ANSSI (Agence nationale de la sécurité des systèmes d'information)
Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
L’ANSSI — Agence nationale de la sécurité des systèmes d’information — est l’autorité nationale française en matière de cybersécurité. Créée par décret du 7 juillet 2009, elle est rattachée au Premier ministre via le SGDSN. Elle est chargée de la défense cyber de l’État, de l’appui aux opérateurs d’importance vitale (OIV) et aux opérateurs de services essentiels (OSE/EE), et de la publication des guides publics. Son site est cyber.gouv.fr.
Pour un RSSI ou un acheteur sécurité en France, l’ANSSI constitue le centre de gravité pratique : ses guides fixent le niveau d’implémentation auquel se réfèrent les auditeurs, les acheteurs publics et, de plus en plus, les appels d’offres privés. Son rôle se déploie sur quatre axes.
- Défense opérationnelle. L’ANSSI opère le CERT-FR, CSIRT national, et coordonne la réponse à incident pour les entités régulées, en particulier sous NIS2 et la LPM (Loi de programmation militaire).
- Guides et méthodes. L’ANSSI publie le guide d’élaboration de PSSI, la méthode EBIOS Risk Manager, des recommandations sur les politiques de mots de passe, des guides de développement sécurisé, et des dizaines de documents sectoriels.
- Schémas de certification. L’ANSSI opère SecNumCloud (qualification des fournisseurs cloud utilisée par l’administration), CSPN (certification de sécurité de premier niveau pour les produits), et qualifie les prestataires de services (PASSI pour les audits, PDIS pour la détection d’incident, PRIS pour la réponse à incident).
- Régulation OIV / OSE. Sous la LPM (depuis 2013) puis NIS2, l’ANSSI est l’autorité compétente pour désigner et superviser les opérateurs vitaux et essentiels en France.
En pratique, lorsqu’un RSSI cite une référence sécurité, c’est bien plus souvent un guide ANSSI qu’une clause ISO. L’insistance récente de l’agence sur le comportement des utilisateurs finaux — visible dans son guide d’hygiène informatique et dans les débats de transposition NIS2 — reflète exactement le glissement qu’adresse Engarde (engarde.cc) : passer de la politique sur papier au comportement dans l’espace de travail. Régulateur français apparenté : la CNIL traite la protection des données personnelles, et les guides ANSSI se cartographient régulièrement sur les exigences du RGPD article 32.
Termes liés
- PSSI (Politique de Sécurité des Systèmes d'Information)Politique de Sécurité des Systèmes d'Information — document maître de sécurité d'une organisation, formalisé selon la méthode PSSI-E publiée par l'ANSSI.
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- CNIL (Commission nationale de l'informatique et des libertés)Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.