Depuis 2013, la nature de la menace à l'encontre des entreprises a radicalement changé. À l'époque, la plupart des attaques relevaient de l'espionnage, du siphonage discret de données sensibles. L'ANSSI rencontrait alors des difficultés à convaincre les entreprises - qui pouvaient considérer que le risque était davantage couru par l'Etat en raison de la faible sensibilité des données qu'elles hébergeaient - d'investir pour se protéger d'une menace en quelque sorte invisible. Depuis 2015-2016, on est passé à une menace de sabotage, à travers par exemple des « rançongiciels » qui chiffrent l'ensemble des données des entreprises et donc les exposent à des risques de pertes colossales, et même de disparition pour des PME. En conséquence, la perception de la menace cyber a complètement changé. Les entreprises ne s'interrogent plus sur la question de savoir si elles doivent se protéger, mais plutôt quelle est la meilleure façon de le faire.
La réponse de l'État est organisée en cercles concentriques. Pour les opérateurs d'importance vitale, l'ANSSI impose des règles, très précises et très techniques. Elle accompagne également les autres entreprises, mais à travers la production de guides et de recommandations. L'idée est aujourd'hui de faire en sorte qu'elle étende de plus en plus la certification des produits. Historiquement, elle certifiait principalement des solutions spécialisées en cybersécurité, dorénavant elle certifie des solutions de cloud. Demain, nous souhaitons étendre cette certification, en nous appuyant sur le secteur privé et sur des partenaires européens, aux nouvelles solutions numériques, tels que les objets connectés, les solutions virtualisées... L'objectif est de pouvoir classer l'ensemble des solutions numériques en fonction de leur degré de confiance.