Ce 24 mars, l’audition du directeur général de l’ANSSI*, Vincent Strubel, m’a conduit à interroger l’Agence sur la cohérence de ses choix budgétaires et opérationnels : financement public de structures privées via les CSIRT, développement d’outils comme MesServicesCyber concurrençant l’écosystème privé, et risques de doublons avec cybermalveillance.gouv.fr.

Je l’ai également interpellé sur le retard de la France dans la transposition de la directive NIS2, en soulevant cette interrogation critique : cette réglementation constitue-t-elle un véritable levier de sécurité ou une contrainte normative dont l’efficacité reste à démontrer ?

VERBATIM de mon intervention

Merci Monsieur le Président,
Monsieur le Directeur général de l’ANSSI, merci beaucoup pour ce propos.

L’appel à manifestation d’intérêt AMI_RALEC, lancé le 22 août dernier, posait des exigences explicites : une forte proximité territoriale et la gratuité de l’assistance aux victimes de cyberattaques au titre d’une mission d’intérêt général. Or, dans les faits, plusieurs dispositifs territoriaux reposent largement sur des opérateurs privés, notamment Orange Cyberdéfense, dans le cadre des CSIRT.

Dans ces conditions, comment garantissez-vous que l’argent public ne finance pas indirectement des prestations privées qui s’éloigneraient de l’esprit initial de cet appel à manifestation d’intérêt ? Et plus directement, considérez-vous que les dispositifs retenus sont pleinement conformes aux engagements que vous aviez vous-même fixés ?

S’agissant des CSIRT, quel est leur modèle économique réel ? Quelle est la part exacte de financement public ? Et à terme, ces structures ont-elles vocation à être pérennisées par la subvention ou à évoluer vers un modèle concurrentiel ?

Par ailleurs, l’État finance déjà des dispositifs nationaux, notamment cybermalveillance.gouv.fr. Comment justifiez-vous la coexistence de ces structures avec Cybermalveillance sans qu’il y ait doublon, voire dispersion des moyens publics ? Une évaluation de cette efficacité globale a-t-elle été conduite ?

Dans une interview que vous avez donnée à un grand quotidien, vous précisez que le rôle de l’État est de traiter la menace du haut du spectre avec les attaquants d’autres États. Pourquoi, en ce cas, l’ANSSI développe-t-elle des outils et services comme MesServicesCyber, plutôt destinés aux entreprises, qui font concurrence aux acteurs économiques de l’écosystème ? Quel budget ? Quel montant de sous-traitance ? Combien de ressources humaines et de temps sont consacrés à MesServicesCyber ?

J’en viens au cadre européen, la directive NIS2, directive qui aurait dû être transposée il y a plus de dix-huit mois. Nous assistons également à la multiplication de vols massifs de données. Comment comptez-vous imposer NIS2 aux administrations et collectivités qui ne respectent déjà pas les textes comme le RGS, Référentiel général de sécurité, ou du RGPD, Règlement général sur la protection des données, par exemple. Comment prévoyez-vous de décliner la stratégie nationale de cybersécurité auprès de l’ensemble de la population, au-delà de la seule sphère des ministères et services concernés ?

La France est aujourd’hui en retard, alors même que certains de nos partenaires comme la Belgique ou l’Italie ont déjà transposé NIS2 depuis dix-huit mois. Quelles en sont les conséquences concrètes pour la France en matière de retard pour notre niveau de cybersécurité ? Disposez-vous d’éléments objectifs permettant de comparer la situation française qui n’a pas transposé avec celle des pays qui ont déjà transposé depuis dix-huit mois ?

Enfin, j’aimerais vous entendre sur un point de cohérence. Si ce retard n’a pas d’impact mesurable à ce stade, comment justifier l’ampleur des obligations que cette directive impose aux entreprises françaises ? Autrement dit, sommes-nous face à une exigence réellement structurante en matière de cybersécurité ou à une contrainte normative dont l’efficacité resterait à démontrer ? Merci.

*ANSSI : Agence nationale de la sécurité des systèmes d’information