La Cour des comptes a récemment tiré la sonnette d’alarme concernant les lacunes dans les audits de l’Anssi, l’agence française de cybersécurité, dans le contexte de la transposition de la directive NIS 2. Les magistrats financiers estiment que l’Anssi doit améliorer son contrôle des entités régulées, une mission qui a été « jusqu’à présent insuffisamment remplie ».
Les défis de l’Anssi
Selon le rapport de 116 pages publié par la Cour des comptes, bien que l’Anssi ait la capacité d’imposer des sanctions administratives, cette dimension doit être renforcée pour garantir une application efficace des obligations réglementaires en matière de cybersécurité. La Cour souligne que le bon emploi de l’argent public doit être assuré.
Capacités d’audit insuffisantes
Les capacités d’audit de l’Anssi sont jugées insuffisantes pour suivre la croissance des demandes. Le processus d’audit est souvent long et complexe, avec des conventions qui peuvent prendre plus d’un an à formaliser. De plus, le personnel chargé des audits est très recherché sur le marché du travail, entraînant des départs non compensés par de nouvelles recrues, et donc une réduction du nombre d’effectifs.
Relations de confiance avec les opérateurs
La Cour des comptes met en évidence la nécessité pour l’Anssi de renforcer la « relation de confiance » avec les organismes audités, y compris les opérateurs privés. Il est essentiel d’inciter ces derniers à s’éloigner de la notion de secret industriel et commercial, et à être plus transparents concernant les faiblesses de leurs systèmes d’information.
La nécessité de changements
Avec la transposition de la directive NIS 2, la Cour des comptes avertit que la posture actuelle de l’Anssi est désormais difficilement tenable. Elle suggère de séparer clairement les missions d’assistance et de contrôle, et propose la construction d’un dispositif gradué pour gérer les non-conformités, avec la possibilité de mettre en place des mesures adaptées avant d’imposer des sanctions.
La confiance, un élément clé
Bien que la confiance soit cruciale pour maintenir la capacité d’assistance, un équilibre doit être trouvé avec l’efficacité des contrôles. La Cour des comptes insiste également sur l’importance de communiquer sur les résultats des audits pour renforcer leur valeur d’exemplarité, notamment face aux enjeux coûteux des cyberattaques.