, et par l’apparition de nouveaux défis en matière de cybersécurité, notamment en lien avec la guerre en Ukraine. Afin de répondre à ces défis, l’ANSSI a pu s’appuyer sur l’ouverture de son campus cyber dédiée à la sécurité du numérique et sur l’évolution du cadre législatif européen en la matière. Ce fut également la dernière année de Guillaume Poupard en tant que directeur général de l’agence, poste qu’il a occupé pendant près de 9 ans. Focus sur ces différents évènements qui ont fait de l’année 2022, une année charnière pour l’ANSSI.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Un premier semestre 2022 impacté par le conflit russo-ukrainien
Comme l’indique Vincent Strubel, le nouveau directeur général de l’ANSSI, entré en fonction le 4 janvier 2023, « 2022 fut une année marquée par la Guerre en Ukraine et ses répercussions dans le cyberespace ». Avant même le début du conflit, les cyberattaques étaient de plus en plus fréquentes, touchant les États membres de l’UE ou les États-Unis. L’attaque informatique visant ViaSat s’étant déroulée au tout début des offensives russes, le 24 février, a lancé les hostilités dans le cyberespace.
Cette cyberattaque fut précurseure sur la manière d’appréhender les menaces. Au quotidien, l’agence protège des organismes d’importance vitale (OIV) considérés comme des cibles de choix pour les pirates informatiques. « Tout pays ou entité prônant son soutien au pays dirigé par Volodymyr Zelensky peut subir le joug des hackers russe ou pro russe dans le cyberespace. Les motivations des cyberattaques contre l’Ukraine correspondent aux objectifs militaires russes allant de la perturbation des services ukrainiens à l’influence du traitement médiatique du conflit en Ukraine » explique l’ANSSI.
En novembre 2022, le site du Parlement européen avait par exemple été victime d’une attaque par déni de service (DDoS) revendiquée par Killnet. Celle-ci fut lancée après que la Russie fut qualifiée d’État parrain du terrorisme par une majorité de députés européens. Pendant plus de deux heures, impossible pour les internautes de se rendre sur la page web. De la même manière, à la fin du mois de mars 2023, le site de l’Assemblée nationale avait été la cible d’une cyberattaque, une nouvelle fois revendiquée par un groupe de hackers pro russe : NoName057(16). Les assaillants dénonçaient par cette action le soutien des parlementaires français à l’Ukraine.
Un second semestre mouvementé pour les hôpitaux et les collectivités territoriales
L’année 2022 a été celle où Guillaume Poupard a cédé sa place. Arrivé en mars 2014, ce spécialiste des systèmes d’information et des cybermenaces a passé plus de neuf ans à la tête de l’ANSSI. Durant cette période, il n’a cessé de multiplier les alertes dans les médias, notamment à l’encontre des rançongiciels.
Au cours de sa dernière année de direction, deux ransomwares ont touché le centre hospitalier sud francilien de Corbeil-Essonnes et l’hôpital de Versailles. Alors que la vague de cyberattaque contre les hôpitaux ne semble pas vouloir se calmer, l’État a continué à renforcer le budget de l’ANSSI pour soutenir ses efforts. 20 millions d’euros supplémentaires vont être alloués à l’agence afin de mieux protéger et alerter les établissements de santé, cible privilégiée des cybercriminels.
2022 a également été l’occasion pour l’ANSSI d’accompagner la mise en place du Plan France Relance. Au niveau cybersécurité, ce plan a pour objectif de mutualiser les outils de prévention des risques cyber et de renforcer les capacités de réponse à l’agression, notamment pour le secteur privé. Pour ce faire, elle a mis en place pas moins de 12 centres régionaux de réponse aux incidents cyber (CSIRT) sur lesquels les entreprises peuvent s’appuyer sans avoir à passer par le centre gouvernemental de veille, d’alerte et de réponse aux alertes informatiques.
Un Campus Cyber pour répondre aux hautes exigences en matière de cybersécurité
Alors que les menaces planent toujours dans le cyberespace, l’ANSSI a pu compter sur l’ouverture en février 2022 du campus Cyber à Paris, au cœur du quartier de la Défense. Ces nouvelles infrastructures ont pour but de rassembler des services de l’État, des associations, des industriels, des start-up et des acteurs de la recherche autour de la thématique de la cybersécurité.
13 étages, 26 000 m², à un quart d’heure à pied de la Grande Arche de la Défense, le Campus Cyber installé dans la tour Eria est qualifié de « totem de la cybersécurité » par l’ANSSI. Photographie : Campus Cyber.
Le centre de formation à la sécurité des systèmes d’information (CFSSI) s’y est installé progressivement au cours de l’année. Cet organisme affilié à l’ANSSI propose 27 nouvelles formations garantissant l’acquisition et le renforcement de compétences en lien avec la sécurité du numérique.
Quelques mois plus tard, en juin, l’ANSSI officialisait son partenariat avec l’Inria afin d’accélérer le transfert de technologies innovantes vers l’industrie grâce au Campus Cyber. L’agence a également signé un accord avec le CEA. Cette collaboration a pour but de développer de nouveaux outils innovants en lien avec la recherche de vulnérabilités dans les systèmes d’information.
L’ANSSI s’implique de plus en plus au niveau européen
Parallèlement à son implication au niveau national, l’ANSSI a aussi agi au niveau européen. Les instances de l’Union européenne ont manifesté leur volonté de doter le continent d’un bouclier cyber performant. L’agence s’est réjouie de l’approbation de la nouvelle directive sur la sécurité des réseaux et des systèmes d’information, à savoir la directive SRI 2 (ou NIS 2).
Selon Yves Verhoeven, Sous-directeur stratégie de l’ANSSI, « la directive NIS 2 […] va permettre à des milliers d’entités de mieux se protéger. […] Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (le réseau des 27 agences européennes en charge de la gestion de crise cyber sur le continent, NDLR) qui rassemble l’ANSSI et ses homologues européens ».
Initialement adoptée en 2016 et mise en vigueur en 2018, la directive SRI avait pour objectif de renforcer le niveau de cybersécurité des acteurs majeurs dans une dizaine de secteurs d’activité, couvrant quelques centaines d’organismes en France. Avec l’augmentation des risques et du nombre d’attaques, l’UE a décidé de mettre à jour sa directive afin d’englober beaucoup plus d’entités. Par le passé, seuls les très grands groupes étaient soumis à la directive SRI. Désormais, tous les organismes de moyenne et grande taille entreront dans son champ d’application. L’agence a toutefois précisé qu’elle prendrait en compte les budgets et les effectifs des entités, leur laissant le temps d’appliquer à la lettre cette nouvelle directive.
En parallèle, l’ANSSI a mis à jour le référentiel SecNumCloud qui explicite les différents critères de protection vis-à-vis des lois extra-européennes, applicables aux prestataires de services cloud étrangers. L’ancien directeur général de l’ANSSI, Guillaume Poupard, avait justifié cette mise à jour en affirmant que « l’identification des services cloud de confiance était indispensable afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques ».
À quoi peut-on s’attendre pour 2023 ?
Après une année bien remplie, placée sous le signe d’une hausse du risque cyber, 2023 sera sans doute celle du renforcement, de la continuité. Au début de l’année, Vincent Strubel va avoir la lourde tâche de suivre les points soulevés par la Revue Nationale Stratégique.
Cette feuille de route « présente le panorama de l’environnement de défense et de sécurité de la France aussi bien national qu’international ». Elle fixe la marche à suivre pour les organismes de protection et de défense, dont fait partie l’ANSSI, pour les prochaines années. La Revue Nationale Stratégique est modifiée de manière occasionnelle, si la situation sécuritaire le demande. Elle l’avait été modifiée en 2017, suite aux multiples attentats terroristes que la France avait subis, et en 2022, pour prendre en compte les cybermenaces qui s’intensifient.
Comme l’atteste le document, l’agence devra améliorer la résilience cyber de la France afin d’atteindre une certaine souveraineté dans ce secteur, et ne plus dépendre de ses voisins, ni d’acteurs extra-européens. Nombreuses sont les entités qui utilisent encore des outils ou des services numériques étrangers qui ont du mal à se goupiller avec les règlements français et européens sur la protection des données ou avec la directive SRI 2. Cette dépendance aux solutions de l’étranger est un frein pour assurer l’imperméabilité du bouclier cyber souhaité par l’Union européenne.