Rapport Cour des comptes — mai 2025
🛡️ Renforcement stratégique de l’ANSSI à l’heure de NIS2
⚠️ Une transformation structurelle est jugée nécessaire pour faire face aux menaces cyber grandissantes
📌 Contexte général
- Directive européenne NIS2 : Vise à renforcer les exigences en cybersécurité pour plus de 15 000 entités critiques en France (contre 600 sous NIS1).
- Rôle de l’ANSSI : Autorité nationale chargée d’accompagner, contrôler et réguler les opérateurs essentiels et importants (OIV, OSE, entités critiques).
⚙️ Ce que pointe la Cour des comptes
🔍 Un rôle à clarifier
- Missions encore trop vagues ou mal définies.
- Nécessité de formuler clairement les responsabilités dans :
- La supervision des entités critiques
- La gestion de crise cyber
- L’application des obligations européennes
📉 Des moyens encore insuffisants
- Pas de programmation budgétaire pluriannuelle, malgré l’élargissement des missions.
- Besoin d’une trajectoire de moyens sur 3 à 5 ans :
- Recrutements qualifiés
- Renforcement des outils techniques
- Alignement avec la stratégie cybersécurité nationale
🛠️ Une organisation à adapter
- Structure jugée trop technocratique.
- Équilibre à revoir entre :
- Indépendance opérationnelle
- Rattachement au SGDSN
- Appel à un pilotage plus agile, adapté à NIS2.
⚖️ Vers une ANSSI plus “pĂ©nale”
- Passage d’une posture technique à celle d’un véritable régulateur coercitif.
- Recommandation clé : doter l’ANSSI de pouvoirs de sanction en cas de non-conformité NIS2.
🧠Ce que cela implique pour les organisations
- 🔍 Des contrôles plus fréquents et plus stricts
- 📜 Une compliance NIS2 obligatoire pour des milliers d’entités
- ⚠️ Les sanctions administratives remplaceront les approches pédagogiques
- 🧾 Nécessité de structurer sa gouvernance cybersécurité
âś… Conclusion
La Cour des comptes appelle Ă un sursaut structurel :
L’ANSSI doit devenir un acteur plus puissant, outillé et contraignant, à la hauteur de l’ambition portée par NIS2 et des menaces cyber croissantes.
