Mardi 4 février 2025
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 16 h 35.
Audition d'associations d'élus - Association des maires de France, association des départements de France, association des régions de France, intercommunalités de France et Métropole du Grand Paris
M. Olivier Cadic, président. - Notre cycle d'auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd'hui par une table ronde avec les associations d'élus sur le thème de la cybersécurité et des collectivités territoriales.
Plusieurs raisons ont conduit à organiser cet échange avec les différents échelons de collectivités.
La première tient à ce que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de la directive européenne relative aux mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite NIS 2 (Network and Information Security 2).
Un deuxième motif est celui de la vulnérabilité numérique de nos services publics territoriaux, qui se trouvent en première ligne au même titre que les hôpitaux, dont les attaques sont cependant plus médiatisées. Selon l'Agence nationale de la sécurité des systèmes d'information (Anssi), les attaques réussies par rançongiciels sur des collectivités représentent même un quart de l'ensemble des attaques, contre 10 % sur les établissements de santé. C'est pourquoi le retour d'expérience de nos associations d'élus nous sera précieux pour apprécier le juste seuil et le juste niveau d'obligation à inscrire dans la loi.
Enfin, troisième raison de cette table ronde, certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques ; je pense aux régions qui se sont engagées dans la création de centres de réponse aux incidents de sécurité informatique (Csirt, Computer Security Incident Response Team) afin de soutenir les entreprises de leurs territoires face à de tels incidents. Leur rôle est diversement connu et reconnu. Aussi, le témoignage de représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l'Anssi, la ministre déléguée chargée de l'intelligence artificielle et du numérique, et les entreprises expertes en cybersécurité, qui ne partagent pas la même appréciation de leurs missions.
M. Michel Sauvade, vice-président du conseil départemental du Puy-de-Dôme, maire de Marsac-en-Livradois, représente l'Association des maires de France et des présidents d'intercommunalité (AMF) ainsi que Départements de France.
M. Jérôme Tré-Hardy, conseiller régional de Bretagne - qui nous avait reçus, mon collègue rapporteur pour avis sur les crédits du programme 129 relatifs à la cybersécurité du projet de loi de finances (PLF) pour 2025 et moi-même, à Rennes au pôle d'excellence cyber - et Mme Constance Nebbula, vice-présidente de la région des Pays de la Loire chargée du numérique, représentent l'association Régions de France. Vous êtes les acteurs les mieux placés pour nous relater vos expériences respectives de la création des Csirt régionaux. Vous êtes accompagnés de Mme Laure Prévot, conseillère économie à Régions de France.
Pour Intercommunalités de France, nous recevons Mme Marlène Le Dieu de Ville, vice-présidente chargée du numérique, par ailleurs vice-présidente déléguée à l'économie numérique, aux systèmes d'information et à la culture de la communauté de communes de Lacq-Orthez. Vous accompagne Mme Montaine Blonsard, responsable des relations avec le Parlement d'Intercommunalités de France.
Enfin, pour la métropole du Grand Paris, nous recevons à sa demande M. Geoffroy Boulard, maire du XVIIe arrondissement, conseiller de Paris et vice-président de la métropole du Grand Paris, accompagné de Mme Justine Terzi, chargée de mission cyber, et de M. Eloy Lafaye, chef de projet innovation numérique de la métropole.
Nous vous remercions très sincèrement d'avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et les conséquences de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent un problème et vos éventuelles propositions de modification.
Avant de vous céder la parole, je rappelle que cette audition fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
Je vous propose pour ouvrir notre table ronde que chaque organisation nous présente sa position sur le texte de projet de loi. Je donnerai ensuite la parole à nos rapporteurs, puis à ceux de nos collègues qui le souhaiteront.
M. Michel Sauvade, vice-président du conseil départemental du Puy-de-Dôme, maire de Marsac-en-Livradois, représentant de l'Association des maires de France et des présidents d'intercommunalité (AMF) et de Départements de France. - Je vous présenterai successivement les positions respectives de l'AMF et de Départements de France. Elles présentent entre elles, comme avec celles des autres associations d'élus, de nombreux points communs, mais également des différences.
Pour ce qui a trait à l'AMF, si ses membres partagent l'ambition d'un renforcement de la cybersécurité des communes et des établissements publics de coopération intercommunale (EPCI), ils expriment leur vive inquiétude sur les conditions dans lesquelles ils devront mettre en oeuvre les nouvelles obligations, qui seront coûteuses, tant sur le plan financier, dès cette année, que sous l'angle humain et matériel, avec de fortes tensions attendues sur la filière des métiers de la cybersécurité. L'AMF s'interroge par ailleurs sur le périmètre réel des communes concernées, qui ne semble pas clair dans le projet de loi actuel, notamment du fait des rapports étroits que ces dernières entretiennent avec leurs EPCI. L'AMF estime que la transposition de la directive NIS 2 ne doit pas ignorer cette réalité, en s'inscrivant dans une double logique de transition progressive et d'accompagnement fort de l'État.
L'association tient en tout premier lieu à souligner la qualité de la concertation menée avec l'Anssi dès la fin de l'année 2023, l'article 5 du titre II du projet de loi rappelant que le Gouvernement charge l'agence de la mise en oeuvre de sa politique en matière de sécurité des systèmes d'information. Cependant, l'audition devant votre commission de la ministre déléguée ne nous a pas rassurés sur le niveau d'implication politique du Gouvernement à notre égard. Si la ministre a évoqué à plusieurs reprises les fédérations professionnelles, les collectivités territoriales ont en revanche semblé quelque peu absentes de son champ de vision.
L'AMF est soucieuse de la question de la cybersécurité et souhaite que l'application de la directive européenne soit un succès, en réussissant à inscrire les communes et les EPCI dans une dynamique commune avec les autres niveaux de collectivités locales. Pour ce faire, il importe que le législateur tienne compte des moyens des communes et des EPCI, de sorte que la mise en oeuvre des nouvelles mesures soit supportable financièrement et faisable techniquement.
À cet égard, l'AMF regrette l'absence d'étude d'impact sur les conséquences de la transposition, surtout dans le contexte actuel d'incertitude financière. Un rapport du cabinet de conseil Idate rendu public au mois de novembre 2024 estime que le coût pour les collectivités locales des solutions de sécurité nécessaires à leur mise en conformité avec la directive NIS 2 s'élèverait à 690 millions d'euros par an. S'y ajouteraient 105 millions d'euros par an au titre de l'embauche et de la formation de ressources humaines qualifiées. Les nouvelles obligations emportent de nombreuses conséquences sur un plan tant organisationnel que financier.
Autre source d'inquiétude, leur non-respect pourra engager la responsabilité du maire ou du président d'EPCI. Entre sanctions contre les collectivités et sanctions contre les services de l'État, que penser ici de la réponse ambiguë apportée par la ministre Clara Chappaz lors de son audition devant vous, qui semblait en même temps adhérer et s'opposer à l'avis du Conseil d'État ?
Sans étude d'impact, l'AMF n'a pas été en mesure de se prononcer sur les périmètres proposés. Certains parmi nous se sont même interrogés - légitimement de mon point de vue - sur le rapport coût-risque pour les collectivités. L'association n'en a pas moins fait connaître à plusieurs reprises à l'Anssi et aux représentants de l'État ce qu'elle juge être des points de vigilance :
- premièrement, le risque de tension sur les métiers de la cybersécurité, qui influera sur le recrutement de professionnels au sein de nos collectivités, avec, en conséquence, l'éventuel recours onéreux à des prestataires extérieurs ;
- deuxièmement, Patrick Molinoz et moi-même, qui coprésidons la commission numérique de l'AMF, mettons en évidence avec des directeurs des systèmes d'information et des responsables sécurité des systèmes d'information (RSSI) la très grande fragilité de nos structures, en raison à la fois d'un portage politique qui reste faible à notre échelle et des enjeux en présence ;
- troisièmement, la nécessaire progressivité de l'entrée en application des nouvelles obligations, pour des raisons évidentes de coût et de difficultés de gestion des ressources humaines, alors que communes et EPCI sont appelés à maîtriser leurs dépenses ; l'accompagnement financier de l'État, mais aussi des régions et des départements, s'avère indispensable.
Une inquiétude particulière porte par ailleurs sur les plus petites communautés de communes et sur leur capacité à respecter les obligations du futur référentiel de cybersécurité.
Enfin, l'incertitude prévaut sur les conséquences réelles de ces nouvelles normes pour les systèmes d'information des communes membres des intercommunalités, puisque toutes partagent entre elles des services, serveurs et logiciels.
En ce qui concerne Départements de France, la qualité des consultations conduites avec l'Anssi est de nouveau mise en évidence, de même que l'absence d'écho véritable, à l'échelon politique, des préoccupations que les collectivités membres ont exprimées. Ces préoccupations portent sur trois aspects : les ressources nécessaires à la réussite du redimensionnement et de la mise à l'échelle des systèmes d'information, la structuration territoriale d'une politique publique de cybersécurité, le soutien de l'État.
Du point de vue de Départements de France, le texte du projet de loi consiste en une transposition brute de la directive européenne. D'une part, il ne répond pas à ses préoccupations ; d'autre part, il renvoie un grand nombre de dispositions au niveau réglementaire, sans en fixer suffisamment les principes. Il fait ainsi courir le risque de voir la mise en conformité administrative prévaloir par rapport au développement de mesures véritablement opérationnelles. Cette observation souligne combien la connaissance des enjeux de la cybersécurité se situe d'abord à cette échelle des départements.
Dans le détail, les inquiétudes de Départements de France concernent en premier lieu les effets des nouvelles mesures sur les pratiques de sécurité informatique. De telles mesures supposent en effet une adaptation de toute la chaîne de promotion de la cybersécurité : gouvernance, gestion des risques et des incidents, obligations de rapport et de notification, sécurité de la chaîne logistique ou de soutien, sécurisation de la maintenance des systèmes, pratiques fondamentales en matière d'hygiène cyber, matériel et technologies embarquées, notamment la cryptographie et le chiffrement, formation, sécurité du personnel et des politiques de contrôle d'accès.
En matière financière, les évolutions demandées emporteront de lourdes conséquences, tant en dépenses d'investissement qu'en dépenses de fonctionnement, alors que les budgets des départements sont déjà fortement contraints. Les crédits relatifs à l'informatique semblent ainsi être, en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de nos collectivités.
Sur le plan humain, il sera nécessaire de recruter et de former les agents disposant des compétences adéquates. L'offre de formation représente un enjeu à part entière. Elle implique la structuration d'une filière professionnelle de cybersécurité. Si un certain nombre d'initiatives sont déjà engagées en ce sens, les départements sont confrontés sur le marché de l'emploi à la concurrence d'importants acteurs privés. À titre d'exemple, le conseil départemental du Puy-de-Dôme a vu le départ de 23 agents au cours des trois dernières années, au sein de sa direction des systèmes d'information (DSI), qui comprend 45 postes. Il a procédé à douze recrutements et onze postes restent encore à pourvoir. L'enjeu est celui de notre fragilité en matière de cybersécurité et, au-delà, de notre fonctionnement au quotidien.
L'association Départements de France est par ailleurs attentive aux effets de la transposition sur la chaîne de responsabilités. La mise en conformité avec la directive NIS 2 passera nécessairement par le recours à des prestataires de services de confiance. Elle impliquera une révision des marchés et, surtout, une évaluation des différents prestataires par les commanditaires, laquelle nous pose évidemment un problème. Bien que le règlement européen sur la cyber-résilience (Cyber Resilience Act, CRA) impose la conformité de tous les produits numériques, la question des moyens de certification des prestataires reste en effet posée. Les présidents de département ne pourront pas se porter garants de tous les prestataires ; la législation ou la réglementation doivent prévoir le partage des responsabilités. Peut-être une déclaration de conformité offre-t-elle ici une piste de réflexion à approfondir.
Autre point non négligeable, les départements devront s'adapter rapidement aux nouvelles réglementations, ce qui peut s'avérer difficile dans un environnement technologique par ailleurs en constante évolution.
Encourager la coopération et le partage d'informations, ce que l'on retrouve aux articles 23 et 24 du projet de loi, est évidemment louable. Cependant, l'une et l'autre nous paraissent présentés de façon très centralisée et limitée. Pour sa part, Départements de France a organisé dès février 2023, à huis clos, un séminaire des présidents afin d'échanger sur les cyberattaques et de créer collectivement un plan de cyber-résilience. Celui-ci a été publié en juin 2023. Un groupe des RSSI a été mis en place au moyen d'une plate-forme collaborative, en lien étroit avec le Club des RSSI des collectivités. En outre, le secrétariat général de la défense et de la sécurité nationale (SGDSN) et l'Anssi ont été sollicités plusieurs fois en vue d'intervenir devant les présidents comme devant les directeurs des services généraux des conseils départementaux pour optimiser la prise en compte de la cybersécurité dans la gouvernance de ces collectivités. Enfin, Départements de France met en place un groupe de contact constitué de directeurs des systèmes d'information, de RSSI et de directeurs des services généraux, en prévision d'échanges avec l'Anssi sur l'importante partie réglementaire à venir, lorsque le projet de loi sera adopté.
La réflexion conduite par Départements de France porte sur la structuration d'une politique publique territoriale de cybersécurité. Parmi les conditions d'une mise à l'échelle réussie des systèmes d'information figure la consolidation d'un réseau territorial de cybersécurité. Ce réseau repose aujourd'hui essentiellement sur les Csirt, créés par les régions. De son côté, l'État dispose du réseau des délégués territoriaux de l'Anssi, qui sont au nombre d'un ou deux par région. Les unités spécialisées des forces de sécurité intérieure restent quant à elles centralisées au niveau national. C'est clairement insuffisant et aucune perspective favorable ne se dessine. L'étude d'impact relative au projet de loi n'évoque ainsi, sur l'augmentation des moyens mis à disposition de l'Anssi, qu'une soixantaine d'équivalents temps plein (ETP) supplémentaires pour une montée en charge considérable du nombre d'entités à superviser.
Là où ils existent, les campus cyber font leurs preuves. Leur existence et leur dynamisme reposent sur l'énergie de chaque acteur. Il est dommage que le texte, par une transposition assez sèche des obligations de la directive européenne, ne leur donne pas d'autre impulsion.
Enfin, Départements de France attire l'attention sur le coût des contrôles conduits par l'Anssi qui, semble-t-il, doit revenir à la charge des entités contrôlées. Cela nous paraît totalement inacceptable, quand bien même ces contrôles n'interviendraient qu'en cas de suspicion forte de non-respect des règles. Il s'agirait alors d'une sanction par avance et je rappelle l'avis que le Conseil d'État a rendu sur la question. On peut par ailleurs s'interroger sur l'exonération que l'État prévoit pour ses propres services.
Mme Constance Nebbula, vice-présidente de la région des Pays de la Loire chargée du numérique, représentante de Régions de France. - Avant toute chose, je vous remercie d'interroger les associations de collectivités territoriales et de prendre le temps de recueillir le point de vue des élus locaux.
Par leur importance, par leur nombre d'administrés, par le niveau de criticité des données qu'elles récoltent et traitent, les régions seront considérées comme « entités essentielles » au sens du projet de loi et devront donc répondre aux critères de sécurité les plus élevés de la nouvelle directive NIS 2, directive sur laquelle je concentrerai mon intervention.
Le volume des cyberattaques menées contre les collectivités ne cesse de croître. Douze des dix-huit régions françaises ont été touchées, pour certaines très durement, et les collectivités comme d'autres structures publiques, telles que les établissements de santé, sont devenues des cibles. Dans ces conditions, et considérant que les régions occupent une place centrale dans le domaine de la cybersécurité, nous portons un vif intérêt à ce texte du projet de loi.
Comme l'AMF et Départements de France, nous avons été associés dès novembre 2023 aux travaux de l'Anssi préalables à la transposition de la directive européenne. Nous avons demandé à l'Agence une étude d'impact sur cette transposition, laquelle n'a jamais été réalisée. Nous avons également demandé une estimation des coûts qu'elle induirait pour les régions, afin de mesurer le rapport bénéfice-risque de ses dispositions, dans un contexte budgétaire particulièrement tendu où des arbitrages doivent intervenir et où il importe de mobiliser les élus sur les moyens financiers à accorder prioritairement.
Une difficulté existe quant à la prise en compte des obligations de la directive NIS 2, 23 % des 500 décideurs informatiques interrogés dans la dernière édition du baromètre sur la maturité cyber des collectivités reconnaissant n'en avoir jamais entendu parler et seuls 24 % d'entre eux se déclarant prêts à les appliquer. La marge de progression est donc importante, le manque de connaissances et de préparation patent.
En ce qui concerne l'Anssi, je distinguerai entre son niveau national et son niveau régional. Régionalement, nos contacts sont plutôt de qualité et le dialogue est régulier, quoique les moyens restent faibles. En revanche, nous constatons un discours quelque peu différent au niveau national.
La question du financement et de la pérennité des Csirt se pose. L'Anssi avait octroyé aux régions 1 million d'euros pour leur création pendant trois ans. Les régions se sont mobilisées en ce sens et presque toutes à présent en disposent. Néanmoins, depuis lors, aucune affirmation nouvelle de la politique publique de cybersécurité n'est intervenue à l'endroit des régions. Je me suis entretenue mardi dernier avec Mme Chappaz, au terme de son audition devant vous, et je lui ai appris que les régions ne disposaient pas de la compétence en matière de cybersécurité...
Régions de France souhaite obtenir une clarification sur cette compétence, laquelle suppose des financements. Au titre des financements, l'association demande que le renforcement de la cybersécurité des collectivités territoriales et des administrations publiques soit mieux intégré au plan France 2030, afin d'obtenir un accompagnement financier à la hauteur du niveau de mise en conformité attendu.
Aujourd'hui, les moyens font défaut. En 2021, le Gouvernement a certes mis en place une ambitieuse stratégie d'accélération cyber. Cependant, sur le montant de 1,7 milliard d'euros qu'elle recouvre, dont 720 millions d'euros d'argent public, 136 millions sont affectés au travail d'animation par l'Anssi, dont 60 millions d'euros pour créer des Csirt ; et les régions n'ont en définitive obtenu que 1 million d'euros pour trois ans, sans autre garantie de financement au terme de cette période. Elles n'apparaissent ainsi associées ni financièrement, ni humainement, ni politiquement à la suite qui sera donnée.
Quant aux campus cyber, si l'initiative est nationale, elle ne s'est concrètement traduite, contrairement à ce qui avait été annoncé, par aucune aide en faveur des régions. Chaque région a dû s'en occuper seule, à moyens et périmètre constants, raison pour laquelle, d'ailleurs, tous les modèles de campus cyber en France diffèrent les uns des autres.
Bien entendu, nous ne remettons nullement en question le bien-fondé du projet de loi. Nous y sommes favorables. Les collectivités territoriales ont déjà anticipé certains chantiers et ne partent donc pas de zéro.
Il faudra avant tout veiller à l'absence de surtransposition. Un réel problème d'accompagnement des collectivités se pose devant le coût de la mise en oeuvre des nouvelles obligations. Enfin, rien ne sera possible aussi longtemps que n'interviendra pas une clarification de la stratégie de l'État en matière de cybersécurité, du rôle de l'Anssi, de la compétence, du portage politique et de la gouvernance de cette politique.
Jérôme Tré-Hardy, conseiller régional de Bretagne, représentant de Régions de France. - À mon tour, je vous remercie d'entendre les collectivités territoriales sur ce sujet extrêmement important de la transposition de la directive NIS 2.
Je prendrai l'exemple de la région Bretagne, la deuxième en importance après l'Île-de-France dans le domaine de la cybersécurité, marquée par la volonté politique de Jean-Yves Le Drian, en son temps, et par une forte présence militaire. Pour autant, l'humilité commande de reconnaître que les risques de cybersécurité n'y sont pas moindres que dans d'autres régions.
Il importe du reste de sensibiliser à la culture cyber et de la diffuser dans l'ensemble de la société. C'est pourquoi nous nous sommes emparés des campus cyber comme d'une possibilité de fédérer tout l'écosystème breton et de réunir toutes les parties prenantes, notamment sur la réflexion relative à la transposition de la directive européenne. Je précise que Régions de France représente au sein du conseil d'administration du campus cyber l'ensemble des régions labellisées.
Le sujet des Csirt provoque nombre de commentaires et d'échanges. En Bretagne, le centre régional a fait la démonstration de sa pertinence : il a répondu à 115 incidents en 2024 et les maires qu'il a accompagnés se disent satisfaits du service rendu.
Le financement est un sujet clé, mais nous ne devons pas oublier ce qui a d'ores et déjà été réalisé.
Nous nous sommes intéressés aux conséquences de la transposition de la directive en Bretagne. La mise à niveau des systèmes d'information requerra vraisemblablement plusieurs millions d'euros. Au vu des contraintes budgétaires actuelles, avons-nous véritablement les moyens de notre ambition ? Telle est la question que nous devons collectivement nous poser, et elle s'étend à la dimension des ressources humaines.
Je vous ferai enfin part de deux convictions. D'une part, l'échelon régional ne doit pas être négligé, en raison de son aptitude à relier les politiques nationale et européenne ; d'autre part, la coopération, caractéristique de notre manière de travailler en Bretagne, prend toute son importance en la matière parce qu'elle favorise l'optimisation budgétaire et le partage des bonnes pratiques.
Mme Marlène Le Dieu de Ville, vice-présidente d'Intercommunalités de France chargée du numérique, vice-présidente déléguée à l'économie numérique, aux systèmes d'information et à la culture de la communauté de communes de Lacq-Orthez. - Au sein d'Intercommunalités de France, la perspective de la transposition de la directive NIS 2 nous tient à coeur. Il y a deux ans, les intercommunalités avaient lancé leur propre baromètre de maturité numérique, lequel avait révélé que la cybersécurité était la première de leurs priorités. Il faut dire que, entre 2022 et 2023, elles ont été, selon l'Anssi, victimes de 187 attaques. Et le rythme de ces dernières ne faiblit pas, quelle que soit au demeurant la taille des collectivités.
Nous avons particulièrement apprécié les consultations que l'Anssi a menées auprès des associations d'élus et avons beaucoup travaillé avec cet organisme, en réunissant notamment dans une commission numérique une cinquantaine d'intercommunalités allant de la communauté de communes de 5 000 habitants à la métropole de 1 million d'habitants. Et nous cernons désormais mieux les conséquences du projet de loi pour elles.
Toutes les intercommunalités sont finalement concernées par la directive NIS 2. Le seuil de 30 000 habitants nous semblait peu conforme à la réalité du terrain, notamment à celle des 992 communautés de communes. Celles-ci seront qualifiées d'« entités importantes », aux côtés des communautés d'agglomération, des communautés urbaines et des métropoles qui auront la qualité d'« entités essentielles ». Remarquons néanmoins que les écarts sont en pratique notables dans chacune des deux catégories, par exemple au sein des communautés de communes entre celles qui comprennent quelque 5 000 habitants et celles qui en comprennent 70 000, ou entre une communauté d'agglomération de 30 000 à 50 000 habitants et une métropole de 1 million d'habitants. La transposition de la directive devra en tenir compte.
Avec l'Anssi, nous abordons déjà la phase réglementaire, qui suivra l'adoption du projet de loi. Nous allons ainsi constituer des groupes de travail, une première réunion étant prévue le 20 février prochain avec l'association Les Interconnectés. Y prendront part un petit nombre de métropoles, un nombre plus important de communautés d'agglomération et un nombre plus élevé encore de communautés de communes. L'objectif est que l'Anssi se forge une idée des conséquences des nouvelles obligations sur chacune des structures intercommunales et de leurs difficultés respectives. Il importe également de proposer des mesures adaptées à la réalité du terrain.
Intercommunalités de France joue un rôle de mutualisation entre les communes, auquel nous sommes très attachés. La directive NIS 2 et sa transposition nous donnent l'occasion d'accompagner les communes, à des degrés variables selon les situations. Le projet de loi doit nous fournir un cadre clair, simple et pratique, afin de nous permettre d'avancer dans la bonne direction.
En ce qui concerne les points de vigilance, je veux insister, comme mes collègues, sur la question de la proportionnalité. Pour l'instant, c'est un peu flou, on nous assure que les délais seront adaptés, mais nous ne savons pas comment. Nous avons, je le répète, à la fois de très petites et de grosses intercommunalités et cette proportionnalité, même pour les entités importantes, va imposer un certain nombre d'obligations, à commencer par le fait de transmettre des informations en cas d'attaque. Il faudra garantir que ce ne soit pas trop compliqué lorsque l'on aura la tête dans le guidon. L'Anssi affirme qu'il ne s'agira que de questionnaires simples à remplir, mais je demande à voir. Elle insiste beaucoup sur la simplicité, mais pour les entités essentielles, les choses restent floues ; par exemple, on nous assure qu'un RSSI ne sera pas requis, qu'un simple référent en cybersécurité suffira. Soit, mais je demande à voir. Peut-être que notre groupe de travail, qui se réunira une fois par mois jusqu'à la fin de la phase réglementaire, s'y penchera.
Il y aura en effet besoin d'un accompagnement financier et en ingénierie, à tous les niveaux ; nous n'avons pas évalué les besoins, mais nous le ferons en partenariat, je l'espère, avec l'Anssi. Je vais vous raconter une anecdote, pour bien mesurer les besoins d'accompagnement des collectivités les plus petites : au moment du plan France Relance, qui permettait aux collectivités de mettre en place une véritable politique de cybersécurité, ont profité de l'accompagnement proposé quasiment toutes les métropoles, 50 % des communautés d'agglomération et seulement 10 % des communautés de communes, c'est-à-dire les collectivités qui en avaient le plus besoin. La raison en est simple : une condition pour être accompagné était d'avoir un DSI. Cela montre le faible niveau de maturité numérique des petites collectivités... En tout état de cause, cet accompagnement est crucial et il faudra le calibrer différemment selon les strates de collectivités, qui n'ont pas toutes les mêmes moyens.
Pour ce qui est du délai, les collectivités sont soumises aux règles des marchés publics ; aussi, pour remettre en cause certains contrats, il faudra du temps et le délai de trois ans pourrait être insuffisant. Certaines métropoles elles-mêmes, plus rompues que les communautés de communes à ce genre d'exercice, indiquent qu'il leur faudra certainement plus de trois ans pour remettre en cause certains marchés.
Par ailleurs, et cela concerne davantage les plus petits, qui y font plus appel, on va manquer cruellement de prestataires privés. On parle beaucoup de grands groupes, mais nous ne voulons pas tuer les entreprises locales ; nous avons une compétence développement économique et nous ne souhaitons pas que les grands groupes raflent tout, sans parler de la question du coût. Par conséquent, un problème de prestataires risque de se poser, d'autant que nous ne pourrons pas être garants de la cybersécurité des outils qui nous seront proposés, nous n'en sommes pas capables. On nous a signalé que des prestataires seront certifiés, par exemple par l'Anssi ; si c'est le cas, tant mieux. Je sais le travail colossal réalisé par les campus cyber et les entreprises pour monter en compétence dans ce domaine, et je salue ce travail. J'espère que cela sera bien pris en compte par l'État.
En matière de ressources humaines, nous aurons des difficultés de recrutement, surtout pour les petites collectivités. On a besoin de visibilité, au niveau tant national que régional ; on doit pouvoir s'assurer que les acteurs locaux seront encore là dans un an ou deux, et que l'on pourra toujours travailler avec eux. La visibilité à l'échelon interministériel et au sein des associations d'élus n'est pas évidente ; il n'est pas simple de parler avec l'État, car plusieurs ministères sont parfois impliqués. Enfin, nous souhaiterions avoir une meilleure communication institutionnelle de l'État à destination de l'ensemble des acteurs.
M. Geoffroy Boulard, maire du XVIIe arrondissement de Paris, conseiller de Paris, vice-président de la métropole du Grand Paris. - La métropole du Grand Paris réunit 130 communes, couvre 11 territoires sur 3 départements - Hauts-de-Seine, Seine-Saint-Denis, Val-de-Marne - sans compter Paris et quelques communes limitrophes de l'Essonne et du Val-d'Oise.
La métropole est compétente pour piloter différents enjeux liés à l'environnement, à l'attractivité, à l'énergie, à l'habitat ou encore à l'aménagement. Face à ces défis, la métropole du Grand Paris a souhaité construire un écosystème favorable à l'innovation, via notamment des dispositifs consacrés à l'innovation et au numérique.
Elle a en outre créé des programmes d'accompagnement des communes, en matière de data ou de numérique. Par exemple, elle met en oeuvre des programmes d'accompagnement et de cofinancement d'expérimentations de solutions innovantes ou numériques, tels que Innover dans la ville ou Quartiers métropolitains d'innovation, mais aussi des réseaux d'acculturation aux enjeux numériques et d'innovation, avec des académies de formation comme le Réseau des explorateurs, destiné aux agents des différentes communes, et un réseau d'élus. La métropole du Grand Paris réfléchit également à une stratégie sur l'intelligence artificielle, qui sera présentée en avril au conseil métropolitain.
Le développement du numérique et l'innovation sont source d'opportunités, mais la métropole reste naturellement vigilante à leurs effets sur la maîtrise inégale des compétences numériques, l'environnement ou l'apparition de nouvelles dépendances et fragilités. D'où le besoin de renforcer la cybersécurité. C'est pourquoi nous avons adopté dès 2019, dans le schéma métropolitain d'aménagement numérique, le principe d'un soutien prioritaire de la gestion de la sécurisation des données publiques.
L'étude de 2024 de cybermalveillance.gouv.fr montre qu'une collectivité sur dix déclare avoir été victime d'une ou plusieurs attaques au cours de l'année dernière, que l'hameçonnage est la cause principale dans 30 % des cas, que 45 % des collectivités attaquées n'en connaissent pas la cause et que les collectivités touchées ont principalement déploré une interruption de service, mais aussi une destruction ou un vol de données, ou encore une perte financière. Toujours d'après cette étude, 44 % de ces communes s'estiment faiblement exposées au risque et 18 % des communes ne savent pas évaluer le risque. Ce chiffre s'explique, selon moi, par le fait que, ne se pensant pas vulnérables, elles surestiment l'efficacité de leur système de protection et sont insuffisamment préparées aux cyberattaques.
La fracture se creuse entre les communes. Il y a des dispositifs d'aide en faveur de la cybersécurité, comme France Relance ou encore MonAideCyber, mais il reste un manque de connaissances et d'accompagnement des petites communes, en moyens humains et financiers. L'étude signale d'ailleurs qu'il n'y aura pas d'évolution majeure des budgets consacrés à l'informatique et à la sécurité des systèmes d'une année sur l'autre et que 73 % des petites et moyennes collectivités ont un budget informatique annuel de moins de 5 000 euros, les deux tiers d'entre elles n'envisageant pas d'évolution à la hausse, alors qu'elles sont fortement exposées au risque.
Les éléments statistiques identifiés à l'échelle nationale par l'étude se retrouvent au sein du territoire de la métropole du Grand Paris. Nous avons toujours souhaité que cette collectivité soit une métropole des maires et, lors des rencontres avec les communes, il est apparu que la question de la cybersécurité constituait un élément d'inquiétude majeure chez les maires, en particulier dans les communes disposant de peu de moyens ou d'un système d'information daté et peu développé.
J'ai échangé avec des maires ayant vécu ce type d'attaques et l'impact d'une cyberattaque sur une commune s'avère encore peu maîtrisé. Les agents doivent passer immédiatement en mode gestion de crise ; les communes connaissent ce type de situation, mais elles peuvent être prises au dépourvu lors d'une cyberattaque, car toutes leurs activités sont désorganisées, ce qui perturbe d'autant leur capacité de réaction. Pendant plusieurs jours, la majorité des agents ne peut plus travailler, dans l'attente de la restauration des systèmes d'information, et cette dernière se fait d'ailleurs étape par étape et non en bloc. Il est donc nécessaire de prendre en compte cette remise en marche progressive.
La cyberattaque a également des conséquences pour les usagers : suspension des inscriptions et des paiements à la cantine, versement des allocations des centres d'actions sociales, etc. L'équipe politique, notamment le maire, est alors en première ligne. Une cyberattaque entraîne aussi des répercussions à long terme : certaines villes ont mis entre deux et quatre années pour s'en remettre et pour remettre à jour certaines données de paiement. Les cyberattaques sont aussi éprouvantes pour les agents qui les ont vécues, elles entraînent une fatigue importante et un éventuel turnover.
Quelques exemples de cyberattaques contre les communes de la métropole du Grand Paris : en 2020, Bondy, Le Blanc-Mesnil, Vincennes ; en 2021, Tremblay-en-France, Villepinte, Bobigny, La Courneuve ; en 2022, Saint-Cloud, Chaville ; en 2023, Bry-sur-Marne et Chevilly-Larue.
La transposition de NIS 2 est l'occasion de s'interroger sur la place des collectivités dans ce dispositif. L'Anssi a déclaré le 3 septembre dernier que les collectivités devaient se saisir de cette opportunité face à la menace, mais les dispositifs de NIS 2 n'intégreront peut-être pas toutes les collectivités, ils pourraient n'en cibler que certaines, en fonction de leur taille. Il convient de s'assurer que les collectivités visées disposeront des moyens humains et financiers pour mettre en oeuvre les exigences de sécurité de la directive. Or, d'après l'étude de cybermalveillance.gouv.fr, 62 % des collectivités demandent une sensibilisation accrue des élus et des agents. La mise en place d'outils de sécurisation est privilégiée et l'accompagnement financier des territoires est au coeur des attentes.
La métropole du Grand Paris a institué un accompagnement de ses communes, sans attendre le projet de loi de transposition, pour être aussi conforme que possible à ces directives. Elle est donc engagée depuis 2021 via un programme européen, le projet Cybiah (Cybersécurité et intelligence artificielle hub), lauréat du programme Edih (European Digital Innovative Hub). Le campus cyber d'Île-de-France a rassemblé des entreprises, des associations et des acteurs publics, afin de proposer la création d'un Edih consacré à la cybersécurité. Ce projet vise à créer tout simplement un guichet unique permettant de développer des actions en faveur de cybersécurité auprès des TPE et PME et des collectivités territoriales sur le territoire francilien.
Pour sensibiliser ces acteurs à la mise en oeuvre d'une stratégie cyber adaptée à leurs besoins, Cybiah a construit un parcours d'accompagnement des TPE divisé en quatre phases : embarquement, diagnostic, sécurisation et cofinancement. Dans le cadre du projet Cybiah, la métropole du Grand Paris s'est positionnée, conjointement avec le campus cyber, pour décliner ce parcours d'accompagnement auprès des communes métropolitaines. Ce projet est mis en oeuvre avec le soutien financier de la Commission européenne pour ce qui concerne les TPE et PME et les collectivités, et de la région Île-de-France pour ce qui concerne les TPE et PME.
Nous avons décliné ce programme auprès des communes métropolitaines. La première brique, 100 % gratuite pour les communes, permettra de formuler un diagnostic individualisé par commune évaluant le niveau de maturité en cybersécurité et d'élaborer un plan de sécurisation adapté aux besoins. Dans un deuxième temps, nous pourrons proposer un soutien financier pour la mise en place du plan de sécurisation, à hauteur de 50 % du coût du projet, dans la limite de 200 000 euros, grâce au fonds métropolitain Innover dans la ville. La troisième brique consiste à amener toutes les communes à un niveau satisfaisant en matière de cybersécurité. Nous avons ciblé les 30 communes, parmi les 130, qui ont le plus besoin de ce dispositif.
Nous avons également souhaité conduire une préanalyse en matière de cybersécurité des communes. Les résultats pourront servir à convaincre les communes d'entrer dans la démarche, car c'est parfois nécessaire - d'ailleurs, cette évaluation externe n'aura pas d'impact sur le fonctionnement des services -, et ils seront communiqués.
Nous avons lancé le 23 janvier dernier ce programme. Déjà dix communes ont demandé à en bénéficier et, vendredi prochain, nous organisons un événement au campus cyber.
M. Olivier Cadic, président. - Je remercie chacun de vous pour son investissement et merci d'avoir cité cybermalveillance.gouv.fr, acteur essentiel de la cyberprotection des entreprises et des particuliers. Je salue le lancement de la plateforme 17Cyber au mois de décembre dernier.
M. Patrick Chaize, rapporteur. - Je concentrerai mon intervention sur la transposition de la directive NIS 2. Avec cette directive, il s'agit non plus seulement de sécuriser des infrastructures critiques, mais aussi d'assurer la résilience des entités critiques en tant qu'organisations et de l'ensemble de leurs systèmes d'information. Cette résilience est indispensable pour les collectivités territoriales, car celles-ci sont de plus en plus victimes de cyberattaques, avec 187 incidents concernant traités par l'Anssi entre janvier 2022 et juin 2023.
Alors que l'imposition des règles aux collectivités est laissée au libre choix des États membres dans la directive, la France a fait le choix de les intégrer dans ces nouvelles exigences, au regard de la multiplication des attaques affectant les services publics locaux et leur faible sécurisation. Le projet de loi prévoit ainsi que près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle, dont l'ensemble des régions et des départements, près de 1 000 communautés de communes et 300 communes de plus de 30 000 habitants, devront se conformer au corpus législatif résultant de la transposition de la directive NIS 2. En particulier, chacune de ces collectivités devra évaluer si elle est soumise à la directive, si elle est entité essentielle ou entité importante et si elle doit s'enregistrer auprès de l'Anssi et lui notifier tout incident de cybersécurité.
Partagez-vous le constat selon lequel les collectivités territoriales sont souvent vulnérables face aux menaces cyber ? Beaucoup d'entre elles se disent inquiètes, considèrent ce sujet comme très important, mais peu sont armées pour y faire face et envisagent les évolutions budgétaires nécessaires ; c'est-ce pas incohérent ? Comment corriger cette incohérence ?
Considérez-vous que les obligations mises à la charge des collectivités sont adaptées aux moyens et à la maturité des acteurs ? Pensez-vous que les collectivités sont suffisamment informées des changements à venir ? Seront-elles en mesure de s'y conformer rapidement et comment faire évoluer leur niveau d'information ?
Enfin, l'Anssi vous paraît-elle bien identifiée par les collectivités territoriales comme un interlocuteur de confiance dans le domaine de la cybersécurité ? Les entités régulées par la directive NIS 2 devront s'enregistrer auprès de cette agence et lui signaler tous les incidents significatifs de cybersécurité.
M. Hugues Saury, rapporteur. - Quel bilan tirez-vous du dispositif actuel de sécurité des activités d'importance vitale pour les collectivités territoriales ? Certains ont donné des statistiques, mais je voudrais savoir quelle est la proportion d'adhérents que vous considérez comme robustes en matière de défense cyber, au sein de chacune de vos organisations.
Comment évaluez-vous la philosophie générale de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) et du titre Ier du projet de loi, notamment sur la priorité donnée à la résilience par rapport à la protection ? Quel regard portez-vous sur les définitions de l'activité d'importance vitale, de l'infrastructure critique, du point d'importance vitale et système d'information d'importance vitale ? Les obligations prévues - plan de résilience opérateur et particulier, notifications d'incident, exigence spécifique pour les entités critiques européennes - vous semblent-elles pertinentes et proportionnées ? Comment jugez-vous les mécanismes de contrôle, d'astreinte et de sanction prévus en cas d'obstruction ?
Le Conseil national d'évaluation des normes (CNEN) a émis un avis défavorable sur ce projet de loi, au regard de la non-compensation des coûts qu'il engendrera ? Quelles mesures l'État pourrait-il prendre pour accompagner les collectivités, leurs groupements ou leurs établissements qui seront des opérateurs d'importance vitale ?
M. Michel Canévet, rapporteur. - Selon vous, ce projet de loi surtranspose-t-il la directive NIS 2 en matière d'obligations pesant sur les collectivités territoriales ?
Faut-il allonger le délai de mise en oeuvre de ces obligations ?
M. Mickaël Vallet. - Pour éviter de réinventer l'eau chaude, ne serait-il pas opportun d'intégrer un volet numérique dans les plans de crise des communes et intercommunalités, conformément d'ailleurs à une recommandation de l'AMF de novembre 2020 ? Cela pourrait-il constituer une piste pour les quelque 21 000 communes tenues de rédiger un plan communal de sauvegarde (PCS) ?
Mme Catherine Morin-Desailly. - La transposition de ce texte met en lumière les carences de l'État dans son rôle de stratège. Aucun des quatre ministres du numérique qui se sont succédé en peu de temps n'avait de vision transversale du sujet. Nous militons depuis dix ans pour la création d'un haut-commissariat au numérique.
Les collectivités se sentent-elles assez accompagnées et éclairées pour se prémunir contre les cyberattaques menées sur les infrastructures physiques, sur les logiciels, les data centers ? Sur le choix de logiciels, de quel éclairage bénéficiez-vous sur la protection des données à protéger ? Vous sentez-vous accompagnées par l'Anssi et la Commission nationale de l'informatique et des libertés (Cnil) ?
Les cyberattaques concernent les collectivités, mais également les établissements de santé et les établissements scolaires, de tous niveaux. Il y a des choix technologiques à faire quand on équipe les établissements, en matière de matériel et de logiciels. Comment cela se passe-t-il avec l'éducation nationale ? Le personnel vous semble-t-il formé et compétent ?
M. Ludovic Haye. - Je veux parler de la politique de gestion du risque. On ne peut pas demander aux collectivités, au travers de ce projet de loi, plus que le prix d'une éventuelle attaque. Une politique nationale efficace ne doit pas empêcher une articulation agile à l'échelon territorial, car aucune collectivité ne ressemble à une autre, sur la forme comme sur le fond, donc leurs besoins diffèrent. Cette directive ne doit pas constituer une épée de Damoclès supplémentaire au-dessus de la tête des communes.
Prévoir un coefficient de proportionnalité entre l'argent investi et le niveau de sécurité atteint est utopique. On peut se protéger de manière efficace sans investir trop. Ne nous lançons pas dans une fuite en avant.
Par ailleurs, ce qui paraît être un investissement peut se transformer en dépense de fonctionnement au fil du temps.
Les actions de bon sens au sein des communes consistent parfois simplement à identifier ses données critiques et à définir une politique de restauration en cas de problème.
Du point de vue des ressources humaines, nombre de communes n'auront jamais les moyens de s'offrir les services d'un spécialiste du cyber ; elles n'ont déjà pas les moyens de payer une secrétaire à plein temps. La solution pourrait être de tout transférer à l'EPCI mais il ne faut pas créer de fracture numérique supplémentaire.
Mme Audrey Linkenheld. - J'ai subi une cyberattaque d'ampleur à Lille, en tant que première adjointe. Je mesure ce que cela implique.
Pourriez-vous revenir sur la différence entre le niveau régional et national de l'Anssi pour l'accompagnement ? Et qu'en est-il de la Cnil, interlocuteur national, dont on a besoin quand on est victime d'une cyberattaque ?
Comment voyez-vous l'articulation entre la compétence numérique, la compétence économique et la compétence cyber entre les différentes strates territoriales ?
Je suis moi aussi favorable à l'intégration d'un volet cyber au sein des PCS, car cela s'avère toujours utile quand on doit tout redémarrer après une attaque. Au-delà des aspects numériques de la continuité et la reprise de l'activité, considérez-vous qu'il y a un déficit d'accompagnement de l'État sur les processus ? Quand on n'a plus de système informatique, comment délivre-t-on un acte d'état civil ou un permis de construire, bref comment assure-t-on la continuité du service public ?
Mme Vanina Paoli-Gagin. - Gagnerait-on à orienter la commande publique des collectivités vers des outils moins vulnérables, en open source et d'origine européenne ?
Sur les ressources humaines, le département de l'Aube a créé une université qui forme à la sécurité globale et un institut qui propose des formations en la matière.
Sur le financement, avez-vous, chacun à son niveau, des discussions avec France Assureurs ? La cyberattaque est un risque et, quand il y a un risque, on se tourne vers les compagnies d'assurance.
M. Michel Sauvade. - L'AMF et Départements de France sont des associations généralistes, elles sont soutenues par l'expertise d'associations plus spécialisées. Dans le domaine du numérique, on compte sur l'Association des villes et collectivités pour les communications électroniques et l'audiovisuel (Avicca) et sur la Fédération nationale des collectivités concédantes et régies (FNCCR).
Je partage les interrogations de M. Chaize sur la vulnérabilité des collectivités, qui est vraie dans d'autres domaines de sécurité d'ailleurs, comme la voirie. M. Chaize a raison, il y a une incohérence : l'AMF est consciente que les élus locaux doivent assumer leurs responsabilités et, ce qui fait défaut, c'est le portage politique, qui n'est pas pleinement assuré par les collectivités. Il l'est sans doute plus au niveau des départements, parce que les moyens sont supérieurs. Il y a un déficit de notre part de portage politique sur un sujet perçu comme très technologique et peu intéressant. La position de l'AMF est claire : s'il y a un sujet politique, c'est bien celui du numérique.
Or les budgets ne sont pas proportionnés. L'information des collectivités n'est pas suffisante non plus, mais c'est aussi à nous de faire l'effort de nous informer. Sommes-nous en mesure de nous y conformer rapidement ? Certainement pas. L'Anssi est-elle identifiée par les collectivités ? Je ne le pense pas.
Monsieur Saury, je ne sais pas vous dire quelle proportion de nos adhérents semble robuste. Toutes les collectivités me semblent fragiles, mais je n'ai pas de statistique. Les budgets des départements sont sinistrés, mais je n'ai pas d'information précise sur le numérique. Je comprends la difficulté sur la proportionnalité des mécanismes de contrôle et l'avis défavorable du CNEN.
Monsieur Canévet, certains points paraissent curieusement sous-transposés, comme l'identification des incidents à faire remonter, et d'autres posent problème. La question des délais va se poser, mais la question est surtout notre capacité à travailler ensemble pour que les délais soient adaptés.
Monsieur Vallet, il y a l'unité cyber de la gendarmerie nationale, qui permet aux collectivités de s'identifier en cochant 10 cases, avec un accompagnement local qui permet aux plus petites communes de mettre un point d'attention sur les difficultés majeures. L'AMF se veut le relais de l'ensemble des collectivités.
Madame Morin-Desailly, les collectivités ne sont pas assez accompagnées. Nous voulons faire du numérique un sujet à part entière, plutôt que de l'inclure dans le PCS. Pour moi, c'est spécifique.
Monsieur Haye, sur la politique de gestion du risque, je suis d'accord, il ne faut pas demander plus que le prix de l'attaque. Une réponse peut venir de l'État, s'il parvient à créer une dynamique collective. L'État pèche par défaut d'engagement.
Madame Paoli-Gagin, pour une collectivité qui ne dispose pas de capacités de suivi et de mise à niveau, le recours à l'open source ou à des produits européens n'est pas vraiment la question. Dans le Puy-de-Dôme, je n'avance pas vers plus de numérique et de cybersécurité, j'essaie déjà de me débrouiller pour résorber la dette numérique creusée par l'absence d'une politique globale adaptée.
Mme Constance Nebbula. - Je commence par la question de la prise de conscience. À l'échelle des régions, il serait faux d'affirmer qu'il n'y en a pas, il s'agit tout de même de collectivités fortes, avec de grosses DSI et des moyens. En revanche, le niveau inférieur n'a pas eu cette prise de conscience. Je vous l'ai dit, 23 % de ces collectivités n'ont jamais entendu parler de NIS 2 et je vais illustrer mon propos d'une anecdote. La région des Pays de la Loire a un groupement d'intérêt public qui accompagne la transformation numérique des collectivités. La base de la base, c'est d'avoir une adresse électronique sécurisée. Or, quand nous proposons gratuitement aux petites communes d'avoir un nom de domaine propre et de l'héberger, en remplacement de l'adresse utilisée, nombre de maires refusent et préfèrent garder leur adresse Gmail. La prise de conscience n'existe pas dans les strates plus petites.
En ce qui concerne l'Anssi, heureusement qu'on l'a en région ! En revanche, l'Anssi en région manque de moyens pour nous aider. Je suis élue à Angers ; cette ville a été victime d'une cyberattaque il y a trois ans et demi et a mis trois ans pour s'en remettre. Notre premier réflexe, après l'attaque, a été de contacter l'Anssi. Qui nous a aidés ? L'Anssi et le secteur privé. On est un peu en mode « débrouille », mais heureusement qu'on a l'Anssi et c'est l'Anssi en région qu'il faut renforcer.
En revanche, on n'a pas beaucoup de liens avec la Cnil, ce n'est pas une agence décentralisée, ce n'est pas un interlocuteur local, ce n'est pas un partenaire pour les élus.
En ce qui concerne les sanctions, monsieur le président, vous avez déclaré un jour, à une table ronde où j'étais aussi, que la loi est la même pour tout le monde. Je suis d'accord sur le principe, à condition qu'il y ait l'accompagnement nécessaire. Soit il y a une différence entre le secteur public et le secteur privé et les sanctions ne sont pas les mêmes, soit on décide de consacrer des moyens à l'accompagnement et alors les sanctions doivent être les mêmes. La sanction n'a aucun intérêt en elle-même et, je le répète, les collectivités croulent sous les sanctions, les réglementations, les normes. Commençons par accompagner avant de penser à sanctionner.
Pour ce qui est de la surtransposition, le sujet vient de l'Europe ; plus il y a de normes européennes, plus elles se déclinent à l'échelle locale, mais c'est un autre sujet.
Le délai de trois ans suffira pour les régions, car elles n'ont pas attendu pour commencer le travail.
Quelle place pour la transversalité ministérielle ? Question éminemment politique. À qui parle-t-on ? À Bercy, à l'intérieur ou à la défense ? On ne sait pas. Pour ma part, je défends depuis des années l'existence d'un ministre unique, du numérique, du cyber et de l'IA, qui dépend du Premier ministre, pour assurer la transversalité entre ministères. Sans cela, on ne pourra pas avoir de véritable stratégie de l'État.
M. Patrick Chaize, rapporteur. - Cela a existé !
Mme Constance Nebbula. - Oui, et c'était très bien.
Je suis présidente d'Open Data France, donc la question des données me touche particulièrement ; heureusement que des structures existent pour remédier aux manquements de l'État.
Les environnements numériques de travail dans les lycées sont attaqués. Dans les Pays de la Loire, un lycée a subi un piratage et des vidéos d'une violence inouïe ont été postées sur l'ENT ; le personnel n'est absolument pas formé à cela. Je ne sais pas comment répondre à cette question, je ne sais pas comment sensibiliser le personnel des établissements, puisque tout est numérisé.
En ce qui concerne le budget de fonctionnement des systèmes d'information, je vous confirme que, plus les années passent, plus les dépenses de fonctionnement augmentent ; c'est le seul budget des collectivités dans ce cas, puisque nous sommes censés réduire nos dépenses de fonctionnement et avoir plus d'investissements. C'est un problème.
Je termine avec la question des compétences. Le sujet est moins la compétence que la clarté : que l'on nous dise si, oui ou non, nous nous en occupons et, si nous nous en occupons, que l'on nous donne les moyens de le faire. Pour moi, le 17Cyber suscite une confusion, car c'est un numéro national : que faisons-nous des numéros régionaux ? Que faisons-nous des Csirt territoriaux ? Pour le grand public, les associations, les entreprises, quelle confusion ! Plus il y a d'organismes, moins on sait vers qui se tourner. Bref, nous sommes en mode débrouille...
M. Olivier Cadic, président. - C'est bien d'avoir un numéro unique, car toutes les régions n'ont pas un Csirt et c'est toujours mieux d'avoir un seul numéro valable sur tout le territoire et qui répartit les appels vers le bon interlocuteur.
M. Jérôme Tré-Hardy. - Je rappelle qu'il y a un lien entre les Csirt régionaux et le 17Cyber, en tout cas le travail de collaboration a été mené en Bretagne.
Je prône moi aussi le portage politique unique, mais nous avons, en Bretagne, une relation très proche avec le ministère des armées et je me suis rendu compte que le cyber a une dimension duale, comme l'IA : il y a un cyber civil et un cyber de défense. Or je ne suis pas certain qu'il soit si évident d'en faire un sujet transversal ; je pensais que cela allait de soi, mais plus j'approfondis cette question et plus elle me paraît complexe. Cela explique peut-être pourquoi nous avons du mal à avoir un portage unique.
Je suis intimement convaincu qu'il est indispensable de promouvoir une véritable montée en compréhension du risque cyber, à tous les niveaux. Sans doute, les régions se sont emparées du sujet et elles ont des moyens financiers importants, mais mes collègues élus sont encore bien éloignés de ces sujets. Il faut donc adopter une posture d'humilité et faire monter en compréhension ce risque cyber.
Je souligne moi aussi le rôle primordial de l'Anssi dans les territoires, mais on lui fait porter beaucoup de choses sur les épaules, on a l'impression qu'elle va tout faire. Certains pensent, je le sais, que les Csirt ne servent à rien. Je pense le contraire : cela peut être une partie de la solution, parce que cela nous permet d'avoir un lien avec l'Anssi et avec les territoires, et de sensibiliser au risque cyber. La transposition de NIS 2 et l'examen de ce projet de loi sont l'occasion de parler du sujet.
La question des solutions souveraines est un vrai sujet, mais ce qui me trouble, c'est la dichotomie entre nos grandes ambitions en la matière et la réalité du terrain, quand on doit choisir certaines solutions : c'est plus facile, on est embarqué dans un type de relations, etc. Mais je suis d'accord avec vous. La sensibilisation des élus est extrêmement importante à ce sujet.
M. Olivier Cadic, président. - Et il faut avoir les moyens de ses ambitions...
Mme Marlène Le Dieu de Ville. - Les collectivités connaissent-elles l'Anssi et la Cnil ? Cela dépend de leur taille, mais est-ce gênant si elles ne les connaissent pas ? Pas forcément. Une commune peut facilement s'adresser à la gendarmerie nationale, qui est très à l'écoute et qui peut suffire. Ce n'est pas toujours la peine d'aller plus loin.
Sur la gestion des risques, je suis d'accord, il n'est pas toujours nécessaire de dépenser des sommes importantes dans des équipements, il suffit parfois d'avoir de bonnes pratiques. Le diagnostic peut être fait par MonAideCyber ou par la gendarmerie. Dans ma commune, j'ai fait mon diagnostic avec MonAideCyber et il s'agit de questions simples. De grosses dépenses ne sont pas toujours requises, en tout cas dans les petites collectivités.
En revanche, l'accompagnement est proche de zéro, chacun se débrouille comme il le peut. Les intercommunalités tâchent d'accompagner leurs communes, sans avoir la compétence ; elles ne tiennent d'ailleurs pas vraiment à l'avoir. Simplement, elles essaient de mutualiser les volontés et les moyens. Et il ne faudrait pas que les obligations soient trop complexes.
En ce qui concerne la gestion des risques, il me paraîtrait intéressant d'ajouter, dans les plans communaux ou intercommunaux de sauvegarde, un volet cyber et un protocole à mettre en place en cas de crise. Cela peut être des choses très basiques, quelques interlocuteurs, car les petites intercommunalités ont peur mais sont perdues face à la réponse. Et il faudrait aussi prévoir un plan pour la suite de l'attaque : une fois la crise gérée, comment reprend-on son activité ?
M. Geoffroy Boulard. - Le portage politique manque, c'est vrai. On a cité certains ministères, mais on a oublié les ministères des comptes publics et de la fonction publique. On a saucissonné le numérique depuis une dizaine d'années, ce qui entraîne un manque d'impulsion politique. Les enjeux d'intelligence artificielle exigent un ministère de plein exercice et régalien.
L'accompagnement de l'État et de l'Anssi est-il suffisant ? L'Anssi joue son rôle, on a des retours positifs sur son action en situation de crise. Ensuite, il faut restaurer les données, ce qui pose la question du rôle régalien de l'État en matière de souveraineté numérique.
Les collectivités n'ont pas de budget sur ce sujet. Elles doivent déjà mettre à niveau leurs systèmes d'information. C'est pour cela que nous proposons un accompagnement gratuit, afin que les communes acceptent d'être accompagnées, mais ensuite, elles doivent s'y investir. Nous avons la chance de pouvoir donner une impulsion politique, mais nous avons fait un choix. Par ailleurs, nous finançons des projets jusqu'à 50 %, mais encore faut-il pouvoir compléter.
L'acculturation progresse, les réseaux d'élus se forment et il y a une volonté d'appréhender le sujet.
On peut parler de surtransposition. Les collectivités se débrouillent, mais, attention, on va ajouter de nouvelles contraintes, les collectivités risquent d'être sanctionnées, alors que l'État ne les a jamais accompagnées à la hauteur des enjeux. Il y a urgence, soit, mais il y a aussi urgence à définir une stratégie, pour définir ce qui relève de l'État, des collectivités, du privé, avec le sujet de la souveraineté. Et il y a aussi la question de la filière : les DSI de communes, même robustes, ont des difficultés à trouver des prestataires qualifiés, à même de les accompagner. On a parfois peu le choix entre les solutions techniques.
Le contrôle, la sanction, ce n'est pas notre enjeu. Notre enjeu est de poursuivre l'évangélisation des communes. Avec une couche supplémentaire de sanctions, le numérique punitif aura des conséquences néfastes et aggravera les inégalités.
M. Olivier Cadic, président. - Merci. Vous avez bien exposé vos préoccupations. Cette table ronde était très instructive.
M. Patrick Chaize, rapporteur. - Je comprends que les dépenses de fonctionnement augmentent, mais ne s'agit-il pas d'une dépense d'investissement détournée ?
M. Olivier Cadic, président. - Quand on investit 100 pour une application, on doit en effet prévoir 7 à 10 pour la maintenance.
M. Geoffroy Boulard. - Selon l'interprétation de la commune, les mêmes dépenses peuvent être enregistrées en section de fonctionnement ou d'investissement. C'est un véritable problème.
M. Olivier Cadic, président. - Merci de tous ces éléments.
La réunion est close à 18 h 30.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.