Vincent Strubel : “Notre mission restera, avant tout, d’aider nos bénéficiaires”

La deuxième journée du Forum InCyber s’est ouverte sur une prise de parole du directeur de l’Agence nationale des systèmes d’information (Anssi), Vincent Strubel. Face à une audience de plus de 4500 personnes, le directeur a tenu à souligner la mission de soutien de l’agence notamment dans le cadre de NIS 2 où elle aura un pouvoir de sanction.

Aujourd’hui, ici, l’Etat, c’est vous !” Accueilli sur scène par le Général Watin-Augouard, le directeur général de l’Anssi (Agence nationale des systèmes d’information), Vincent Strubel, a profité de l’évènement pour faire un état des lieux des différents chantiers en cours au sein de l’Agence. Et c’est au nom de l’Etat que le directeur s’est réjouit de cette nouvelle mobilisation de l’intelligence collective. Cela notamment dans la teneur des échanges, dans lesquels il a pu observer une certaine résonance avec les recommandations de l’Agence et à quelques mois des élections européennes et des Jeux Olympiques. Pour lui, “les jeux vont clairement être un véritable test de notre cybersécurité. Quelque chose de nouveau, encore jamais fait à l’ère de l’informatique et sous les projecteurs du monde entier”. Souvent interrogé sur ce point, il évoque sa plus grosse crainte : “Être noyé sous des attaques de faible gravité, mais à forte visibilité, très médiatisée, qui nous mettrait une pression telle qu’on ne repèrerait à temps l’attaque plus sournoise, plus grave, qu’on aurait pu bloquer si on l’avait vue.” Pour éviter ce phénomène, l’organisation prévoit que tous les incidents remontent à l’Anssi qui aura donc ce rôle essentiel de consolidation, de tri et de priorisation des incidents cyber. “Notre quotidien en sommes mais cette fois avec beaucoup plus d’intensité”.

Octobre 2024 : date de transposition de NIS 2 et non de mise en conformité

Pour le successeur de Guillaume Poupard, ce fut également l’occasion d’apporter quelques précisions sur l’entrée en vigueur de la version 2 de la directive NIS. “Octobre 2024 correspond à la date à laquelle il faudra avoir fini de transposer la directive dans le droit français et non celle où les entreprises devront se montrer conformes”, corrige Vincent Strubel. Raisonnablement, il n’imagine pas une conformité totale avant trois ans. “Il faut une progressivité pour étalonner le dispositif et accompagner notre propre montée en compétence à nous aussi.” Côté exigences, le directeur précise (ou rappelle) qu’elles seront proportionnelles au risque et assure que le recours à des prestataires ou solutions qualifiées par l’Anssi sera recommandé mais en aucun cas imposé. “Ce n’est ni l’ambition, ni la base légale donnée par la directive”, ajoute Vincent Strubel qui a également apporté un éclairage quant au régime de sanction censé aider à porter le dispositif de gouvernance à son bon niveau. 

Des sanctions à prendre mais la main tremblante

Si l’Anssi sera bien l’autorité de contrôle en la matière, la décision de sanctionner ne reposera pas sur son directeur général. “Nous allons créer une structure indépendante pour prendre ces décisions la maison tremblante. Une formation collégiale qui respectera les règles du contradictoire et de la proportionnalité des sanctions aux infractions”, détaille Vincent Strubel. Mais, très important à ses yeux, il rappelle que cela ne doit en aucun cas dénaturer ce qu’est l’Anssi à savoir “une agence qui aide ces bénéficiaires en toutes confiance et cela ne doit pas changer”. Ce qui comporte, sans surprise, son lot de contraintes en termes d’organisations comme isoler l’instruction des potentielles sanctions des données collectées dans d’autres missions et, ajoute Vincent Strubel, “de garantir que quand on nous appelle, nous ne sommes pas en même temps en train de rédiger le PV !