Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).

En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :

• Recherche d’indicateurs de compromission (REC)
• Investigation numérique (INV)
• Analyse de codes malveillants (CODE)
• Pilotage et coordination des investigations (PCI)

La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.

Une marge de manœuvre pour déléguer

La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.

L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :

• Retranscription et rédaction des comptes rendus de réunions
• Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
• Retranscription des décisions, actions et arbitrages
• Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex

Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.

Se synchroniser avec l’activité PCI

En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »

Le prestataire doit être capable d’aider à identifier, en amont :

• Applications, systèmes, données et périodes critiques de l’organisation
• Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
• Tiers éventuels dont l’implication pourrait être nécessaire
• Principaux enjeux à court et moyen terme et obligations juridiques applicables
• Enjeux de communication de crise

Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.

Retex et restitution « à chaud » au niveau élevé de qualification

Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.

• Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
• Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
• Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.

Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.

Illustration © VicenSahn – Adobe Stock

The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.

Sécurité du musée du Louvre, épisode 2. Après le « braquage du siècle » dans la galerie Apollon exécuté à grands coups de scie circulaire, Libération révèle que le dispositif de cybersécurité du plus grand musée du monde était aussi fragile que les vitrines censées protéger les bijoux de la couronne.

Le quotidien a exhumé « des documents confidentiels ou publiés dans le cadre d’appels d’offres » qui révèle l’ampleur du fiasco cyber.

Première étape : décembre 2014. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) réalise un premier audit du réseau de sûreté du musée qui contrôle les systèmes les plus critiques : contrôle d’accès, alarmes, vidéosurveillance. Les conclusions, consignées dans un rapport de 26 pages estampillé « diffusion restreinte », sont alarmantes.

The post Quand un rapport de l’ANSSI révélait les défaillances cyber du Louvre appeared first on Silicon.fr.

En 2027, l’ANSSI n’acceptera plus, en entrée de qualification, des produits de sécurité qui n’embarquent pas de cryptographie post-quantique.

Son directeur général Vincent Strubel l’a annoncé début octobre aux Assises de la sécurité. Sa déclaration a fait écho à une FAQ que l’agence avait publiée la veille, et où figurait cette même info.

En toile de fond, l’enrichissement du corpus de l’agence sur ce thème. Et, en parallèle, le franchissement de jalons. Entre autres, l’émission de ses premiers visas de sécurité pour des solutions comprenant de la cryptographie post-quantique. Plus précisément, des certifications CC (Critères Communs) pour la carte à puce MultiApp 5.2 Premium PQC de Thales (29 septembre) et pour le microcontrôleur S3SSE2A de Samsung (1^er octobre), qui exploitent le schéma de signature ML-DSA.

Les évaluations ont été conduites par le CEA-Leti, premier centre agréé « pour la portée PQC ». D’autres centres sont en cours d’agrément : Amossys (groupe Almond), EDSI (groupe NAGRA Kudelski), Quarkslab, Serma Safety & Security, Synacktiv et Thales/CNES.

Des guides et des référentiels à actualiser

Au-delà de l’horizon 2027, la FAQ mentionne l’échéance 2030. Avec un commentaire : à ce moment-là, il « ne sera plus raisonnable » d’acheter des produits qui n’intègrent pas de cryptographie post-quantique.

L’ANSSI invite à réaliser dès à présent un travail d’inventaire : identifier les données et les cas d’usage menacés, puis les équipements qu’il faudra mettre à jour, et prendre contact avec les fournisseurs pour connaître leur roadmap.

Pour le moment, l’agence focalise ses conseils essentiellement sur les offreurs. Dans cette logique, elle prévoit de publier des recommandations techniques (intégration dans les protocoles, crypto-agilité, formation de certificats…). Et aussi d’actualiser, en 2026, son référentiel IPsec DR afin d’y intégrer les algorithmes post-quantiques*. En attendant, elle invite à consulter un guide d’aide à la transition signé du renseignement néerlandais et de deux instituts de recherche nationaux (en anglais ; 2^e édition, décembre 2024).

L’ANSSI s’est aussi impliquée dans l’appel à projets « Développement de technologies innovantes critiques » du SGPI. La période de candidature a couru de novembre 2024 à avril 2025. Objectif : financer des briques technologiques en cybersécurité. Un des axes porte sur les outils d’aide à la transition post-quantique :

• Automatisation de l’inventaire des biens cryptographiques (sondes réseau, analyse d’applications / binaires, gestion du cycle de vie des certificats)
• Identification de biens vulnérables et priorisation des actions de migration
• Innovations dans les outils d’analyse de risque

D’autres mises à jour sont prévues à court terme, comme celle du guide de sélection des algorithmes de cryptographie (actualisation prévue cette année).

Dans l’UE, la perspective d’un « niveau minimal de préparation » pour fin 2026

Dans le corpus de l’agence, le « document fondateur » reste un avis sur la migration vers la cryptographie post-quantique, publié en 2022 (et mis à jour fin 2023). Y était déjà promue l’hybridation, à savoir la combinaison avec des algorithmes de cryptographie asymétrique pré-quantique à court et moyen terme pour éviter les régressions**.

L’ANSSI codirige par ailleurs, avec ses homologues allemand et néerlandais, le groupe de travail chargé d’élaborer la roadmap de l’UE « pour la mise en œuvre coordonnée de la transition vers la cryptographie post-quantique ».

En attendant le livrable final, un premier document a été publié en juin 2025. Il est censé contribuer à l’atteinte d’un niveau minimal de préparation dans les États membres pour fin 2026. Cela induit notamment l’identification et l’implication des parties prenantes. En la matière, la France est donnée comme exemple, pour les sondages que l’ANSSI a orchestrés auprès de trois populations (fournisseurs, utilisateurs, prestataires de conseil).

Il s’agira aussi d’avoir, pour fin 2026, engagé des pilotes en vue de la transition des cas d’usage à risque « intermédiaire » et « élevé ». Par « élevé », il faut par exemple entendre, pour des données protégées avec de la cryptographie à clé publique, les cas où une compromission de la confidentialité après 10 ans ou plus causerait encore des dommages significatifs.

Une transition espérée pour 2030 sur les cas d’usage à haut risque

La catégorisation des risques dépend plus globalement d’un score, calculé à partir d’un modèle décrit dans le guide néerlandais susmentionné. Trois facteurs l’influencent :

• Faiblesse de la cryptographie utilisée
• Impact estimé en cas de compromission
• Temps et effort nécessaires pour migrer vers le post-quantique (pour les éléments dont l’organisation responsable a le contrôle)

L’idée est que les cas d’usage à risque élevé aient migré en 2030 au plus tard (et qu’à ce même horizon, les mises à jour des logiciels et des firmwares utilisent des signatures résistantes). L’échéance 2035 est ciblée pour les cas d’usage à risque intermédiaire.

Cet agenda s’appuie en particulier sur une étude de l’ANSSI allemande (The status of quantum computer development ; dernière version publiée en janvier 2025). Il y est estimé qu’un ordinateur capable de casser la cryptographie actuelle pourrait être disponible d’ici à 2040.

Le document à l’adresse des États membres source un autre rapport, signé du Global Risk Institute. Et plus particulièrement une estimation : il y a 19 à 34 % de chances que sur la prochain décennie, un ordinateur quantique soit capable de casser RSA-2048 en 24 heures.

* Pour le moment, les produits quantum-safe ne peuvent être agréés DR s’ils doivent être conformes à un référentiel qui ne permet pas l’utilisation de tels algos.

** Les seuls algorithmes post-quantiques pour lesquels l’ANSSI ne recommande pas un recours systématique à l’hybridation sont les algorithmes de signature fondés sur le hachage : SLH-DSA, XMSS et LMS.

Illustration générée par IA

The post Transition post-quantique : l’agenda de l’ANSSI se remplit appeared first on Silicon.fr.

Les municipales 2026 s’annoncent sous tension numérique. Zataz alerte sur les cyberrisques visant les mairies françaises avant le scrutin....

Cyberattaque chez Inovie Labosud : ZATAZ a appris que des données médicales ont été exposées à des pirates informatiques....