Question n°7810 : Injonctions contradictoires sur les obligations des OIV au sein de l'ANSSI

Question écrite n° 7810 :
Injonctions contradictoires sur les obligations des OIV au sein de l'ANSSI

17^e Législature

Publication de la question au Journal Officiel du 24 juin 2025, page 5394
Publication de la réponse au Journal Officiel du 29 juillet 2025, page 6811

Question de : M. Philippe Latombe
Vendée (1^re circonscription) - Les Démocrates

M. Philippe Latombe attire l'attention de Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique, sur le fait que l'ANSSI aurait annoncé à tous les OIV qu'il n'était plus nécessaire d'utiliser une sonde souveraine qualifiée. Le 27 mai 2025, le directeur général de l'ANSSI, M. Strubel, a déclaré en audition dans le cadre de la commission d'enquête sénatoriale sur la commande publique que les « cadres de certification et de qualification ne constituent pas des obligations, sauf cas particulier. Nous l'imposons cependant dans quelques rares cas fixés par la loi : les OIV sont ainsi soumis à certaines obligations dans le recours à des prestations de détection ou d'audit, qui doivent être qualifiées par l'ANSSI ». Ces propos sont donc en contradiction avec l'annonce faite par l'ANSSI. Supprimer l'obligation de recourir à des équipements cyber fiables et souverains pour équiper les systèmes sensibles est dangereux, du moins inquiétant. À l'occasion de Viva Tech, qui s'est tenu du 11 au 14 juin 2025, le Président de la République et Mme la ministre ont défendu la construction d'une souveraineté technologique européenne et celle-ci ne peut se faire qu'en privilégiant des solutions françaises ou européennes. Il souhaite savoir comment elle envisage de demander à l'ANSSI de clarifier son annonce. Il désire également connaître la position du Gouvernement sur la pérennité de cette qualification malgré les injonctions contradictoires sur le sujet.

Réponse publiée le 29 juillet 2025

De manière générale, les cadres de certification et de qualification ne constituent pas des obligations. Les opérateurs d'importance vitale (OIV) constituent un cas particulier et sont soumis, conformément aux dispositions de l'article L.1332-6-1 du code de la défense, à certaines obligations. Ces obligations sont précisées par des arrêtés sectoriels pris entre 2016 et 2020, qui prescrivent le recours à des prestations de service qualifiées en matière d'audit de sécurité et de détection d'attaque, et imposent de surcroît - règle n° 7 de chaque arrêté - la mise en œuvre de « sondes d'analyse de fichiers et de protocoles », qui doivent être « positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les systèmes d'information d'importance vitale et les systèmes d'information tiers à ceux de l'opérateur ». Ce cadre général des obligations sera actualisé par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui reprend à l'article 16 du projet en cours de discussion l'obligation figurant actuellement à l'article L. 1332-6-1 du code de la défense. L'ambition de ce texte est bien de fixer aux OIV un niveau d'exigence élevé et au moins équivalent à celui du cadre actuel. Cette exigence sera néanmoins objectivée par une analyse préalable, menée par l'ANSSI en concertation avec l'ensemble des parties prenantes, de l'efficacité et de la pertinence des exigences au regard des évolutions techniques intervenues depuis 2013. Il apparaît en particulier qu'une architecture de détection des cyberattaques efficace et moderne doit pouvoir s'alimenter de données de plus en plus diverses, ne se limitant pas aux seuls flux des réseaux. De plus, le choix et le positionnement de ces sources de données est très corrélé à la nature et à l'architecture du système d'information à superviser. Ainsi, afin d'identifier les exigences les plus pertinentes en matière de détection des cyberattaques dans les infrastructures critiques, et de tendre vers une obligation de résultat plutôt qu'une simple obligation de moyens, l'ANSSI a initié une consultation auprès de l'ensemble des parties prenantes concernées : OIV, prestataires de détection et éditeurs de solutions de détection. Ce travail de consultation n'est pas achevé et n'a fondé aucune révision des exigences antérieures à ce stade. Par ailleurs, il ne constitue aucunement un abandon de la stratégie de détection réseau pour les OIV, mais plutôt une adaptation pour tenir compte du caractère évolutif de ce domaine, sans révision à la baisse de l'obligation de résultat.

Télécharger le format pdf

Données clés

Auteur : M. Philippe Latombe

Type de question : Question écrite

Rubrique : Numérique

Ministère interrogé : Intelligence artificielle et numérique

Ministère répondant : Premier ministre

Dates :
Question publiée le 24 juin 2025
Réponse publiée le 29 juillet 2025