Venu ouvrir l’édition 2024 des Assises de Monaco, le patron de l’ANSSI n’a pas tari d’éloges sur « l’équipe de France de la cyber », grâce à laquelle les Jeux Olympiques de Paris n’ont pas été marqués par des cyberattaques fructueuses.
On a gagné ! On a gagné ! Peut-être la France n’est-elle pas la première nation en nombre de médailles, mais en matière de cybersécurité, c’est « une victoire claire », a en croire Vincent Strubel. Lors de la conférence d’ouverture des Assises de la cybersécurité, qui se tenaient la semaine dernière à Monaco, le directeur de l’ANSSI a félicité « l’équipe de France de la cyber » pour sa mobilisation lors des Jeux Olympiques.
83 incidents, peu d’impact
Car si les cyberattaques n’ont pas fait l’actualité lors de l’événement, si « de l’extérieur, on a eu l’impression que rien ne s’est produit », de l’aveu de Vincent Strubel, la France a été la cible de nombreuses actions malveillantes. Entre le 8 mai et le 8 septembre, l’ANSSI a référencé 548 événements de cybersécurité affectant des entités en lien avec l’organisation des Jeux Olympiques et Paralympiques de Paris 2024, dont 83 incidents.
Des incidents sans grand impact, malgré « des gens qui nous en voulaient vraiment ». Pour le patron de l’ANSSI, ce succès « nous prépare pour la suite ». La suite, c’est avant tout NIS 2, qui s’appliquera dès le 18 octobre. Mais Vincent Strubel tempère : « Il ne va se passer grand-chose car il faut un projet de loi », ajoutant que l’agence ne compte pas infliger de sanctions avant 2027, le temps que les entités concernées se mettent en conformité.
Des incidents sans grand impact, malgré
« des gens qui nous en voulaient vraiment ».
Ne pas attendre
Ce à quoi un certain nombre de juristes n’ont pas manqué de rappeler que, dès le 18 octobre, le texte européen s’appliquera en l’état. En d’autres termes, pour reprendre ceux de l’avocat Marc-Antoine Ledieu, « ça veut dire qu’un prestataire, Entité Essentielle ou Importante, qui n’a pas “fait le job” au 18 octobre 2024 est tout à fait susceptible d’engager sa responsabilité à l’égard de ses clients ». Et donc d’être poursuivi par ses clients sur cette base.
« ça veut dire qu’un prestataire, qui n’a pas “fait le job” au 18 octobre 2024 est tout à fait susceptible d’engager sa responsabilité à l’égard de ses clients »
Vincent Strubel rappelle d’ailleurs que l’ANSSI « n’attendra pas trois ans pour exiger certaines choses simples, comme l’enregistrement auprès de l’ANSSI ou encore la notification des incidents ». « Trois ans, ça passe très vite » assène-t-il. Il vaudra mieux ne pas attendre le 17 octobre 2027 pour se pencher sur la question. D’autant qu’arrivera entre temps le Cybersecurity Resilience Act (CRA), « une prolongation de NIS 2 quant à la sécurité de tous les produits numériques », qui obligera éditeurs et fabricants à penser le « Security by Design ».
