PRÉSIDENCE DE M. Pierre Ouzoulias
vice-président
4
Résilience des infrastructures critiques et renforcement de la cybersécurité
Discussion en procédure accélérée d’un projet de loi dans le texte de la commission
M. le président. L’ordre du jour appelle la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (projet n° 33, texte de la commission n° 394, rapport n° 393).
La procédure accélérée a été engagée sur ce texte.
Discussion générale
Mme Clara Chappaz, ministre déléguée auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargée de l’intelligence artificielle et du numérique. Monsieur le président, monsieur le président de la commission spéciale, messieurs les rapporteurs, mesdames, messieurs les sénateurs, nous sommes réunis dans cet hémicycle pour examiner en première lecture le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Son objectif est clair : accroître la sécurité et la résilience de structures indispensables à la vie de notre nation.
Le présent texte est l’aboutissement d’un travail au long cours, alimenté notamment par le Sénat. L’ensemble de ces initiatives contribuent à faire de la France une nation à la pointe de la cybersécurité.
Il y a six semaines, je me présentais devant la commission spéciale constituée par votre assemblée pour examiner ce projet de loi. Je tiens d’ailleurs à saluer le travail accompli par le président de cette commission, M. Olivier Cadic, ainsi que par ses rapporteurs, MM. Hugues Saury, Patrick Chaize et Michel Canévet.
J’affirmais alors que le renforcement de notre sécurité n’était plus un sujet technique, réservé aux experts, mais qu’il s’agissait désormais bel et bien d’un enjeu géopolitique. Je ne pouvais imaginer à quelle vitesse l’actualité nous rattraperait. Nous faisons face à une nouvelle réalité, qui s’impose à nous.
Le 3 mars dernier, devant l’Assemblée nationale, le Premier ministre exprimait sa préoccupation, face à une situation internationale qu’il décrivait comme « la plus grave, la plus déstabilisée et la plus dangereuse […] depuis la fin de la Seconde Guerre mondiale ».
Le surlendemain, dans son allocution relative au conflit en Ukraine, le Président de la République alertait quant à lui les Françaises et les Français face aux ingérences étrangères qui testent nos limites « dans les airs, en mer, dans l’espace et derrière nos écrans ».
Nous sommes directement visés. Les tensions géologiques liées à la guerre en Ukraine, l’évolution des positions américaines ou encore le conflit au Proche-Orient affectent directement notre sécurité numérique. Ces crises à répétition nous imposent une vigilance accrue. Dans un tel contexte, nous devons muscler notre capacité d’anticipation et de réaction.
La semaine dernière, je me rendais en Pologne, pour une réunion du Conseil de l’Union européenne consacrée au numérique. Ce rendez-vous – il s’agissait là d’une première – a été entièrement dédié à la cybersécurité. À cette occasion, les Vingt-Sept ont signé l’appel de Varsovie pour renforcer leur collaboration. Nous vivons à cet égard un moment charnière, dans lequel ce projet de loi prend tout son sens.
Pour autant, nous ne partons pas de zéro.
Dès 2006, la France a fait le choix précurseur de mettre en œuvre un dispositif de protection des secteurs d’activité d’importance vitale (SAIV).
Dès 2016, à l’échelle de l’Union européenne, nous nous sommes dotés d’une première directive Network and Information Security, dite directive NIS 1, qui a établi les bases d’une sécurité renforcée pour les entités essentielles. Mais, depuis, la menace a fortement évolué. Elle peut frapper n’importe qui, n’importe où, n’importe quand. J’ai pu le constater moi-même.
J’ai été particulièrement touchée par mes échanges avec les soignants de l’hôpital André-Mignot, dans les Yvelines. Ces derniers sont encore marqués par les conséquences de la cyberattaque subie à vingt-trois heures, le samedi 3 décembre 2022, il y a maintenant plus de deux ans ; et comment ne pas l’être quand on sait que le taux de mortalité augmente de 30 % dans les services hospitaliers en cas de cyberattaque ? C’est une responsabilité que nous ne pouvons plus laisser peser sur nos soignants.
J’ai aussi pu mesurer l’ampleur de cette menace lors de ma visite de la chambre de commerce et d’industrie (CCI) de Lille, attaquée à son tour l’an dernier, suivie par le conseil départemental du Loiret, touché il y a à peine une semaine – M. le rapporteur Saury le confirmera. Nous avons pu constater, dans ce dernier cas, que le degré de préparation en matière cyber faisait toute la différence.
Ces différents exemples nous rappellent que personne n’est à l’abri de telles attaques. Devoir mettre ses services à l’arrêt ; réapprendre à utiliser le papier et le crayon pour nombre de tâches quotidiennes ; ne plus pouvoir éditer de facture ; ne pas pouvoir payer ses salariés ou ses prestataires ; pire encore, ne plus pouvoir fournir le service ou l’aide nécessaire à un public vulnérable ou dans l’urgence : ce sont là autant de situations contre lesquelles nous devons plus que jamais nous prémunir.
Je tiens d’ailleurs à saluer devant vous la résilience et le sens du collectif dont font preuve les équipes que j’ai pu rencontrer. Qu’elles en soient sûres : l’État est à leurs côtés.
À ces observations de terrain répond la froide réalité des chiffres. Le constat est sans équivoque : le nombre de cyberattaques augmente de manière très sensible.
Ce matin même, l’Agence nationale de la sécurité des systèmes d’information (Anssi) dévoilait son Panorama de la cybermenace 2024. Ce document fait état de 4 386 événements de sécurité au cours de l’année 2024, soit plus de douze par jour. En outre, le nombre d’attaques progresse rapidement – il a augmenté de 15 % entre 2023 et 2024. Surtout, ces dernières ne visent plus uniquement les grandes entreprises ou les administrations centrales. Elles frappent l’ensemble de notre tissu économique et social – des hôpitaux, des collectivités territoriales, des PME, des TPE, etc. En moyenne, six attaques sur dix touchent désormais de petites structures.
Il ne s’agit donc plus de savoir si telle ou telle organisation sera attaquée, mais quand. Nous devons collectivement sortir de la logique du « cela n’arrive qu’aux autres » et apporter une réponse forte. C’est ce que je vous propose aujourd’hui avec le présent texte.
Ce projet de loi s’organise en trois grands axes correspondant à ses trois titres.
Le titre Ier, sur lequel vous avez plus particulièrement travaillé, monsieur le rapporteur Saury, transpose la directive sur la résilience des entités critiques, dite directive REC.
Comme je l’indiquais, la France a joué un rôle précurseur dans la protection de ces infrastructures, avec le dispositif des secteurs d’activité d’importance vitale. Aujourd’hui, nous devons encore renforcer la capacité desdites entités à anticiper, à résister et à récupérer.
Aussi, cette partie du projet de loi modernise notre dispositif et l’harmonise avec les normes en vigueur chez nos partenaires européens. Elle institue une analyse des risques plus précise, un suivi plus rigoureux et une meilleure gestion des interdépendances. La directive REC permet également de couvrir davantage de secteurs : sont ajoutés à la liste des entités critiques les réseaux d’assainissement, de chaleur, de froid et d’hydrogène.
Le titre II, confié à votre examen, cher rapporteur Chaize, doit nous permettre de changer d’échelle pour construire une cybersécurité collective. À cette fin, il transpose de manière fidèle la directive NIS 2.
Avec NIS 2, 15 000 entités stratégiques relevant de dix-huit secteurs d’activité, parmi lesquels l’eau, l’agroalimentaire et la gestion des déchets, seront désormais concernées.
Parce que la menace n’a jamais été si diffuse, il était essentiel d’élargir le champ des entités couvertes. Nous avons conduit cette évolution en suivant quatre principes : concertation, proportionnalité, simplification et accompagnement.
La directive NIS 2 introduit une distinction claire entre deux types d’entités : d’une part, celles dites importantes, qui représentent 80 % des 15 000 entités couvertes, et pour lesquelles les obligations seront centrées sur une bonne hygiène numérique ; de l’autre, celles dites essentielles, qui seront soumises à des exigences de cybersécurité plus strictes et à des contrôles accrus, en amont comme en aval.
Par ailleurs, nous avons fait le choix d’inclure 1 500 collectivités dans le périmètre de NIS 2. C’est un choix assumé, qui s’explique avant tout par le fait que ces dernières sont la cible d’une attaque sur quatre recensée par l’Anssi, et ce dans tous nos territoires.
J’assume tout autant de proposer que ces mêmes collectivités n’encourent pas de sanctions financières, puisqu’elles ne sont ni financées ni assurées dans les mêmes conditions qu’un organisme privé.
Quelle que soit la nature des entités concernées, nous veillerons à ce qu’elles s’adaptent progressivement à leurs nouvelles obligations. C’est la raison pour laquelle nous avons prévu une période de trois ans durant laquelle s’appliqueront uniquement des contrôles blancs, dépourvus de sanctions et réalisés dans une visée éducative.
J’en viens enfin au titre III, monsieur le rapporteur Canévet, dont l’ambition est de renforcer la résilience du secteur financier par le biais de la transposition de la directive du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, dite directive Dora (Digital Operational Resilience Act).
Les banques et les institutions financières sont toujours plus exposées au risque de cyberattaques. Selon le FMI, elles auraient subi plus de 20 000 incidents en vingt ans et connu une perte de 25 milliards d’euros entre 2020 et 2024.
Or, jusqu’au règlement Dora, les établissements financiers devaient s’appuyer sur huit directives différentes pour comprendre les exigences auxquelles elles étaient soumises. La France a négocié Dora en s’assurant de son articulation avec NIS 2. La transposition qui est proposée y veille également.
Par ailleurs, je souhaite que nous assujettissions les sociétés de financement à Dora non pas dans un délai de cinq ans, comme cela est proposé aujourd’hui, mais dès à présent, comme cela était initialement prévu dans le texte du Gouvernement. Nous ne pouvons pas laisser ces sociétés sur le côté ; nous devons les protéger au plus vite.
La commission spéciale, qui s’est réunie la semaine dernière et dont je salue le travail, a fait évoluer le texte dans le bon sens.
Elle a en particulier rendu ce dernier plus intelligible, au travers d’amendements visant notamment à définir la notion d’incident ou à préciser les dix-huit secteurs concernés par les obligations de NIS 2.
Grâce à l’amendement du rapporteur Chaize tendant à permettre à l’Anssi d’opérer des équivalences avec les référentiels des autres pays membres de l’Union européenne, la commission spéciale a également œuvré à une meilleure harmonisation, au bénéfice notamment des entreprises qui opèrent dans plusieurs pays.
Je souhaite m’assurer que cette transposition maintienne un niveau élevé de protection, sans compromettre la compétitivité de nos entreprises vis-à-vis de leurs concurrents, y compris européens.
J’entends les objections qui sont parfois faites à ce texte : coûts financiers de la mise en conformité, normes supplémentaires ou encore complexité administrative.
Nous pouvons aisément y répondre : d’abord, en rappelant que le coût d’une attaque cyber réussie est des dizaines de fois supérieur à celui de la mise en conformité et des mesures de protection ; ensuite, en indiquant que la rationalisation et l’harmonisation des pratiques de cybersécurité en Europe servent bien notre compétitivité, en évitant toute fragmentation réglementaire ; enfin, en soulignant que ce texte doit aussi permettre de supporter le développement de solutions technologiques nationales et européennes au sein d’un écosystème industriel innovant, créateur de valeur et d’emplois.
Des nombreux retours de terrain, je retiens trois enseignements.
Le premier est que ce texte peut être un outil de valorisation si nous l’accompagnons de la création d’un label garantissant la conformité des entreprises et des collectivités aux exigences demandées.
Dans cette perspective, j’ai demandé à l’Anssi de travailler à un modèle de labellisation qui vous sera présenté dans le cadre des débats. Il permettra aux acteurs de faire valoir la résilience cyber non pas comme une contrainte, mais comme une opportunité et un atout concurrentiel.
Le deuxième enseignement est la nécessité, pour les entreprises et les collectivités, d’être guidées dans leurs nouvelles obligations. Je m’y attache, avec l’appui de l’Anssi, de la gendarmerie, de toutes les fédérations patronales et des associations.
Enfin, troisième enseignement, il nous revient de promouvoir et de mettre en avant les solutions industrielles, ainsi que l’écosystème français de la cybersécurité, pour lui permettre de gagner des parts de marché.
Vous l’aurez compris, ce projet de loi est une réponse nécessaire et ambitieuse à la menace croissante qui pèse sur nos infrastructures critiques de toute taille. Il doit nous permettre de franchir une étape importante et de contribuer à placer notre pays à la pointe du secteur stratégique de la cybersécurité.
Ce texte doit aussi être l’occasion de sensibiliser largement le grand public à ce sujet. La première des protections, c’est bien la pédagogie : nous devons tous, à notre niveau, contribuer à lever le tabou qui entoure encore bien trop souvent les cyberattaques.
Je suis convaincue que les débats qui s’ouvrent seront constructifs et permettront d’aboutir à un texte simple et efficace, mais surtout utile à la sécurité des Françaises et des Français.
M. le président. La parole est à M. le rapporteur. (Applaudissements sur les travées du groupe Les Républicains.)
M. Hugues Saury, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, le titre Ier du projet de loi vise à transposer en droit français la directive du 14 décembre 2022 sur la résilience des entités critiques.
Cette directive s’inspire en grande partie du dispositif français existant. Sa transposition en droit national consiste donc essentiellement en une actualisation du dispositif de sécurité des activités d’importance vitale, en vigueur depuis 2006 et désormais bien maîtrisé par les opérateurs concernés.
Cette transposition marque toutefois un changement important de philosophie : elle acte le passage d’une logique de protection des infrastructures d’importance vitale à une approche axée sur la résilience.
Cette orientation me semble pertinente, car il est évident que l’on ne pourra jamais se protéger contre toutes les menaces. L’enjeu est donc bien d’identifier les moyens d’assurer la continuité des activités essentielles pour le pays.
En ce qui concerne la transposition proprement dite, plusieurs différences doivent être signalées entre le texte qui nous est présenté et la directive.
Les opérateurs exerçant dans le domaine de la défense ou de la sécurité nationale, qui étaient déjà soumis au dispositif des SAIV, sont ainsi intégrés dans le champ de la transposition, alors que cela n’était pas prévu par la directive.
Par ailleurs, la réalisation d’une analyse des dépendances à l’égard des tiers est prévue, une obligation qui ne figurait pas dans la directive REC.
Enfin, les opérateurs d’importance vitale devront réaliser un plan de protection et de résilience pour chacun de leurs points d’importance vitale, comme c’est le cas dans le dispositif actuel, alors que la directive ne prévoit des plans qu’à l’échelle de l’opérateur lui-même.
Ces adaptations me semblent pertinentes au regard des objectifs du projet de loi. Par ailleurs, les autres obligations qu’il introduit – élaboration d’un plan de résilience opérateur, notification des incidents, instauration d’un mécanisme de sanctions administratives – sont conformes aux dispositions de la directive.
À l’article 1er, la commission spéciale a adopté plusieurs amendements visant notamment à définir les notions d’incident et de résilience, à préciser la date à partir de laquelle une astreinte prononcée dans le cadre d’une mise en demeure commence à s’appliquer, à fixer à vingt-quatre heures le délai dans lequel l’opérateur doit signaler un incident à l’autorité administrative ou encore à renforcer les garanties d’indépendance de la commission des sanctions.
Au sein du titre II, et notamment à l’article 6, la commission spéciale a adopté deux amendements visant à définir les notions d’incident et de vulnérabilité, qui ne sont pas présentes dans le projet de loi alors qu’elles figurent dans la directive NIS 2.
Mes chers collègues, le dispositif de résilience des activités essentielles prévu par le présent projet de loi et amélioré par la commission spéciale renforcera notre capacité collective à faire face aux risques croissants.
Cependant, beaucoup reste à faire, notamment quant à l’application concrète de ces dispositions et à leur déclinaison au niveau réglementaire.
À ce titre, madame la ministre, nous veillerons particulièrement à ce que les services de l’État ne surtransposent pas la directive et accompagnent efficacement les opérateurs dans la mise en œuvre de ces nouvelles obligations. Il s’agit là d’une attente forte exprimée par les acteurs concernés.
M. le président. La parole est à M. le rapporteur.
M. Patrick Chaize, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, en ma qualité de rapporteur chargé de l’examen du titre II du projet de loi, je centrerai mon intervention sur la transposition de la directive NIS 2.
Comme nos auditions nous l’ont clairement montré, la menace cyber a largement changé de nature au cours des dix dernières années.
Alors qu’elle ciblait avant tout les grandes entreprises, souvent à des fins d’espionnage industriel ou de déstabilisation, et était souvent d’origine étatique, elle est devenue systémique, émanant de plus en plus de groupes cybercriminels organisés, qui opèrent avant tout dans un but lucratif.
Ainsi, les attaques par rançongiciel ou hameçonnage tendent désormais à cibler l’ensemble du tissu économique et social.
Dans son Panorama de la cybermenace 2024 paru ce matin, l’Anssi indique que 144 compromissions par rançongiciel ont été portées à sa connaissance en 2024. Quelque 37 % de ces attaques visaient des TPE-PME, 17 % des collectivités territoriales, 4 % des établissements de santé et 12 % des établissements d’enseignement supérieur.
Les conséquences de ces attaques peuvent être particulièrement pénalisantes pour les entités, ainsi que pour leurs usagers ou leurs clients, voire provoquer des faillites ou mettre des vies en danger. Leur coût, estimé en 2022 à 2 milliards d’euros, est très élevé.
Notons enfin que cette hausse des attaques criminelles n’empêche pas le maintien à un niveau toujours très élevé des menaces de nature étatique, dans un contexte géopolitique particulièrement perturbé.
Au-delà de la hausse du nombre de secteurs et d’entités régulées, cette nouvelle directive entraîne un changement de paradigme.
Dans l’ensemble, le projet de loi assure une transposition fidèle de la directive et évite l’écueil de la surtransposition.
Deux choix importants ont été faits.
Le premier est de faire entrer dans le champ des entités régulées les régions, les départements, les communautés urbaines, les communautés d’agglomération, les communautés de communes et les communes de plus de 30 000 habitants.
Ce choix aura des conséquences financières importantes pour les quelque 1 500 collectivités concernées. Il faudra certes les accompagner et leur laisser le temps de s’adapter. Pour autant, le rehaussement de leur niveau de cybersécurité est une nécessité.
Le second est d’inclure parmi les entités régulées les établissements d’enseignement qui mènent des activités de recherche. Les attaques cyber subies par les universités Paris-Saclay et Paris 1 Panthéon-Sorbonne en 2024 ont montré combien ces établissements constituaient des cibles de choix pour les pirates cyber.
Un grand nombre des amendements adoptés par la commission spéciale ont visé à répondre au constat d’une « sous-transposition », qui laissait une place trop importante aux dispositions de nature réglementaire.
Au travers de ses amendements, la commission spéciale a beaucoup insisté également sur la nécessaire proportionnalité des mesures de cybersécurité qui seront imposées, par un référentiel de l’Anssi, aux entités régulées.
Il convient de tenir compte systématiquement de la taille de l’entité, du degré de son exposition aux risques cyber, de la probabilité de survenance d’incidents et de leur gravité, afin de ne pas imposer des obligations excessives et trop coûteuses.
Nous avons enfin travaillé pour limiter les cas où les entités régulées doivent payer les contrôles qu’elles subissent et pour encadrer les sanctions les plus lourdes prévues par le texte.
En conclusion, j’y insiste : il sera crucial que l’Anssi se mobilise très fortement pour faire connaître et faire comprendre les nouvelles obligations prévues par la réglementation, et assurer leur mise en œuvre effective.
Il faudra donc également ne pas prévoir de contrôle ni, a fortiori, de sanctions pendant la période de montée en puissance cyber. (Applaudissements sur les travées du groupe Les Républicains.)
M. le président. La parole est à M. le rapporteur. (Applaudissements au banc des commissions.)
M. Michel Canévet, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, le titre III du présent projet de loi transpose la directive Dora, qui prévoit que la politique de gestion des risques liés aux technologies de l’information et de la communication (TIC) des secteurs bancaire, assurantiel et financier est conforme au règlement Dora du 14 décembre 2022.
Le paquet Dora constitue la déclinaison de la directive NIS 2 applicable au secteur financier, qui est en effet une cible de choix pour les cyberattaques.
Le niveau élevé d’interconnexion du secteur constitue une vulnérabilité systémique du fait de la possibilité de propagation d’un cyberincident de l’une des 22 000 entités financières à l’ensemble du système.
Les menaces cyber, en forte augmentation depuis plusieurs années, représentent ainsi, selon la Banque de France, un risque très élevé, supérieur au risque de marché et au risque climatique.
Le présent texte précise les obligations qui s’imposent aux acteurs financiers – je vous en épargne la liste – en matière de résilience opérationnelle et numérique, de gouvernance et de gestion des risques liés aux TIC.
Il détermine également le rôle et les pouvoirs des autorités de supervision, en particulier de l’Autorité des marchés financiers (AMF), de l’Autorité de contrôle prudentiel et de résolution (ACPR), de la Banque de France et de l’Anssi, qui doivent se communiquer tout renseignement utile à l’exercice de leur mission.
La commission spéciale a adopté, sur mon initiative, plusieurs amendements visant principalement à simplifier la vie des entreprises : à l’article 62 A, en évitant le double assujettissement au paquet Dora et à NIS 2 ; à l’article 49, en fusionnant les dispositifs de déclaration d’incidents opérationnels ou de sécurité liés au paiement, prévus par la directive sur les services de paiement, et le dispositif de déclaration d’incidents liés aux TIC, prévu par le règlement Dora ; à l’article 43 A, en créant un guichet unique, permettant au passage à la France de respecter l’article 19 du règlement Dora, qui impose, lorsque c’est nécessaire, de désigner une seule autorité compétente pour la notification des incidents.
M. André Reichardt. Très bien !
M. Michel Canévet, rapporteur. Je vous proposerai d’ailleurs un amendement visant à instituer l’Autorité des marchés financiers comme guichet unique pour les entreprises de marché et pour les prestataires de services sur cryptoactifs.
Le texte de la commission spéciale prévoit également que le règlement Dora s’applique aux succursales d’entreprises d’investissement de pays tiers.
Il prévoit enfin le report à 2030 – j’y tiens particulièrement – de l’application du titre III à l’ensemble des sociétés de financement, ces sociétés de droit français n’étant pas visées par le paquet Dora.
Pour les sociétés de financement « petites et non complexes », je vous proposerai un amendement visant, comme vient de l’évoquer Patrick Chaize, à ce qu’un principe de proportionnalité s’applique à leurs obligations de gestion des risques liés aux TIC. (Applaudissements sur des travées du groupe Les Républicains, ainsi qu’au banc des commissions.)
M. le président. La parole est à Mme Vanina Paoli-Gagin.
Mme Vanina Paoli-Gagin. Monsieur le président, madame la ministre, mes chers collègues, au début du mois, le secrétaire américain à la défense, Pete Hegseth, a ordonné la suspension des opérations cyber concernant la Russie.
Cette démarche participe du processus de rapprochement mené par l’administration Trump. Afin de conclure une paix factice, c’est-à-dire de concéder la victoire à Poutine, les États-Unis sont en train de redonner des marges de manœuvre à la Russie, même si des revirements semblent se profiler à l’occasion des discussions en cours en Arabie saoudite qui, espérons-le, aboutiront à une solution favorable.
De fait, depuis la nouvelle invasion russe de l’Ukraine le 24 février 2022, une guerre de haute intensité est menée sur notre continent.
Offensives et contre-offensives, guerre de tranchées, guerre des drones, tous les moyens sont employés dans cette lutte. Or, à l’heure de la trahison de Trump, force est de constater, à regret, que les troupes russes avancent plus rapidement.
Si 2 000 kilomètres nous séparent de Kiev, ce serait une erreur de conclure que ce conflit ne nous concerne pas directement : des sabotages ont lieu partout en Europe et les opérations dans le champ informationnel – faux cercueils recouverts de drapeaux français près de la tour Eiffel, étoiles de David taguées dans Paris pour faire pression sur l’opinion publique – se multiplient.
Les avancées de l’intelligence artificielle conduiront à l’intensification et à la sophistication des possibilités d’attaque, voire d’infiltration de nos narratifs, comme NewsGuard vient de le révéler très récemment.
Sans l’avoir déclarée et en prenant bien soin de rester sous le seuil de la conflictualité ouverte, la Russie mène une guerre contre notre pays, contre nos intérêts, jusque sur notre territoire.
Dans son combat, le Kremlin encourage la pègre à mener contre nous des attaques cyber, lorsqu’il ne les lance pas lui-même.
Il y a un an, jour pour jour, c’est le réseau interministériel de l’État qui était visé, et les différents ministères avaient été affectés dans leur fonctionnement. Trois mois plus tard, une autre attaque visait plusieurs sites du Gouvernement.
Comme l’a rappelé mon collègue, l’université Paris 1 Panthéon-Sorbonne a également été ciblée, de même que, plus récemment, l’université de Rennes, hier La Poste ou encore des sites de régions et de municipalités.
Si les effets des attaques sont souvent plus limités que ceux d’un bombardement, ces dernières peuvent, par ricochet – Mme la ministre le rappelait –, entraîner des morts, notamment dans les hôpitaux.
Mes chers collègues, le numérique occupe, on le voit, une place de plus en plus centrale, voire stratégique, dans nos sociétés, ainsi que dans le déploiement des services publics et privés.
Dans ce contexte, la protection des réseaux devient vitale.
La France et ses partenaires européens doivent réagir pour défendre efficacement leurs concitoyens. Plusieurs directives européennes – REC, NIS 2, Dora – ont ainsi été adoptées pour identifier plus clairement les infrastructures et services essentiels au bon fonctionnement de nos sociétés.
À cette identification sont associés plusieurs niveaux de priorité, avec différents régimes de protection. Il s’agit à la fois d’une mise à jour et de l’instauration d’un cadre européen harmonisé.
Comme toujours, cela a aussi déjà été dit, nous devrons veiller à ne pas céder à la tentation de la surtransposition, afin de ne pas nuire, tout simplement, à la compétitivité de nos acteurs.
À titre personnel, je me serais contentée de l’application de la seule norme ISO 27001, qui traite finalement tous ces enjeux. À l’instar du système retenu par nos amis belges, ce choix aurait été, me semble-t-il, plus conforme à notre souhait d’un véritable choc de simplification. Peut-être aurions-nous pu éviter, en outre, le forum shopping intracommunautaire qui risque de se faire jour.
Le texte que nous examinons prévoit des sanctions en cas de violation de ses dispositions. Sans doute seront-elles rares, puisque tous les acteurs concernés ont un intérêt direct à assurer leur propre sécurité. Elles sont néanmoins indispensables pour protéger nos concitoyens tant contre la négligence fautive que contre la malveillance caractérisée.
Ce texte technique ne fera sans doute pas la une des journaux. Il est pourtant, mes chers collègues, d’une importance capitale. De sa bonne mise en œuvre dépendent la sauvegarde de notre activité économique et, in fine, la sécurité de nos entreprises, de nos collectivités territoriales, de nos services publics et de nos concitoyens.
Ce cadre devra bien entendu s’adapter aux évolutions technologiques et être réévalué assez régulièrement pour rester pertinent.
Avant de conclure, je voudrais réaffirmer que la réglementation ne suffira pas. Une réelle sécurité implique la souveraineté.
La plupart des infrastructures et outils numériques que nous utilisons sont conçus aux États-Unis et fabriqués en Chine. C’était déjà problématique avant la deuxième présidence Trump ; cela devient extrêmement critique. Tous les Européens s’accordent à dire qu’ils ne peuvent plus dépendre des États-Unis pour leur armement. Le numérique n’est-il pas aussi stratégique ?
Il l’est selon moi, au premier chef. C’est même la reine des armes, voire l’arme fatale. Que l’on songe aux antennes 5G, voire aux grues chinoises employées dans les ports américains ! Rappelons que Washington avait alerté sur la vulnérabilité des matériels et logiciels qui sont conçus par des puissances hostiles.
À l’heure où les Européens n’ont plus d’autres vrais amis qu’eux-mêmes, il est grand temps de bâtir une industrie numérique. Et je vise ici l’industrie autant des infrastructures – les câbles, les satellites, le cloud – que des logiciels, l’industrie civile autant que militaire.
Les rapports Draghi et Letta nous montrent la voie. Hâtons-nous, mes chers collègues, de la suivre le plus rapidement possible.
L’industrie européenne devra bien sûr respecter une logique de rentabilité, mais aussi intégrer le fait que la souveraineté, comme la liberté – notre liberté chérie –, a un prix qui mérite d’être payé. (Applaudissements sur des travées du groupe Les Républicains.)