Assises de la sécurité 2025 : Winter is coming !
La vingt-cinquième édition des Assises de la sécurité vient d’ouvrir ses portes à Monaco. Un anniversaire qui rappelle à tous que la Cyber est loin d’être un thème nouveau. Et pourtant, tant reste à faire tant la menace s’est diversifiée et tant les systèmes d’information ont évolué.
L’édition 2025 aurait pu être l’édition où les professionnels de la sécurité allaient se féliciter du vote de NIS2 à l’assemblée, aller fêter le recul des attaques par ransomware, ou encore du gain en maturité des utilisateurs enfin conscient de leurs responsabilités vis-à-vis de la sécurité de leur entreprise… il n’en a rien été.
Dans un contexte de pagaille politique en France, d’explosion des risques géopolitiques tous azimuts et d’augmentation continue des risques cyber, l’ambiance est tout autre.
Avec pour leitmotiv « Winter is coming », le discours de Vincent Strubel, directeur général de l’Anssi, a clairement plombé l’assistance. Le patron de la cyber française a pointé ses deux angoisses du moment : le risque de submersion sous les attaques d’une part et la perte de leviers d’action face à des acteurs monopolistiques, notamment dans le Cloud, dans les IA.
Le spectre d’un conflit à l’Est d’ici 2030 alarme l’Anssi
Pour Vincent Strubel, la menace est désormais hybride, alliant la cybersécurité, la manipulation d'informations et le sabotage dans des actions coordonnées pour faire le plus mal possible à l’adversaire.
Ce constat a été formulé dans la revue nationale stratégique, publiée le 14 juillet 2025. Le scénario central étudié par le SGDSN (Secrétariat général de la défense et de la sécurité nationale) est celui d’un conflit de haute intensité en Europe à l'horizon 2030… Outre l’engagement des armées, un tel conflit sera amené à déclencher une tempête de menaces hybrides, notamment d’attaques cyber : « quand on y pense, cela a un côté vertigineux. Je peux vous garantir que chacun de ces mots a été pesé, et que fondamentalement, nos partenaires ont tous le même constat ».
Le directeur de l’Agence a exprimé sa volonté de faire changer d'échelle la cybersécurité en France au-delà de l’aspect réglementaire : « ce travail, nous le menons avec la conviction profonde que ça ne marchera pas si la cybersécurité reste notre problème à nous uniquement, les sachants et les spécialistes de la cyber. Au contraire, ça doit être pris en compte par tous les points de la société, par tous les décideurs, par l'ensemble des métiers ».
Parmi les leviers évoqués par Vincent Strubel pour porter ce changement d’échelle, le besoin de communiquer sur la réalité de la menace. Il pointe aussi le besoin de s’entraîner à la gestion de crise : « l'entraînement présente d'énormes vertus pour sensibiliser les non-spécialistes, pour préparer la gestion de crise, ce qui peut faire toute la différence du moment venu ».
Il y a un mois, le 18 septembre 2025, l’Anssi a organisé l’exercice Rempar25, en partenariat avec les Campus Cyber, le Club de la continuité d’activité (CCA), le Clusif et le Cesin : « cet exercice nous a permis d'entraîner plus d'un millier d'organisations de toutes tailles, de toutes natures, dans tout le territoire français et dans 8 fuseaux horaires différents. Mais en regardant un petit peu dans le rétroviseur, je me dis que plus de 1000 organisations, c'est énorme, mais c'est une goutte d'eau. Il faudrait en faire 100 ou 1000 fois plus. Cette pratique pourra diffuser au-delà de l'action de l'État ».
En attendant, reste le levier réglementaire. Si NIS 2 est en panne, faute de gouvernement à la tête de l’Etat, le CRA (Cyber Resilient Act) va entrer en vigueur. En tant que règlement européen, ce texte ne nécessitera pas de transposition en droit national : avec une entrée en vigueur en deux phases, 2026 puis 2027. Les éditeurs et fournisseurs de services numériques et fabricants de produits embarquant des applications seront responsables de la sécurité de leurs produits. Ils devront gérer les vulnérabilités et auront des obligations en termes de patching.
Et puis s'ouvre un énorme chantier, celui de la révision du Cyber Security Act : « ce sera l'occasion pour nous de poser un cadre de certification unifié à l'échelle européenne pour les prestataires de services en cybersécurité », a relevé le directeur de l’Anssi.
Tenir compte du risque quantique dès aujourd’hui
Enfin, Vincent Strubel a fait un focus sur le risque quantique, c’est-à-dire la capacité des calculateurs quantiques futurs de déchiffrer les algorithmes asymétriques actuellement mis en œuvre pour sécuriser les données. Thalès et Samsung ont décroché les deux premiers visas de sécurité de l’Anssi pour leurs solutions post-quantiques.
Le laboratoire Leti du CEA a mené ces premières évaluations et désormais l’Agence fixe ses règles. Et à partir de 2027, elle n’acceptera plus de produits de sécurité qui n'intègrent pas une cryptographie résistante à l'ordinateur quantique dans ses processus de certification : « acquérir une solution de sécurité qui implémente de la confidentialité à long terme et qui n'est pas résistante à l'ordinateur quantique à l'horizon 2030, ce n'est déjà pas raisonnable ».
C’est donc dans une atmosphère lourde que s’est ouverte l’édition 2025 des Assises, assez loin du discours des éditeurs et de leur enthousiasme sur l’arrivée de l’IA dans leurs solutions.
