« ANSSI » : différence entre les versions

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est une agence gouvernementale française créée par le décret n° 2009-834 du 7 juillet 2009. Placée sous l'autorité du Premier ministre via le Secrétariat général de la défense et de la sécurité nationale (SGDSN), elle constitue l'autorité nationale en matière de cybersécurité et de protection des systèmes d'information. Son siège est situé à Paris. En 2024, l'agence emploie environ 650 agents aux profils majoritairement techniques.

L'ANSSI succède à la Direction centrale de la sécurité des systèmes d'information (DCSSI), qui relevait du Secrétariat général de la défense nationale (SGDN). La DCSSI, créée en 2001, était elle-même issue du Service central de la sécurité des systèmes d'information (SCSSI), fondé en 1986. Le Livre blanc sur la défense et la sécurité nationale de 2008 préconise la création d'une structure dotée de pouvoirs étendus et d'une visibilité accrue, aboutissant au décret fondateur du 7 juillet 2009.

Patrick Pailloux dirige l'ANSSI de sa fondation en 2009 jusqu'en 2014. Guillaume Poupard lui succède de 2014 à 2022, période au cours de laquelle l'agence triple ses effectifs et voit son périmètre élargi par la loi de programmation militaire de 2013 et la transposition de la Directive NIS en 2018. Vincent Strubel prend la direction de l'ANSSI en janvier 2022.

La loi de programmation militaire (LPM) du 18 décembre 2013 confère à l'ANSSI des pouvoirs d'injonction à l'égard des opérateurs d'importance vitale (OIV). La loi n° 2018-133 du 26 février 2018, transposant la Directive NIS, étend cette logique aux opérateurs de services essentiels (OSE). La Directive NIS2, adoptée par l'Union européenne en décembre 2022, est en cours de transposition en France à compter de 2024 et étend les obligations à un périmètre estimé à plusieurs milliers d'entités.

L'ANSSI est structurée en sous-directions thématiques couvrant la réglementation, l'expertise technique, les opérations de réponse aux incidents, la certification et la coordination internationale. Ses effectifs sont passés d'environ 100 agents à sa création à plus de 600 en 2023. Depuis 2021, l'agence bénéficie d'une dotation accrue dans le cadre de la stratégie nationale pour la cybersécurité, dotée d'1 milliard d'euros sur cinq ans dans le cadre du plan France 2030.

Le CERT-FR (Computer Emergency Response Team — France) est la composante opérationnelle de l'ANSSI chargée du traitement des alertes, de la veille sur les vulnérabilités informatiques et de la réponse aux incidents. Homologue national des CSIRT référencés à l'échelle européenne, il est membre du réseau FIRST (Forum of Incident Response and Security Teams) et du réseau CSIRTs Network de l'Union européenne. Il publie en continu des bulletins d'alerte (CERTFR-XXXX-ALE) et des avis de sécurité (CERTFR-XXXX-AVI) accessibles sur le site cert.ssi.gouv.fr.

L'ANSSI produit des guides de bonnes pratiques, des recommandations techniques et des alertes à destination des administrations publiques, des entreprises et du grand public. Sa plateforme SecNumacadémie propose des formations en ligne gratuites couvrant la sécurité des mots de passe, le hameçonnage, la sécurité des postes de travail et les architectures réseau sécurisées. L'agence participe au Mois européen de la cybersécurité (octobre) organisé sous l'égide de l'ENISA et co-anime le dispositif cybermalveillance.gouv.fr, plateforme nationale d'orientation pour les victimes de cyberattaques.

L'ANSSI peut intervenir directement au sein des systèmes d'information des administrations de l'État et des opérateurs critiques en cas d'incident avéré. Ses équipes réalisent des analyses forensiques, des audits d'architecture et des missions de durcissement. Elle qualifie des produits et services de sécurité via ses schémas de qualification, garantissant leur niveau de confiance pour les acheteurs publics et les entités réglementées.

En cas d'attaque d'envergure — rançongiciel, espionnage ou sabotage —, le CERT-FR coordonne la réponse technique en lien avec les services de police judiciaire (BL2C, C3N), le parquet compétent et les autorités sectorielles concernées. Le Panorama de la cybermenace, rapport annuel de l'ANSSI, documente les tendances observées : en 2023, les attaques par rançongiciel représentaient la menace la plus fréquente pour les entités publiques françaises, avec des cibles incluant des collectivités territoriales et des établissements de santé.

L'ANSSI est l'autorité nationale compétente pour contrôler le respect des obligations de cybersécurité imposées aux OIV et aux OSE. Elle peut diligenter des audits de cybersécurité et émettre des injonctions contraignantes. Dans le cadre de la Directive NIS2, son périmètre de régulation s'étend à la santé, à l'énergie, aux transports, aux infrastructures numériques et aux administrations publiques des niveaux central et territorial.

Les opérateurs d'importance vitale (OIV) sont des personnes morales dont l'activité est indispensable à la continuité de la vie nationale. Ils sont désignés confidentiellement par arrêté ministériel dans 12 secteurs d'activité d'importance vitale (SAIV) : alimentation, activités civiles de l'État, activités militaires de l'État, communications électroniques, eau, énergie, finances, industrie, santé, transports, espace et gestion de l'urgence. Chaque OIV doit se conformer à des règles de sécurité définies par arrêté sectoriel et soumettre ses systèmes d'information critiques à des audits réalisés par des prestataires qualifiés PASSI.

La loi n° 2018-133, transposant la Directive NIS, a institué la catégorie des opérateurs de services essentiels (OSE). La France a désigné 122 OSE lors du premier exercice de désignation. Contrairement aux OIV, les OSE désignés sont publiquement identifiables. La Directive NIS2 remplace le régime OSE par deux nouvelles catégories — « entités essentielles » et « entités importantes » —, soumises à des régimes de contrôle différenciés selon la taille de l'entité et le niveau de risque sectoriel.

L'ANSSI est l'organisme de certification nationale pour les Critères Communs (Common Criteria / ISO/IEC 15408), cadre international d'évaluation de la sécurité des produits informatiques. Elle délivre des certificats après évaluation par des laboratoires agréés, les CESTI (Centres d'Évaluation de la Sécurité des Technologies de l'Information). Ces certificats sont reconnus mutuellement entre les États signataires des accords SOG-IS et CCRA, facilitant la commercialisation transfrontalière de produits certifiés.

EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode d'analyse de risques publiée et maintenue par l'ANSSI. Sa version révisée de 2018 s'articule en cinq ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque. Elle s'aligne sur les normes ISO/IEC 27001 et NIST CSF et est recommandée pour toute étude conduite dans le cadre des obligations OIV, OSE et, depuis 2024, des entités soumises à la Directive NIS2.

Le Référentiel Général de Sécurité (RGS) est un cadre normatif définissant les règles de sécurité applicables aux systèmes d'information des autorités administratives françaises. Il porte sur les mécanismes cryptographiques, l'authentification, les certificats électroniques, la signature numérique et les échanges sécurisés entre administrations et avec les usagers. Le RGS est développé en partenariat avec la DINUM (Direction interministérielle du numérique).

La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S) est élaborée conjointement par l'ANSSI et les ministères compétents pour le secteur sanitaire. Elle définit les exigences de sécurité applicables aux établissements de santé, aux acteurs de la e-santé et aux systèmes d'information de santé partagés tels que le Dossier Médical Partagé (DMP) et Mon espace santé.

Le schéma PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) qualifie les prestataires habilités à réaliser des audits de cybersécurité pour le compte des OIV, des OSE et des administrations. La qualification PASSI couvre plusieurs domaines : tests d'intrusion, audit d'architecture, audit de configuration, audit de code source, et audit organisationnel et physique. Les audits PASSI constituent une obligation réglementaire pour les systèmes d'information critiques des OIV.

Le schéma PDIS (Prestataires de Détection des Incidents de Sécurité) qualifie les opérateurs de SOC fournissant des services de détection des incidents de sécurité selon les exigences de l'ANSSI. Distinct du PDIS, le schéma PRIS (Prestataires de Réponse aux Incidents de Sécurité) qualifie les prestataires intervenant en réponse à des incidents avérés, notamment les attaques par rançongiciel visant des structures critiques. Ces qualifications constituent des garanties de confiance pour les acheteurs soumis à la réglementation OIV et NIS.

Le référentiel SecNumCloud définit les exigences auxquelles doivent satisfaire les prestataires de services cloud (IaaS, PaaS, SaaS) destinés aux OIV, aux OSE et aux administrations traitant des données sensibles. Il inclut des exigences spécifiques sur la localisation des données en France ou dans l'Union européenne, la résistance aux législations extraterritoriales — notamment le Cloud Act américain —, la sécurité physique et logique des infrastructures, et l'immunité aux prises de contrôle étrangères. En 2024, OVHcloud et S3NS (filiale de Thales) figuraient parmi les prestataires en cours de qualification ou qualifiés au niveau SecNumCloud.

L'ANSSI édite des guides techniques régulièrement mis à jour. Parmi les plus référencés :

• Guide d'hygiène informatique : 42 règles fondamentales de sécurité applicables à toute organisation, présentées dans une version actualisée intégrant les enjeux du télétravail et du cloud.
• Recommandations pour la sécurisation des systèmes industriels (ICS/SCADA) : dédié aux environnements de contrôle industriel et aux OIV du secteur énergie.
• Recommandations relatives à l'authentification multifacteur et aux mots de passe : cadrage technique et organisationnel pour les entités réglementées.
• Recommandations de sécurité pour les architectures VPN : bonnes pratiques pour les tunnels chiffrés, les accès distants et les pare-feu de prochaine génération.
• Panorama de la cybermenace : rapport annuel analysant les incidents traités, les groupes d'attaquants identifiés et les secteurs les plus ciblés en France.

Le Campus Cyber, inauguré en février 2022 à La Défense (Hauts-de-Seine), est un dispositif national de coopération regroupant l'ANSSI, de grands groupes industriels, des PME, des startups, des organismes de formation et des laboratoires de recherche. Sur une surface de 26 000 m², il rassemble plus de 1 800 experts de la cybersécurité. L'ANSSI y exerce un rôle de gouvernance et d'animation, en lien avec les acteurs publics et privés de l'écosystème national. Le Campus Cyber est également un lieu de formation, d'innovation et de coordination en cas de crises cybernétiques majeures.

L'ANSSI collabore étroitement avec ses homologues européens : le BSI (Bundesamt für Sicherheit in der Informationstechnik, Allemagne), le NCSC (National Cyber Security Centre, Pays-Bas), le CCN-CERT (Centro Criptológico Nacional, Espagne) et le CISA (Cybersecurity and Infrastructure Security Agency, États-Unis). Elle est membre fondateur du réseau CyCLONe (Cyber Crisis Liaison Organisation Network), enceinte de coordination des crises cyber à l'échelle de l'Union européenne. Elle contribue aux travaux de normalisation et de politique de l'ENISA (Agence de l'Union européenne pour la cybersécurité) et aux groupes de travail du Conseil de l'UE sur la cybersécurité et la cyberdiplomatie.

L'ANSSI a conclu des accords de coopération technique avec plusieurs agences nationales, portant sur l'échange de renseignements sur les menaces (threat intelligence), la coordination lors d'incidents transfrontaliers et la reconnaissance mutuelle des schémas de qualification et de certification. Elle participe également aux travaux du groupe d'experts gouvernementaux des Nations Unies (GGE) sur la cybersécurité internationale, contribuant à l'élaboration de normes de comportement responsable des États dans le cyberespace.

SecNumacadémie est la plateforme de e-learning gratuite de l'ANSSI, accessible à l'adresse secnumacademie.gouv.fr. Elle propose des modules thématiques couvrant la sécurité des appareils numériques, le hameçonnage, la protection de l'identité numérique, les réseaux d'entreprise et les architectures sécurisées. Une attestation est délivrée à l'issue de chaque quiz de validation. La plateforme est intégrée à plusieurs dispositifs de certification professionnelle en informatique et en cybersécurité, notamment dans les cursus de formation des agents publics.

Dans le cadre du plan France Relance (2021-2022), l'ANSSI a cofinancé des diagnostics de cybersécurité et des projets de mise en conformité pour plusieurs centaines de collectivités territoriales et d'établissements de santé. Ces structures, régulièrement ciblées par des attaques de type rançongiciel — 11 hôpitaux français touchés entre 2020 et 2022 — disposent souvent de ressources internes insuffisantes pour répondre seules aux exigences réglementaires. Ce programme s'inscrit dans une logique de réduction des inégalités de maturité cybersécurité entre grandes organisations et structures de taille intermédiaire.

• Cybersécurité
• Audit de cybersécurité
• EBIOS Risk Manager
• Directive NIS
• Directive NIS2
• Test d'intrusion
• Responsable de la sécurité des systèmes d'information
• CSIRT (Computer Security Incident Response Team)
• SOC (Security Operations Center)
• Plan de continuité d'activité
• ISO/IEC 27001
• Modèle Zero Trust
• Authentification multifacteur
• Cyberassurance
• OWASP