Imposition des plus hauts standards cyber (référentiel ANSSI niveau renforcé) à toutes les administrations centrales et déconcentrées, hôpitaux, collectivités > 50 000 habitants et opérateurs d'importance vitale, sous 24 mois. Audit obligatoire, sanctions financières en cas de non-conformité, mutualisation des outils via l'ANCOD (M6.1).
Le niveau de cybersécurité des administrations centrales et déconcentrées, des hôpitaux, des collectivités territoriales et des opérateurs d’importance vitale (OIV) est aujourd’hui très inégal. L’ANSSI publie un référentiel exigeant, mais son application est volontaire pour la plupart des acteurs et obligatoire seulement pour les OIV au sens strict (environ 250 entités). Les hôpitaux, par exemple, sont la cible privilégiée des ransomwares depuis 2020 (CHU de Rouen, CHU de Corbeil-Essonnes, CHRU de Brest, et des dizaines d’autres) avec des conséquences cliniques mesurables (déprogrammations chirurgicales, fuites de dossiers patients). Les collectivités de taille moyenne (10 000 à 50 000 habitants) ne disposent souvent ni d’un DSI dédié, ni d’un budget cyber, ni de procédures d’incident.
Imposition obligatoire des plus hauts standards cyber (référentiel ANSSI niveau renforcé) à toutes les administrations centrales et déconcentrées, hôpitaux, collectivités territoriales de plus de 50 000 habitants, opérateurs d’importance vitale (OIV) élargis selon nomenclature actualisée. Délai de mise en conformité : 24 mois à compter de la publication de la liste précise des entités assujetties.
Mécanisme de conformité opérationnel : (1) audit obligatoire initial par auditeurs habilités ANCOD (M6.1), avec rapport détaillé et plan d’action chiffré, (2) sanctions financières en cas de non-conformité à 24 mois (amende administrative graduée + suspension d’éligibilité aux aides étatiques), (3) mutualisation des outils via l’ANCOD (M6.1) pour réduire le coût marginal de mise en conformité — un même SIEM hospitalier peut être mutualisé entre 20 hôpitaux d’une région, un même Endpoint Detection and Response (EDR) collectivité peut être mutualisé entre 50 communes. Cette mutualisation est financée par le budget cyber renforcé (M6.2). Articulation directe avec le bouclier PME (M6.6) qui applique une logique similaire au tissu économique, et avec la formation massive (M6.5) qui pourvoit les compétences nécessaires à la mise en conformité. La sécurité cyber des services publics et des infrastructures critiques n’est plus optionnelle, le risque sanitaire et stratégique l’a déclassé.
Imposition des plus hauts standards cyber (référentiel ANSSI niveau renforcé) à toutes les administrations centrales et déconcentrées, hôpitaux, collectivités > 50 000 habitants et opérateurs d’importance vitale, sous 24 mois. Audit obligatoire, sanctions financières en cas de non-conformité, mutualisation des outils via l’ANCOD (M6.1).
Commentaires et débats
Connectez-vous pour commenter.
Soyez le premier à ouvrir un débat, à contribuer et à commenter.