Le 18 novembre, à Rennes, lors de l’European Cyber Week, l’Anssi et la DGSE ont appelé les collectivités et les entreprises à se préparer au risque d’une « tempête cyber parfaite ». Les deux institutions ont rappelé l’urgence de renforcer les défenses numériques, alors que la France manque de spécialistes. Elles anticipent une montée des menaces, entre attaques ciblées, enjeux de souveraineté technologique et future entrée en vigueur de NIS 2.
Rappel à l’ordre à l’European Cyber Week. Le “salon français de la cyber”, selon l’expression du Vice-amiral Arnaud Coustillère, était l’occasion pour l’Agence nationale de sécurité des systèmes d’information(Anssi) et la DGSE de revenir sur la responsabilité qui incombe aux organisations de se préparer au risque cyber. Les collectivités locales et les entreprises doivent agir dès maintenant pour se préparer au coup de bâton qui pourrait arriver dans quelques années : “une tempête cyber parfaite”, a énoncé Vincent Strubel, directeur général de l’Anssi, le 18 novembre 2025. Celui-ci dépeint dans un amphithéâtre rennais le scénario catastrophe : “Des attaques extrêmement ciblées sur nos infrastructures les plus critiques, par des attaquants les plus pointus” couplées à “des attaques génériques contre tout le reste pour provoquer la sidération, la paralysie de nos processus décisionnels”.
Le rôle de la DGSE
Cette menace, la DGSE s’y prépare : “Notre rôle, c’est de remonter sur l’attaquant en utilisant les moyens humains, techniques et opérationnels à notre disposition, dans le but de fournir aux décideurs politiques des leviers d’actions”, a dévoilé Romain X. Un travail compliqué pour un service de renseignement à court de bras. Le service de renseignement français a révélé être face à un enjeu de recrutement, mais pas de budget, ni de coopération internationale. “On s’appuie aussi sur toute l’Équipe de France”. À elle d’être prête, donc.
La garantie des certifications…
Face à la possibilité d’un conflit armé, doublé d’une déferlante de cybermenaces, l’écosystème entier doit se cuirasser et arborer comme blason la souveraineté. “Ce n’est pas un appel à l’autarcie”, a précisé Vincent Strubel, sans nier le besoin de maîtriser les technologies clés, ni celui de les évaluer. En ligne de mire, les intelligences artificielles génératives, dont les garanties de sécurité manquent. En ce qui concerne les autres solutions numériques, celles-ci sont éligibles à des certifications comme la renommée SecNumCloud. Plus tard, elles devront également prendre en compte “la menace quantique”, a évoqué l’ancien élève de l’École polytechnique. Comme levier incitatif, l’Anssi a expliqué ne plus accepter, en entrée de qualification, des produits de sécurité qui n’embarquent pas de cryptographie post-quantique, à partir de 2027.
… et des textes de loi…
Cette obligation éloignée n’est en aucun cas un motif pour ne pas être proactif. “La migration vers la cryptographie post-quantique, il faut s’y mettre dès maintenant. Pas parce qu’il y a urgence mais pour lisser les coûts et inscrire ça dans le renouvellement naturel des équipements”. Cette posture attentiste est aussi décriée par l’agence au niveau de l‘application de la directive NIS 2. “Les cyberattaques n’attendent pas qu’une loi soit votée”, a ironisé Vincent Strubel tout en encensant les organisations ayant déjà commencé à appliquer la directive.
… sans les instrumenter
Cependant, hors de question de faire des certifications un outil protectionniste. “Ce ne sont pas des instruments de préférences européennes”, a-t-il tranché, répondant ainsi négativement aux attentes de nombreux acteurs de l’écosystème tech. Nuance importante, le directeur général de l’Anssi considère tout de même essentiel les actions de soutien économique à l’émergence d’alternatives à leur consolidation. Mais “, a-t-il ajouté. “ C’est un combat qui se passe surtout à l’échelle européenne. Il se cristallise principalement de la révision du Cyber Security Act”, a-t-il ajouté. Affaire à suivre donc.