Secu
Emmanuel Naëgelen (ANSSI) : « On ne peut plus cloisonner la conformité d’un côté et la cybersécurité de l’autre »
Par Thierry Derouet, publié le 06 février 2025
Au cours de la 19e édition des Universités des DPO, organisée par l’AFCD, Emmanuel Naëgelen, directeur adjoint de l’ANSSI, a présenté un aperçu complet des risques qui planent sur les données et des mesures prises par la France et l’Union européenne, notamment NIS2 et le RGPD, pour y faire face.
Devant une assistance de DPO (Data Protection Officers) réunis pour la 19e édition des universités de l’AFCD, Emmanuel Naëgelen, directeur adjoint de l’ANSSI, a salué la « grande énergie » de l’association et s’est déclaré « très impressionné ». Avec humour, il a même exprimé « un peu de jalousie » face à une telle capacité à mobiliser les professionnels de la conformité — un dynamisme qu’il aimerait voir chez les RSSI.
Cette introduction illustre à quel point, depuis l’entrée en vigueur du RGPD, la protection des données suscite un intérêt grandissant. Pourtant, la cybersécurité reste souvent cantonnée à un cercle technique spécialisé, alors même que les menaces, sans cesse renouvelées, frappent un monde hyper-inter-connecté.
La donnée, entre abondance et convoitise
« On génère de la donnée constamment, tout le temps, de plus en plus », constate Emmanuel Naëgelen. Smartphones, objets connectés (IoT), mutualisation des ressources en ligne, flux incessants de documents ou de transactions : à l’ère du numérique, la donnée est à la fois le carburant de l’innovation et la source d’infinis appétits. En effet, si elle rend d’immenses services — comme le calcul de tendances, entraîner des systèmes d’intelligence artificielle, l’affinement de politiques publiques —, elle alimente aussi, de plus en plus, les cybercriminels et les activistes du Web.
L’intéressé pointe notamment les risques d’extorsion et de chantage, fréquents lorsqu’une fuite de données tombe entre de mauvaises mains : « Il y a une véritable économie, un marché noir de la donnée, qui s’est développé et qui s’est structuré », observe-t-il. Les forums du Dark Web regorgent d’informations volées, qui sont négociées à prix d’or. Les exemples ne manquent pas. Parmi les plus médiatiques, il évoque les Jeux olympiques et paralympiques (JOP), où la perspective d’un événement planétaire attire activistes et hackers en quête de coups d’éclat.
« La donnée a aussi été utilisée pour déstabiliser des entités, à travers des revendications », explique-t-il, citant le groupe baptisé LulzSec Muslims, se revendiquant pro-palestinien, qui aurait exfiltré des données (anciennes) liées au CNOSF (Comité National Olympique et Sportif français). L’objectif ? Revendiquer un vol à portée symbolique, histoire de faire le plus de bruit possible. « Ils ont réussi à faire parler d’eux », confirme Emmanuel Naëgelen, qui admet néanmoins que les données visées n’étaient pas critiques pour la tenue des Jeux. Mais le coup médiatique était réussi.
Les groupes favorables à la Russie qui attaquent des organismes antidopage étrangers ou des cybercriminels qui exploitent la moindre faille pour exfiltrer des fichiers confidentiels agissent de la même manière.
Plus près du quotidien, les cyberattaquants s’en prennent souvent à la supply chain, c’est-à-dire la chaîne de sous-traitance. C’est une de leurs stratégies favorites : viser l’infogérant (qui gère le système d’information pour le compte d’une organisation) ou l’hébergeur cloud (qui stocke les données de multiples clients). Les hyperviseurs, ces logiciels qui mutualisent les ressources, sont alors des cibles de choix : « En les attaquant, ils peuvent accéder très discrètement aux données de plusieurs entités simultanément », prévient-il. Les professionnels du travail social, de la santé et des organismes gouvernementaux font également l’objet de suspicion, car ils traitent des informations hautement confidentielles, telles que des données personnelles ou médicales.
« C’est une menace industrialisée, qui ratisse large et profite d’une relative impunité », constate Emmanuel Naëgelen. Les actes criminels peuvent parfois être associés au hacktivisme, dont l’impact technique est moins important, mais dont l’écho médiatique peut être redoutable. Le tout, alimenté par un marché noir florissant, où se revendent identifiants, accès, voire bases de données entières. Et la circulation de ces informations, note-t-il, n’est pas seulement un problème pour la vie privée, mais aussi pour la compétitivité économique, la sécurité nationale et la stabilité politique.
NIS2, un tournant majeur pour la cybersécurité européenne
Face à ce paysage inquiétant, l’Europe tente de monter d’un cran. Après une première directive NIS (Network and Information Security) en 2016, voici venir NIS2, destinée à s’appliquer bien plus largement. « On va passer d’environ 400-500 entités régulées à quelque 15 000 ou 20 000, ce qui est colossal », explique Emmanuel Naëgelen.
Concrètement, tous les opérateurs jugés “essentiels” (transport, énergie, finance, etc.), mais aussi des services numériques critiques, se retrouvent sous le coup d’obligations renforcées. Il souligne une différence majeure par rapport au RGPD : « Avec NIS2, on est obligés de définir un référentiel d’exigences plus précis », afin que les entités sachent exactement quelles mesures de cybersécurité mettre en place. L’ANSSI prévoit des services en ligne pour faciliter le parcours de conformité : déterminer si l’on est éligible, s’enregistrer, notifier les incidents. « Nous voulons aider les entités à construire un chemin vers la conformité, pas simplement brandir des sanctions », précise-t-il.
À l’instar du RGPD, le règlement NIS2 prévoit toutefois un régime de contrôles et de sanctions si les systèmes d’information ne sont pas suffisamment sécurisés. Toutefois, ces inspections ne commenceront pas avant « trois ans après la transposition définitive » en droit français*, laissant aux acteurs le temps de s’adapter. « Nous ne voulons pas assommer qui que ce soit, mais il est vital d’élever collectivement notre niveau de sécurité », insiste Emmanuel Naëgelen.
Parallèlement, il rappelle l’existence de nombreux guides, dont le guide sur l’« hygiène informatique » ou encore les « 11 bonnes pratiques pour se protéger efficacement contre les fuites de données », élaboré en collaboration avec la CNIL et Cybermalveillance.gouv.fr. L’application rigoureuse de ces mesures, appuyée par une sensibilisation de tous les acteurs (dirigeants, cadres, personnel), peut limiter considérablement les brèches. « L’objectif est d’éviter à la fois la sous-protection et la surprotection », souligne-t-il, car une politique de sécurité excessive et mal adaptée peut entraîner des blocages inutiles. L’approche doit être pragmatique, proportionnée aux risques.
Les DPO présents dans la salle se demandent alors : « Si je suis conforme au RGPD, suis-je également conforme à NIS2 ? »
Emmanuel Naëgelen répond que les deux cadres se recoupent en partie — la sécurité par défaut et la protection de la vie privée —, mais que NIS2 exige davantage d’éléments techniques, de résilience d’infrastructure et d’organisation en cas d’incident majeur. C’est pourquoi, d’après lui, la collaboration entre DPO et RSSI devient cruciale : « On ne peut plus cloisonner la conformité d’un côté et la cybersécurité de l’autre. Tout est lié. »
De l’intelligence artificielle à la souveraineté : un défi collectif
Dans ce grand mouvement de réorganisation, les technologies émergentes ne manquent pas d’amplifier les interrogations. « L’intelligence artificielle révolutionne la conception des systèmes d’information », constate Emmanuel Naëgelen. Là où autrefois le fonctionnement reposait sur un code préétabli, l’IA d’aujourd’hui s’alimente de montagnes de données pour “apprendre” et affiner ses modèles.
Cela entraîne plusieurs questions de sécurité : l’attaquant peut tenter de corrompre la donnée d’entraînement, dégrader ou biaiser le système ; il peut aussi vouloir exfiltrer les données ou manipuler l’algorithme pour un usage malveillant. « C’est un vrai défi », reconnaît le Directeur adjoint de l’ANSSI, « d’autant plus que l’IA génère elle-même du code ou de la synthèse de contenus, ouvrant de nouvelles brèches potentielles. »
Pour affronter ce défi, l’ANSSI a mené des travaux avec ses homologues allemands, publiant des guides sur la protection des grands modèles de données et sur la génération de code par l’IA. Pour tirer parti des progrès récents en matière d’innovation, il est crucial de reconnaître les dangers inédits qu’ils comportent. Emmanuel Naëgelen annonce également la publication prochaine d’une analyse de risques, co-signée par une quinzaine de pays, à l’occasion d’un sommet consacré à l’IA. « C’est la preuve qu’il y a une vraie dynamique internationale sur ces sujets », se félicite-t-il.
Dernier sujet de taille : la souveraineté numérique et les lois extraterritoriales. Comment se prémunir des législations étrangères qui autorisent des accès aux données hébergées sur un autre continent ? « C’est un sujet de cybersécurité, mais aussi de droit et de politique », plaide Emmanuel Naëgelen. « En Europe, nous devons nous doter de parades appropriées, sans quoi nos données pourraient se retrouver sous la coupe de règles qui ne sont pas les nôtres. »
Loin d’un discours alarmiste, il décrit plutôt un enjeu collectif, où il faut conjuguer les expertises, de la CNIL (Commission nationale de l’informatique et des libertés) aux organismes européens, en passant par les acteurs privés du cloud. D’ailleurs, l’ANSSI et la CNIL ne cessent de renforcer leurs synergies : « Nous partageons les mêmes problèmes et nous cherchons des solutions communes. » Un sujet de simplification à venir ?
À LIRE AUSSI :
