“Un test comme nous n’en avons jamais connu dans notre cybersécurité collective” : Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), donne d’emblée le ton à l’évocation des Jeux Olympiques et Paralympiques de Paris, qui débuteront fin juillet. À l’occasion du forum de cybersécurité InCyber, qui a lieu jusqu’au 28 mars à Lille, le directeur général du service déconcentré a fait le point sur les principaux chantiers à venir, avec en ligne de mire, les JO. “Cela ne doit pas nous faire oublier le défi général du passage à l’échelle, avec le développement de solutions de cybersécurité qui répondent au besoin du plus grand nombre”, tempère toutefois Vincent Strubel.
Un défi d’actualité, avec “des tendances dans la menace qui se confirment”. D’une part, une menace étatique, étant “agile, furtive, réactive, ciblée, sur les mêmes entités stratégiques”, avec une évolution vers le sabotage “de plus en plus concrète”. De l’autre, une menace systémique, provenant du crime organisé et d’hacktivistes, “aux visions diverses”. Cette menace n’est pas ciblée, mais “est massive et n’épargne personne”. Entre 2022 et 2023, elle a augmenté de 30%. Fin février, l’Anssi a publié son panorama annuel de la cybermenace, alertant sur la recrudescence des cyberattaques visant “les plus fragiles”.
Éviter d’être “noyés sous des attaques de faible gravité mais à forte visibilité” lors des JO
À court terme, l’Anssi entend répondre aux défis autour des grands événements, avec en premier lieu, chronologiquement, les élections européennes du 9 juin. Pour chaque élection, l’agence se met au service du juge de l’élection, le Conseil d’État, mais aussi “à la disposition des équipes de campagne, sans distinction, en restant dans [son] rôle”.
Le chantier de taille reste celui des Jeux Olympiques, que Vincent Strubel qualifie de “nouveau, unique”. Une période pendant laquelle “tous les projecteurs seront braqués sur la France”, y compris ceux des cyberattaquants. Le directeur général de l’Anssi distingue les acteurs malveillants étatiques, qui voudront nuire à l’image de la France, notamment lors de la cérémonie d’ouverture, par exemple, du crime organisé, avec la période des soldes, et des “hacktivistes de tout poil qui voudront se saisir du porte-voix médiatique”.
Vincent Strubel se dit “confiant sur [la] capacité à faire face”, soulignant le travail de coopération avec Paris 2024, les sous-traitants des organisateurs ou les fédérations sportives. “La confiance ne veut pas dire insouciance, note-t-il. Le pire scénario, selon lui : celui “dans lequel nous serions noyés sous des attaques de faible gravité mais à forte visibilité, très médiatisées, qui nous mettraient une pression telle que l’on ne repérerait pas tant l’attaque plus sournoise, plus grave.”
Contre ces menaces, le directeur général de l’Anssi insiste pour que tous les incidents soient remontés, et appelle à la responsabilité collective et à de la pédagogie pour que certaines attaques ne contribuent pas à un climat anxiogène. “Pendant les JO, il y aura des attaques très visibles mais pas très graves, comme des dénis de service, et peut-être des attaques graves mais n’ayant pas d’impact sur les JO, comme le vol de données”. Lors des JO de Tokyo, 450 millions de cyberattaques et 4,4 milliards de menaces avaient été recensées, pour une édition sans spectateurs en raison de la crise sanitaire.
Une “structure indépendante” créée pour le contrôle de la conformité à la directive NIS2
En octobre 2024 aura lieu la transposition en droit français de la directive NIS2, législation visant à harmoniser le niveau de cybersécurité à l’échelle de l’Europe, et qui concernera la grande majorité des PME et la plupart des collectivités. Vincent Strubel se veut rassurant : “Je ne nous imagine pas demander une conformité totale avant trois ans, à compter de la publication du texte. Il faudra chercher une certaine progressivité, peut-être avec des tests et contrôles à blanc, mais on ne va pas distribuer les sanctions tout de suite.”
L’Anssi, qui interviendra en tant que régulateur et autorité de contrôle dans l’application de cette directive, précise que le régime de sanction sera dissuasif. Son directeur général ajoute qu’une “structure indépendante” sera créée pour prendre les décisions. Il s’agira d’une “formation collégiale, qui respectera la règle du contradictoire et la proportionnalité des sanctions aux infractions.” De plus, un portail sera mis en place “pour permettre l’embarquement des nouveaux assujettis, pour leur permettre de tester s’ils sont soumis, ou non, à NIS2”, avant de les mettre en relation.
Vincent Strubel a également évoqué le projet “Mon aide cyber”, développé par une start-up d’État en phase expérimentale, qui mettra en relation des “entités” ayant besoin de faire un diagnostic de cybersécurité avec celles qui peuvent leur offrir de l’aide, qu’elles soient publiques ou privées.
Renforcer l’attractivité des métiers de la cybersécurité
Lundi, l’Anssi a publié la deuxième édition de son Observatoire sur les métiers de la cybersécurité, portant sur la perception des différentes professions par les praticiens de la cybersécurité. Seuls 6 professionnels sur 10 déclarent que ce domaine est reconnu ou valorisé socialement, et 41% d’entre eux pensent que leur métier permet de concilier vie professionnelle et vie privée. “Ces études mettent en évidence les facteurs qui limitent l’attractivité de nos métiers aujourd’hui, qui font qu’on n’attire pas assez de jeunes vers les formations initiales, ou de moins jeunes vers les reconversions”, déplore Vincent Strubel.
L’occasion pour ce dernier de rappeler l’initiative “Demain spécialiste cyber”, lancée en 2023 avec le Campus Cyber et le ministère de l’Éducation nationale. Ce projet allie campagnes de communication, jeux et hackathons auprès des collégiens et lycéens. “Voir des lycéens à fond, qui réinventent un loup-garou de la cybersécurité, avec des cartes VPN et des cartes zéro-day, c’est bluffant et ça m’emplit de confiance en l’avenir”, conclut Vincent Strubel.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
