L’Agence nationale de la sécurité des systèmes d’information (ANSSI) détaille ses priorités pour les années 2025-2027, dans un plan stratégique « Au cœur d’un collectif pour une Nation cyber-résiliente », publié en mars 2025.
L’ANSSI articule son action à venir autour de ses cinq principales missions « défendre, connaître, partager, accompagner, réguler » – pour répondre aux nouvelles menaces et accompagner la mise en œuvre du nouveau cadre réglementaire européen (NIS 2, CRA..).
Un cadre européen renforcé pour la cybersécurité
La directive NIS 2 – concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union – est en cours de transposition en droit français, avec le projet de loi « Résilience des infrastructures critiques et renforcement de la sécurité ». Elle désigne, selon certains seuils quantitatifs, ou une importance locale ou nationale spécifique, des entités importantes et essentielles, qui font l’objet de nouvelles obligations en cybersécurité. Ce faisant, elle renforce, actualise et élargit le champ d’application de la directive NIS (Network and Information Security) de 2016, qu’elle remplace. De nouveaux secteurs sont ainsi concernés comme les producteurs de produits de santé, les administrations publiques, les systèmes de gestion des eaux et déchets, le spatial..
Le règlement sur la Cyber-Résilience (Cyber Resilience Act, CRA), relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques détermine des standards de sécurité élevés pour les matériels et logiciels, tout au long de leur cycle de vie. Il dégage donc des critères de qualité et de sécurité qui concernent l’ensemble de la chaîne des acteurs économiques (fabricant, distributeur, importateur des produits).
L’enjeu de gouvernance de la cybersécurité
Le rapport consacre la volonté de l’ANSSI d’assumer son rôle de gouvernance nationale dans la cybersécurité, notamment avec le Centre de coordination des crises cyber (C4). En coopération étroite avec la direction interministérielle du numérique (DINUM), l’ANSSI accompagnera le renforcement de la résilience cyber pour les agents de l’Etat, dans une approche globale intégrant autant les fournisseurs que les utilisateurs de solutions numériques. Avec la mise en œuvre progressive de la directive NIS 2, l’application du CRA et les mises à jour réglementaires (certification Cybersecurity Act, règlement eIDAS 2 sur les transactions électroniques) l’ANSSI obtient de nouvelles prérogatives pour exercer son rôle de régulateur. Ceci intervient dans la continuité de la Loi de Programmation Militaire 2024-2030, avec un nouvel article L2321-4-1 du Code de la Défense.
Dans ce contexte l’ANSSI fait part de sa volonté de simplification des règles nationales de cybersécurité afin de permettre un accompagnement de conformité simplifié, efficient et auto-évalué. Il est ainsi de la volonté de l’ANSSI que « chaque entité ou citoyen, victime ou non, dispose d’un interlocuteur pertinent capable de répondre à ses besoins en cybersécurité ». Cet objectif implique de mobiliser l’ensemble des parties prenantes : administrations, communautés cybers, prestataires et fournisseurs de solution…
En ce qui concerne la défense des systèmes d’information les plus critiques de la Nation, l’ANSSI annonce renforcer les capacités opérationnelles du centre national de réponse à incident (CERT-FR). Forte de son expérience de protection des Jeux olympiques et paralympiques de Paris 2024, l’ANSSI continuera de préparer la nation à la gestion d’une crise d’ampleur, que ce soit par son caractère massif, ou affectant un intérêt vital.
Les priorités de l’ANSSI
Devant le caractère systémique et massif des menaces cyber, l’agence se concentre sur la valorisation de son expertise, particulièrement essentielle dans un secteur traversé par des évolutions technologiques profondes (intelligence artificielle cloud, cryptographie post-quantique…). Elle note en particulier l’importance du cloud, dont se servent de plus en plus les administrations. Cette démarche s’effectuera en collaboration avec les institutions nationales de recherche, notamment le CNRS, le Commissariat à l’Energie atomique (CEA) et l’Institut national de recherche en informatique et en automatique (INRIA). Elle permettra à l’Agence de continuer son activité de publication de recommandations spécifiques pour accompagner les entreprises et les utilisateurs.
L’ANSSI entend partager son expertise, avec des recommandations, mais aussi la réalisation de travaux en open-source (outils automatisés pour répondre aux menaces de masse) et l’échange d’informations opérationnelles avec les communautés agréées (InterCERT France, CSIRT relais, partenaires institutionnels et privés).
En ce qui concerne la coopération européenne, le cadre réglementaire des dernières années (NIS 2, CRA, IA, eIDAS…) constitue une opportunité pour l’ANSSI de représenter la communauté cyber française mais aussi ses propres normes, comme le modèle français de certification de services. Ce rôle européen est perçu comme particulièrement crucial, à la fois pour orienter de nouveaux financements vers la cybersécurité (Digital Europe, Horizon Europe) et pour y accompagner le développement des politiques publiques en cybersécurité.
En matière de responsabilité sociale et environnementale (RSE), L’ANSSI se propose d’intégrer l’impact environnemental de ses recommandations et activités, afin de réduire son empreinte. Ceci s’accompagne d’une politique ambitieuse de diversité, favorisant en particulier les parcours de carrière des femmes dans la cybersécurité. Ces démarchent sont suivies d’une volonté de mieux informer et rendre compte des activités de l’ANSSI, tout en simplifiant les démarches et réduisant les délais de traitement.
Quel financement pour la cybersécurité de demain ?
Un enjeu qui demeure néanmoins absent du rapport est la question du financement de la cybersécurité : dans un rapport « La sécurité informatique des établissements de santé » de janvier 2025, la Cour des Comptes a sonné l’alarme sur l’importance de garantir puis pérenniser le financement de la cybersécurité. Par exemple, le programme CaRE (« Cyber accélération et résilience des établissements ») n’est financé que jusqu’en 2027. Un enjeu à surveiller dans les amendements parlementaires apportés au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Des questions sur vos pratiques ? Sur vos projets ? MATHIAS AVOCATS vous accompagne dans le cadre de votre mise en conformité, de la gestion de vos risques ou pour sensibiliser et former vos équipes. Contactez nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !