ANSSI

Ressources

• Site officiel de l’ANSSI : https://cyber.gouv.fr
• Présentation et missions de l’ANSSI : Découvrir l’ANSSI
• Missions et statut (fiche Service-Public) : Agence nationale de la sécurité des systèmes d’information
• Règlementation et directive NIS / NIS 2 : Les directives NIS / NIS 2 et le dispositif SAIV

C’est quoi

• L’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale française en matière de cybersécurité et de cyberdéfense.
• Sa raison d’être : protéger la Nation face aux cyberattaques et contribuer à la stabilité du cyberespace, en renforçant la sécurité et la résilience des systèmes d’information de l’État, des opérateurs stratégiques et, plus largement, de l’économie et de la société.

Missions

• L’ANSSI remplit plusieurs grandes missions, souvent résumées ainsi : défendre, connaître, partager, accompagner, réguler :
  • Défendre : détecter et traiter les cyberattaques majeures, assister les victimes (administrations, OIV, opérateurs de services essentiels, etc.), coordonner la réponse en cas de crise cyber.
  • Connaître : analyser les menaces, les vulnérabilités et l’état de l’art en cybersécurité, développer des méthodes et outils de protection.
  • Partager : diffuser des alertes, des guides de bonnes pratiques, des recommandations techniques et des référentiels de sécurité.
  • Accompagner : conseiller les administrations, les opérateurs critiques, les collectivités, labelliser des formations, certifier des produits et prestataires de confiance.
  • Réguler : participer à l’élaboration de la réglementation cyber (directive NIS / NIS2, secteur défense, OIV/OSE…), fixer des règles de sécurité et contrôler leur application dans certains secteurs.

⇒ L’ANSSI n’est pas une “police des données personnelles” comme la CNIL : elle se concentre sur la sécurité des systèmes d’information (intégrité, disponibilité, confidentialité) plutôt que sur les droits des personnes.

Son rôle pour les SI et l’EA

• L’ANSSI joue un rôle clé pour les architectes d’entreprise et les responsables de SI :
  • Elle publie des référentiels, guides et règles de sécurité (par exemple pour les opérateurs d’importance vitale, les opérateurs de services essentiels, ou dans le cadre de NIS/NIS2).
  • Elle définit ou inspire des standards techniques qui deviennent des contraintes d’architecture (choix de solutions qualifiées, exigences sur les réseaux, la cryptographie, l’administration sécurisée, etc.).
  • Elle contribue à structurer les “Considerations” (exigences de sécurité nationales) et les “Standards” (règles techniques de sécurité) dans une approche comme CSVLOD.

Par conséquent, une organisation qui urbanise son SI et fait de l’EA doit :

• tenir compte des guides et référentiels ANSSI dans ses principes d’architecture,
• intégrer les exigences issues de la réglementation cyber (NIS / NIS2, OIV/OSE, défense, etc.),
• s’appuyer sur les bonnes pratiques ANSSI pour définir ses propres politiques et standards de sécurité.