Cet article appartient au dossier : Universwiftnet, Les relations banques-entreprises.

Cybersécurité

L’ANSSI à la manœuvre en France et en Europe

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°366

Universwiftnet: les relations banques-entreprises

Si chaque opérateur économique doit veiller à préserver sa cyber-résilience, tous peuvent également compter sur l’aide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Créée en juillet 2009, cette autorité nationale est chargée de gérer les attaques informatiques sur le territoire français mais aussi d’en organiser la prévention. « Nous avons ainsi mis en place un système de certification et de qualification pour les fournisseurs de produits et prestataires de services de sécurité qui atteste de leur conformité aux exigences réglementaires, techniques et de sécurité promues par l’ANSSI » rappelle Emmanuel Germain, directeur adjoint de l’ANSSI dans une récente interview [1].

Mais l’ANSSI participe aussi largement aux actions de lutte contre les cybermenaces menées au niveau européen et international, car, comme le précise l’agence dans la présentation de son activité pour 2018, « la multiplication des vagues d’attaques sans frontières a mis en évidence la nécessité de pouvoir s’appuyer sur un réseau global de vigilance à l’échelle européenne ».

Une de ses priorités pour 2018 est la transposition de la directive NIS (Network and Information Security) adoptée en 2016. L’Agence a mené diverses concertations à ce sujet avec les ministères et les parties prenantes nationales ; ainsi, le projet de loi DADUE (portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité) a été adopté en première lecture par le Sénat en décembre 2017 et poursuit son parcours législatif à l’Assemblée nationale. Le texte européen identifie notamment les opérateurs de services essentiels (OSE) pour la vie quotidienne, c’est-à-dire les services dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Ils complètent la notion d’opérateurs d’importance vitale (OIV) déjà identifiés dans la loi française de programmation militaire de 2013. L’ANSSI a été chargée d’élaborer le dispositif de sécurité des OSE (a priori plus nombreux que les OIV) qui inclut notamment l’obligation de notifier les incidents.

L’ANSSI entend également participer activement à la mise en œuvre du « paquet cybersécurité » annoncé par la Commission européenne en septembre dernier. Elle soutient ainsi le renforcement annoncé des pouvoirs de l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA). « Il est primordial d’inciter les pays qui n’ont pas suffisamment investi dans la cybersécurité à le faire, la priorité étant d’élever le niveau de sécurité dans chaque pays européen. L’ENISA a un réel rôle à jouer de soutien du développement des capacités nationales » souligne à ce sujet Emmanuel Germain. L’ENISA sera chargée d’organiser un meilleur partage des connaissances sur les cybermenaces, mais aussi de contribuer à la mise en œuvre de la directive NIS, d’organiser des exercices de cybersécurité paneuropéens annuels et de définir un cadre de certification européen pour des produits et services qui répondent aux exigences réglementaires de cybersécurité (notamment les objets connectés).

Autre projet européen sur lequel est mobilisée l’ANSSI, le développement du réseau des CSIRT (Computer Security Incident Response Team) avec la création d’un centre dans chacun des pays membre pour faciliter les échanges et les réactions collectives en cas de cyberattaques.

Enfin, l’ANSSI est également partie prenante des travaux menés dans le cadre du partenariat public-privé européen sur la cybersécurité lancé par le fonds européen H2020 en 2016.

 

[1] « Agence nationale – “Le risque augmente et est à la fois très fort et sous-évalué” », Banque Stratégie n° 365, janvier 2018, p. 5.

 

Sommaire du dossier

Les relations banques-entreprises

Sur le même sujet