Le paysage des cybermenaces a radicalement changé, devenant plus complexe, plus diffus et touchant tous les pans de la société. Face à cette nouvelle réalité, l’Union européenne a renforcé son arsenal réglementaire avec la directive NIS2, qui impose un rehaussement drastique des exigences de cybersécurité. Un rapport récent de la Cour des comptes, intitulé « La réponse de l’État aux cybermenaces sur les systèmes d’information civils », analyse la stratégie française et met en lumière une tension fondamentale : la culture historiquement coopérative et non répressive de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est désormais en porte-à-faux avec les impératifs de contrôle et de sanction portés par ce nouveau cadre européen.
1. La Directive NIS2 : Un Changement de Paradigme pour la Cybersécurité Européenne
La directive (UE) 2022/2555, dite « NIS2 », adoptée fin 2022, constitue une avancée majeure par rapport à sa version précédente. Son objectif est d’harmoniser et d’élever le niveau de cybersécurité des entités critiques au sein de l’Union. Comme le souligne le rapport, ses implications pour la France sont considérables.
Premièrement, elle élargit massivement le périmètre des entités concernées. Le document estime que la France passera d’environ 500 entités régulées sous NIS 1 à près de 15 000 sous NIS 2 (p. 25). Cette “passage à l’échelle” inclut désormais des secteurs comme l’administration publique, la gestion des déchets ou l’agroalimentaire, et s’applique aux entreprises de taille moyenne comme aux grands groupes.
Deuxièmement, la directive est beaucoup plus prescriptive. Elle ne se contente plus de suggérer des objectifs, mais impose des mesures de gestion des risques, des obligations de notification d’incidents et, point crucial, un régime de sanctions administratives dissuasif en cas de non-conformité. Le rapport précise que ce régime peut inclure des sanctions potentiellement très élevées, allant jusqu’à 2 % du chiffre d’affaires pour les entités dites « essentielles » (p. 27, note de bas de page 46).
2. La Critique Centrale : L’ANSSI, un Partenaire plus qu’un Gendarme
La Cour des comptes ne remet pas en cause l’expertise technique de l’ANSSI, qu’elle qualifie d’« opérateur d’excellence » (p. 8). Cependant, elle pointe une inadéquation culturelle et structurelle entre le rôle historique de l’agence et les nouvelles exigences réglementaires.
L’ANSSI s’est construite sur une relation de confiance et de coopération avec les entités, notamment les Opérateurs d’Importance Vitale (OIV). Sa mission de contrôle était perçue comme un prolongement de son assistance technique, visant à améliorer la sécurité en partenariat avec les organisations auditées. Le rapport identifie cette culture comme la cause principale de la quasi-absence de sanctions.
“”“Cette posture explique pour partie l’absence de sanctions appliquées aux OIV et OSE, pourtant prévues par les lois de programmation de 2013 et de transposition de NIS 1 de 2018 (cf. supra).” » » (p. 64)
Cette approche, bien que vertueuse pour bâtir un écosystème, a montré ses limites. Les audits, peu nombreux et souvent retardés, manquaient de portée et d’exemplarité. La Cour souligne que cette posture conciliante n’est plus soutenable à l’ère de NIS2, qui fait du pouvoir de sanction un pilier de son efficacité.
“”“Cette posture est désormais difficilement tenable, dès lors que la directive européenne NIS 2 met l’accent sur la capacité des États à imposer des mesures – et notamment des amendes administratives – en cas de violation des règles de gestion des risques en matière de cybersécurité et des obligations d’information qui s’imposent aux organismes régulés.” » » (p. 64)
La fonction de contrôle de l’ANSSI doit donc, selon la Cour, impérativement « changer de dimension » (p. 61), passant d’une logique d’accompagnement à une véritable fonction régalienne de régulation et de supervision.
3. L’Enjeu Délicat des Sanctions
Le rapport met en évidence le caractère problématique mais nécessaire du levier des sanctions. Lors de la transposition de NIS 1, la France avait déjà prévu des sanctions pour les OSE, allant jusqu’à 125 000 € pour obstruction au contrôle (p. 64). Or, celles-ci n’ont jamais été appliquées.
Avec NIS2, l’enjeu est décuplé. La transposition en droit français, via le projet de loi « Résilience », prévoit la création d’une « commission des sanctions, rattachée au SGDSN, et offrant des garanties d’impartialité » (p. 64). Cette mesure institutionnelle est une étape clé pour séparer la fonction de contrôle de celle d’assistance, et ainsi rendre la menace de sanction crédible.
Cependant, la Cour des comptes note que le choix a été fait, lors de la transposition, de ne définir que des sanctions administratives, et non pénales, « dans un souci de modération » (p. 28). Si cette modération est compréhensible pour ne pas bousculer un écosystème déjà sous pression, elle ne doit pas affaiblir l’effet dissuasif recherché par la directive européenne. Le rapport insiste sur le fait que l’investissement dans la conformité est bien moins coûteux que les conséquences d’une cyberattaque, citant des exemples concrets de plusieurs millions d’euros pour des hôpitaux ou des collectivités (p. 27).
4. Implications et Solutions : Vers un Contrôle Gradué et Robuste
Face à ce constat, la Cour des comptes ne préconise pas une transformation de l’ANSSI en simple organe répressif, mais plutôt l’adoption d’une posture de régulateur moderne et efficace. Plusieurs solutions sont esquissées dans le rapport.
Instaurer un dispositif gradué : Plutôt qu’une sanction immédiate, le rapport suggère un mécanisme progressif.
“”“En pratique, c’est moins l’étanchéité des structures qui doit être recherchée que la construction d’un dispositif gradué permettant, en cas d’identification d’une non-conformité, d’enjoindre aux responsables de l’entité concernée de mettre en place les mesures adaptées […], avant d’imposer une sanction.” » » (p. 65)
Cette approche permet de conserver un dialogue constructif tout en rendant le processus de contrôle contraignant.Prioriser les contrôles sur la base du risque : Avec 15 000 entités à superviser, les contrôles ne peuvent être exhaustifs. La Cour recommande d’établir une « cartographie des risques à partir des résultats des mesures d’accompagnement et d’audits réalisés » afin d’intensifier et de prioriser les contrôles sur les entités les plus exposées ou les moins matures (Recommandation n°5, p. 65).
Responsabiliser la chaîne de direction : La sécurité ne doit plus être un sujet purement technique. Le rapport insiste sur la nécessité de « renforcer la sensibilisation des dirigeants des services de l’État aux enjeux des cybermenaces et leur fixer des objectifs précis en la matière dans leur lettre de mission » (Recommandation n°7, p. 75). Cette responsabilisation est essentielle pour garantir que les moyens nécessaires à la conformité soient alloués.
En conclusion, le rapport de la Cour des comptes agit comme un puissant signal d’alarme. La France, pionnière en matière de cybersécurité avec une agence reconnue mondialement, doit opérer une mue culturelle et organisationnelle profonde. L’ANSSI doit désormais endosser un double rôle : celui, historique, de partenaire et d’expert, et celui, nouveau et imposé par NIS2, de régulateur crédible, capable de contrôler et de sanctionner. L’enjeu est de taille : il s’agit de transformer une obligation réglementaire européenne en un véritable levier pour renforcer durablement la résilience numérique de la Nation tout entière.
Le dossier de la Cour des Comptes
Reponse-de-l-Etat-aux-cybermenaces-sur-systemes-d’information-civils
Laisser un commentaire