La vision de Cyber Academy
ANSSI est l'agence nationale française de cybersécurité, rattachée au Premier ministre depuis 2009. Autorité nationale en matière de politique de cybersécurité en France, elle qualifie les produits et les prestataires de services, publie EBIOS Risk Manager et agit en tant qu'autorité compétente pour la transposition de NIS 2. Ses qualifications (SecNumCloud, PVID, PASSI) constituent la référence dans le secteur public français.
L'ANSSI est l'autorite nationale francaise en matiere de cybersecurite. Son nom complet est l'Agence nationale de la securite des systemes d'information.
Ce que fait l'ANSSI
Ou elle se situe
L'ANSSI est rattachee au Secretariat general de la defense et de la securite nationale. Cet organe releve du Premier ministre.
Cela maintient l'ANSSI a l'ecart des services de renseignement et des forces de l'ordre. L'agence est defensive par conception.
Cette separation compte en pratique. Les organisations peuvent partager librement les details d'un incident avec l'ANSSI. Elles n'ont pas a craindre que la meme agence mene des operations offensives ou des poursuites.
Ses principales missions
Son perimetre est large. L'ANSSI fait plusieurs choses a la fois :
- Elle definit la politique et la doctrine nationales de cybersecurite.
- Elle exploite le CERT-FR pour la reponse aux incidents et le renseignement sur les menaces.
- Elle supervise les operateurs d'importance vitale et les entites essentielles.
- Elle publie des guides et des methodes utilises comme reference partout en France.
L'ANSSI maintient aussi EBIOS Risk Manager. C'est la methode d'analyse des risques qu'utilisent de nombreuses organisations francaises. Elle les aide a construire les scenarios de menace qui structurent leur programme de securite. C'est l'ANSSI qui la maintient, et non un organisme de normalisation prive.
Qualifications et visas
La plupart des praticiens abordent d'abord le dispositif de qualification. L'ANSSI ne se contente pas d'ecrire des regles.
Elle evalue des produits et des prestataires de services au regard d'exigences publiees. Elle accorde ensuite une qualification ou un visa de securite.
Ces labels ont un poids reel. Le secteur public et les operateurs regules les exigent souvent par politique interne.
Les principaux labels
- SecNumCloud qualifie les fournisseurs de services cloud. Il repose sur un referentiel exigeant de securite et de souverainete. Il est de plus en plus cite comme la reference pour les charges de travail sensibles du secteur public.
- PASSI qualifie les prestataires d'audit de securite. Cela couvre les tests d'intrusion, la revue de configuration et l'audit d'architecture. L'acheteur sait alors que l'auditeur respecte un standard commun.
- PVID couvre les prestataires de verification d'identite a distance. Ils operent des parcours d'enrolement qui doivent resister aux deepfakes et a la fraude documentaire.
L'ANSSI face a l'ENISA et NIS 2
L'ANSSI n'est pas l'ENISA
On confond souvent l'ANSSI et l'ENISA. Elles se situent a des niveaux differents.
- L'ANSSI est l'autorite nationale d'un seul Etat membre, la France.
- L'ENISA est l'agence de l'UE qui soutient l'ensemble des Etats membres. Elle gere le cadre europeen de certification de cybersecurite.
Les deux cooperent. Pourtant, c'est l'ANSSI qui supervise les entites francaises. Elle peut agir comme autorite competente lorsque les regles de l'UE deviennent du droit francais.
Le cas de NIS 2
NIS 2 en est l'exemple le plus clair. La directive est europeenne. Elle doit malgre tout etre transposee et appliquee au niveau national.
En France, l'ANSSI est l'autorite competente pour NIS 2. Elle fait trois choses :
- Elle definit quelles entites entrent dans le champ d'application.
- Elle fixe les attentes en matiere de gestion des risques et de notification des incidents.
- Elle supervise la conformite.
Ainsi, une entite essentielle ou importante francaise se demande qui notifier apres un incident significatif. La reponse passe par l'ANSSI et le CERT-FR. Elle ne va pas directement a Bruxelles.
Frequently asked questions
01L'ANSSI est-elle la meme chose que l'ENISA ?
Non. L'ANSSI est l'autorite nationale de cybersecurite pour la France, tandis que l'ENISA est l'agence de l'Union europeenne qui appuie l'ensemble des Etats membres. L'ANSSI supervise les entites francaises et agit comme autorite competente au niveau national ; l'ENISA opere a l'echelle de l'UE, y compris pour le cadre europeen de certification.
02L'ANSSI enquete-t-elle ou poursuit-elle les cyberattaques ?
L'ANSSI est une autorite defensive centree sur la protection, le conseil et la reponse aux incidents via le CERT-FR. Elle est deliberement separee des services de renseignement et des autorites judiciaires : les poursuites relevent donc d'autres autorites, et non de l'ANSSI elle-meme.
03Que sont SecNumCloud, PASSI et PVID ?
Ce sont des qualifications de l'ANSSI. SecNumCloud couvre les fournisseurs de services cloud, PASSI couvre les prestataires d'audit de securite, et PVID couvre les prestataires de verification d'identite a distance. Chacune signale que le prestataire a ete evalue au regard des exigences de l'ANSSI, et elles sont souvent requises dans les marches du secteur public francais.
04Quel role joue l'ANSSI dans NIS 2 ?
NIS 2 est une directive de l'UE que chaque pays transpose en droit national. En France, l'ANSSI est positionnee comme l'autorite competente : elle contribue a definir quelles entites entrent dans le perimetre et controle leurs obligations de gestion des risques et de notification des incidents, le CERT-FR jouant le role de point de contact operationnel.
05Qui maintient la methode EBIOS Risk Manager ?
EBIOS Risk Manager est publiee et maintenue par l'ANSSI. C'est la methode d'analyse des risques largement utilisee dans le secteur public francais et par les operateurs d'importance vitale pour construire les scenarios d'attaque qui orientent leurs mesures de securite.