Le 27 janvier, la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité du Sénat auditionnait Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. A la suite de la présentation de ce projet de loi en Conseil des ministres et après son dépôt au Sénat le 15 octobre 2024, la ministre a été auditionnée par la commission spéciale pour en détailler le contenu et répondre aux questions des sénateurs. Dans le contexte des nombreuses cyberattaques et ingérences étrangères qui ont récemment touché des centres hospitaliers ainsi que des collectivités et municipalités, ce projet de loi a pour objectif de renforcer la cybersécurité et de transposer trois directives européennes dans le droit français. Revivez ces débats. Année de Production :
Catégorie
📺
TVTranscription
00:00:00Générique
00:00:10Bonjour à toutes et à tous, bienvenue dans 100% Sénat.
00:00:13Les cyberattaques contre les hôpitaux mettent en danger la vie des patients.
00:00:17La mortalité augmente de 35 à 41%.
00:00:21Ce sont les chiffres donnés par Clara Chapaz, la ministre déléguée,
00:00:25chargée de l'intelligence artificielle et du numérique.
00:00:28Parce que le dossier est brûlant, il fait l'objet d'un projet de loi
00:00:32qui doit permettre la résilience des infrastructures
00:00:35et le renforcement de la cybersécurité.
00:00:38Projet de loi que la ministre est venue présenter au Sénat.
00:00:41Écoutez.
00:00:43Eh bien, madame la ministre, mes chers collègues, mesdames, messieurs.
00:00:48Je suis très heureux, madame la ministre, de vous recevoir au nom de mes collègues,
00:00:52rapporteurs, monsieur Michel Canevette, qui va nous rejoindre dans quelques minutes,
00:00:57Patrick Chaise, Huck Sori, qui est excusé,
00:01:02et les membres ici présents de la commission spéciale sur le projet de loi
00:01:06relatif à la résilience des infrastructures critiques
00:01:08et au renforcement de la cybersécurité.
00:01:11Je voudrais excuser chacun des membres absents,
00:01:14retenus dans leur circonscription ou dans l'hémicycle,
00:01:17puisqu'au même moment, nous avons une PPL agriculture qui démarre.
00:01:22Et je veux saluer Damien Michelet,
00:01:24qui a été réélu récemment président de la commission supérieure du numérique et des postes.
00:01:29Ma collègue aussi Catherine Morin de Sailly,
00:01:31qui m'a expressément demandé de l'excuser auprès de vous.
00:01:35Je rappelle que notre commission spéciale s'est constituée le 12 novembre dernier
00:01:39pour examiner ce texte et que nous devions ouvrir notre cycle d'audition par votre audition
00:01:44le 9 décembre dernier, date que nous avions prévue
00:01:48avant que la censure n'entraîne la démission du précédent gouvernement.
00:01:53Vous voilà donc enfin devant nous.
00:01:55Permettez-moi de nous en réjouir et de vous en féliciter,
00:02:00puisque votre présence est le signe d'une continuité ministérielle bienvenue
00:02:05pour le suivi d'un texte très attendu par les professionnels de la cybersécurité
00:02:09et tous les utilisateurs de systèmes d'information.
00:02:13Je crois que ça veut dire à peu près tout le monde.
00:02:16En effet, ce projet de loi vise à la transposition de trois directives différentes.
00:02:21La directive sur la résilience des entités critiques dites REC,
00:02:24la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité
00:02:29dans l'ensemble de l'union dite NIS2
00:02:32et la directive qui concerne la résilience opérationnelle numérique du secteur financier dite DORA.
00:02:38Votre présence est aussi le signe qu'enfin le calendrier se dégage
00:02:42pour l'examen de ce texte en séance au Sénat,
00:02:45prévu le 11 mars prochain sous réserve de confirmation
00:02:49dans les prochains jours par la conférence des présidents.
00:02:52Avant de vous accueillir, la commission spéciale n'est pas restée inactive.
00:02:56Les rapporteurs ont mené des auditions et nous nous sommes rendus à Bruxelles
00:03:00auprès de la Commission européenne et des autorités belges
00:03:03qui ont d'ores et déjà transposé la directive NIS2
00:03:06selon un modèle intéressant basé notamment sur la norme ISO 27001.
00:03:13La commission a également entendu M. Vincent Strubel,
00:03:16directeur général de l'ANSI, et organisé deux tables rondes
00:03:19réunissant d'une part le MEDEF et la CPME,
00:03:23d'autre part la semaine dernière des associations d'experts de la cybersécurité,
00:03:27l'Alliance pour la confiance numérique, le CLUSIF, le Cybercercle et la Cyber Task Force.
00:03:33Ces auditions ont d'ores et déjà soulevé un certain nombre de préoccupations
00:03:36sur l'économie du projet de loi, le rôle de l'ANSI,
00:03:40les obligations et sanctions applicables aux entreprises.
00:03:44La transposition de ces directives est essentielle pour renforcer la cybersécurité en Europe,
00:03:49mais le projet de loi présente des risques de divergence
00:03:52par rapport aux autres pays européens.
00:03:54D'après les premières auditions, il apparaît crucial d'adopter une approche proportionnée
00:03:59en évitant les surtranspositions et en harmonisant les obligations de sécurité.
00:04:04Nous y reviendrons Madame la Ministre après votre intervention liminaire lors de nos échanges.
00:04:09Avant de vous céder la parole, je rappelle que cette audition fait l'objet d'une captation vidéo
00:04:13qui est retransmise en ce moment sur le site Internet du Sénat,
00:04:17puis consultable en vidéo à la demande.
00:04:19Vous aviez tenu, Madame la Ministre, à venir nous présenter ce projet de loi.
00:04:23Je vous donne donc la parole, après quoi chacun des rapporteurs,
00:04:26puis ceux des collègues qui le souhaitent, vous poseront leurs questions.
00:04:31Je vous en prie.
00:04:32Merci.
00:04:34Monsieur le Président, messieurs les rapporteurs, mesdames et messieurs les sénatrices et sénateurs,
00:04:39tout d'abord, permettez-moi de vous remercier pour cette audition
00:04:41dont l'organisation, vous l'avez mentionné, a été bousculée par l'actualité politique des dernières semaines.
00:04:47C'est un véritable honneur de pouvoir donc m'adresser à vous sur ce sujet d'intérêt stratégique aujourd'hui.
00:04:53Le renforcement de la cybersécurité et la résilience de nos infrastructures numériques
00:04:57sont au cœur du projet de loi sur lequel j'aurai le plaisir de revenir plus en détail
00:05:01et que vous aurez la mission d'examiner.
00:05:03Le renforcement de notre sécurité n'est plus un enjeu secondaire ou réservé à des experts techniques.
00:05:10Nous sommes toujours plus confrontés à des menaces multiples,
00:05:13tant dans le monde physique que dans l'environnement numérique.
00:05:17Aux risques naturels, sécuritaires et sanitaires s'ajoutent désormais des risques technologiques
00:05:22et des menaces liées à des ingérences étrangères dans un contexte de tensions géopolitiques accrues.
00:05:28La crise sanitaire du Covid-19 a souligné combien l'économie mondialisée repose sur des chaînes de valeurs diffuses
00:05:34et des processus de production extrêmement fragmentés,
00:05:37de la conception à la distribution, ce qui accroît les risques.
00:05:41Ces interdépendances signifient que toute perturbation de nos services essentiels,
00:05:45même initialement limitée à une entité ou un seul secteur,
00:05:48peut produire des effets en cascade plus larges et avoir une incidence négative de grande ampleur
00:05:52sur la fourniture des services au sein du marché européen.
00:05:55Au pic de la pandémie du Covid-19, le retour de contrôle aux frontières a perturbé la poursuite de certaines de nos activités.
00:06:03La distribution de composants intermédiaires et la livraison de produits finis de toute nature.
00:06:08Le contexte géopolitique, géoéconomique et sanitaire mondial se caractérise désormais par une particulière instabilité.
00:06:17Des conflits locaux ont une incidence mondiale, à l'instar de l'approvisionnement en céréales perturbé par la guerre en Ukraine
00:06:23ou encore du conflit entre Israël et le Hamas entraînant un regain de tensions
00:06:26dans une région capitale pour le flux mondial des marchandises.
00:06:30Les exemples sont nombreux, de retard ou même parfois de pénurie de certains produits ou d'enrées.
00:06:35Ainsi, lors de la récente pandémie de Covid-19 que j'ai citée,
00:06:40nous avons pu voir l'accélération d'une prise de conscience en la matière
00:06:45et la France a constaté sa dépendance à la production de paracétamol et d'autres principes actifs médicamenteux.
00:06:52De la même manière, la bascule majeure de notre pays en télétravail a accru l'exposition de nos infrastructures économiques et sociales au risque cyber.
00:07:00C'est dans ce contexte que l'utilité de chacun des titres du projet de loi d'irrésilience est démontré sans détour.
00:07:07Le premier titre, le titre 1, qui transpose la directive REC, s'attache d'abord à maîtriser la variété des risques
00:07:13auxquels sont confrontés nos infrastructures et opérateurs critiques.
00:07:17Nous ne partons pas de rien. Dès 2006, la France a fait le choix précurseur de mettre en œuvre un dispositif de protection des secteurs d'activité d'importance vitale
00:07:25afin de lutter contre ces risques.
00:07:27Mais l'évolution vers plus d'imprévisibilité géopolitique que je mentionnais, ainsi que la diversification des menaces,
00:07:34doit nous conduire et conduire les opérateurs d'importance vitale à intégrer davantage dans leurs réflexions leur propre évolution dans leur environnement d'activité,
00:07:42et ce, au sens le plus large possible.
00:07:45Il ne s'agit donc plus de prendre seulement en compte la sécurité de leurs installations physiques,
00:07:49mais de tous les éléments qui concourent même indirectement au fonctionnement de leur activité.
00:07:54En outre, la cybersécurité est désormais un pilier de notre souveraineté,
00:07:58une composante de notre robustesse économique et financière,
00:08:02et un préalable à la confiance que placent nos citoyens dans les services numériques,
00:08:07car, vous l'avez dit, il s'agit bien de toutes et tous qui utilisent ces services aujourd'hui.
00:08:11Une prise de conscience collective s'impose à nous au gré de la multiplication des incidents à tous les échelons.
00:08:17C'est à cette question que s'attache de répondre le titre 2 du projet de loi consacré à la directive NIS 2.
00:08:23Là aussi, nous ne partons pas de rien, la France disposait dès 2013 d'une réglementation robuste
00:08:28pour renforcer la cybersécurité des systèmes d'information d'importance vitale.
00:08:33Ce cadre a été ensuite complété avec la directive NIS 1,
00:08:37au profit de près de 300 opérateurs de services essentiels
00:08:40qui étaient la cible privilégiée d'une menace cyber dite stratégique.
00:08:43Ces opérateurs de services essentiels, ou OSE, ont gagné en maturité dans la gestion de leurs menaces en ligne,
00:08:49ont intégré la réglementation dans leurs procédures internes,
00:08:52et ont ainsi évolué avec succès vers des systèmes d'information plus robustes.
00:08:57Cependant, comme le directeur général de l'Annecy, que vous avez eu la chance de pouvoir auditionner il y a peu de temps, le mentionnait,
00:09:05la menace cyber a fortement évolué ces dernières années.
00:09:09Cette menace historiquement très stratégique est désormais devenue systémique.
00:09:14Elle est de plus en plus le fait de groupes cybercriminels organisés qui opèrent à but lucratif,
00:09:19ou s'efforcent de nous déstabiliser pour des raisons idéologiques.
00:09:23Les attaques par rançon jicielle, les campagnes de phishing, les attaques d'origine étatique qui persistent
00:09:29ne ciblent plus uniquement les grandes entreprises ou les infrastructures critiques,
00:09:33elles concernent bien l'ensemble du tissu économique et social.
00:09:37Toutes les organisations sont concernées, avec une hausse de 30% des attaques,
00:09:42et dont 60% d'entre elles qui concernent les TPE et PME et les collectivités territoriales.
00:09:48Ce nombre croissant d'entités ciblées et de victimes ne font l'objet d'aucune réglementation cyber à l'heure actuelle,
00:09:57et parallèlement, la maturité des entités essentielles en la matière rend ces nouvelles entités moins matures,
00:10:03beaucoup plus attractives aux yeux des cybercriminels.
00:10:06Pour citer quelques exemples chers à vos circonscriptions respectives,
00:10:10dans le domaine de la santé, l'attaque perpétrée au mois d'octobre dernier contre le groupement hospitalier Hospi-Grand-Ouest,
00:10:17qui dispose d'un établissement à Quimper, a ainsi entraîné la déprogrammation de plusieurs opérations et affecté directement les patients.
00:10:25Il en a été de même avec le département de Lens, avec le centre hospitalier de Bourg-en-Bresse.
00:10:30Cela est loin d'être anodin, surtout lorsque certaines études, comme celles menées par trois chercheuses de l'Université du Minnesota,
00:10:37nous apprennent qu'en cas d'attaque en rond-sogiciel, la mortalité des patients déjà admis à l'hôpital augmente de 35 à 41%.
00:10:46Je le mentionnais, les collectivités territoriales ne sont pas en reste, elles sont même une cible privilégiée des attaques par rond-sogiciel.
00:10:54Entre janvier 2022 et juin 2023, par exemple, l'ANSI a traité en moyenne dix attaques par mois contre une collectivité, tout département confondu.
00:11:03C'est ainsi qu'au mois de novembre, le conseil départemental du Loiret, qui a été touché par le vol de 240 gigaoctets de données, a aussi été touché.
00:11:13Face à l'évolution de la menace, à l'ampleur de ses conséquences, les États membres européens, dont la France,
00:11:19ont jugé qu'il était impératif de moderniser notre cadre réglementaire et se sont mobilisés en ce sens.
00:11:24Ces efforts concernent également notre système financier, qui est tout aussi exposé à la menace,
00:11:29plus de la moitié des banques ayant été victimes d'une attaque réussie en 2024, selon les chiffres de l'Autorité bancaire européenne.
00:11:35Sur cette même année 2024, ici, en France, les sites de la Poste et du Crédit Agricole se faisaient pirater.
00:11:41Avant que la Banque de France confirme pour sa part avoir constaté des intrusions extérieures sur l'un de ces extranets.
00:11:48La transposition de la directive accompagnant le règlement d'ORA, au sein du titre 3 de ce projet de loi,
00:11:54nous permettra donc d'adresser les risques cyber spécifiques qui pèsent sur ce secteur.
00:11:58Les exemples concrets que j'ai cités illustrent combien certaines menaces ont des répercussions tangibles sur le quotidien de nos entreprises,
00:12:06de nos collectivités, mais surtout de celui de milliers de Français.
00:12:10Le coût de ces attaques est très important.
00:12:13En 2022, le cabinet d'études économiques Aster l'estimait en France à 2 milliards d'euros.
00:12:18Au-delà du seuil aspect financier, je perçois que ces attaques contribuent aussi et surtout à ébranler la confiance des Français
00:12:25dans la capacité de nos institutions publiques à les protéger.
00:12:29Le projet de loi Résilience répond à cet impératif grâce à une approche globale
00:12:35qui s'exprimera ex ante par une meilleure prévention des risques et ex poste par une réaction rapide et efficace en cas d'incident.
00:12:44Je tiens à saluer à ce titre le choix qui a été fait par le Sénat de constituer cette commission spéciale.
00:12:49Cela permettra de s'appuyer tout au long de l'examen sur l'expertise à la fois de la commission des affaires étrangères
00:12:55et de la défense de la commission des finances et de la commission des affaires économiques.
00:13:00Si vous me le permettez, je souhaiterais maintenant donner quelques précisions sur chacun des trois volets du texte.
00:13:05Sur le titre 1, qui transpose donc la directive sur la résilience des entités critiques ou REC,
00:13:12il consacre avant tout un changement d'approche quant à la protection des opérateurs fournissant des services vitaux
00:13:18pour les fonctions sociétales ou les activités économiques.
00:13:21Là où le dispositif de SAIV précédent était surtout concentré sur la protection physique des infrastructures,
00:13:27il s'agit désormais de mettre aussi l'accent sur la résilience et l'adaptabilité des opérateurs nationaux face aux crises, y compris à l'échelle européenne.
00:13:35C'est une démarche salutaire pour tirer les conséquences des crises passées, tenir compte des interdépendances d'aujourd'hui
00:13:41et mieux protéger demain des activités indispensables à notre vie économique et sociale.
00:13:46C'est notamment vrai pour des domaines tels que la santé, l'alimentation ou encore l'eau potable
00:13:51d'où nous avons pu tristement mesurer l'importance pour notre souveraineté au cours des dernières années.
00:13:56Avec le dispositif de SAIV, environ 300 opérateurs et 1500 points d'importance vital faisaient l'objet d'une protection spécifique.
00:14:04La transposition de la directive REC permet de moderniser ce cadre et de le rendre plus adapté au défi actuel.
00:14:10Surtout, cette harmonisation de la réglementation permettra de mettre l'ensemble des États membres sur un pied d'égalité
00:14:16et de réduire le décalage qui existait entre la France et ses voisins qui pour certains ne possédaient pas de dispositif similaire au nôtre.
00:14:24La transposition de la directive REC rétablira ainsi une égalité concurrentielle entre nos opérateurs et leurs homologues européens
00:14:31tout en répondant mieux, dans le contexte d'une économie mondialisée, aux risques transfrontaliers et d'interdépendance des chaînes d'approvisionnement.
00:14:38La transposition que le gouvernement vous propose consiste à préserver les principes de la politique de SAIV
00:14:44tout en restant le plus près possible des exigences de REC.
00:14:48Nous aurions pu refondre intégralement ce dispositif, mais il a semblé préférable de capitaliser sur notre lègue.
00:14:54Les entités critiques pourront ainsi continuer à s'appuyer sur une pratique et une méthode éprouvées,
00:14:59ce qui facilitera leur travail de conformité et rendra les coûts limités.
00:15:03En substance, les nouveautés concernent d'abord le nombre de secteurs couverts, 12 selon les SAIV,
00:15:09auxquels REC ajoute trois nouveaux secteurs, assainissement, réseau de chaleur et hydrogène.
00:15:14Et les nouveautés résultent aussi du passage d'une logique de sécurisation des sites à une logique de résilience,
00:15:19axée sur la continuité de l'activité.
00:15:22Les acteurs concernés devront désormais réaliser une analyse des risques consignés dans des plans de résilience,
00:15:27mieux identifier les dépendances qui les lient à leurs prestataires ou d'autres secteurs,
00:15:31et notifier les incidents majeurs qu'ils pourraient constater.
00:15:34Ces mesures garantissent une prise en compte accrue des risques, qu'ils soient physiques ou numériques.
00:15:39S'agissant des collectivités territoriales, la directive ne les couvre pas en tant que secteurs spécifiques.
00:15:44Les collectivités concernées sont celles qui sont déjà désignées OIV car elles assurent des activités d'importance hôpitales
00:15:49ou services essentiels selon REC, dans les secteurs qui relèvent de leurs compétences,
00:15:54par exemple les secteurs de la gestion de l'eau, des transports ou encore de l'énergie.
00:15:58Pour les collectivités qui gèrent déjà ces compétences en régie, les changements seront donc marginaux.
00:16:04Le titre 1 du projet de loi s'inscrit dans une politique cohérente et globale en matière de sécurité,
00:16:09et donc en synergie avec les obligations prévues par NIS 2 et DORA.
00:16:14Cela signifie concrètement que les entités régulées au titre de la directive REC
00:16:18devront respecter les exigences de NIS 2 et dans certains cas de DORA,
00:16:22afin de se protéger contre la menace cyber.
00:16:25J'en passe donc au titre 2 du projet de loi, celui consacré à la directive NIS 2.
00:16:30L'objectif de cette directive est de renforcer la résilience cyber de tous les États membres de l'Union.
00:16:35A cet égard, l'harmonisation des régimes mis en œuvre sera déterminante.
00:16:39C'est pourquoi la transposition qui vous est proposée est une transcription fidèle du texte européen.
00:16:45De plus, les négociations puis la rédaction de ce texte ont été guidées par la volonté
00:16:51que la directive européenne puisse être appliquée par tous.
00:16:54Le principe de proportionnalité est donc un fil conducteur du projet de transposition que le gouvernement vous soumet.
00:17:00NIS 2 établit ainsi une distinction claire entre les entités importantes d'une part
00:17:05et les entités essentielles de l'autre qui est reprise par le projet de loi.
00:17:09Cette classification permet de fixer des obligations adaptées au profil de chaque acteur
00:17:14tenant compte de sa taille, de ses capacités financières, de son secteur d'activité ou encore son degré de criticité.
00:17:20Les premières, les entités importantes, représentent la très grande majorité des entités couvertes, environ 80%.
00:17:26Ce sont pour une grande part des petites structures qui bénéficieront d'un régime proportionné
00:17:31centré sur les bonnes pratiques d'hygiène numérique.
00:17:34Pour se préparer, elles peuvent d'ores et déjà s'appuyer sur le guide pratique du même nom rédigé par l'Annecy.
00:17:40Cette approche permettra de munir les entités les plus fragiles d'un filet de sécurité minimal en matière cyber
00:17:45qui soient adaptées à leurs ressources, tant humaines que financières,
00:17:48et qui leur permettent de faire face à une attaque par un rançongiciel courant.
00:17:52Les secondes, les entités essentielles, seront soumises à des exigences de cybersécurité plus strictes et à des contrôles accrus.
00:17:59Une attaque réussie sur de grands opérateurs peut avoir des conséquences en cascade dans des secteurs connexes,
00:18:04voire même dans d'autres pays. Il est nécessaire que ces acteurs soient particulièrement responsabilisés.
00:18:09Contrairement à la majorité des entités importantes, ces acteurs sont déjà bien armés par leur taille,
00:18:14leur suffrage financier, leur dispositif de gestion des risques et leur connaissance des enjeux de cybersécurité.
00:18:20Une grande majorité d'entre eux sont déjà soumis aux réglementations précédentes,
00:18:24ce qui leur permettra d'absorber à moindre frais les coûts de conformité associés.
00:18:28Grâce à son champ d'application large, ses exigences proportionnées, adaptées et raisonnables,
00:18:34la mise en œuvre de NIS2 permettra de faire passer à l'échelle la cybersécurité du socle fondamental de notre nation,
00:18:40notre société et notre économie. Au total, ce seront plus de 15 000 entités qui seront régulées par NIS2 en France,
00:18:47dans 18 secteurs d'activité. Les entités régulées devront répondre à des exigences de différents types.
00:18:53Tout d'abord, elles devront s'enregistrer auprès de l'ANSI et indiquer par ce biais dans quelle catégorie d'entités elles se situent.
00:18:59Elles devront ensuite notifier les incidents ayant un impact important sur la fourniture de leurs services
00:19:04et potentiellement en informer le public. Elles devront prendre des mesures nécessaires et adaptées
00:19:09afin de protéger leurs réseaux et systèmes d'information contre les risques cyber auxquels elles sont exposées.
00:19:14Si vous y consentez, les objectifs de sécurité seront précisés par la voie réglementaire.
00:19:19Nous disposerons ainsi de la souplesse nécessaire pour les faire évoluer dans le temps,
00:19:24en fonction de l'évolution de la menace qui évolue au fil des années, et pour tenir compte des spécificités des entités régulées.
00:19:31Le référentiel qui est prévu a fait l'objet de plusieurs concertations avec les représentants des secteurs d'activité couverts par le texte.
00:19:38Il a été révisé à plusieurs reprises et continuera à l'être et à être co-construit jusqu'à sa parution.
00:19:44Le principe de proportionnalité dont je vous parlais se traduit également par un échelonnement des contrôles.
00:19:51Ils pourront intervenir en amont et en aval pour les entités essentielles, mais uniquement en aval pour les entités importantes.
00:19:57Je voudrais dire ici un mot des collectivités territoriales, pour lesquelles la directrice prévoit un droit d'option que le gouvernement a choisi d'activer.
00:20:05Ce choix s'appuie sur le constat que plus d'un quart des victimes d'attaques par rançon JCL recensées par l'Annecy en 2023 concernaient des collectivités.
00:20:14Elles seront environ 1 800 à être concernées directement par Nice 2.
00:20:18Les collectivités de moins de 30 000 habitants, l'immense majorité des communes, ne seront concernées que par leur intercommunalité de rattachement.
00:20:26Nous sommes bien conscients des efforts que certaines collectivités devront faire, et nous avons été sensibilisés à plusieurs reprises sur cette question.
00:20:33J'ai moi-même échangé régulièrement avec les associations d'élus locaux depuis ma prise de fonction,
00:20:38et je peux vous dire qu'aucune association, aucune collectivité ne remette en cause ni l'objectif ni l'intérêt de ce projet de loi.
00:20:45Cependant, elles expriment un vrai besoin d'accompagnement, sur lequel j'aurai l'occasion de revenir.
00:20:50J'en viens enfin au troisième volet du projet de loi, relatif au renforcement de la résilience numérique du secteur financier.
00:20:56Ces dernières décennies, la transformation numérique de notre économie n'a pas épargné le système bancaire et financier.
00:21:02Banques en ligne ou mobiles, paiements électroniques, les institutions financières sont toujours plus dépendantes aux technologies et toujours plus exposées aux risques cyber.
00:21:11Le système financier est en outre très interconnecté à l'échelle mondiale, ce qui l'expose aux risques de contagion et d'incidents systémiques.
00:21:18Selon le FMI, il aurait subi plus de 20 000 incidents en 20 ans, connu une perte de 28 milliards de dollars uniquement entre 2020 et 2024.
00:21:26Or, à l'échelon européen, la gestion des risques cyber en matière financière a été prise en compte au prix d'une forte fragmentation et complexité juridique.
00:21:34Jusqu'au règlement DORA qui nous occupe, les établissements financiers devaient s'appuyer sur huit directives différentes pour comprendre les exigences à respecter.
00:21:43Le chevauchement de ces textes, l'hétérogénéité des approches nationales ne permettaient pas un fonctionnement optimal du marché intérieur.
00:21:50L'harmonisation apportée par le règlement DORA est donc la bienvenue.
00:21:54La France l'a négocié en exigeant qu'il soit bien articulé avec Nice 2, dont il est une déclinaison sectorielle.
00:22:01Ce règlement est construit sur cinq piliers principaux.
00:22:04Premièrement, l'adoption de procédures d'identification et d'atténuation des risques liés aux technologies.
00:22:09Deuxièmement, la mise en place d'une procédure de notification des incidents.
00:22:12Troisièmement, la réalisation de tests de résilience opérationnelle.
00:22:16Quatrièmement, l'encadrement de la gestion des risques liés à leurs prestataires.
00:22:20Et enfin, le partage d'informations entre entités financières afin d'améliorer notre résilience collective.
00:22:25La directive accompagnant le règlement DORA, qu'il est proposé de transposer,
00:22:31vise à assurer une cohérence juridique et technique entre le règlement qui est d'application directe et les huit directives que je viens de vous évoquer.
00:22:38Vous l'aurez compris, le projet de loi Résilience est un texte ambitieux et pragmatique qui repose sur une philosophie claire.
00:22:46Protéger efficacement sans entraver l'innovation ou notre compétitivité.
00:22:50Nous devons donc tenir une ligne de crête que je résumerai selon les approches méthodiques en trois axes.
00:22:56Premièrement, celui de la proportionnalité. Je l'ai déjà évoqué.
00:23:01Deuxièmement, celui de la concertation. En effet, ce texte n'a pas été construit en chambre, mais avec toutes les parties prenantes.
00:23:08Sur NIS 2, en particulier, comme vous l'a rappelé son directeur, l'ANSI a mené plus de 70 consultations depuis septembre 2023.
00:23:15J'ai eu moi-même l'occasion de m'entretenir dès ma prise de fonction avec plusieurs d'entre vous, mais aussi avec des associations d'élus,
00:23:21des élus eux-mêmes, des entreprises, des fédérations, partout sur le territoire.
00:23:25Ce dialogue est bien entendu amené à se poursuivre tout au long de la vie du texte, y compris sur son volet réglementaire et pendant sa mise en œuvre.
00:23:31Enfin, le dernier axe, je vous avais dit que j'y reviendrai, est celui de l'accompagnement.
00:23:37Il s'agit d'une demande consensuelle à laquelle le gouvernement entend bien répondre.
00:23:42Je rappelle d'abord que l'objectif de ce texte n'est pas de sanctionner, mais bien d'identifier nos points de vulnérabilité et de renforcer notre sécurité numérique, au bénéfice de tous.
00:23:51Aujourd'hui, la question n'est plus de savoir si une entité sera attaquée, mais plutôt quand elle le sera.
00:23:57J'ai conscience que pour certains acteurs nouvellement assujettis, la marge semble haute.
00:24:02Je me permets cependant de rappeler et de leur rappeler que le coût de la sécurité est inférieur au coût d'une attaque réussie, d'un facteur 100.
00:24:10L'accompagnement sera placé au cœur de la mise en œuvre de ce texte de loi.
00:24:15Au-delà des outils en ligne que l'Annecy a développés et qu'elle enrichira, tels que MonAideCyber ou MonEspaceNice2 qu'elle a pu vous présenter,
00:24:22des réseaux de terrain joueront un rôle de proximité particulièrement précieux pour les entités régulées.
00:24:27Je pense notamment aux chambres de commerce, aux campus cyber régionaux, aux CICIRT, aux fédérations professionnelles, qui seront autant de relais utiles dans nos territoires.
00:24:36Nous sommes en train de travailler à un renforcement, une meilleure structuration et une plus grande lisibilité de ces réseaux et guichets de terrain.
00:24:43L'enjeu est que les entités régulées puissent disposer d'un parcours clair, de l'évaluation de sécurité jusqu'à la notification d'incident ou la sollicitation des services de remédiation.
00:24:53Pour conclure, je voudrais dire que ce texte est l'opportunité d'élever collectivement nos compétences et notre conscience en matière de risque cyber.
00:25:01C'est en réalité un changement de culture qui est appelé ici aujourd'hui.
00:25:06L'intégration de la gestion des risques cyber dans les stratégies des organisations est désormais impératif, voire une condition sine qua non de notre développement.
00:25:14Nous continuerons les efforts de sensibilisation en ce sens et veillerons à ce que l'ensemble des citoyens adopte les pratiques d'une bonne hygiène numérique.
00:25:21Je porte aussi la conviction personnelle que le présent projet de loi est une opportunité unique pour notre écosystème cyber français.
00:25:30Le marché de la cybersécurité est en pleine expansion et nos entreprises n'ont pas à rougir. Elles sont reconnues et ont un rôle clé à jouer dans le secteur.
00:25:38En renforçant la sécurité de nos infrastructures, en stimulant l'innovation, nous créons les conditions d'une croissance durable.
00:25:44Les startups et PME françaises spécialisées dans les solutions de sécurité informatique pourront non seulement répondre à la demande nationale,
00:25:51mais également exporter leurs compétences et leurs technologies à l'échelle européenne.
00:25:55Les prestataires de proximité, au premier rang desquels ceux qui sont référencés par le JIPACIMA, seront également en première ligne pour accompagner les entités.
00:26:03Aussi, en veillant à une transposition au plus proche des textes européens, nous limiterons les frictions juridiques et garantirons une concurrence loyale
00:26:11entre les entités couvertes par NIS2 dans les différents États membres de l'Union européenne.
00:26:15Nous partageons, je le crois, cette ambition collective de relever notre niveau de cybersécurité et de renforcer la résilience de notre nation.
00:26:23C'est un impératif majeur, quasi existentiel.
00:26:27La force d'une chaîne dépend cependant de son maillon le plus faible.
00:26:31Nous ne pourrons pas atteindre notre meilleur niveau que si chacun d'entre nous place la cybersécurité au cœur de ses préoccupations
00:26:38et continue à se préparer aux défis qui nous attendent.
00:26:42Au regard des échanges que j'ai pu avoir, je suis convaincue que les débats que nous aurons dans les semaines à venir seront constructifs
00:26:48et que nous pourrons, grâce à ce texte, faire de la France un modèle en matière de résilience et d'innovation cyber.
00:26:54Je vous remercie.
00:26:56Merci beaucoup, Madame la Ministre.
00:26:59Sans plus attendre, je vais proposer à mon collègue Patrick Chesse de lancer les premières questions.
00:27:07Merci, Monsieur le Président, Madame la Ministre, mes chers collègues.
00:27:12Je vous remercie, Madame la Ministre, d'être présent aujourd'hui devant nous pour cette audition.
00:27:17Nous l'avons dit, nous espérions quasiment plus l'organisation de l'audition.
00:27:21Nous attendions avec impatience la venue d'un membre du gouvernement pour évoquer avec nous les enjeux de cybersécurité.
00:27:28Le sujet est certes moins dans l'actualité et moins médiatisé que celui de l'intelligence artificielle, mais il n'en est pas moins urgent et primordial.
00:27:38En ma qualité de rapporteur chargé de l'examen du titre 2 de ce projet de loi,
00:27:43mon intervention sera centrée sur la transposition de la directive NIS 2.
00:27:47Au-delà de la hausse du nombre de secteurs et d'entités régulés, c'est un changement majeur de paradigme qui est à l'œuvre.
00:27:54Il ne s'agit plus seulement de sécuriser des infrastructures critiques, mais aussi d'assurer la résilience des entités critiques
00:28:00en tant qu'organisation et de l'ensemble de leur système d'information.
00:28:05Autrement dit, la couverture est beaucoup plus large de ce qui était prévu dans la précédente directive NIS 1.
00:28:13Depuis le début de l'année, je mène des auditions auprès de différents représentants sectoriels, experts de la cybersécurité et administrations.
00:28:21Je ne peux que témoigner de l'ampleur du chemin qu'il reste à parcourir pour une plus grande prise de conscience collective.
00:28:27Surtout, je ne peux que regretter le manque de visibilité et le manque de communication autour de la transposition de la directive NIS 2.
00:28:36Il y a certes beaucoup d'initiatives qui ont été prises par l'Annecy. Mais qu'en est-il du portage politique ?
00:28:43Que comptez-vous faire, madame la ministre, pour enfin donner à ce sujet la visibilité qu'il mérite ?
00:28:49Une campagne de communication institutionnelle ne serait-elle pas pertinente ?
00:28:55Je vais dire pour les secteurs concernés, mais aussi pour toutes les entreprises et collectivités de France.
00:29:03Je me permets d'insister, car ce sont plus de 15 000 entreprises qui sont concernées,
00:29:07mais aussi près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle,
00:29:14dont l'ensemble des régions et des départements, près de 1 000 communautés de communes et de 300 communes de plus de 30 000 habitants.
00:29:21C'est d'autant plus important que l'ensemble de ces organisations devront elles-mêmes évaluer,
00:29:26si elles sont soumises à la directive 12, si elles sont entités essentielles ou importantes,
00:29:33et elles devront s'enregistrer auprès de l'Annecy et lui notifier leurs incidents de cybersécurité, comme vous l'avez rappelé.
00:29:41Madame la ministre, toutes les auditions pointent dans la même direction.
00:29:45Nous ne sommes pas prêts, alors que, paradoxalement, nous sommes déjà en retard aux yeux de la Commission européenne
00:29:51et en comparaison d'autres États membres.
00:29:54Il ressort également de mes auditions plusieurs points d'alerte, souvent récurrents et concordants, sur lesquels je souhaiterais avoir votre avis.
00:30:02D'une part, et là aussi de façon assez inhabituelle pour notre pays,
00:30:07de nombreux acteurs dénoncent une sous-transposition de la directive et un projet de loi de transposition moindisant
00:30:14qui laisse une place trop importante aux dispositions de nature réglementaire.
00:30:19Par exemple, concernant la procédure de notification des incidents,
00:30:23alors que la directive NIS 2 prévoit la transmission sans retard injustifié d'une alerte précoce dans un délai de 24 heures,
00:30:30puis la transmission d'une notification d'incident dans un délai de 72 heures,
00:30:34le projet de loi ne mentionne pas ce double délai, contraint les entités à notifier leurs incidents sans délai,
00:30:40et évoque la notification d'incidents critiques plutôt que d'incidents importants.
00:30:46Comment expliquez-vous cette différence, qui peuvent nous paraître anodines, mais sont loin de l'être pour les entités concernées ?
00:30:54D'autre part, à l'inverse, certains choix effectués sont assimilables à de la surtransposition, dont nous sommes beaucoup plus familiers dans notre pays.
00:31:04Par exemple, l'argissement du périmètre des entreprises concernées par le projet de loi est régulièrement dénoncé,
00:31:10puisque des critères de taille et de chiffre d'affaires sont fixés alternativement,
00:31:14tandis que les textes européens les fixent cumulativement.
00:31:18Là encore, entre un « et » et un « ou », les différences sont significatives.
00:31:23Comment expliquez-vous ce choix ?
00:31:26Enfin, le régime de contrôle et de sanctions prévu pour l'Annecy est de plus en plus perçu comme trop punitif et insuffisamment préventif.
00:31:35Les entités s'inquiètent du coût financier des contrôles réalisés par l'Annecy, qui serait à leur charge,
00:31:41de l'absence de prise en compte du caractère intentionnel de la non-transposition d'informations à l'Annecy
00:31:47et de la rupture d'égalité induite par l'absence de sanctions prévues pour les administrations de l'État.
00:31:54Comment expliquez-vous ces choix, qui nous paraissent là aussi discutables ?
00:31:59Je vous remercie.
00:32:02Madame la ministre, avant de vous poser les questions des autres rapporteurs, je vais vous laisser peut-être répondre à ces questions de Patrick Chaise
00:32:10avec un tout petit point pour venir appuyer vraiment ce qu'a dit mon collègue.
00:32:16Ce qui est vu par certains comme des sous-transpositions, puisque, effectivement, ça renvoie à des décrets.
00:32:22Je vous rappelle plus de 40 décrets, on a calculé.
00:32:25C'est vraiment au-delà de « faites-nous confiance », mais c'est un peu délicat pour le Parlement.
00:32:29Ça peut être vu comme une sous-transposition, mais une fois qu'on lira le décret, ce sera peut-être devenu une sur-transposition.
00:32:36C'est ce qui inquiète tout le monde. Je vous en prie, madame la ministre.
00:32:41Merci. Je vais tâcher de répondre aux différentes questions que j'ai notées.
00:32:47Premièrement, sur la partie communication et sensibilisation, et le sentiment que vous avez dans vos discussions de ne pas être que les entités concernées ne sont pas prêtes.
00:32:57Nous considérons bien que cet objectif de communication est un objectif absolument majeur.
00:33:02Je l'ai mentionné, l'Annecy a fait un travail de fond depuis 2023 avec près de 70 consultations.
00:33:10Et les fédérations se sont empérées aussi du sujet.
00:33:14J'étais moi-même à l'European Cyber Week à Rennes il y a quelques temps, où il y avait énormément de travail autour de ce texte
00:33:22pour sensibiliser les entités qui allaient pouvoir être régulées de par ce texte.
00:33:29C'est un enjeu qui est vraiment collectif.
00:33:31Donc l'impulsion des entités et des secteurs déjà régulés qui contribuent depuis plusieurs années à élever le niveau de sécurité de nos infrastructures
00:33:38et vont aider aussi à embarquer toutes les chaînes de valeur dans ce texte-là.
00:33:43L'écosystème cyber au sens large a tout son rôle avec les différents acteurs qu'il compose et qui doivent, nous sommes bien d'accord avec ça,
00:33:51d'accompagner l'Annecy dans le fait d'accompagner les entités à franchir cette marche.
00:33:55La sensibilisation passe par tous les dispositifs que l'Annecy vous a présentés.
00:33:59Donc mon espace NIS2 en étant un qui permet aux entités de comprendre quelles sont les obligations qui seront les leurs
00:34:06de façon très pédagogique et interactive et de découvrir, d'appréhender la directive.
00:34:11Le gouvernement doit prendre toute sa part, j'en ai pleinement conscience.
00:34:16Et nous travaillons à le faire de plusieurs manières avec un certain nombre d'interventions sur le sujet de la cyber.
00:34:22J'ai mentionné l'European Cyber Week où j'ai passé un moment.
00:34:25L'organisation d'un événement afin de sensibiliser l'écosystème au sens large sur lequel nous travaillons avec le campus cyber.
00:34:33Mais aussi des campagnes de communication plus directes sur lesquelles nous réfléchissons avec l'Annecy à mettre en œuvre
00:34:40en ciblant les entités qui devraient selon les différents modèles d'analyse être concernées par le texte
00:34:49pour les informer du fait que ce texte arrive et les inviter à aller se renseigner elles-mêmes sur le portail monespace NIS2.
00:34:57Parce que nous n'avons pas accès à toutes les informations qu'ont les entreprises sur les différents éléments qui composent les critères
00:35:03pour être applicables et régulés dans le cadre de ce texte.
00:35:08Mais nous pouvons tout de même faire cette communication un peu plus proactive pour inciter les entreprises à pouvoir se renseigner.
00:35:14Donc c'est le cadre dans lequel nous travaillons aujourd'hui.
00:35:18Je pense que je fais aussi une confiance à toutes les fédérations professionnelles que j'ai pu rencontrer
00:35:22pour porter sur le terrain des messages de sensibilisation, d'accompagnement.
00:35:26Je le mentionnais dans mon propos liminaire.
00:35:29Et je vous suis bien sûr reconnaissante de témoigner de ce que vous voyez sur le terrain
00:35:35et de nous indiquer et de travailler de bon concert quand vous avez le sentiment que le texte n'est pas compris
00:35:40ou pas encore à un niveau de sensibilisation qui est le nôtre.
00:35:44Et en tout cas notre ambition, je vous le confirme.
00:35:48Sur la question de la sous- ou sur-transposition, je sais que la notion d'incident a été questionnée un certain nombre de fois.
00:36:00En matière de la notification d'incident, l'article 17 du projet de loi impose, comme vous l'avez mentionné,
00:36:06aux entités essentielles et importantes de notifier l'autorité nationale de tout incident important
00:36:11ayant un impact important sur la frontière de leur service.
00:36:15Dans certains cas qui sont prévus par la loi, notamment lorsque la divulgation de l'incident est dans l'intérêt public,
00:36:21l'autorité nationale peut, après avoir consulté l'entité, exiger qu'elle informe le public de l'incident ou le faire elle-même.
00:36:27Les critères d'appréciation des caractères importants et critiques des incidents, les délais de notification dont vous avez parlé,
00:36:33feront l'objet d'une description dans le décret en Conseil d'État qui sera pris pour application de la loi.
00:36:39Mais l'ANSI travaille d'ores et déjà à la définition de la notion d'incident important.
00:36:43Et même si cette définition sera portée par voie réglementaire, elle s'appuiera sur des critères objectivables
00:36:49qui prendront en compte ceux existant dans les réglementations en vigueur.
00:36:53Par exemple, la notion similaire préexiste dans les dispositions applicables au secteur d'activité importante dont je parlais en introduction, les SAIV,
00:37:01et la transposition de la directive NIS 1.
00:37:04La directive NIS 2 prévoit elle-même certains de ces critères.
00:37:08Mais il nous paraît nécessaire que la voie réglementaire puisse permettre de vraiment suivre les évolutions du secteur
00:37:16afin de coller au mieux aux évolutions.
00:37:19Parce que je pense que vous le savez tout aussi bien que les professionnels du secteur aujourd'hui,
00:37:24la vitesse à laquelle les menaces de cybersécurité évoluent, les techniques évoluent,
00:37:30il nous semble plus logique de passer par la voie réglementaire afin de pouvoir toujours mettre à jour,
00:37:36en fonction de l'évolution de ces menaces, les dispositions nécessaires
00:37:40et permettre de garder des critères objectivables en fonction de l'évolution de ces menaces.
00:37:45Concernant le mécanisme explicite de protection des informations divulguées lors des signalements d'incidents,
00:37:51c'est le cœur du métier de l'ANSI dont il s'agit et son centre de réponse.
00:37:56Les textes, et là-dessus peut-être que je n'ai pas été assez claire,
00:38:01mais les textes réglementaires, la façon dont on voit le travail, c'est qu'ils seront bien sûr soumis à une consultation,
00:38:07et ce ne sont pas des textes que nous prendrons de notre côté sans avoir ces échanges,
00:38:13comme ce fut le cas d'ailleurs pour la loi LPM quand il a fallu dans les SAIV définir les définitions d'incidents.
00:38:22Donc le processus sur lequel on est parti aujourd'hui, c'est celui-là.
00:38:29Il y avait une troisième question, je crois sous la sous-transposition, non ça c'était sous la sous-transposition, sur la sur-transposition.
00:38:38Donc la directive NIS 2 prévoit à son article 2 de s'appliquer aux entreprises moyennes en vertu de l'article 2 de l'annexe de la recommandation.
00:38:47Et cette annexe, c'est celle où il y a les fameux et ou où,
00:38:53l'article 2 de l'annexe de la recommandation donne deux définitions, celle de la micro-petite moyenne entreprise et celle des petites entreprises.
00:39:00Le champ défini est donc le champ pour lequel NIS 2 ne s'applique pas, et ça induit une rédaction inversée dans le projet de loi,
00:39:06c'est-à-dire qu'il y a un dépassement des seuils, et donc c'est pour ça que le E devient un OU, je ne sais pas si vous me suivez, et le OU devant le E.
00:39:14La Belgique a suivi la même logique dans sa loi de transposition, mais donc très concrètement, la définition colle à la définition de l'Union Européenne,
00:39:22et le projet de loi a adapté la définition d'une PME selon cette recommandation pour viser toutes les entreprises au-dessus de cette catégorie,
00:39:29donc qui dépasse les seuils fixés. Mais c'est bien la même définition et c'est le même raisonnement pour les OU et les entités importantes.
00:39:38Il y avait la question des sanctions, donc sur la question des sanctions, tout d'abord je tiens à rappeler que le texte n'est pas dans une logique de bâton,
00:39:49mais bien d'accompagnement des entités à pouvoir se mettre en règle. La question des sanctions est là pour pouvoir, comme dans ce type de projet,
00:40:02permettre de matérialiser le fait que ne pas se mettre en conformité aura des conséquences, mais cependant la logique est bien celle de l'Annecy,
00:40:10et d'accompagner les entités vers une mise en conformité, et pas seulement de brandir la menace de la sanction.
00:40:16Selon nous, il n'y a pas de surtransposition dans les mesures de sanctions, parce qu'on transpose exactement les mesures de sanctions prévues dans la Directive NIS 2,
00:40:25et on ne va pas au-delà de ce qui a été prévu à l'échelon européen, qu'il s'agisse des contrôles, du régime de sanctions ou des amendes administratives.
00:40:32Et je tiens à rappeler que les chiffres qui sont mentionnés, le 2% pour les entités essentielles et le 1,4% pour les entités importantes, sont des seuils maximaux.
00:40:42Et donc, en fonction des différents cas qui seraient, nous espérons que tout le monde puisse se mettre en conformité sans aller à la commission des sanctions,
00:40:52mais s'il y avait des cas, la commission des sanctions aurait le soin de prononcer ces sanctions dans un maximal qui est celui qui a été donné,
00:40:58mais pas forcément de façon automatique les pourcentages qui ont été mentionnés.
00:41:03Les entités essentielles, elles, peuvent être soumises à une interdiction d'exercice, mais c'est ce qui est proposé par le cadre de NIS 2.
00:41:11En cas de non-conformité. Et aussi, je tiens à bien préciser qu'il n'y aura pas de double sanction.
00:41:18NIS 2 et le RGPD, comme vous l'imaginez bien, sont très imbriqués.
00:41:23L'ANSI et l'ACNIL, ils devront coopérer et s'informer en cas d'incident susceptible d'avoir un impact sur les données personnelles pour travailler ensemble et de concert.
00:41:32Donc ça, c'était sur la partie sanctions. Il me semble que c'était les trois points.
00:41:37Il y avait un point sur les contrôles à la charge d'entreprise, non ?
00:41:40Et puis l'exclusion des sanctions pour les administrations.
00:41:44L'exclusion des sanctions pour les administrations. Tout à fait. Alors c'est un sujet qui a été... Vous le savez, vous avez lu les différentes études mentionnées par le Conseil d'État.
00:41:54Nous n'en faisons pas la même lecture. Et il nous semble que la voie que nous vous proposons est la bonne,
00:42:00parce que les administrations et les collectivités, n'étant pas des entreprises, n'ont pas de revenus et de moyens financiers qu'ont les entreprises.
00:42:10Et donc c'est pour ça que nous avons choisi cette voie-là, afin d'avoir un cadre proportionné entre les entreprises et les administrations et les collectivités.
00:42:18Sachant que nous avons fait le choix, par contre, de rentrer les collectivités dans ce cadre NIS 2,
00:42:22parce qu'il nous semble absolument important, comme il concentre un quart des incidents et des attaques, qu'ils puissent se mettre en conformité, mais dans une logique d'accompagnement.
00:42:34Cependant, ça n'empêchera pas l'Annecy de mener un certain nombre de contrôles, d'accompagnement, de sensibilisation.
00:42:44C'est simplement que les sanctions à la fin de ces contrôles ne seront pas là.
00:42:54Oui, il y a quand même une petite question de perception d'inégalité républicaine.
00:43:00Quand un hôpital privé peut être sanctionné, un hôpital public, non.
00:43:04Ça reste une grande incompréhension de ceux qui lisent le texte.
00:43:10Madame la ministre, si vous me permettez, je vais remplacer Huxori, qui ne pouvait être là, et vous lire les questions qu'il avait prévues de vous poser.
00:43:20Madame la ministre, l'économie du titre premier du projet de loi qui vise à transposer la directive REC, dite REC, nous semble aller dans le bon sens.
00:43:28Lors des auditions que j'ai conduites, j'ai pu constater un consensus autour de la nécessité de renforcer le cadre normatif pour protéger les activités vitales de la nation.
00:43:37Cependant, des préoccupations ont été exprimées, tant par les entreprises que par les collectivités territoriales,
00:43:43concernant l'accompagnement de l'État dans la mise en œuvre des obligations prévues par le projet de loi.
00:43:47Pouvez-vous nous préciser les mesures envisagées pour soutenir les opérateurs d'importance vitales actuels,
00:43:52ainsi que ceux qui pourraient être amenés à intégrer ce dispositif avec l'entrée en vigueur de la loi ?
00:43:58En outre, dans un contexte budgétaire contraint, les services des ministères coordinateurs disposeront-ils de moyens suffisants
00:44:05pour assurer leurs missions actuelles et prendre en charge les nouvelles responsabilités qui leur incomberont ?
00:44:11L'étude d'impact du projet de loi reste en effet vague sur ce point,
00:44:16se contentant de mentionner que certaines dispositions entraîneront, entre guillemets, une charge de travail supplémentaire,
00:44:22pouvant avoir des impacts sur les ressources humaines.
00:44:26Et puisque j'en suis là, je vais aussi suppléer mon collègue rapporteur Michel Canevette,
00:44:32qui vient de l'Ouest lointain, qui a des perturbations au niveau des TGV.
00:44:38Donc, sur la préparation du secteur financier à la mise en conformité avec DORA,
00:44:47beaucoup de retard a été pris pour la publication des normes de niveau 2.
00:44:52Or, les acteurs en ont besoin pour modifier leurs infrastructures informatiques,
00:44:56ou encore pour renégocier les contrats avec leurs fournisseurs.
00:44:59Par ailleurs, beaucoup d'institutions financières déplorent le degré de détail très élevé des dispositions de ces normes RIS,
00:45:06ce qui renchérit d'autant leur coût d'application.
00:45:09Pouvez-vous vous mobiliser pour exiger des autorités européennes de supervision,
00:45:15donc une meilleure visibilité sur le calendrier de publication de ces normes européennes,
00:45:20essentielles pour la bonne application de DORA ?
00:45:23A défaut, ne faudrait-il pas reporter l'entrée en vigueur de certaines dispositions de DORA ?
00:45:28Ensuite, le secteur financier est soumis aux obligations de DORA.
00:45:33Dans le PJL Cyber Résilience, il serait souhaitable que les acteurs financiers soient bien explicitement exclus des obligations de NIS2,
00:45:41et soient donc exclus du statut d'entité essentielle prévu par la directive NIS2.
00:45:46A défaut, il y a un risque de double réglementation et de multiplication des couches d'exigences techniques et de déclarations.
00:45:53Cet empilement risquerait de créer une insécurité juridique pour les entreprises concernées.
00:45:59Pourquoi ne pas avoir explicitement prévu cette exclusion dans le projet de loi,
00:46:03qui permettrait d'éviter que certains acteurs financiers soient doublement régulés à la fois par NIS2 et par DORA ?
00:46:10Enfin, sur les règles applicables aux sociétés de financement.
00:46:14Les sociétés de financement sont soumises aux obligations de DORA alors même que cette catégorie d'acteurs n'est pas mentionnée dans la directive DORA.
00:46:21Certes, un délai supplémentaire est accordé à ces sociétés fixées au 17 janvier 2026.
00:46:27Mais ne faudrait-il pas adopter une approche plus proportionnée pour ces petites sociétés ?
00:46:32Une date d'entrée en vigueur au 1er janvier 2027 ne serait-elle pas plus réaliste ?
00:46:37Cela aurait en effet l'avantage d'être très proche, sinon identique au délai fixé pour les autres entités financières similaires aux sociétés de financement dans l'Union européenne.
00:46:47L'Allemagne prévoit que les entités exerçant des activités leasing seront soumises au cadre simplifié par l'article 16 de DORA à partir du 1er janvier 2027.
00:46:57Je vous ai rapporté les réflexions des rapporteurs.
00:47:05Je vais tâcher de ne pas en oublier, mais vous me direz si c'est le cas.
00:47:10Je vais couper entre REC et DORA, parce qu'il y avait les deux parties.
00:47:15Sur REC, j'entends une question sur les dispositifs d'accompagnement dont pourront bénéficier les OIV, en particulier les collectivités territoriales.
00:47:23Peut-être rappeler, comme je l'avais dit dans le propos liminaire, que la sécurité des activités d'importance vitale repose sur une logique partenariale, même si elle n'exclut pas les contrôles.
00:47:36Le cadre de REC est de poursuivre les dispositifs actuels de soutien avec des plans de type et des guides pour les aider à réaliser leurs plans.
00:47:46Des réalisations d'exercices, des plans de protection externe qui seront réalisés avec eux pour les préparer en amont et préparer le concours des services de l'Etat en cas d'incident.
00:47:57Dans une vraie logique partenariale, c'est un dispositif qui a été éprouvé déjà dans la réglementation actuelle.
00:48:03Un soutien aussi à la formation des agents privés de sécurité, qui sont absolument critiques sur ce type de site.
00:48:11L'année dernière, une certification avait été d'ailleurs créée.
00:48:14La fourniture d'outils de communication classifiés pour faciliter l'échange d'informations classifiées sur l'état de la menace notamment.
00:48:21Et la réalisation d'enquêtes administratives de sécurité au profit de l'opérateur.
00:48:26Cette logique d'accompagnement partenarial qui mêle l'Etat, le préfet et les différentes entités a déjà été la nôtre depuis un certain nombre de temps.
00:48:43Il nous semble que ce dispositif est éprouvé et que les retours sont plutôt positifs.
00:48:49Nous mettrons à jour bien sûr les documents de planification afin de coller au mieux à la directive REC.
00:48:55C'est pour la première question sur REC.
00:48:58Sur la question du budget, comme je vous l'ai expliqué, il y a un certain nombre d'entités qui sont mises à profit dans la mise en conformité de REC.
00:49:10A notre connaissance aujourd'hui, nous n'avons pas été sensibilisés sur la nécessité de revoir les budgets de part les obligations que REC impose.
00:49:21Parce que les processus qui sont ceux que je viens de décrire resteront les mêmes.
00:49:26C'est simplement une question des documents de planification qui changeront, d'un certain nombre de choses nouvelles qu'il faut mettre en place.
00:49:33Mais toute l'architecture d'accompagnement est déjà là.
00:49:36Et donc il semble que les budgets soient suffisants pour absorber.
00:49:42Mais si vous avez des retours inverses, bien sûr nous sommes toujours là pour consulter.
00:49:48Je l'ai rappelé en début et en propos liminaires.
00:49:51DORA.
00:49:53Sur DORA, l'application depuis le 17 janvier 2025 est en cours depuis maintenant quelques jours.
00:50:01Les acteurs financiers, les banques, les assurances, les services de paiement doivent donc être prêts pour DORA.
00:50:07Il existe encore des défis.
00:50:09Nous en avons confiance.
00:50:11Mais cette échéance imposée par le droit européen est incontournable et a toujours été communiquée aux acteurs du marché.
00:50:16Je pense qu'il faut bien tenir là-dessus.
00:50:20Une échéance importante pour les entreprises consiste à fournir aux autorités, la CPR et l'AMF, les registres de leur contrat de prestation au plus tard le 30 avril.
00:50:28Ce n'est pas immédiat. Ils ont un petit peu de temps pour le faire.
00:50:31Et ce reporting qui est exigé dans les délais impartis permettra aux autorités européennes de désigner les prestataires informatiques critiques au niveau de l'UE.
00:50:39Les préoccupations que nous entendons et que vous avez rappelées, les délais contraignants pour se mettre en conformité,
00:50:45le manque de clarté et le retard d'un certain nombre de normes sont le reflet principalement d'un besoin de clarification et d'explication,
00:50:55il nous semble, de pédagogie sur le paquet DORA pour pouvoir mieux accompagner les acteurs.
00:51:01Il nous semble que ce ne sont pas des problématiques liées à la transposition elle-même, mais surtout une histoire de pédagogie.
00:51:12La CPR et l'AMF ont publié des dossiers thématiques et des FAQ sur leurs sites respectifs.
00:51:17J'étais moi-même à un événement auprès d'eux il y a un mois environ avec un axe pédagogique très renforcé pour les acteurs,
00:51:25pour aider les entreprises à clarifier les exigences, à obtenir les informations nécessaires à leur mise en conformité.
00:51:31Et il me semble que ces ressources répondent à une grande partie des questions encore insuspentes
00:51:35et que ce type d'exercice permet aux entreprises de pouvoir monter en compétence sur le texte.
00:51:42La totalité des normes de niveau 2 a été finalisée, même si nous reconnaissons que certaines publications officielles accusent encore un retard.
00:51:52Le RTS sur le reporting des incidents informatiques et cyber devrait être publié au journal officiel dans les prochains jours,
00:51:59nous y sommes attentifs, avec une entrée en application prévue 20 jours après cette publication.
00:52:04Le RTS sur l'harmonisation de la supervision, le Parlement européen, je pense que vous le savez, avait jusqu'au 24 janvier pour rendre son avis.
00:52:12La publication au journal officiel est donc attendue sous peu.
00:52:15Et concernant le standard technique sur la sous-traitance, celui-ci a été rejeté par la Commission.
00:52:20Il n'y a pour l'instant aucune autre date prévisible pour son entrée en application,
00:52:25parce que le texte devra être remanié par les autorités de supervision européennes avant de pouvoir être réétudié.
00:52:31Cependant, il nous semble que ces retards n'ont pas d'incident sur la transposition de la directive qui accompagne le règlement d'ORA via le titre 3 du PJL,
00:52:41et le coût de la mise en conformité, qui varie considérablement selon la taille et la complexité de l'organisation,
00:52:46nous semble aussi appréhendé de par le fait que ces entités ont déjà un niveau de maturité avancé en matière de cybersécurité et des risques physiques auxquels ils sont confrontés.
00:52:59Loin de moi l'envie de minimiser les dépenses substantielles que ce nouveau processus entraînera pour la plupart des entreprises,
00:53:07notamment en matière de mise à jour technologique, de recrutement de spécialistes et de tests de pénétration.
00:53:12Mais encore une fois, un peu comme on le disait en introduction,
00:53:15quand on met en regard ces coûts par rapport à ceux qui engendreraient des attaques physiques ou des cyberattaques,
00:53:22il me semble que les acteurs du secteur sont plutôt dans une logique de collaboration et de mise en conformité.
00:53:29Nous avions aussi une question sur les sociétés de financement d'ORA et NIS2 et l'articulation.
00:53:40J'entends cette question. Nous avons là un héritage européen, une coexistence des textes.
00:53:46Nous avons eu un échange assez long avec l'AMF, la CPR, l'ANSI et toutes les parties prenantes,
00:53:53afin de pouvoir s'assurer qu'on minimisera bien les frictions des entités qui seront soumises aux deux textes.
00:53:59J'ai vu le DG de l'ANSI il y a quelques jours, en fin de semaine dernière, sur cette question particulière.
00:54:04Cependant, ce n'est pas parce qu'une partie des entités couvertes par d'ORA sont en conformité avec d'ORA sur un certain nombre de risques
00:54:13qu'elles ne doivent pas s'assurer que leurs systèmes d'information, qui sont utilisés par des milliers et des millions de Français,
00:54:20sont aussi couverts par les référentiels de NIS2. Il nous semble que les deux textes sont complémentaires
00:54:26et donc nous ne pouvons pas les sortir de NIS2 parce que ça ne couvre pas exactement les mêmes risques.
00:54:31On prendrait là un risque qu'on ne veut pas prendre pour les Français et les Françaises qui utilisent les services financiers au quotidien.
00:54:40Sur les sociétés de financement, c'est en effet un point que je comprends parce qu'il est particulier ici en France.
00:54:51Il nous semble que le délai qui a été celui qui est dans le projet de loi d'un an pour 2026 semble réaliste pour ces sociétés.
00:55:02En tout cas, elles ont été consultées dans la rédaction du projet de loi et elles ont semblé être plutôt alignées avec ce délai d'un an supplémentaire.
00:55:11Si vous n'aviez pas les mêmes retours, nous serions bien sûr disponibles pour reconsulter et prendre le pouls des acteurs
00:55:21qui ont pu vous indiquer quelque chose de différent. Je tiens à rappeler ici que la principale différence entre une société de financement
00:55:27et un établissement de crédit, c'est que la société de financement ne peut effectuer que des opérations de crédit
00:55:31dans les conditions et les limites de son agrément, alors que l'établissement de crédit délivre à la fois des crédits et reçoit des fonds remboursables.
00:55:37Toutes les entreprises qui souhaitent réaliser de façon régulière des opérations de crédit doivent demander cet agrément de société de financement.
00:55:45Ce n'est pas une mesure de surtransposition, mais plutôt une pratique courante qui reflète cette réalité.
00:55:51Dans le cadre de la transposition des textes européens en droit national, il me semble que ce n'est pas la première fois qu'on a ce décalage.
00:55:58Pour nous, les exigences de DORA doivent être étendues à ces sociétés pour deux raisons particulières.
00:56:04D'abord, harmoniser les exigences en matière de gestion du risque cyber entre les établissements de crédit que j'ai mentionnés et les sociétés de financement,
00:56:12qui font toutes deux des offres de services importantes aux entreprises et aux citoyens, et deux, préserver la stabilité financière en garantissant une protection cyber.
00:56:23Je l'ai mentionné dans mon propos introductif. Le secteur financier est la cible particulière d'un certain nombre d'attaques,
00:56:29et ces attaques effritent de façon particulière aussi la confiance que peuvent avoir nos citoyens et nos citoyennes dans la sécurisation de nos infrastructures critiques,
00:56:40parce qu'il s'agit des infrastructures financières. C'est pourquoi nous avons jugé utile de les ajouter dans le texte.
00:56:48Merci. Avant de passer la parole, je vais proposer à notre rapporteur qui est arrivé du fin fond de l'armorique de prendre la parole. Merci.
00:56:55Merci, M. le Président, Mme la Ministre, chers collègues. Effectivement, des problèmes ferroviaires m'ont empêché d'être à l'heure,
00:57:02alors que j'avais pris mes dispositions pour l'être. Mais l'essentiel, c'est de pouvoir venir, et je remercie le Président d'avoir relayé mes préoccupations.
00:57:09Je voulais simplement réagir sur deux ou trois points des propos que vous avez tenus.
00:57:13D'abord, pour ce qui concerne les entreprises qui sont susceptibles d'être concernées par la fois NIS2 et par DORA, ça va quand même poser un gros problème pour savoir quelle est la méthodologie à retenir.
00:57:25En tout cas, les choses ne sont pas tout à fait identiques pour ce qui concerne ces deux dispositions.
00:57:31Et donc, le fait de surajouter pour les entreprises de double disposition risque d'être véritablement problématique. C'est un premier point.
00:57:39Un second concerne effectivement les sociétés de financement, parce qu'ici, au Sénat, nous sommes assez attentifs pour éviter les surtranspositions.
00:57:49Or, là, clairement, nous sommes dans une situation de surtransposition, même si tout le monde reconnaît l'intérêt d'avoir des mesures accentuées pour lutter contre d'éventuels problèmes cyber,
00:58:03pour assurer la cybersécurité. Il n'empêche que ça risque d'être particulièrement lourd, d'abord parce que dans les sociétés de financement,
00:58:13il y a principalement deux gros acteurs, et autrement, ce sont des acteurs de taille assez petite, à qui les dispositions d'Odora risquent d'être particulièrement coûteuses.
00:58:24Et donc, cela pose un problème. Et pour ma part, je suis plutôt dans l'idée qu'il faut qu'on évite les surtranspositions, et donc qu'on évite de mettre des boulets,
00:58:37je dirais, aux chevilles des entreprises de notre pays à cet égard, parce que leur concurrence à la place européenne, et il est bien évident qu'aujourd'hui,
00:58:46le marché est européen, n'en seront pas tenus. Et donc, il faut qu'on soit attentifs à cela. Puis, j'avais une troisième question qui n'a sans doute pas été abordée,
00:58:55qui était le problème du reporting des entreprises. Pour autant, l'Annecy est aujourd'hui organisée pour pouvoir assurer un reporting permanent vers l'Annecy des entreprises,
00:59:08qui s'étude d'être affrontée à des problèmes de cybersécurité. Telle n'est pas la situation, ni de l'autorité des marchés financiers, ni de l'autorité de contrôle prudentiel et de résolution.
00:59:19Est-ce que les responsables de ces unités, de ces entités, vous ont fait part d'évolutions organisationnelles qui les amèneraient, justement, à pouvoir prendre en compte tout cela ?
00:59:32Les problèmes cyber, en général, ils arrivent le week-end, par exemple. Dès lors qu'on demande à ce que le reporting soit fait, il faut qu'il y ait un interlocuteur en face.
00:59:40Sinon, l'entreprise a des contraintes et il n'y a pas d'interlocuteur en face pour recevoir le reporting. Ce sont les quelques points que je voulais, en complément, vous évoquer.
00:59:57Je vous remercie pour ces questions complémentaires. Sur la question des sociétés de financement, sur laquelle vous avez posé un certain nombre de questions complémentaires,
01:00:10dans les consultations qui ont eu lieu, il nous semble que le délai de mise en œuvre supplémentaire d'un an que je mentionnais permettait de répondre aux besoins des sociétés de financement
01:00:20de plus petite taille de pouvoir se mettre en conformité. Ce n'est pas les sons de cloche qu'on a eus. Ceci dit, j'entends les sons de cloche qui sont les vôtres.
01:00:32Nous avions fait une petite étude pour voir combien de sociétés de financement devraient remplir ces conditions. Elles sont au nombre de 135, avec seulement une dizaine de sociétés de financement
01:00:43qui sont considérées comme les plus importantes en termes de taille, qui devront se conformer dès l'entrée en vigueur des dispositions pertinentes du PGL, et ce délai pour les autres.
01:00:53Ce sont les sons de cloche qui nous sont remontés jusqu'ici. Je prends votre point. Nous nous reconsulterons autant que nécessaire pour s'assurer qu'elles ont bien compris
01:01:03quelles étaient les obligations et s'assurer que ce délai leur semble suffisant pour pouvoir se mettre en conformité. Sur la question de la duplication NIS2 et DORA,
01:01:17j'en ai un petit peu parlé tout à l'heure, mais l'ANSI travaille avec la CPR et l'AMF pour qu'il y ait vraiment des guidelines de DORA qui soient les plus articulés possibles avec NIS2.
01:01:30Le scope des entités qui seront régulées avec DORA est inférieur au périmètre de NIS2. Il nous semble que l'articulation qui est en cours de réflexion permettra de s'assurer qu'on ne met pas de lourdeur pour ces entités,
01:01:49mais cependant qu'elles répondent bien à l'enjeu d'être en conformité, d'un point de vue cyber et d'un point de vue des spécificités demandées au secteur financier, en s'assurant qu'il n'y ait aucun double contrôle.
01:02:01Vraiment ne pas alourdir les processus de reporting, de contrôle, de mise en conformité de ces entités. Concernant votre troisième question sur l'organisation, vous avez tout à fait raison.
01:02:15Cela va demander une réorganisation, une internalisation de certaines contraintes. Les acteurs avec qui nous échangeons nous ont mentionné qu'ils étaient en train de mettre en place un certain nombre de choses.
01:02:27Je pense par exemple aux cellules de veille le week-end. Vous avez mentionné le week-end. C'est tout à fait juste. Pour internaliser ces nouvelles compétences, ces nouvelles responsabilités, de former des ressources pour ce faire.
01:02:39Bien sûr, ça va prendre un peu de temps, mais il nous semble que c'est en bonne voie et nous n'avons pas eu de questionnements particuliers sur ce point.
01:02:49Merci Madame la Ministre. On va passer aux questions de nos collègues qui sont ici avec nous. On commence avec David Ross.
01:02:57Merci Monsieur le Président, Madame la Ministre, mes chers collègues. Merci d'abord pour vos propos liminaires et pour les réponses apportées aux rapporteurs.
01:03:07Vous avez évoqué un projet de loi qui se veut à la fois ambitieux et pragmatique. Ambitieux un peu comme notre territoire de l'Essonne et du plateau de Saclay que vous avez visité notamment vendredi dernier pour le lancement des neuf clusters autour de l'intelligence artificielle.
01:03:22Et puis pour rester dans le pragmatisme, un département de l'Essonne qui a été victime de cyberattaques. Je pense à l'hôpital d'Evry-Corbeil, l'hôpital d'Orsay également.
01:03:32Et puis surtout cet été l'université Paris-Saclay avec une attaque massive qui a paralysé le début de l'année universitaire puisque ça a bloqué à la fois les inscriptions, la transmission des notes et toute la messagerie et notamment les articles des différents anciens chercheurs de l'université.
01:03:48Donc ça a été quelque chose de très lourd. J'ai vu que dans l'article 8 d'ailleurs l'université est mentionnée en tant que telle. Donc ça je m'en félicite.
01:03:55Alors moi j'avais deux questions qui peuvent être un peu périphériques par rapport à la loi mais qui sont importantes si on veut être dans le pragmatisme et dans les réponses efficientes.
01:04:02Une première a été posée sur le terme par Patrick Chez notamment et puis notre rapporteur sur le volet préventif pédagogique, tout ce qui est information, sensibilisation, formation et protection.
01:04:14C'est la mission en particulier de l'ANSI mais j'imagine qu'il y a d'autres acteurs et donc ça pose la question des moyens.
01:04:20Alors non pas pour avoir toujours plus de moyens mais j'ai entendu que vous avez répondu qu'a priori les moyens étaient suffisants.
01:04:26Mais est-ce réellement le cas au regard d'une part du nombre d'augmentation de cas auxquels nous allons être confrontés et puis surtout sur l'urgence de remettre des fois en service les systèmes qui paralysent complètement le fonctionnement des organismes et qui vous l'avez dit à un coup.
01:04:40Et donc est-ce qu'il ne faut pas renforcer les moyens humains sur l'accompagnement pour la remise en place ?
01:04:46Et deuxième question, se défendre c'est bien, contre-attaquer c'est mieux et donc là je voulais vous poser une question sur la possibilité d'avoir une sorte de longueur d'avance sur les cyber-attaques et le lien que peut avoir la recherche et notamment l'intelligence artificielle dans ce domaine là.
01:05:03A savoir est-ce qu'il y a des travaux qui sont menés en ce sens pour protéger et puis pourquoi pas hacker les cyber-attaques.
01:05:11Merci par avance pour vos réponses.
01:05:14Hélène Conway-Mouret, on va prendre les questions s'il vous plaît.
01:05:20Merci beaucoup Président, Madame la Ministre, mes chers collègues.
01:05:25La France, bon il s'agit d'une estimation, serait le quatrième pays le plus touché par les cyber-attaques et d'après le MEDEF le deuxième le plus touché dans le monde.
01:05:34Ce qui veut dire que c'est quand même un sujet qui nous intéresse particulièrement et qui est incroyablement sérieux.
01:05:40D'autant que les statistiques que nous avons démontrent que 60% des entreprises qui subissent une cyber-attaque déposent le bilan dans les 6 mois qui suivent.
01:05:48Donc je pense que le sujet mérite vraiment toute notre attention.
01:05:53Alors moi ce qui m'intéresse, ma question va recouper un petit peu celle qui vient d'être posée mais va se concentrer sur les PME, start-up et ETI.
01:06:04Nous avons des seuils de niveau de sécurité qui instaurent des obligations de protection dans les articles 8 et 9 du projet de loi,
01:06:14notamment l'article 9 mais qui de fait ne couvre pas ces petites entreprises, ces petites entités puisque le seuil est à 50 employés avec un chiffre d'affaires
01:06:28qui est assez conséquent, qui n'est jamais atteint par ces petites entreprises.
01:06:33Et donc je voudrais vous faire un retour de terrain puisque vous l'avez appelé de vos vues tout à l'heure.
01:06:38C'est vrai que nous nous déplaçons beaucoup au contact de ces PME, notamment dans le domaine de la défense.
01:06:44Vous savez que nous sommes à la commission Affaires étrangères, défense et forces armées et donc nous avons un regard croisé.
01:06:49Nous nous intéressons particulièrement à ces entreprises qui sont souvent des fournisseurs de nos grands groupes mais qui travaillent beaucoup dans l'innovation,
01:06:59dans la recherche, dans des domaines incroyablement sensibles mais qui sont absolument essentiels à la protection à la fois de la souveraineté de notre pays
01:07:08mais également secteurs sensibles qui ont besoin d'une très très grande protection.
01:07:15Or ce que ces entrepreneurs nous disent c'est que 1. ils n'ont pas la trésorerie suffisante pour se protéger correctement
01:07:23et ce que les clusters qui existent aujourd'hui qui les regroupent nous disent aussi c'est qu'il y a quand même encore un manque d'informations.
01:07:32Donc ma question est assez simple. Est-ce que en dehors de ce texte et de l'ensemble des décrets d'application,
01:07:40est-ce qu'il y a une politique on va dire volontariste de la part de votre ministère pour mettre en place à la fois en effet l'information
01:07:50mais cela a été dit à la fois par le rapporteur et mon collègue à l'instant mais également d'accompagnement de ce maillage d'entreprise dont nous avons absolument besoin
01:08:02parce que d'abord elles fournissent des emplois localement dans un grand nombre de bassins et aujourd'hui elles sont à la fois victimes de raquettes
01:08:14mais j'allais dire que c'est pratiquement le moins dangereux pour nous si ce n'est de vol, de piratage, d'espionnage quand nous sommes notamment dans des domaines qui sont incroyablement sensibles.
01:08:27Voilà je crois que je vous ai tout dit. Oui parce que c'est lié aussi quand je parlais de la trésorerie,
01:08:34on estime que 10% du budget informatique doit être consacré à la cybersécurité ce qui est quand même assez lourd
01:08:44et au-delà de ça dans la politique d'accompagnement il serait bon aussi et d'information de nous assurer que les personnels qui ont des portables,
01:08:57qui utilisent des ordinateurs individuels puissent également être protégés ce qui n'est pas forcément toujours le cas.
01:09:09En tout cas la possibilité n'en est pas donnée à ces entreprises. Voilà je vous remercie.
01:09:13Michel Gréome.
01:09:15Merci beaucoup. Merci Madame la Ministre déjà d'avoir répondu à pas mal de questions.
01:09:22Moi je vais revenir sur certains articles comme l'article 10 où on parle de désigner, le Premier Ministre désignerait certaines entités essentielles et importantes.
01:09:33Je voulais savoir si vous comptez élargir ce spectre d'entités et si oui lesquelles.
01:09:42L'article 17 tout à l'heure on en a parlé, vous parliez d'une obligation de notification mais vous comprenez bien Madame la Ministre
01:09:51c'est pas cette notification qui nous importe le plus, c'est surtout le suivi méticuleux.
01:09:57Parce qu'on a peur que si un jour, on en a parlé un petit peu en parlant du week-end,
01:10:02mais si un jour on a une grosse attaque avec des notifications intenses d'incidents sur une courte période,
01:10:10forcément ça aura un impact et il faut réagir très très vite.
01:10:15On parlait de, je vais vous parler également de l'article 41 qui modifie le code de la Poste pour renforcer les sanctions.
01:10:23Donc moi je voudrais savoir que comptez-vous mettre en oeuvre pour protéger les citoyens sur les détournements,
01:10:30non pas pour ça, pardon, pardon, pardon, c'est parce que j'ai raté le truc, voilà.
01:10:36Comment comptez-vous préserver les systèmes d'information de la Poste qui est un service public auquel les Français sont très attachés
01:10:43et quels incidents sur l'efficacité du service ?
01:10:47Vous comprenez bien que certains métiers vont disparaître comme d'autres vont être créés avec l'intelligence artificielle.
01:10:55Donc c'était pour vous demander si vous avez fait une projection sur les modifications de l'emploi à court et moyen terme
01:11:01et sur le nombre de salariés potentiellement affectés à cette nouvelle technologie. Merci.
01:11:13Merci, nous on s'était déjà vu avec le ministre, mais l'avantage quand on passe en dernier, c'est que beaucoup de choses ont été dites,
01:11:17mais moi je voudrais réappuyer sur un certain nombre de choses, c'est-à-dire que notre rapporteur Chesse l'a dit au départ,
01:11:23sur les définitions, comment on affine l'ensemble des définitions des termes relatifs à la cybersécurité et à la résilience,
01:11:29pour en préciser les actions. Comme on a parlé de la notion d'incident, et donc je ne vais pas développer,
01:11:33mais ça, ça me paraît essentiel sur le travail, et donc dans la continuité de ce qu'avait soulevé,
01:11:38qui a été repris aussi par une de mes collègues, le rapporteur Chesse, c'est, face à l'élargissement du public concerné par cette directive,
01:11:44existe-t-il une volonté et un programme national prévu pour sensibiliser et former, ça c'est, vous avez parlé tout à l'heure,
01:11:50les acteurs privés aux nouvelles obligations, qui est introduite par la directive NIS 2.
01:11:54Et puis, l'autre élément c'est l'évaluation, parce que, avant de dire si c'est juste exprimé, il faut peut-être évaluer nos actions,
01:12:00comment sera mesuré l'impact de cette loi, et quels mécanismes permettront à terme d'ajuster les obligations si nécessaires,
01:12:06dans les prochaines années. Donc je pourrais en poser d'autres, mais il y avait aussi les leviers pour renforcer la coopération
01:12:12entre le gouvernement et le secteur privé, dans la mise en oeuvre des exigences cybersécurité.
01:12:16Mais je m'en arrêterai là, pour pas être à lourdir le débat.
01:12:19Merci cher collègue, et ce ne sera pas la fin, puisque j'ai deux questions de notre collègue,
01:12:25madame Paoli Gagin, qui a dû partir. Pensez-vous que c'est l'innovation en open source, la diversification des fournisseurs de cloud,
01:12:34ou bien les deux, qui nous permettront une meilleure gestion proactive des risques cyberprothéiformes que vous nous avez exposés ?
01:12:41Et en complément de ce qu'a dit ma collègue Hélène Conway-Mouret, comment va-t-on pouvoir mobiliser les financements nécessaires
01:12:53pour assurer l'upgrading des infrastructures à tous les étages ? En bon français.
01:13:02Heureusement que j'avais plein de feuilles pour noter toutes les questions.
01:13:06Je vais essayer, parce qu'il y en a qui se recoupent, donc je vais essayer de regrouper,
01:13:10puis surtout vous me dites si j'ai oublié quelque chose.
01:13:12Donc il y avait plusieurs questions qui se recoupent un peu sur l'aspect préventif, pédagogique,
01:13:18dans lequel je pense que j'ai un petit peu répondu dans mes propos liminaires,
01:13:23mais l'ANSI a bien sûr un rôle de chef de file, mais je pense qu'il faut absolument aussi valoriser le travail formidable
01:13:29qui est fait par les chambres, par les campus régionaux, les experts cyber du GIPACIMA,
01:13:34les prestateurs territoriaux, et qu'on a bien l'intention de continuer à porter.
01:13:39Et puis on en a parlé tout à l'heure, mais je pense que je suis complètement alignée
01:13:42que le gouvernement doit prendre toute sa part dans la sensibilisation et la communication autour de la cyber.
01:13:47Vous avez dit que c'était moins en vogue, ou je ne sais plus quels termes que vous avez mentionnés que l'IA,
01:13:52mais pas du tout, je conviens en parler tout autant dans la période.
01:13:57À deux semaines, j'ai sommé pour l'IA, c'est sûr, mais une fois le sommet passé,
01:14:02nous continuerons bien sûr à porter le message, c'est absolument important.
01:14:06Et d'ailleurs, ça me permet de faire le pont avec la question qui a été posée sur l'IA et le cyber.
01:14:11Tout à fait, je crois que c'était là. L'IA peut apporter beaucoup dans la cybersécurité.
01:14:17J'étais d'ailleurs moi-même à Rennes dans le cadre de l'European Cyber Week pour parler de ce sujet, l'IA et le cyber.
01:14:24Donc ça se recoupe, et il y a à Rennes un des fameux neufs IAClusters que nous avons réunis vendredi,
01:14:31qui s'appelle Secoya, qui travaille exactement sur cette question-là,
01:14:34parce que vous le savez, Rennes est une terre cyber depuis de nombreuses années,
01:14:38et donc couplé avec l'IA, ça permet de faire énormément de choses très intéressantes.
01:14:43Et nous avons lancé, dans le cadre de l'European Cyber Week, un nouvel appel à projet sur les technologies critiques innovantes,
01:14:50qui fait partie de la stratégie cyber et qui vise à aider les entreprises à monter en compétences,
01:14:56par exemple sur tous les enjeux qu'on peut imaginer avec l'IA, l'empoisonnement de données étant un exemple très concret,
01:15:02sur lequel il faut qu'on puisse aussi augmenter le niveau des solutions sur lesquelles nos entreprises travaillent.
01:15:10Donc ça, c'était pour formation, sensibilisation et IA. Il y avait quand même une question sur les moyens,
01:15:17et notamment les moyens de l'Annecy. Je crois que vous avez auditionné, du coup, on en parlait, son directeur, il y a quelque temps.
01:15:25L'agence bénéficie d'une trajectoire d'augmentation continue de ses ETP depuis 2022, qui, je pense,
01:15:30montre vraiment l'importance de cette agence et le soutien de cette agence que le gouvernement veut lui donner.
01:15:40De par ce que vous a dit son directeur, l'essentiel des missions qui seront celles de l'Annecy dans le cadre de NIS2
01:15:47sont des missions qu'ils ont déjà, si ce n'est la mission de contrôle. Comme il y a un délai qui est prévu de 3 ans de mise en conformité,
01:15:55ça laissera à l'Annecy le temps de s'organiser pour pouvoir prendre ses nouvelles missions de contrôle et de supervision.
01:16:02Ils ont estimé que les moyens nécessaires étaient de 50 ETP. Et comme ils ont une trajectoire de 40 ETP supplémentaires par an,
01:16:11ça leur permettra d'absorber au fur et à mesure et donc de coller comme il le faut au calendrier.
01:16:18Donc il nous semble qu'ils seront en mesure de pouvoir, avec la trajectoire budgétaire qui est celle actuellement, de pouvoir répondre à ces nouvelles missions.
01:16:28On a parlé aussi, je reprends un peu les différents sujets, la question des très petites entreprises et la question du fait que le cadre de la loi
01:16:40ne s'applique qu'à des entreprises d'une certaine taille. Là, plusieurs choses. Vous avez mentionné les sous-traitants.
01:16:46Je rappelle que dans le référentiel de l'Annecy, il y a aussi des guides justement pour la mise en conformité des sous-traitants
01:16:53et donc avec un effet d'entraînement, disons, de par les entités régulées sur leur écosystème de sous-traitants qui est bien là.
01:17:01Et dans le cadre du secteur de la défense que vous avez mentionné, on a eu un accompagnement avec des parcours cyber dédiés menés par le ministère des Armées
01:17:13qu'on a bien l'intention de passer à l'échelle, y compris d'ailleurs dans les secteurs non régaliens, pour pouvoir aider à transformer et accompagner tous les secteurs.
01:17:23Et dans le cadre d'entités – et ça me permettra de reboucler avec la question qui était de ce côté – d'entités qui ne seraient pas définies
01:17:30exactement dans le cadre qui est celui de Nice 2, mais où on aurait en tête un risque particulier. Je rappelle que le Premier ministre
01:17:39peut potentiellement désigner une entité par décret comme étant assujettie aux obligations de Nice 2. Dans les cadres précédents,
01:17:50ça a pu peut-être être le cas pour certains hôpitaux qui n'auraient pas pu être dans les réglementations précédentes qui étaient en cours.
01:17:59Donc on pourrait penser à un laboratoire qui fait de la recherche pointue sur une technologie souveraine critique qui n'est pas dans les seuils
01:18:10ni de nombre d'employés ni de chiffre d'affaires et qui pourtant est absolument critique pour la nation. Le Premier ministre aurait dans ce cas-là
01:18:18– c'est un exemple, bien sûr – la possibilité de faire rentrer cette entité dans le cadre. Donc ça, c'est prévu de cette manière-là.
01:18:25Et ça permet, je pense, de répondre à une de vos questions. Je reprends ma liste parce que je crois qu'on va arriver en plus à la fin du temps.
01:18:38Il y a eu des questions sur l'IA et l'emploi. Mais ça, je pense qu'on pourra en discuter à un moment hors cadre de cette audition,
01:18:46parce qu'il y a beaucoup de choses à discuter sur l'intelligence artificielle. Donc si je rentre dedans, j'ai peur qu'on n'ait pas le temps de finir les autres questions.
01:18:53Mais il y avait la question aussi de l'accompagnement des entreprises et de la coopération entre le gouvernement et les entreprises sur la mise en conformité,
01:19:04sur laquelle je pense que nous avons répondu dans le cadre notamment du plan de relance avec un certain nombre de parcours d'accompagnement.
01:19:13Mais même s'il s'agit de 10% du budget informatique, il nous semble que dans un temps plus long, il est absolument essentiel que les entreprises
01:19:23qui doivent se conformer à cette nouvelle régulation puissent intégrer ces dépenses comme des dépenses de fonctionnement,
01:19:31parce que la menace est là au quotidien. La menace évolue. Et donc il faut qu'elles puissent intégrer le fait qu'une partie de leur budget informatique
01:19:39– en effet, on estime aussi à peu près pareil 10% – soit dédiée à cette conformité, parce que ce sont des dépenses récurrentes.
01:19:46Ce ne sont pas seulement des dépenses temporaires. Et donc il faut que ça soit intégré dans la façon dont les entreprises pensent leurs activités,
01:19:55de la même façon qu'aujourd'hui, elles pensent leurs dépenses informatiques comme quelque chose de courant.
01:20:01Je crois que j'ai à peu près tout couvert. Il y avait peut-être l'article 41 qui est un peu spécifique. Je sais pas si vous voulez... Je regarde juste l'article.
01:20:09Si vous voulez que je rentre dedans. On a 4 minutes. Mais c'est sur les brouilleurs et le renforcement de la cybersécurité qui a attrait au dispositif
01:20:22des sanctions à la main de l'ANFR en matière de lutte contre le brouillage des fréquences. Je crois que c'était une des questions aussi.
01:20:28Donc cette transmission tient une place essentielle dans la continuité des activités économiques, comme vous en doutez, sociétales et statiques.
01:20:35Et comme nous avons vu que ces dernières années, le nombre de cas de brouillage, leur gravité sont en augmentation et qu'elles altèrent les applications
01:20:42qui utilisent des ressources certiennes, le rapport d'inspection ayant formulé en octobre de 2018 une série de recommandations pour sécuriser ces fréquences,
01:20:53il nous a semblé adéquat de pouvoir poursuivre cet objectif dans le cadre de ce texte et de disposer des sanctions qui sont celles que le texte prévoit,
01:21:01qui sont des sanctions graduées avec des quantums de peines plus élevés afin de disposer d'une dissuasion plus efficace parce que cela attaque
01:21:09des activités absolument critiques de la nation. Et donc à l'heure actuelle, il y a peut-être un sentiment d'impunité que nous voulons résoudre avec ce texte.
01:21:21Il y avait des questions sur les définitions, mais je crois que j'ai déjà répondu précédemment.
01:21:27Et les organisations RH et les prises en compte, si on en a déjà parlé. Est-ce qu'il y a une question à laquelle je n'aurais pas répondu, sur laquelle vous voulez revenir ?
01:21:39Si ce n'est pas le cas, moi j'en ai 2-3 pour la fin. Donc pour l'autorité nationale, pourquoi les missions de l'autorité nationale présentes dans la première version du texte
01:21:53ont-elles été renvoyées à un décret en Conseil d'État dans l'article 5 en dehors du ministère des Armées ? Quelle entité recouvre l'expression domaine de la défense ?
01:22:05Vous avez répondu à mon collègue Patrick Chesse, mais pour les incidents, la qualification des incidents, il vous a bien posé la question.
01:22:12Et ça reste un mystère pourquoi les autres l'inscrivent dans la loi, la définition des incidents. C'est écrit dans la directive européenne. Pourquoi nous, on leur envoie un décret ?
01:22:29La directive NIS 2 prévoit dans son article 10 que les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes pour pouvoir s'acquitter efficacement de ses tâches.
01:22:41Comment le gouvernement a-t-il prévu d'assurer la pérennité financière des CSIRTs régionaux ? Les CSIRTs régionaux répondent-ils aux tâches définies par la directive dans son article 11 ?
01:22:55A l'article 14, des réflexions qui nous ont été faites de professionnels en nous alertant qu'introduire Secnium Cloud à l'article 14 entraverait l'harmonisation européenne des normes de sécurité.
01:23:10J'aimerais savoir de votre part si effectivement, puisque c'est renvoyé à un décret, le gouvernement a-t-il proposé quelque chose ? Cela vous permet de comprendre l'incertitude qu'il y a pour un certain nombre d'utilisateurs.
01:23:28C'était les questions complémentaires que j'avais. Pour vous dire aussi, c'est vrai qu'on a été marqué quand on est allé en Belgique, je crois, sur la clarté des autorités belges pour la définition de la construction.
01:23:43Comment les entreprises devraient être conformes ? Par exemple, si vous êtes certifié ISO 27001, c'est bon, vous êtes conforme, puisqu'il y a tout en fait pour gérer aussi les problématiques humaines.
01:23:56On ne peut pas oublier que 80% des problèmes sont liés à des déficiences ou à des défauts qui sont liés à une erreur humaine. Que pensez-vous de ce fonctionnement ?
01:24:08Vous avez cité GIP ACIMA à un moment. Cela veut dire que vous pensez à des choses en termes de construction. On aimerait bien peut-être comprendre là, comme finalement les autorités belges l'ont fait,
01:24:19comment vous voyez cette articulation entre une entreprise et quelles garanties vous pouvez leur donner, puisque là, beaucoup de choses, quand même, sont renvoyées par décret.
01:24:30Il faut quand même être conscient d'une chose. Quand vous dites que l'administration peut évoluer, puisque les choses évoluent très vite, très bien.
01:24:38Mais alors quand l'administration prend sa décision, qui la contrôle ? Donc ça peut arriver aussi. C'est à ça que servent les parlementaires, quand même.
01:24:50Il y a beaucoup de questions. On n'a plus beaucoup de temps. Donc je vais tâcher de répondre aux différents points. Sur les normes belges, nous en avons discuté aussi avec l'Annecy.
01:25:02L'approche de l'Annecy est simplement différente, parce que l'Annecy et donc la France ont une approche par objectif de sécurité et de niveau de protection face à la menace cyber,
01:25:12là où les normes que vous mentionnez en Belgique favorisent une logique de conformité par la mise en œuvre d'un système de management.
01:25:20C'est donc une approche qui est différente. Et pour ce qui concerne les entités essentielles, nous voulions nous inscrire dans la continuité de ce qui a été fait au titre de la directive NIS1
01:25:29et du Code de la Défense, afin d'éviter un changement brutal qui aurait un surcoût pour le secteur.
01:25:36Cependant, je crois que le directeur de l'Annecy vous l'a mentionné. Il les étudie et je les laisserai parler pour ce faire.
01:25:42Mais dans quelle mesure il peut y avoir des mécanismes de reconnaissance mutuelle ou autre, afin que les entreprises qui opèrent dans différents marchés n'aient pas de lourdeur
01:25:53en fonction des marchés dans lesquels ils s'étendent. C'est quelque chose qu'ils sont en train d'essayer. En ce moment, je crois qu'ils avaient eu l'occasion de le développer.
01:26:03Sur l'article 14, nous n'avons pas prévu d'appliquer de mention de Secnum Cloud à ce sujet parce que dans la directive européenne, il n'est pas fait mention de certification au niveau du cloud
01:26:19et nous ne voulons pas, encore une fois, surtransposer. Cependant, Secnum Cloud et la nécessité d'avoir un cadre européen de sécurité du cloud est une autre question
01:26:28sur laquelle nous sommes aussi absolument au travail et qui a toute notre attention. Mais ce n'est pas l'objet de ce texte-là. Ce sera, bien sûr, d'autres textes.
01:26:40Sur les six certes, très rapidement, oui, je remonte un peu comme ça. Oui, ils seront les organismes de proximité vers lesquels les entreprises, les collectivités pourront se tourner pour tout ce qui est signalement.
01:26:56Mais là aussi, l'ANSI a bien indiqué que la disposition dans laquelle elle est, c'est de s'assurer que les victimes des attaques, peu importe vers qui elles se tournent, puissent avoir le même traitement
01:27:09et que l'organisation qui consiste à avoir différents acteurs en responsabilité sur ce texte et plus généralement sur la cybersécurité dans le pays ne soit pas à peser sur les victimes.
01:27:21Mais que ce sera bien une contrainte qui est internalisée par l'ANSI de pouvoir organiser le travail entre les différents acteurs.
01:27:28Voilà pour ces échanges autour du projet de loi qui doit permettre la résilience des infrastructures et le renforcement de la cybersécurité.
01:27:36Avec cette information marquante, la France serait le quatrième pays le plus touché par les cyberattaques.
01:27:43Voilà, 100% Sénat, c'est terminé. Quant à moi, je vous souhaite une très belle journée sur les chaînes parlementaires.
01:27:51Sous-titrage Société Radio-Canada