L’escalade de la menace cyber ne cesse de faire des victimes parmi les entreprises et les collectivités. Comment s’y adapte la France ? Elle doit « changer d’échelle, et généraliser les bonnes pratiques » selon Vincent Strubel de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour cela, elle alerte, informe et s’appuie sur des partenaires privés, comme EY France, Wavestone, Thales Cyber Solutions, pour certifier, auditer, protéger.
La série noire se poursuit. Après les violations de données visant le ministère de l’Éducation nationale et l’enseignement privé catholique, c’est au tour du CROUS de faire les frais de la cybercriminalité. Selon le site FrenchBreaches, ce sont 200 Go de données personnelles concernant près de 770 000 étudiants qui auraient été exfiltrées le 25 mars. Un épisode de plus qui expose la vulnérabilité française face à une menace cyber devenue systémique. L’intensification et la diversification des cyberattaques ne laissent d’autre choix aux institutions et aux entreprises de l’Hexagone que de s’appuyer toujours plus sur les dispositifs de défense de l’ANSSI et de ses collaborateurs privés. Le risque cyber, devenu « certitude statistique »
Le risque cyber d’aujourd’hui se caractérise par « l’émergence d’un brouillard technologique et organisationnel » selon l’agence de l’État. En d’autres termes, il se traduit par l’érosion des frontières qui séparaient jusqu’alors les acteurs étatiques des cybercriminels. Vincent Strubel, son directeur, avertit quant à lui : « le scénario auquel nous devons nous préparer dépasse les attaques purement lucratives : il inclut des offensives coordonnées, étatiques ou paraétatiques, parfois menées avec le concours de relais criminels. » Cette nouvelle donne résulterait d’une industrialisation de la cybercriminalité qui affecte désormais aussi bien les grandes institutions publiques que les petites entreprises ou les établissements de santé. Pour la seule année 2025, le « panorama de la cybermenace » dressé par l’agence recense 128 cas de « rançongiciels » dont près de la moitié des victimes s’avèrent être des PME, des TPE ou des ETI.
Des opérations désormais bien rôdées : pénétration d’un système d’information, extraction puis chiffrement des données sensibles et enfin menaces de divulgation afin d’exiger une rançon. Ces attaques opportunistes affectent indistinctement les secteurs et les zones géographiques et laissent derrière elles des dégâts lourds de conséquences, que ce soient des interruptions des chaînes d’activité ou des services fournis, la divulgation de données sensibles, la perte de confiance des clients et des partenaires.
Un risque d’autant plus aigu que la temporalité des attaques s’est brutalement contractée : près de 29 % des vulnérabilités sont désormais exploitées le jour même de la divulgation des données, réduisant la fenêtre de réaction des entreprises à quelques heures à peine. Le paradigme a changé. Il ne s’agit plus simplement de corriger, mais d’anticiper la menace en mettant en place une veille permanente. D’autant que certaines failles échappent même à cette logique défensive : environ 8 % d’entre elles seraient exploitées avant la publication des données ou la mise à disposition d’un correctif. En octobre dernier, le ministre de la sécurité britannique Dan Jarvis, avertissait les principales entreprises du Royaume-Uni que les cyberattaques n’étaient plus une question de « si » mais de « quand »... Elles sont devenues une « certitude statistique ». À cette menace immédiate s’ajoute pour les entreprises le risque d’une double peine si elles ne se conforment pas aux mesures de sécurité exigées par la loi française. Ainsi Free s’est vu infliger une amende de 42 millions d’euros pour des manquements de sécurité par la CNIL (Commission nationale de l'informatique et des libertés), suite au piratage subi en 2024 qui avait conduit au vol des données de 19,2 millions de clients (dont 5,1 millions d’IBAN).
EY, Wavestone... les acteurs privés en renforts de l’ANSSI. Sous la pression des menaces et des crises médiatiques successives – cyberattaques sur des hôpitaux, des collectivités territoriales ou encore le ministère de l’Éducation nationale –, la réponse française s’est structurée autour d’un acteur pivot : l’ANSSI. L’agence s’est rapidement imposée comme l’un des piliers de la souveraineté numérique nationale. Elle garantit non pas seulement la cybersécurité civile, mais la survie de l’ensemble des fonctions vitales du pays. Sa mission est d’abord de diffuser une culture de gestion de crise cyber au sein du monde civil à travers la publication de guides ou l’organisation d’exercices de simulation à grande échelle tels que REMPAR. En parallèle, elle continue de jouer un rôle sécuritaire structurant à travers ses missions de surveillance des réseaux et de développement de produits et de services de cybersécurité. Concrètement, l’ANSSI sécurise et régule le marché via ses visas de sécurité (qui s’appuient sur NIS 2 et SecNumCloud), offrant des solutions fiables qui limitent d’emblée les risques de vulnérabilités structurelles.
Toutefois, la complexification de la menace est telle que l’ANSSI ne peut pas assurer seule son rôle de garde du corps numérique. Aussi l’institution s’appuie-t-elle sur un écosystème de prestataires privés de confiance à travers des qualifications comme les PACS (prestataires d’accompagnement et de conseil), les PRIS (prestataires de réponse aux incidents de sécurité) comme Wavestone, les PDIS (prestataires de détection d’incidents de sécurité) comme Orange Cyberdefense et Thales Cyber Solutions, ou encore les PASSI (Prestataire d'audit de sécurité des systèmes d'information). Ce dernier maillon, réservé à un cercle restreint d’entreprises, a par exemple été accordé au cabinet EY France qui couvre l’intégralité des cinq portées d’audit prévues par la qualification : de la sécurité physique aux tests d’intrusion, en passant par la configuration, l’architecture et les codes sources.
Ce dispositif de certifications exigeantes permet finalement à l’ANSSI de déléguer une partie de la mise en œuvre opérationnelle de sa mission. En s’appuyant sur des acteurs de confiance, l’agence assure ainsi un maillage plus important du cyberespace et peut étendre sa doctrine normative de sécurité jusqu’aux plus petits échelons du marché.
merci à GNT
