Agence nationale de la sécurité des systèmes d'information

	Cet article possède un paronyme ; voir : ANSI.

ANSSI
Création	7 juillet 2009
Type	Service à compétence nationale chargé de la sécurité informatique
Siège	51 boulevard de La Tour-Maubourg 75007 Paris
Budget	75 millions d'euros
Effectifs	250 (2012) et > 350 (fin 2013)
Directeur général	Patrick Pailloux
Affiliation(s)	Secrétaire général de la défense et de la sécurité nationale
Site web	ssi.gouv.fr
modifier

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret le 7 juillet 2009^[1]. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. L'ANSSI remplace la Direction centrale de la sécurité des systèmes d'information, créée par le décret du 31 juillet 2001 (art. 10 du décret du 7 juillet 2009). L’arrêté du Premier ministre en date du 9 juillet 2009 nomme Patrick Pailloux, ingénieur général des mines, directeur général de l’ANSSI.

Son budget s'élève à 75 millions d'euros et ses effectifs à 250 personnes en 2012^[2]. Sur le site officiel de l'ANSSI, il est en outre précisé que pour faire face aux multiples menaces informatiques auxquelles la France est désormais exposée, les effectifs de cette agence seront de nouveau accrus d'une centaine de personnes en 2013, pour atteindre et même dépasser les 350 agents en fin d'année 2013. En guise de comparaison, les services homologues à l'ANSSI en Allemagne et au Royaume-Uni comptent entre 500 et 700 personnes.

Historique et Contexte [modifier]

L’ANSSI est l’héritière d’une longue série d’organismes chargés d’assurer la sécurité des informations sensible de l’Etat^[3] :

• 1943 : la Direction technique du chiffre (créée à Alger)
• 1951 : le service central technique du chiffre (à Paris)
• 1977 : le service central du chiffre et de la sécurité des télécommunications
• 1986 : le service central de la sécurité des systèmes d’information
• 2001 : la direction centrale de la sécurité des systèmes d’information.

Ces organismes, au départ créés dans une optique militaire de sécurité des informations et de protection de données confidentielles ont peu à peu évolué. En 1986, le service central du chiffre et de la sécurité des télécommunications a été remplacé par le service central de la sécurité des systèmes d’information. Aujourd’hui, l’ANSSI a toujours une mission de défense des systèmes d’information de l’État mais elle est aussi chargée d’une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale.

Missions [modifier]

L’agence est organisée en quatre sous-directions et un centre de formation qui reflètent ses principales missions :

1. le centre opérationnel de la sécurité des systèmes d'information (COSSI) qui participe à la Cyberdéfense
2. Relations extérieures et coordination (Relec)
3. Expertise (SDE)
4. Développement des systèmes d’information sécurisés (SIS)
5. Centre de formation à la sécurité des systèmes d'information (CFSSI).

Cyberdéfense [modifier]

Le centre opérationnel de la sécurité des systèmes d'information (COSSI) assure un service permanent de veille, de détection et d’alerte en cas d’incidents ou de vulnérabilités susceptibles d’affecter la sécurité des systèmes d’information de l’État et plus largement de la société de l’information. Il coordonne la réaction à ces incidents. Il est chargé de la planification des mesures de réponse aux attaques informatiques et conduit des exercices afin de mesurer le degré de préparation de l’État et d’entraîner les personnels concernés.

Relations extérieures et coordination [modifier]

L’agence coordonne la mise en œuvre de la fonction d’autorité nationale dans le domaine de la sécurité des systèmes d’information. À ce titre elle est chargée de :

• la gouvernance, la préparation de la stratégie nationale, l’animation interministérielle ;
• la préparation des textes réglementaires ;
• la labellisation de produits et de services ;
• l’organisation et le suivi des relations internationales et industrielles ;
• l’instruction des dossiers de déclaration et d’autorisation relatifs aux produits réglementés.

Sous-direction Expertise [modifier]

L’agence apporte son concours aux administrations et aux opérateurs d’importance vitale pour la sécurisation de leurs systèmes d’information.

• Elle est également chargée de définir les recommandations générales, les référentiels techniques et les guides méthodologiques.
• Elle dispose de laboratoires techniques de haut niveau, aptes à anticiper les évolutions technologiques et à les sécuriser (cryptologie, réseaux, composants, signaux...).
• Elle dispose d’une capacité d’audit pour évaluer la sécurité des systèmes d’information des services de l’État. Cette capacité peut également être utilisée dans le cadre du contrôle qu’exerce l’État sur les opérateurs d’importance vitale.
• Elle vient renforcer la capacité de gestion de crise en cas de besoin.

Développement des systèmes d’information sécurisés (SIS) [modifier]

L’agence est chargée de la conception, de la réalisation et des évolutions de systèmes d’information sécurisés et de produits de sécurité. Elle veille notamment à la mise à disposition de moyens sécurisés de communication électronique, disponibles en toutes circonstances pour les plus hautes autorités gouvernementales, ainsi que pour les autorités publiques et les organismes associés à la gestion des situations d’urgence et des crises.

Formation [modifier]

L’agence dispose d’un centre de formation à la sécurité des systèmes d’information (CFSSI). Ce dernier dispense des enseignements spécialisés qui vont de la sensibilisation à la formation d’experts en cryptologie ou en systèmes. Il dispense la formation d’expert en sécurité des systèmes d’information (ESSI), sanctionnée par un titre de niveau I (Bac +5). Chaque année, il forme plus de 1500 agents publics.

On notera le développement de ce type d’organisation dans de nombreux autres pays comme aux États-Unis avec le Department of Homeland Security (DHS) et la NSA (National Security Agency) ou la C.S.S. (Central Security Service).

Voici un tableau comparatif des missions de l’ANSSI et de la NSA :

Organisation [modifier]

Direction [modifier]

La direction de l’ANSSI est assurée par un directeur général (actuellement Patrick Pailloux), nommé par le Premier ministre sur décret. Il est assisté d’un directeur général adjoint et d’un chef de cabinet.

Les missions de l'ANSSI sont confiées à 4 sous-directions :ervice central de la sécurité des systèmes d’information

• le Centre opérationnel de la sécurité des systèmes d'information (COSSI) qui assure la mise en œuvre de la fonction d’autorité de défense des systèmes d’information dévolue à l’ANSSI.
• la sous-direction Expertise (SDE^[4]) qui porte la mission globale d’expertise et d’assistance technique de l’agence. Elle apporte son soutien à l’ensemble des autres sous-directions de l’ANSSI, aux ministères, aux industriels et prestataires de la sécurité et aux opérateurs d’importance vitale.
• la sous-direction Systèmes d'information sécurisés (SIS^[5]) qui porte la mission de proposer, concevoir et mettre en œuvre des produits et des systèmes d’information sécurisés au profit des ministères, des opérateurs d’importance vitale et de l’ANSSI.
• la sous-direction Relations extérieures et coordination (RELEC^[6]) qui anime, de manière transverse, les relations extérieures de l’agence, la coordination des interventions et l’élaboration de la réglementation.

L'ANSSI dispose également de son propre centre de formation, le Centre de formation en sécurité des systèmes d'information (CFSSI^[7]), délivrant notamment un diplôme d'expert en sécurité des systèmes d'information (ESSI) reconnu comme titre de niveau 1 (voir Liste des diplômes en France) et enregistré au Répertoire national des certifications professionnelles (RNCP, voir CNCP).

Gouvernance [modifier]

La gouvernance de l'ANSSI est assurée par un Comité Stratégique^[8] comprenant :

• le secrétaire général de la défense et de la sécurité nationale qui en assure la présidence,
• le chef d'état-major des armées ;
• le secrétaire général du ministère de l'Intérieur, de l'Outre-mer et des Collectivités territoriales ;
• le secrétaire général du ministère des affaires étrangères et européennes ;
• le délégué général pour l'armement ;
• le directeur général de la sécurité extérieure ;
• le directeur général des systèmes d'information et de communication ;
• le directeur général de la modernisation de l'État ;
• le directeur central du renseignement intérieur ;
• le vice-président du Conseil général de l'industrie, de l'énergie et des technologies ;
• le directeur général de l'Agence nationale de la sécurité des systèmes d'information.

Moyens [modifier]

D’après un rapport du sénat, même si d’importants efforts ont été mis en place ces dernières années, la situation de la France au regard de la menace provenant des attaques informatiques reste encore insatisfaisante. En effet, l’ANSSI ne dispose pas de moyens financiers et humains comparables à ses homologues américaines, britannique ou allemande^[9].

Humains [modifier]

Le 3 octobre 2012, lors des dernières Assises de la sécurité, le directeur général de l’ANSSI Patrick Pailloux, a annoncé une phase de recrutement de 80 personnes en 2013^[10].

Financiers [modifier]

Notes et références [modifier]

Annexes [modifier]

Articles connexes [modifier]

• ENISA Agence européenne chargée de la sécurité des réseaux et de l'information
• EC3 Centre européen de lutte contre la cybercriminalité

Liens externes [modifier]

• Site officiel de l'ANSSI

• Portail de la sécurité informatique
• Portail de la politique française