Agence nationale de la sécurité des systèmes d'information

Agence nationale de la sécurité des systèmes d'information
Logo de l'Agence nationale de la sécurité des systèmes d'information
Histoire
Fondation
Prédécesseur
Cadre
Sigle
ANSSIVoir et modifier les données sur Wikidata
Type
Forme juridique
Service déconcentré à compétence nationale d'un ministère (hors défense)Voir et modifier les données sur Wikidata
Domaines d'activité
Sécurité des systèmes d'information, administration publique généraleVoir et modifier les données sur Wikidata
Siège
Pays
Organisation
Directeur général de l'Agence nationale
Organisation mère
Budget
23 millions d'euros[1] (hors salaires)
Site web
Identifiants
SIREN
OpenCorporates
data.gouv.fr
Annuaire du service public

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est un service français créé par décret en [2]. Ce service à compétence nationale est rattaché au secrétariat général de la Défense et de la Sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. L’ANSSI remplace la Direction centrale de la sécurité des systèmes d’information, créée par décret en .

Son budget s’élève à 23 millions d’euros hors masse salariale en 2022[1] et ses effectifs, passés de 350 personnes en 2013 à 500 agents fin 2015, sont stables autour de 600 agents depuis le début des années 2020[3],[1].

Vincent Strubel, ingénieur général des mines, est nommé directeur général de l’ANSSI le [4],[5], succédant à Guillaume Poupard.

Historique et contexte

L’ANSSI est l’héritière d’une longue série d’organismes, créés initialement dans une optique militaire et chargés d’assurer la sécurité des informations sensibles de l’État[6] :

Aujourd’hui, l’ANSSI a toujours une mission de défense des systèmes d’information de l’État mais elle est aussi chargée d’une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale.

  •  : création de l’ANSSI (décret no 2009-834)[2] ;
  •  : l’ANSSI a également la mission d’autorité nationale de défense des systèmes d’information (décret no 2011-170)[7];
  •  : la loi de programmation militaire 2014 à 2019 (loi no 2013-1168) renforce son autorité en matière de défense et de sécurité des systèmes d’information ;
  •  : le Premier Ministre dévoile la Stratégie nationale pour la sécurité du numérique[8].
  • En , l’ANSSI participe à l’organisation de la première conférence « Construire la paix et la sécurité internationales de la société numérique », qui se tient à l’UNESCO[9].
  • En 2018, l’agence pilote la transposition de la directive européenne Network and Information System Security (NIS), qui a pour objectif d’assurer un niveau de sécurité élevé et commun pour les systèmes d’information de l’Union européenne[10].
  • En 2023, la loi de programmation militaire 2024 à 2023 (loi no 2023-703) élargit encore les capacités de l’ANSSI, notamment en matière de recherche de marqueurs techniques d’attaquants et de blocage de noms de domaines utilisés par des acteurs malveillants[11].

L’ANSSI est organisée autour de quatre sites : à Paris l’Hôtel National des Invalides, siège du Secrétariat Général de la Défense et de la Sécurité nationale, à la Tour Mercure à Paris (15e arrondissement), à La Défense au sein du Campus Cyber, et depuis 2023 à Rennes[12].

Missions

L’ANSSI présente ses missions comme suit[13] :

« La raison d’être de l’ANSSI, agence interministérielle, est de construire et d’organiser la protection de la Nation face aux cyberattaques. Elle contribue ainsi à renforcer le niveau de cybersécurité global et la stabilité du cyberespace. »

Elle organise ses actions autour de quatre thématiques :

  • Défendre les systèmes d’information critiques de la Nation en concevant et opérant le déploiement de capacités de détection des cyberattaques, les victimes de cyberattaques d’ampleur et la Nation en structurant au niveau national l’assistance aux victimes de cyberattaques ;
  • Connaître l’état de l’art en sécurité des technologies et des systèmes d’information et en être des experts, les menaces et les risques dans le cyberespace et développer des méthodes et des outils pour y faire face, et les tendances du monde de la cybersécurité, en France, en Europe et à l’international, pour s’y inscrire pleinement en défendant une vision singulière de la sécurité et de la stabilité du cyberespace ;
  • Partager des recommandations de cybersécurité, des solutions et des outils aux acteurs de la cybersécurité et de la transformation numérique pour démultiplier l’action de l’agence et renforcer la cybersécurité collective ; partager sur la réponse à la menace au sein des réseaux de coopération techniques, opérationnels et stratégiques français, européens et internationaux ; partager l’expertise de l’agence dans le domaine de la cybersécurité pour former les agents de l’État et des opérateurs régulés à la cybersécurité et partager largement les connaissances en matière de cybersécurité et encourager le développement de la filière et des formations en cybersécurité, en lien avec ses partenaires, pour informer et sensibiliser les citoyens aux risques cyber ;
  • Accompagner le développement d’une doctrine française de cybersécurité et la conception des dispositifs normatifs et réglementaires aux niveaux national et européen. Accompagner le Gouvernement dans le déploiement d’une politique publique en matière de cybersécurité, les plus hautes autorités dans leur appréhension du fait cyber, les opérateurs régulés dans l’application des mesures de sécurisation de leurs systèmes d’information et leurs réponses aux incidents, et le développement d’un écosystème de prestataires de produits et de services de confiance dans le domaine de la cybersécurité.

Organisation

Direction

La direction de l’ANSSI est assurée par un directeur général (actuellement Vincent Strubel), nommé par décret du Premier ministre. Il est assisté d’un directeur général adjoint, d’un directeur de cabinet et d’un chef de cabinet.

Les missions de l’ANSSI sont confiées à quatre sous-directions :

  • la sous-direction Opérations (SDO[14]), précédemment nommée Centre opérationnel de la sécurité des systèmes d’information (COSSI) qui assure la mise en œuvre de la fonction d’autorité de défense des systèmes d’information de l’ANSSI. Au sein de la sous-direction Opérations (SDO), le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) apporte son soutien en matière de gestion d’incidents aux ministères, institutions, juridictions, autorités indépendantes, collectivités territoriales et OIV (Opérateurs d’Importance Vitale). Il est chargé d’assister les organismes de l’administration à mettre en place les moyens de protection nécessaires[15] ;
  • la sous-direction Expertise (SDE[16]) qui porte la mission globale d’expertise et d’assistance technique de l’agence. Elle apporte son soutien à l’ensemble des autres sous-directions de l’ANSSI, aux ministères, aux industriels et prestataires de la sécurité et aux opérateurs d’importance vitale. Elle administre le Centre de Formation à la Sécurité des Systèmes d’Information (CFSSI), qui forme des agents publics à la cybersécurité et délivre notamment un diplôme d’expert en sécurité des systèmes d’information (ESSI) reconnu comme titre de niveau 7 (voir Liste des diplômes en France) et enregistré au Répertoire national des certifications professionnelles (RNCP, voir CNCP)[17].
  • la sous-direction Stratégie (SDS[18]) qui anime, de manière transverse, les relations extérieures de l’agence, la coordination des interventions et l’élaboration de la réglementation ;
  • la sous-direction Ressources (SDR[19]) qui est responsable de la programmation et de l’exécution des activités de soutien et d’administration de l’ANSSI.

Une sous-direction du Numérique (SDN) a porté jusqu’en 2020 la mission de proposer, concevoir et mettre en œuvre des produits et des systèmes d’information sécurisés au profit des ministères, des opérateurs d’importance vitale et de l’ANSSI ; Cette sous-direction a été supprimée de l’ANSSI au car intégrée, avec le Centre de transmissions gouvernemental (CTG), dans une nouvelle structure nommée Opérateur des Systèmes d’Information Interministériels Classifiés (OSIIC)[20],[21].

L’ANSSI propose un module de sensibilisation en ligne à destination de tous les publics, la SecNumAcadémie. C’est un MOOC de sensibilisation qui permet de valider ses connaissances dans différents domaines au travers de 5 modules: authentification, navigation internet, menaces, appareils mobiles[22].

Elle diffuse également des guides de bonnes pratiques et des listes de logiciels préconisés[23].

Directeurs généraux de l’ANSSI
Directeur général Grade ou statut Date de nomination Texte de nomination
Patrick Pailloux ingénieur général des mines 9 juillet 2009 Arrêté du 9 juillet 2009[24]
Dominique Riban (intérim) contre-amiral Arrêté du 25 février 2014[25]
Guillaume Poupard ingénieur en chef de l’armement 27 mars 2014 Décret du 27 mars 2014[26]
Emmanuel Naëgelen (intérim) général de brigade aérienne 02 janvier 2023 Décret du 22 décembre 2022[27]
Vincent Strubel ingénieur général des mines 04 janvier 2023 Décret du 4 janvier 2023[28]

Moyens

D’après un rapport du Sénat de 2012, même si d’importants efforts ont été mis en place ces dernières années, la situation de la France au regard de la menace provenant des attaques informatiques reste encore insatisfaisante. En effet, l’ANSSI ne dispose pas de moyens financiers et humains comparables à ses homologues américaines, britanniques ou allemandes[29].

Ressources humaines

Années Effectifs
2009 (création) 120
2011 170
2012 250
2013 360
2015 460[30]
2016 500[31]
2017 550[32]
2018 600[33]
2019 610[34]
2020 548[35]
2021 573[36]
2022 675
2023 634[37]

Pour répondre à l’enjeu national que représente la sécurité du numérique, l’ANSSI continue d’étoffer ses équipes avec des postes à pourvoir dans toutes les familles de métiers de la cybersécurité. L’objectif défini dans la loi de programmation de finance de 2018 est d’atteindre un effectif de 675 agents en 2022[38].

Moyens financiers

Années Budget en millions d’euros
2009 45
2012 75
2014 80[39]
2018 100[38]
2020 21 (hors masse salariale)[35]
2022 23 (hors masse salariale)[40]
2023 29 (hors masse salariale)[37]

Le FCSC (France Cybersecurity Challenge)

Depuis 2018, la France participe à l’European Cybersecurity Challenge (ECSC)[41], une compétition qui oppose une vingtaine d’équipes nationales composées de jeunes passionnés par la Cybersécurité et la pratiquant dans un cadre légal âgé(e)s de 14 à 25 ans. Afin de repérer et sélectionner les meilleurs joueurs français, l’ANSSI organise le FCSC. Cette compétition se divise en plusieurs catégories : Catégorie junior (pour les personnes entre 14 et 21 ans), Catégorie senior (pour les personnes entre 21 et 25 ans) enfin Hors Catégorie (pour les personnes ne remplissant pas les conditions de participation ou ne souhaitant pas participer au ECSC). Cette compétition a généralement lieu aux alentours du mois d’avril de chaque année[42].

Agora 41

L’Agora 41, lancée par l’agence en 2019, est un espace de réflexion réunissant 41 personnalités d’expertise diverse (chercheurs, universitaires, dirigeants, cadres, étudiants, etc.) Il s’agit d’une « tribune d’expression libre, multidisciplinaire qui propose à ses membres d’étudier des thématiques liées au numérique ». Selon l’ANSSI, les réflexions émergentes seront partagées « publiquement au sein de l’écosystème de la transformation numérique mais également plus largement avec toute personne intéressée par les enjeux du numérique. »[43].

Le Prix du Roman Cyber / Agora 41, destiné à récompenser une œuvre de fiction de « haute valeur littéraire » évoquant — en langue française — « la question du Cyber », est créé en 2021. 9 ouvrages sont retenus pour cette année, et le jury, présidé par Guillaume Poupard, tient sa première réunion le [44].

Challenge du logo ANSSI

En 2012, l’ANSSI présente son logo accompagné de la phrase « Les curieux apprécieront les fonds d’écran qui ont également été réalisés ». Cette phrase est en fait une invitation à résoudre l’énigme chiffrée dans l’image. Pour résoudre cette énigme, le compétiteur a besoin de compétences en stéganographie, cryptographie, rétro-ingénierie mais aussi d’imagination. Il faut par exemple utiliser un émulateur de game boy pour décoder l’énigme[45].

Le vainqueur[46] a mis 23 mois pour trouver la réponse qui est le radiogramme de la victoire déchiffré par Georges Painvin en 1918 : « Hâtez l'approvisionnement en munitions, le faire même de jour tant qu'on n'est pas vu ».

Logo de l’ANSSI et ses fonds d’écran dissimulés.

Sécurité interne

En 2020, l’ancien conseiller en stratégie de l’ANSSI est licencié pour ses liens jugés « sans équivoque » avec la Chine et l’entreprise de télécommunications Huawei, et des risques d’espionnage associés[47].

Un ancien agent de l’ANSSI a été condamné en 2022 pour « accès, le maintien et l'extraction frauduleuse de données d'un système d'information mis en œuvre par l'État » après une plainte déposée contre lui par l’ANSSI[48].

Identité visuelle

Notes et références

  1. a b et c Rapport d'activités 2022
  2. a et b Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ».
  3. Question no 29424 de M. Julien Aubert sur les moyens publics alloués à la cyberdéfense, Assemblée nationale (France), Réponse publiée le : 24/09/2013.
  4. « Vincent Strubel nommé directeur général de l’ANSSI », sur ANSSI, (consulté le ).
  5. Décret du 4 janvier 2023 portant nomination du directeur général de l'Agence nationale de la sécurité des systèmes d'information - M. STRUBEL (Vincent).
  6. Historique de l'ANSSI.
  7. Décret n° 2011-170 du 11 février 2011 modifiant le décret no 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information »
  8. Programme de la Stratégie nationale sécurité numérique, octobre 2015
  9. « Paix et sécurité de la société numérique : succès de la première conférence internationale », sur cyber.gouv.fr (consulté le )
  10. « Rapport d'activité 2018 ANSSI », sur cyber.gouv.fr (consulté le )
  11. L’Assemblée vote un élargissement des prérogatives de l’Anssi, Le Monde, 8 juin 2023
  12. À Rennes, inauguration ministérielle pour l’agence de la sécurité des systèmes d’information, Ouest-France, 22 novembre 2023
  13. Présentation des missions sur le site de l'ANSSI [1].
  14. Présentation de la SDO sur le site de l'ANSSI [2]
  15. [cert.ssi.gouv.fr Site du CERT-FR]
  16. Présentation de la SDE sur le site de l'ANSSI [3]
  17. Comprendre les missions du CFSSI
  18. Présentation de la SDS sur le site de l'ANSSI [4]
  19. Présentation de la SDR sur le site de l'ANSSI [5]
  20. « Création de l'Opérateur des systèmes d'information des systèmes d'information ministériels classifiés (OSIIC). », sur sgdsn.gouv.fr (consulté le )
  21. Décret n° 2020-455 du 21 avril 2020 portant création d'un service à compétence nationale dénommé « opérateur des systèmes d'information interministériels classifiés »
  22. Page d'accueil du « MOOC de l'ANSSI », sur ecnumacademie.gouv.fr.
  23. « Logiciels préconisés par l’ANSSI », sur ANSSI (consulté le )
  24. « Arrêté du 9 juillet 2009 portant nomination du directeur général de l'Agence nationale de la sécurité des systèmes d'information », sur www.legifrance.gouv.fr, (consulté le )
  25. « Arrêté du 25 février 2014 relatif à l'intérim du directeur général de l'Agence nationale de la sécurité des systèmes d'information », sur www.legifrance.gouv.fr, (consulté le )
  26. « Décret du 27 mars 2014 portant nomination du directeur général de l'Agence nationale de la sécurité des systèmes d'information - M. POUPARD (Guillaume) », sur www.legifrance.gouv.fr, (consulté le )
  27. Décret du 22 décembre 2022 portant nomination du directeur général de l'Agence nationale de la sécurité des systèmes d'information par intérim - M. NAËGELEN (Emmanuel)
  28. Décret du 4 janvier 2023 portant nomination du directeur général de l'Agence nationale de la sécurité des systèmes d'information - M. STRUBEL (Vincent)
  29. La cyberdéfense : un enjeu mondial, une priorité nationale
  30. https://cyber.gouv.fr/sites/default/files/2022-08/rapport_annuel_2015_anssi%5B1%5D.pdf
  31. https://cyber.gouv.fr/sites/default/files/2022-08/rapport_annuel_anssi_2016%5B1%5D.pdf
  32. https://cyber.gouv.fr/sites/default/files/2022-08/rapport_annuel_2017_anssi%5B1%5D.pdf
  33. https://cyber.gouv.fr/nous-rejoindre
  34. https://cyber.gouv.fr/papiers-numeriques
  35. a et b « Rapport d’activité 2020 », sur ANSSI (consulté le )
  36. « Rapport d’activité 2021 », sur Vie Publique (consulté le )
  37. a et b ANSSI, « Rapport d'activité 2023 de l'ANSSI » [PDF], sur Agence nationale de la sécurité des systèmes d'information (consulté le )
  38. a et b https://michelcanevet.wordpress.com/2018/04/28/controle-budgetaire-agence-nationale-de-la-securite-des-systemes-dinformation-anssi-communication-intervention-le-18-avril-2018/
  39. Dossier de presse « Politique de la France en matière de cybersécurité »
  40. « Rapport annuel 2022 » [PDF], sur Agence nationale de la sécurité des systèmes d'information, (consulté le )
  41. (en) « ladder ECSC » (consulté le )
  42. « page du FCSC officielle de l'anssi » (consulté le )
  43. « L’Agora 41 : une tribune de réflexion libre et multidisciplinaire », sur cyber.gouv.fr, (consulté le ) ([PDF] présentation des membres 2022)
  44. « Le Prix du Roman Cyber, plus que jamais dans l'ère du temps », sur actualitte.com, .
  45. « Le challenge ANSSI qui avait été lancé en février 2012 a été résolu », sur ssi.gouv.fr (consulté le ).
  46. « Le challenge du logo ANSSI », sur blog.bienaime.info (consulté le ).
  47. « Risque d'espionnage : un fonctionnaire de la cybersécurité viré pour sa proximité avec la Chine et Huawei » Accès libre, sur Marianne_(magazine) France, (consulté le )
  48. Gabriel Thierry, « La condamnation d’un ancien auditeur de l’Anssi dévoile des dysfonctionnements internes » Accès libre, sur ZDNet France, (consulté le )

Voir aussi

Articles connexes

Liens externes