L'ANSSI a besoin d'encadrement, selon la Cour des comptes
Assistance technique, dispositifs de qualification, procédures d'audit... La Cour des comptes appelle à mieux encadrer le développement de l'ANSSI.

En dépit des contraintes budgétaires et de l'évolution nécessaire de ses missions, l'ANSSI n'a pas de plan d'action "précis" et "réaliste".
La Cour des comptes fait cette observation dans un rapport consacré à la réponse de l'État aux cybermenaces sur les SI civils.
La croissance de l'agence a été réalisée sans projet de service, constatent les sages de la rue Cambon. L'augmentation de 40 ETP (équivalents temps plein) par an qui a longtemps prévalu ne reposait sur aucun chiffrage concerté des besoins.
La rupture de 2020 s'explique par le transfert de la SDE (100 ETP) vers l'OSIIC (opérateur des SI interministériels classifiés). Début 2024, le schéma d'emploi portait l'effectif civil à 786, mais la loi de finances 2025 a suspendu cette croissance
En 2019, à l'occasion de ses 10 ans, l'ANSSI avait produit un "manifeste" décliné en 9 commandements. Le document ne contient toutefois aucune perspective chiffrée des moyens nécessaires.
À l'instar de ce manifeste, le plan stratégique publié en mars 2025 ne formule les activités de l'agence qu'en termes généraux. Il s'en tient, par exemple, à la volonté de mettre en oeuvre "une organisation adaptée pour s'assurer de prises de décisions impartiales dans les missions de contrôle". Surtout, il est dépourvu de tout chiffrage, échéancier et définition des temps nécessaires à la réalisation des objectifs.
Une assistance technique à calibrer
La Cour des comptes pointe un autre besoin : calibrer l'assistance technique.
Cette mission consiste en un soutien aux administrations, aux OIV, aux OSE et aux fournisseurs de services numériques pour la conception et la mise en oeuvre de leurs SI les plus critiques. Dévolue à une division "assistance technique" (DAT) intégrée à la sous-direction de l'expertise (SDE), elle consomme 34 ETPT (équivalents temps plein travaillé).
Les sollicitations de premier niveau sont gérées au travers d'une messagerie "conseil technique". Celle-ci puise sur les disponibilités des agents : 4 d'entre eux, qui y consacrent chacun au maximum 8 heures par semaine.
La Cour des comptes regrette l'absence d'étude sur l'adéquation de ce dispositif aux besoins des utilisateurs. Ainsi que l'inexistence d'indicateurs de satisfaction "client". Or, le niveau élevé d'expertise des agents de la SDE invite à consacrer cette ressource à des prestations complexes, note-t-elle.
Le processus d'assistance technique s'inscrit dans une logique de flux des demandes. Il n'existe pas de dispositif pour enregistrer ces dernières, ce qui rend difficile la mesure du taux de prise en charge.
La mise en place d'un processus de programmation (pluri)annuel permettrait de prioriser la validation de ces demandes, quitte à réorienter vers d'autres prestataires celles qui n'exigent pas un niveau d'expertise très élevé.
Repenser la qualification des produits et des services
L'ANSSI consacre une trentaine d'ETP à la mise en oeuvre de ses dispositifs de qualification.
Le processus répond à une logique de guichet (la demande de visas est à l'initiative des offreurs de solutions) et rend complexe une approche par besoins des utilisateurs. Il est par ailleurs exigeant en temps et pose donc un problème de rythme de qualification.
Des pistes sont à l'étude. Entre autres, pour les services, la distinction entre des niveaux "élevé" et "substantiel". Avec, en première ligne, les qualifications PASSI et PRIS. Pour les produits, l'ANSSI a fait en sorte qu'une qualification puisse être applicable aux versions ultérieures (notamment en cas de patch).
Mieux articuler les CSIRT
La Cour des comptes appelle à penser l'articulation entre CSIRT sectoriels et ministériels. C'est fait avec le CERT Aviation France. Constitué sous forme associative, il est rattaché à la DGAC (direction générale de l'aviation civile) et entretient des liens étroits avec le ministère de la Transition écologique. Le CERT des entreprises de défense (CERT-ED) est quant à lui rattaché à la DSRD (direction du renseignement et de la sécurité de la défense).
Pour le CERT Social, l'articulation est encore à affiner. Couvrant les besoins internes des organismes de la CNAM (qui en est le porteur), de la CAF, de la CNAV, de l'Acoss et de la MSA, il coexiste avec le CERT Santé sur un périmètre d'applicabilité très proche de celui du CSIRT des ministères sociaux. Des projets d'échange entre ces trois entités sont en cours.
Pour ce qui est des CSIRT régionaux, leur faible notoriété s'explique par leur caractère récent, nous explique-t-on. Non sans reconnaître le défi de développer des relations de confiance avec suffisamment de prestataires, notamment dans les régions où les entreprises du numérique sont peu implantées.
La Cour des comptes invite aussi à accélérer les réflexions sur la pérennité des CSIRT. Les financements du SGDSN (secrétariat général de la défense et de la sécurité nationale) étant limités à 3 ans, les régions devront prendre le relais... ou il faudra établir un modèle économique.
Centraliser l'observation de la menace cyber
La Cour des comptes s'arrête sur les infractions liées aux formes de cybercriminalité "traditionnelles" qui ont pu évoluer avec les TIC. Elle relève que leur caractérisation criminelle dépend de l'appréciation des services opérationnels de la police et de la gendarmerie. En découle une incertitude sur leur justesse : il faut donc renforcer l'aide au remplissage de ces informations.
Autre limite : le périmètre des chiffres sur la menace cyber produits par des acteurs qui interviennent dans la réponse à incident ou l'assistance aux victimes. Il est souvent restreint à un type de victime, une famille de sinistre ou un mode d'intervention. Les données sont en outre partielles, étant essentiellement représentatives de la capacité de l'observateur à traiter les éléments qui lui sont signalés.
Face à la multiplicité des sources, la Cour des comptes inciter plus globalement à structurer l'observation de la menace "avec un prisme et des méthodes scientifiques d'analyse de données qui lui confèrent une légitimité incontestable".
Des prjets de construction d'un modèle de données, de centralisation des informations et de production de statistiques sont certes en cours dans différents secteurs. Mais ils se révèlent parcellaires. Et les organismes concernés sont multiples, ce qui engage à centraliser la fonction d'observation. C'est ce qui a conduit l'ANSSI à la reprendre au GIP Acyma. À ce stade, cependant, elle a seulement ébauché une étude. Il lui faut désormais fixer l'organisation de l'activité.
Augmenter les capacités d'audit
Les capacités d'audit du bureau qui en est chargé au sein de la SDE ne permettent pas de suivre la croissance des demandes, selon la Cour des comptes. Exemple pour 2019 : 68 demandes prioritaires remontées au comité de pilotage, pour une capacité de 46 audits. C'est sans compter les demandes exceptionnelles liées aux grands événements.
Cette même année fut engagée une réflexion sur l'externalisation des audits, avec une ligne budgétaire de 200 000 € inscrite à l'exercice (soit 4 ou 5 prestations).
Le périmètre d'externalisation a une définition restrictive. Son exclus de son champ les prestations associées à des missions régaliennes, le contrôle de points d'importance vitale, le contrôle des opérateurs télécoms et les audits réalisés au titre du Code pénal. Cela explique pour partie que seuls deux audits furent externalisés en 2023.
La période contrôlée par la Cour des comptes a été marquée par l'annulation de nombreux audits, en plus d'une amplification des retards. L'établissement des conventions peut effectivement être laborieuse (parfois plus d'un an). Et les perturbations apportées au calendrier de programmation déterminé annuellement ne permettent pas de réaffecter les vacations libérées à d'autres sujets de contrôle.
Actionner le levier des sanctions
Les ressources humaines sont un autre point sensible. Les personnes chargées de l'audit ont d'autant plus de visibilité sur le marché du travail qu'elle ont une double fonction, intervenant dans les opérations de défense. Dans ce contexte, les départs enregistrés en 2021 et 2022 n'ont pas été compensés par des recrutements de même ampleur.
Pour fluidifier le processus, une procédure de planification des audits "en continu" a été établie, avec des arbitrages plus fréquents de sorte à ajuster les priorités.
La Cour des comptes estime nécessaire de fonder cette procédure sur une véritable cartographie des risques, plus formalisée et établie de manière contradictoire. Cela permettrait d'engager la responsabilité des dirigeants des organismes régulés. Et ainsi de faciliter la conduite des audits.
Telle n'est pas la posture de la SDE, qui valorise davantage la relation de confiance avec les organismes audités. Cela explique pour partie l'absence de sanctions appliquées aux OIV et aux OSE, alors même que la loi de programmation de 2013 en prévoit, comme la transposition de la NIS 1. On peut aussi y voir une cause de la portée relativement faible des audits en termes d'exemplarité, faute de communication sur leurs résultats.
Cette posture est difficilement tenable avec NIS 2, qui met l'accent sur la capacité des États à imposer des mesures en cas de violation des règles, analyse la Cour des comptes. Il faut donc trouver un équilibre entre confiance et impératif d'efficacité des contrôles. Possiblement en allant vers un dispositif gradué. Et, vu l'élargissement considérable du nombre d'entités concernés, appuyer la démarche sur les contrôles sectoriels (tout en conservant la centralisation à l'ANSSI).
Illustration © DR
Sur le même thème
Voir tous les articles Cybersécurité