C’est quoi l’ANSSI ? Cyberdéfense de l’État

Les chiffres-clés à connaître

Définition

L'ANSSI, Agence nationale de la sécurité des systèmes d'information, a été créée par le décret n° 2009-834 du 7 juillet 2009. C'est un service à compétence nationale rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), lui-même placé sous l'autorité du Premier ministre. Elle a succédé à la DCSSI (Direction centrale de la sécurité des systèmes d'information) avec un mandat élargi à la cyberdéfense civile.

L'agence intervient à la fois comme régulateur, comme opérateur (détection, réponse à incident via le CERT-FR), comme certificateur (produits et prestataires) et comme animateur de l'écosystème national. À ce titre, elle constitue l'une des briques majeures du dispositif français de gestion de crise cyber et joue un rôle équivalent à celui du BSI allemand ou du NCSC britannique.

Missions principales

L'action de l'ANSSI s'articule autour de cinq grands blocs.

• Défendre les systèmes d'information de l'État : politique de sécurité (PSSIE), audits, doctrine technique, Référentiel général de sécurité (RGS).
• Réguler les opérateurs critiques : OIV depuis la LPM 2013, OSE depuis NIS 1 (2018), Entités essentielles (EE) et Entités importantes (EI) depuis NIS 2 (loi du 30 avril 2024).
• Répondre aux incidents : le CERT-FR traite les attaques visant l'État et les opérateurs régulés et coopère avec les CSIRT homologues.
• Certifier et qualifier : produits (CSPN, Critères Communs), prestataires (PRIS, PASSI, PDIS).
• Sensibiliser et accompagner : guides publics, MOOC SecNumacadémie, animation des CSIRT territoriaux, tutelle technique du GIP Cybermalveillance.

Le périmètre des opérateurs régulés

Historiquement, l'ANSSI concentrait son régulateur sur les OIV (opérateurs d'importance vitale) au sens des articles L.1332-1 et suivants du Code de la défense : environ 250 entités relevant de 12 secteurs critiques. La directive NIS 1, transposée en 2018, y a ajouté les OSE (opérateurs de services essentiels).

La directive NIS 2, transposée par la loi du 30 avril 2024, élargit considérablement le périmètre : plusieurs milliers d'entités sont désormais visées, classées en deux niveaux (EE et EI). Sont concernées les ETI et grandes PME des secteurs hautement critiques (énergie, transport, santé, eau) et critiques (numérique, agroalimentaire, fabrication). Chaque entité régulée doit notifier les incidents significatifs à l'ANSSI dans des délais courts (24 heures pour la pré-notification, 72 heures pour la notification complète).

Le CERT-FR, bras opérationnel de l'ANSSI

Le CERT-FR est le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques. Hébergé par l'ANSSI, il publie quotidiennement des bulletins d'alerte (CERTFR-AVI, CERTFR-CTI), assiste les victimes éligibles, partage des indicateurs de compromission avec les communautés CSIRT internationales (FIRST, TF-CSIRT) et coordonne la réponse aux crises cyber majeures. Pour les organisations qui veulent comprendre une attaque, ses bulletins sont la référence francophone. Notre fiche dédiée au CERT-FR détaille sa doctrine et son fonctionnement.

Tableau récapitulatif

Quel intérêt pour un acteur de la gestion de crise ?

1. Repère doctrinal pour la prévention

Les guides ANSSI (« Maîtrise du risque numérique », « Hygiène informatique en 42 mesures ») constituent une base normée. Les intégrer dans la méthodologie de cellule de crise permet d'aligner gouvernance, technique et communication sur un socle reconnu.

2. Appui en cas de crise cyber majeure

Si l'organisation relève d'un statut régulé (OIV/EE/EI), l'ANSSI peut envoyer une équipe de réponse, fournir des IoC et orienter vers un prestataire PRIS. La cellule de crise doit avoir préparé en amont les canaux de saisine et identifié les contacts ANSSI/CERT-FR de référence.

3. Cadre de conformité NIS 2

La gouvernance NIS 2 implique le COMEX et le conseil d'administration. La composition de la cellule de crise doit refléter cette responsabilisation des dirigeants : un cyber-incident est désormais un sujet de conseil, pas seulement d'IT.

4. Intelligence collective via les CSIRT

L'ANSSI fédère un écosystème : CSIRT territoriaux, CSIRT sectoriels (santé, finance), associations professionnelles. S'inscrire dans ces réseaux, c'est gagner en réactivité face à une attaque qui touche tout un secteur.

Limites et nuances à comprendre

L'ANSSI n'est ni un service de renseignement (DGSI, DGSE), ni un service de police judiciaire (OFAC, gendarmerie cyber). Elle ne mène pas d'opérations offensives (compétence du COMCYBER, ministère des Armées). Elle ne s'occupe pas davantage des opérations d'influence en sources ouvertes : c'est VIGINUM qui en a la charge. Comprendre cette répartition évite les attentes mal calibrées en cellule de crise.

Autre nuance importante : l'ANSSI ne se substitue jamais à l'organisation victime. Sa logique est d'appui, pas de prise de relais. Le pilotage de la crise reste à l'organisation, qui conserve la maîtrise de sa communication et de ses décisions opérationnelles.

Bonnes pratiques pour interagir avec l'ANSSI

Pour les organisations qui relèvent de son périmètre, quelques règles simples maximisent la qualité de l'interaction :

• Désigner un point de contact unique côté organisation : un référent cybersécurité ou un RSSI identifié, avec un suppléant. Le va-et-vient de correspondants en crise est une perte sèche.
• Préparer un dossier d'identité technique : architecture haut niveau, dépendances critiques, prestataires, contrats d'assurance cyber. Le partager dès le premier contact gagne plusieurs heures.
• Tenir une main courante horodatée dès le déclenchement de l'incident. C'est utile à l'ANSSI, à l'assureur, à la CNIL, et au juge éventuel.
• Respecter les TLP (Traffic Light Protocol) sur les informations partagées. Trahir un TLP:RED est un excellent moyen de perdre la confiance des CSIRT, durablement.
• Capitaliser sur le RETEX : à froid, l'ANSSI et le CERT-FR sont demandeurs de retours d'expérience anonymisés.