Cybersécurité de l’État : cessons de blâmer l’ANSSI, responsabilisons enfin les décideurs !

Cette lecture est non seulement injuste ; elle est surtout contre-productive.

Aussi compétente soit-elle, l’ANSSI ne peut évidemment pas garantir à elle seule l’absence de tout incident au sein de l’appareil d’État. Aucune agence centrale ne pourrait raisonnablement contrôler, vérifier et superviser chaque système d’information, chaque arbitrage budgétaire ou chaque décision opérationnelle prise quotidiennement dans les ministères, opérateurs publics, collectivités et agences de l’État. Le chapeau est bien trop grand. Imaginer qu’une administration centrale puisse porter seule la responsabilité de millions de décisions prises chaque année sur le terrain relève d’une forme de fiction organisationnelle. 

D’ailleurs, ce n’est pas là la mission de l’ANSSI. 

L’Agence n’a jamais eu vocation à administrer les systèmes d’information de l’État à la place des administrations elles-mêmes.

Son rôle est essentiel : définir des référentiels, diffuser une doctrine, accompagner les acteurs publics, conduire des audits, coordonner les réponses aux crises majeures et maintenant, dans le cadre de NIS 2, assurer une fonction de contrôle. Elle bénéficie d’ailleurs d’une reconnaissance internationale largement méritée. Mais elle ne saurait remplacer la chaîne normale de commandement ni se substituer aux responsables qui prennent les décisions quotidiennes.

Dans le cas présent, le cadre était pourtant en place : un Référentiel Général de Sécurité (RGS) s’appliquant aux organismes publics et à leurs prestataires, en vertu duquel sont prises des décisions d’homologation de sécurité ; une Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) qui définit la gouvernance ; des autorités qualifiées en sécurité des systèmes d’information (AQSSI) désignées au sein des administrations afin d’engager leur organisation sur ces sujets. Le dispositif existe donc déjà dans les textes. Il doit désormais vivre dans les faits.

La complexité du système d’information de l’Etat n’explique pas tout. Ce que révèle cette affaire est plus profond : notre difficulté collective à installer une véritable culture de la responsabilité, ou plus exactement de “l’accountability” anglo-saxonne, le terme n’ayant pas d’équivalent parfait en français. Il ne désigne pas seulement la responsabilité d’agir, mais l’obligation de rendre des comptes sur le résultat obtenu. En d’autres termes, il s’agit de savoir qui assume réellement les conséquences d’une décision — ou de son absence.

Dans les grandes entreprises, cette distinction est généralement bien comprise. En règle générale, le RSSI, ou CISO, conseille, alerte, analyse les risques et propose des mesures de protection. Mais il n’est pas propriétaire de l’ensemble des risques cyber de l’organisation. Celui qui assume véritablement le risque est le dirigeant qui dispose du pouvoir d’arbitrage : directeur opérationnel, responsable de filiale ou chef d’entreprise. C’est lui qui décide en tenant compte des coûts, des délais, des contraintes métier, de l’exposition réglementaire et du niveau de menace.

Autrement dit : le RSSI éclaire ; le décideur décide. Et surtout, il assume.

Cette culture reste encore insuffisamment ancrée dans nos administrations. À force de multiplier les niveaux hiérarchiques, les chaînes de validation, les prestataires, les autorités de contrôle et les structures transverses, nous avons progressivement installé une dilution permanente des responsabilités. Lorsqu’un incident survient, chacun peut expliquer qu’il n’était pas véritablement décisionnaire : le technique renvoie vers le métier, le métier vers la direction, la direction vers le prestataire, le prestataire vers le cadre réglementaire. 

Créer de nouvelles structures peut avoir son utilité pour renforcer certaines capacités. Dans le cas présent, améliorer la cohérence globale du système d’information de l’Etat est sans nul doute une priorité stratégique ! Mais croire qu’une nouvelle agence résoudra à elle seule les difficultés de gouvernance relève d’une illusion bureaucratique bien française : lorsqu’un problème apparaît, nous ajoutons une couche supplémentaire.

Or le défi est avant tout culturel et managérial.

La cybersécurité doit devenir un sujet de gouvernance pleinement assumé par les dirigeants publics eux-mêmes. Pas uniquement par les RSSI, les DSI ou les experts techniques. Et certainement pas uniquement par les autorités nationales spécialisées.

Cela suppose trois évolutions majeures.

D’abord, clarifier les chaînes de responsabilité. Chaque administration et chaque direction métier doivent disposer d’un responsable clairement identifié, non pas simplement consulté, mais comptable des arbitrages réalisés.

Ensuite, intégrer pleinement la cybersécurité dans les décisions opérationnelles. Ouvrir un nouveau service, accélérer un déploiement, externaliser une activité ou simplifier un parcours utilisateur sont autant de décisions de management qui comportent une dimension cyber. 

Enfin, accepter qu’aucun système ne sera jamais totalement invulnérable. L’objectif n’est pas l’absence absolue d’incident, mais la maîtrise du risque, en développant des capacités de détection, de réaction, de continuité et de résilience. Là encore, cela exige des dirigeants capables de comprendre les enjeux et d’arbitrer en connaissance de cause.

La France dispose d’excellents experts en cybersécurité et d’institutions reconnues. Mais nous ne progresserons réellement que lorsque nous sortirons de cette culture de l’irresponsabilité diffuse où chacun participe sans jamais répondre pleinement des conséquences.

En matière de cybersécurité, comme dans bien d’autres domaines stratégiques, la technologie ne remplacera jamais la gouvernance.

Et la gouvernance commence toujours par une question simple : qui décide, et qui assume ?