Connexion
« Nous ne pouvons pas tout contrôler » : l’ANSSI face à la complexité des systèmes de l’État
Débranche, débranche, débranche tout. Revenons à nous.
Face aux quasi-incessantes fuites de données en France, notamment sur des institutions, l’ANSSI serait sur la sellette ? Son directeur général Vincent Strubel réfute et revient sur les travaux de pilotage du numérique, avec une future autorité « Ariane ». Il en profite pour mettre en face des milliers de systèmes d’information de l’État la capacité de l’Agence à mener… 50 contrôles par an.
La semaine dernière, le Canard enchainé a publié un article intitulé « Lecornu débranche l’Anssi, accusée de ne pas avoir sécurisé des sites sensibles de l’État ». Le Palmipède y explique que le premier ministre Sébastien Lecornu chercherait un fusible. En cause, les fuites de données à répétition. « Cela pourrait déboucher sur le limogeage de Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) », indiquent nos confrères.
« Il n’y a pas de remise en cause des missions de l’ANSSI »
Hasard ou pas du calendrier, ce même Vincent Strubel était auditionné par la Commission de la défense de l’Assemblée nationale le lendemain dans le cadre du cycle Guerre hybride et continuum de conflictualités. Le rendez-vous était déjà fixé avant la publication de l’article de nos confrères. Après un discours introductif sur l’état de la cybermenace en France, des questions sont rapidement arrivées sur l’article du Canard et le piratage de l’ANTS. C’est la dernière institution en date à avoir subi une fuite massive de données : au moins 11,7 millions de comptes ont été compromis. Dans cette affaire, un ado de 15 ans a été placé en garde à vue fin avril.
« Non, il n’y a pas de tension entre le Premier ministre et l’ANSSI. Je réfute ce qui est dit dans l’article », affirme sans détour Vincent Strubel. Il en veut pour « preuve » sa présence encore au poste de directeur général de l’ANSSI.
Il en profite pour rappeler que ses équipes ne ménagent pas leurs efforts en matière de cybersécurité et joue lui aussi de l’analogie des cyberpompiers : « Je trouve que là on est dans le même registre que jeter des cailloux sur les camions de pompiers qui viennent éteindre des incendies et je le trouve parfaitement abject. »
« Je pense qu’il y a une mécompréhension fondamentale de la réforme annoncée, non pas de l’ANSSI mais du pilotage numérique. Il n’y a pas de remise en cause des missions de l’ANSSI, il n’y a pas de remise en cause de l’efficacité de son travail », ajoute-t-il.
Une réforme du pilotage du numérique, pas de la cybersécurité
Vincent Strubel rappelle que la France dispose d’une chaîne de fonctionnement cyber et que l’ANSSI « est le chef d’orchestre de la cybersécurité ». Il ajoute que « ce rôle n’est pas remis en cause par la réforme annoncée […]Ce qui est réformé, c’est le pilotage du numérique, pas la cybersécurité ».
Pour rappel, fin avril, lors de son déplacement à l’ANTS, Sébastien Lecornu expliquait vouloir accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), pour former une nouvelle Autorité du numérique et de l’IA, alias Ariane.
Le patron de l’ANSSI est catégorique : « l’ANSSI restera dans son rôle de fixer les exigences de cybersécurité, de décliner des priorités […] de contrôler la bonne application de ces priorités à plus forte raison dans le cadre de NIS2 ».
- NIS 2 : l’ANSSI publie son ReCyf, la CSNP s’impatiente et le fait savoir
- La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité
Lors de son audition, il en profite pour rappeler aux députés présents le travail nécessaire de transposition de la directive NIS2… toujours en attente depuis des mois. Pour le directeur général, cela donnera enfin à son agence « un vrai bâton » à utiliser, « en plus de la carotte ». Le projet a été adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.
Des systèmes d’information « critiques » par milliers
Pour le patron des cyberpompiers français, le projet est de créer « une structure qui soit un interlocuteur naturel de l’ANSSI, comme l’est déjà aujourd’hui la DINUM. Nous travaillons main dans la main, mais avec les limites du champ d’action de la DINUM. Demain, l’ANSSI et l’Ariane (si c’est le nom qui demeure) travailleront main dans la main pour édicter la feuille de route numérique et cybersécurité de l’État ».
Lors de son audition, Vincent Strubel a rappelé la complexité du système d’information de l’État qui représente « des milliers et des milliers d’applications dont le pilotage n’est pas uniformisé, dont les choix technologiques sont d’une très grande hétérogénéité ».
Pour lui, cela ne fait aucun doute : « c’est là-dessus qu’il faut agir en priorité pour mieux sécuriser l’État » ; il en profite pour glisser un mot sur les enjeux des dépendances à des solutions étrangères. Quitte à mener un chantier d’envergure, autant faire le ménage de fond en comble. Pour Vincent Strubel, la réforme annoncée par le Premier ministre porte justement sur ce sujet. Il réaffirme qu’elle a été « mal comprise par certains qui y voient une réforme ou une remise en cause de l’ANSSI : il n’y a aucune remise en cause du rôle de l’ANSSI, ni une critique du rôle de la DINUM ».
L’ANSSI est capable de mener 50 audits par an : il faut choisir
Vincent Strubel répond aussi à des questions sur les moyens et les actions de l’ANSSI : « nous sommes capables de mener à peu près 50 audits par an, à mettre en regard de milliers de systèmes d’information au sein de l’État, de milliers de systèmes d’information d’importance vitale déclarés par les OIV (opérateurs d’importance vitale), et qui sont à peu près 300 (la liste est classifiée) ».
Pour le dire autrement : « non, nous ne pouvons pas tout contrôler systématiquement et nous avons une logique de priorisation sur les systèmes les plus critiques, sensibles, complexes… ». C’est le cas du nucléaire, par exemple, mais aussi des réseaux diplomatiques et régaliens. France Identité numérique a aussi été scrutée de près pendant des mois et « certifiée par l’ANSSI au niveau élevé, c’est-à-dire le niveau le plus élevé de la réglementation européenne ».
Le patron de l’ANSSI cite aussi le « fichier TES qui stocke des données biométriques », géré par l’ANTS. Ce dernier a été audité par l’ANSSI, qui s’est aussi assurée « que ses conclusions soient prises en compte ». TES pour Titres Électroniques Sécurisés, aussi connu sous le nom de « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité.
Vincent Strubel ajoute que l’ANTS réunit une multitude de systèmes d’information « qui n’ont pas tous la même criticité. Ils sont tous importants car ils traitent de données personnelles, mais nous avons aussi une forme de gradation ». Si TES a été contrôlé, ce n’était visiblement pas le cas du portail attaqué : « Il ne s’agit pas de minimiser la compromission des données personnelles de millions de nos concitoyens, mais ce n’est pas le système le plus critique de l’ANTS donc dans une logique de priorisation ce n’est pas celui-là que nous avons regardé ».
Signaler c’est bien, corriger c’est mieux
Lors de son audition, Vincent Strubel est aussi revenu sur le signalement des incidents et des vulnérabilités. Il rappelle que l’ANSSI dispose d’une doctrine de protection des signalements anonymes et des lanceurs d’alertes (235 signalements via ce dispositif en 2025). « Après, effectivement, la vraie difficulté est la capacité de correction et la maitrise du numérique derrière, sans remise en cause du rôle ni du dévouement – je le signale – des équipes informatiques des ministères ».
Il rappelle le rôle de l’ANSSI : « porter des cadres de gestion des risques et donc identifier des risques liés à nos dépendances, les objectiver, les mettre en face des mesures et assurer une garantie. C’est ce que nous faisons à travers SecNumCloud qui garantit contre les risques techniques mais aussi des risques d’ingérence de captation des données à travers les lois à portée extraterritoriale ».
Il ajoute qu’il faut évidemment des mesures de gestion des risques – « avec un caractère coercitif au passage parce que la loi SREN le permet –, mais aussi un travail de politique industrielle qui n’est pas le rôle de l’ANSSI ». Pour Vincent Strubel, pas de doute : « Il faut faire les deux à la fois ».
