Jeudi 23 janvier 2025
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 09 h 45.
Organisations professionnelles de la cybersécurité - Audition de Alliance pour la confiance numérique, Clusif, CyberCercle et CyberTaskForce
M. Olivier Cadic, président. - Nous poursuivons notre cycle d'auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Je rappelle que notre commission spéciale s'est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de trois directives : la directive sur la résilience des entités critiques, dite « REC » ; la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS 2 » ; et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
Nous accueillons des organisations professionnelles de la cybersécurité : l'Alliance pour la confiance numérique, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou ; le Clusif, qui est l'association de la sécurité du numérique en France, représenté par M. Benjamin Leroux ; le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez ; et la CyberTaskForce, représentée par MM. Sébastien Garnault, Philippe Luc et Mme Anne Elise Jolicart.
Je vous remercie d'avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l'impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d'amendement. Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l'Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendrons lundi prochain.
Je rappelle à tous que cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
Vous représentez l'écosystème, vous m'apportez beaucoup dans mes travaux de rapporteur budgétaire, votre analyse nous est très utile, elle nous fait travailler différemment car nous ne nous contentons pas de consulter l'administration. Vos propos sont très attendus, ne vous limitez pas, en particulier sur le budget de l'Agence nationale de la sécurité des systèmes d'information (Anssi), nous sommes là pour vous écouter.
M. Daniel Le Coguic, président de l'Alliance pour la confiance numérique. - L'Alliance pour la confiance numérique représente les entreprises françaises dans le domaine de l'identité numérique, la cybersécurité, l'intelligence artificielle et les infrastructures de confiance.
Nous saluons le regroupement dans le même projet de la transposition de la réglementation européenne, de Dora et de NIS 2, ce qui simplifie notre vie et la discussion que nous souhaitons avoir avec la représentation nationale.
Nous sommes doublement intéressés par cette transposition : un certain nombre d'entreprises de notre syndicat sont directement concernées et vont mettre en oeuvre les règles nouvelles, et notre organisation, de par son rôle dans la cybersécurité, souhaite continuer à coopérer.
Au-delà des aspects légaux, notre objectif est d'augmenter la résilience de la Nation. Nos adhérents nous disent et leurs clients le disent aussi, sur l'ensemble du territoire, il y a une inquiétude face à l'évolution du numérique - et ces directives ont pour vocation de mieux protéger nos organisations et nos concitoyens, en particulier les plus vulnérables.
Notre syndicat a déjà contribué en amont, avec l'Anssi et les institutions européennes, nous avons fait une analyse détaillée des directives en novembre 2023. Nous avons des propositions d'amendements que nous vous transmettrons et nous souhaitons continuer à être associés à la transposition, notamment dans la rédaction des amendements et des décrets.
Comment continuer dans ce sens ? Nous proposons d'installer une instance commune entre les parties prenantes, les cibles de la transposition, les acteurs industriels et économiques, pour coconstruire les règles et suivre leur mise en place, qui va prendre plusieurs années - cette instance commune est un facteur de succès pour atteindre nos objectifs.
Ensuite, nous proposons d'accompagner la transposition par un plan de sensibilisation et de communication auprès des cibles de la directive : la cybersécurité n'est pas suffisamment connue, il faut en faire comprendre les enjeux, au-delà des aspects techniques, il faudra des moyens spécifiques pour cette communication. La divulgation des vulnérabilités est importante, il faut en faire prendre conscience, échanger sur les problèmes et leurs solutions.
Enfin, nous appelons à valoriser l'expertise et les capacités technologiques de l'industrie française. Ces directives n'ont pas qu'un enjeu réglementaire, il faut mettre en place des solutions techniques et nous souhaitons que les entreprises françaises y participent au premier chef, il faut leur faire une place, en particulier dans le cadre de la commande publique, c'est possible via l'Union des groupements d'achats publics (Ugap) et UniHA par exemple, c'est important dans la mise en oeuvre.
M. Benjamin Leroux, membre de l'association Le Clusif. - L'association Le Clusif, reconnue d'utilité publique, regroupe des utilisateurs et des industriels, qui fournissent des services, je suis à son conseil d'administration et aussi directeur de la société Advens, spécialisée dans la cybersécurité.
Les directives à transcrire vont dans le bon sens. Nous sommes face à une menace importante, la question aujourd'hui n'est pas de savoir si l'on peut être attaqué, mais quand - et il faut augmenter notre protection et notre résilience, très largement. Le point positif de NIS 2 est le passage à l'échelle géopolitique. On avait une approche centrée sur les organismes d'importance vitale, mais désormais tout le monde peut être attaqué ; on a donc besoin d'élargir la couverture, en particulier en France, que ce soit dans la sphère publique ou privée. Beaucoup d'attaques sont le fait de petits cyberattaquants, elles peuvent avoir des effets graves sur des PME ou des structures publiques, alors qu'il n'est pas très difficile de s'en protéger - parce que ces petits cyberattaquants, en réalité, ne sont pas très doués. Il faut que la menace soit perçue par tout le monde.
Il y a une incidence de coût, certes, mais ce coût est raisonnable par rapport à celui de l'attaque - celle contre l'hôpital de Corbeil-Essonnes, par exemple, a coûté plusieurs millions d'euros : l'attaque est toujours plus coûteuse que la protection.
Mais pour réussir, il y a plusieurs facteurs à prendre en compte. D'abord, il faut élargir le nombre d'acteurs, donc faire faire de la sécurité à des acteurs qui ne se sentent pas concernés, il faut parler besoins humains, besoins de recrutement, il va falloir aussi former des responsables de cybersécurité, partout dans le territoire.
Autre point, nous avons besoin de définitions précises, certains termes font débat, il faut avoir les idées claires sur ce qu'est un incident, une vulnérabilité et le risque cyber - autant de termes abstraits pour les personnes non initiées. Avant les Jeux Olympiques, on parlait d'un risque de millions, voire de milliards d'attaques cyber, le bilan de l'Anssi fait état d'événements de sécurité qui se comptent par dizaines, ou par centaines. Il faudra donc trouver des termes consensuels qui parlent à tout le monde, pour que les structures concernées, quelle que soit leur maturité, mettent en place des mesures adaptées et proportionnelles pour atteindre un niveau global de résilience. Cela doit se faire à un coût raisonnable, en tenant compte des moyens de chacun. La réussite passera par la communication, la sensibilisation, le développement de la filière cyber, et de la précision pour que les personnes concernées soient à l'aise avec ces concepts parfois nouveaux.
M. Sébastien Garnault, fondateur de la CyberTaskForce. - Tout le monde dit que la directive NIS 2 est une opportunité, mais pour qui et pour quoi ? Nous répondons qu'elle doit bénéficier d'abord aux gens, mais cela demande un changement de paradigme. NIS 2 va réguler les organisations et pas les systèmes d'information, ce qui aura des conséquences concrètes sur les définitions - je partage ce qui vient d'être dit sur le besoin de définitions, en y ajoutant une dimension européenne : il faut que nous ayons des définitions communes avec nos voisins, ou bien nous ne nous comprendrons pas.
La transposition doit renforcer la résilience, cela va dans le bon sens. Cependant, le projet de loi ne fait pas de place à l'humain, aux gens, sauf pour des sanctions. Or, on le sait, les cyberattaquants passent par les personnes, on l'a vu à l'Assemblée nationale : les cyberattaquants n'entrent pas frontalement dans le système informatique, ils ont attaqué des députés en hackant leur téléphone.
Certains mettent en avant le coût de la protection, c'est une réalité. Mais il faut arriver à l'inclure dans le coût du système, avoir une approche by design - quand j'achète une voiture, je n'ai pas à y ajouter des ceintures de sécurité, elles sont déjà dans la voiture... Il faut de l'argent pour équiper les hôpitaux, ils ne sont guère protégés contre le risque cyber.
On évoque souvent la surtransposition, je dirais qu'ici, on risque plutôt une sous-transposition : c'est pourquoi je demande à ce qu'on couvre l'intégralité du champ, donc les systèmes et les gens - mais je laisse mon collègue Philippe Luc en parler.
M. Philippe Luc, membre de la CyberTaskForce. - Pour observer la menace cyber depuis près de vingt ans, je suis très sensible à la question des vulnérabilités humaines dans le risque cyber, et à sa place dans les systèmes de défense - c'est l'objet de l'entreprise que j'ai cofondée et que je dirige, Anozr way. Nis2 renforce les définitions, Dora intègre le facteur humain, les risques d'erreurs humaines - on devrait pouvoir mieux contrer toutes ces attaques par ruse, comme le phishing, le smishing, les attaques par SMS, l'usurpation d'identité, les deepfakes, l'espionnage, la déstabilisation, la manipulation, toutes ces attaques qui utilisent les données, notre exposition numérique, pour nous tromper dans le but de nous abuser, de nuire à nos entreprises, à nous-mêmes en tant que citoyens.
Pourtant, le facteur humain n'est pas abordé dans le projet de loi de transposition. On ne traite que des vulnérabilités techniques, alors que le facteur humain représente 80 % des attaques dans le monde cyber, il est le chemin d'accès le plus évident pour les attaquants. Or, plusieurs de nos voisins ont repris la définition de vulnérabilité inscrite dans la directive NIS 2, qui intègre les vulnérabilités humaines. Les Italiens ont défini la notion d'approche tous risques, les Allemands ont également privilégié cette approche, les Belges ont repris la définition intégrale de la directive.
Je vous citerai, Monsieur le Président Cadic : « Cette course pour se protéger des attaques cyber est une course sans fin et on n'en a pas les moyens. Il faut donc changer de paradigme et réfléchir différemment. » Je le pense également, et c'est pourquoi je penche pour une approche systémique, en regardant du côté des attaquants. Or, que font les cyberattaquants ? Ils commencent toujours par une phase de reconnaissance, qui inclut des étapes de vulnérabilité humaine. La matière première des attaquants, ce sont nos données, ils font du renseignement d'origine source ouverte - de l'open source intelligence, ou OSINT, en anglais -, une discipline qui n'est pas encadrée légalement et que nous avons intérêt à maitriser pour nous défendre. Pour se défendre, il faut penser comme des attaquants et regarder ce qu'ils voient - Sun Tzu : « Connais ton ennemi, mais connais-toi aussi toi-même. » La solution, me semble-t-il, passe par l'activité de veille et le renseignement d'origine source ouverte - beaucoup plus que par la sanction. Car attention, on parle beaucoup des sanctions prévues par NIS 2, il faut y réfléchir à deux fois : des entreprises vont dépenser de l'argent pour se protéger, mais on va les sanctionner quand elles seront victimes d'attaques, alors que même les grands groupes, malgré leurs moyens, peuvent être victimes d'attaques, en particulier par l'exploitation de données personnelles. Quels sont les moyens prévus pour contrebalancer ces sanctions ? Quels sont les moyens donnés aux forces de l'ordre et aux équipes de cybersécurité pour diminuer le risque ? Je suis convaincu que le renseignement d'origine source ouverte fait partie de la réponse.
M. Olivier Cadic, président. - Ce n'est effectivement pas en ajoutant toujours plus d'argent qu'on gagnera nécessairement la guerre - et, pour anticiper, il faut comprendre l'adversaire...
M. Christian Daviot, membre du CyberCercle. - Le CyberCercle rassemble depuis 2012 des acteurs économiques, des administrations et des élus, il a débattu plusieurs fois du projet de loi dont nous parlons aujourd'hui. Nous partageons les objectifs de cyber-résilience portés par les directives, étant très au fait des risques numériques des entreprises et des collectivités territoriales, ainsi que de leurs faibles capacités à y faire face.
Dans le temps qui m'est imparti, je soulignerai les flous de ce texte, qui peuvent être des loups, et je vous proposerai quelques pistes de bon sens, dont nous vous proposerons le détail par écrit, sachant que mon propos est issu des débats que nous avons eu au sein du Cybercercle.
Il y a un flou, d'abord, sur le champ d'application du texte. Si la directive NIS 2 fixe des secteurs d'activité, les critères de désignation des entités essentielles ou importantes sont à la discrétion des États membres. La directive prévoit de cumuler les chiffres de l'entité, le personnel, le chiffre d'affaires, le bilan, avec une partie de ceux des sociétés du groupe auxquelles l'entité appartient - mais elle donne aussi la possibilité aux États membres de prendre en compte uniquement les chiffres de l'entité si les systèmes d'information utilisés par cette entité dans le périmètre de NIS 2 sont indépendants de ceux du groupe. Cette option n'étant pas intégrée dans le projet de loi, toute entité d'un groupe sera donc vraisemblablement considérée comme une grande entreprise, quelle que soit sa taille réelle, ce qui est un problème.
L'article 8 du projet de loi dispose qu'un décret en Conseil d'État confiera au Premier ministre le soin de désigner par arrêté les entités publiques soumises à la réglementation, sans plus de précision. Le projet de loi renvoie par 29 fois à des décrets en Conseil d'État, ce qui n'apporte pas de sécurité juridique aux entités visées. Personne ne peut dire combien d'entités seront concernées, d'autant qu'il y aura nécessairement une extension de l'application aux sous-traitants par la voie contractuelle. Nous serons donc bien au-delà des 15 000 entités annoncées.
Il y a un flou, aussi, sur les coûts à la charge des entités visées. Le coût moyen de mise en conformité était estimé à 400 000 euros dans la note du 15 mars 2024, mais le directeur général de l'Anssi a parlé de 200 000 euros devant votre commission spéciale. Ces coûts moyens sont relatifs à la seule transposition de NIS 2, REC et Dora. Il nous semble délicat de demander de telles dépenses au motif qu'une attaque couterait plus cher. Ensuite, on fait comme si l'entité était toujours incapable d'effectuer une analyse de risque, ce n'est pas le quotidien des dirigeants d'entreprises ni de toutes les collectivités territoriales. Selon les chiffres avancés, le coût global à la charge des entités visées oscillerait entre 3 et 6 milliards d'euros, c'est considérable et cela n'irait pas sans répercussion sur le coût des produits et services.
Il y a également un flou à propos des sanctions. Le Conseil d'État estime que si l'on exclut les collectivités territoriales des sanctions, il y a rupture d'égalité et obstacle à l'atteinte des objectifs de NIS 2. Les sanctions visant les dirigeants d'entreprises seront dans la loi, mais il a été indiqué qu'elles ne seront pas appliquées. Dire qu'il n'y aura pas d'interdiction de gestion temporaire, cela vide de sens la commission des sanctions. Nous nous interrogeons aussi sur sa composition, nous aurons des amendements.
Le rôle de l'Anssi comporte aussi du flou. Le Conseil d'État suggère que le Premier ministre puisse nommer une autre autorité pour contrôler les opérateurs, mais les missions de l'Anssi n'étant pas modifiées, cette possibilité reste théorique. Il est paradoxal d'affirmer que l'Anssi concentrera ses interventions sur les entités essentielles et vouloir y centraliser l'ensemble des procédures relatives aux entités importantes. La cybersécurité étant liée au métier, il faut donner un rôle aux ministères coordonnateurs des secteurs d'activité concernés et au tissu institutionnel et économique de proximité.
Il y a un flou, encore, dans la partie de l'étude d'impact relative à la transposition de NIS 2. Le Conseil national d'évaluation des normes a donné un avis négatif sur tous les articles pour lesquels il était consulté, mais l'étude d'impact n'en donne pas les raisons.
Nous avons trouvé également des loups dans ce projet de loi de transposition.
Toutes les parties prenantes sont attentives à la surtransposition des directives, mais nous sommes souvent moins attentifs à la sous-transposition, alors qu'elle est ici significative et qu'elle porte sur des enjeux majeurs. Ainsi, ce projet de loi ne reprend que deux des quatre objectifs fixés par l'article 2 de la directive NIS 2. La directive demande aux États membres d'adopter une stratégie nationale de cybersécurité et de la réviser tous les cinq ans : cela n'apparait pas dans la transposition. Un projet de stratégie existe mais il n'a pas été rendu public, nous avons pu le consulter, et voir qu'il ne reprenait pas les objectifs de la directive.
Le projet de loi ne reprend pas non plus les dispositions relatives aux règles et obligations pour le partage d'informations en matière de cybersécurité, prévues pourtant à l'article 29 de la directive. De même, le projet de loi ne reprend pas la définition d'un incident, qui figure à l'article 6 de la directive NIS 2. Cela peut avoir des conséquences, comme en 2002, où le choix de ne pas transposer la définition de l'expression « support durable » a compliqué la situation des opérateurs économiques. La Belgique, elle, a transposé intégralement cet article 6.
Nous vous proposerons en conséquence des pistes de bon sens, que je vous présente ici très succinctement - et que nous vous enverrons par écrit.
Nos amendements, d'abord, viseront à transposer l'article 4 de la directive REC et l'article 7 de la directive NIS 2 relatifs aux stratégies, l'article 29 de NIS 2 relatif aux accords de partage d'informations en matière de cybersécurité. Nous vous proposerons d'amender l'article 5 relatif à l'Anssi, l'article 6 pour intégrer la définition d'un incident, les articles 8, 10 et 11 pour préciser les entités visées, l'article 37 pour préciser les sanctions.
Nous vous proposerons, enfin, une piste de méthode pour appliquer ces règles nouvelles au plus près des acteurs économiques, en confiant aux ministères sectoriels une part de la définition des entités concernées - c'est l'article 12 du projet de loi -, mais aussi dans la définition des référentiels de contrôle de conformité. La démarche du ministère des Armées pour les entreprises relevant de la base industrielle et technologique de défense (BITD) nous semble exemplaire, elle pourrait être déclinée dans les secteurs d'activité visés par NIS 2. Enfin, nous suggérons d'ajouter un représentant du ministère coordonnateur du secteur d'activité auquel appartient l'entité mise en cause et d'un représentant de la branche professionnelle de ce secteur à la commission des sanctions, afin que les sanctions prises prennent en compte toute considération utile.
M. Olivier Cadic, président. - Merci pour ces propositions.
M. Michel Canévet, rapporteur pour la commission des finances. - Je suis particulièrement intéressé par la directive Dora, qui aurait dû entrer en application la semaine dernière, elle est un peu en retard, cela tient à l'absence de normes techniques réglementaires (RTS) et de certaines conditions de mise en oeuvre. Avez-vous des informations sur les éléments communiqués aux tiers par l'Autorité des marchés financiers (AMF) ou par l'Autorité de contrôle prudentiel et de résolution (ACPR) ?
La directive Dora semble surtransposer les règles concernant les sociétés de financement, notamment pour ce qui concerne le leasing et l'affacturage : avez-vous des échos dans ce sens ? Ne faudrait-il pas adopter une approche mieux proportionnée en fonction des acteurs ?
Un prestataire doit être opérationnel. Or, l'écosystème est pour une grande part d'origine américaine. Est-il possible de développer un écosystème français ou européen, et de réduire notre dépendance à l'égard des Américains ?
Enfin, les régulateurs devront faire du reporting en permanence. Si l'Anssi est équipée pour assurer une couverture permanente, ce n'est pas le cas de l'ACPR ni de l'AMF : des évolutions vous semblent-elles nécessaires ?
Des entreprises sont soumises aux prescriptions de Dora et à celles de NIS 2. Ces charges ne sont-elles pas excessives et l'application des deux directives ne conduit-elle pas à une sur-réglementation ?
M. Patrick Chaize, rapporteur pour la commission des affaires économiques. - La directive NIS 2 est d'une importance capitale, car les changements attendus pour le monde économique sont significatifs dans toute l'Union européenne, mais plus particulièrement en France. En matière de périmètre, le nombre d'entités régulées passe de 500 à 15 000 et le nombre de secteurs économiques concernés passe de 6 à 18 par rapport au cadre de régulation de NIS 1. Cela concerne désormais tous les systèmes d'information des entités régulées et représente un changement majeur de paradigme. Il ne s'agit plus seulement de sécuriser les infrastructures critiques, mais d'assurer la résilience des entités critiques en tant qu'organisation - la couverture est beaucoup plus large.
Je me réjouis de pouvoir entendre vos avis, car vos organisations ont toutes animé des rencontres autour de la transposition de la directive NIS 2 et publié de la documentation générale ou technique à l'attention de vos membres et du grand public. Depuis plus d'un mois, nous menons des auditions auprès de différents représentants sectoriels et j'ai constaté l'ampleur du chemin qu'il reste à parcourir pour une plus grande prise de conscience collective.
Pensez-vous que les entreprises que vous représentez sont suffisamment informées des changements à venir, en particulier le fait qu'elles devront elles-mêmes évaluer si elles entrent dans le champ d'application de la directive, et le cas échéant s'enregistrer auprès de l'Anssi et lui notifier les incidents de cybersécurité ?
Sur la procédure de notification des incidents, la directive NIS 2 prévoit la transmission « sans retard injustifié » d'une alerte précoce dans un délai de 24 heures, puis la transmission d'une notification d'incident dans un délai de 72 heures. Le projet de loi, lui, ne mentionne pas ce double délai. Il contraint les entités à notifier leurs incidents sans délai et évoque la notification d'incidents « critiques » plutôt que d'incidents « importants ». Qu'en pensez-vous ? Sont-ils de nature à surtransposer ou sous-transposer la directive ? Et surtout, sont-ils de nature à affaiblir ou à renforcer notre réponse collective aux cybermenaces ?
Enfin, le Gouvernement a fait des choix sur le périmètre retenu, qu'il nous faut examiner de près. L'inclusion des établissements d'enseignement menant des activités de recherche, des collectivités territoriales, notamment les départements, les métropoles, les communautés urbaines, les communautés d'agglomération et les communes de plus de 30 000 habitants, et l'élargissement du périmètre des entreprises concernées sont autant d'éléments à prendre en compte. Les critères de taille et de chiffre d'affaires sont fixés alternativement, alors que les textes européens les fixent cumulativement. Ces choix sont-ils partagés par les autres États membres ?
Le régime de contrôle et les sanctions prévues sont perçus comme trop punitifs et insuffisamment préventifs. Les acteurs économiques s'inquiètent du coût financier des contrôles réalisés par l'Anssi, qui seraient à leur charge. Je m'interroge sur l'absence de prise en compte du caractère intentionnel de la non-transmission d'informations à l'Anssi, la possibilité d'engager la responsabilité des dirigeants d'entreprise et la rupture d'égalité induite par l'absence de sanctions prévues pour les administrations de l'État. Qu'en pensez-vous ?
M. Hugues Saury, rapporteur pour la commission des affaires étrangères. - Merci pour la clarté de vos propos, dans ce domaine complexe où le jargon prend souvent le dessus : la simplicité est une qualité.
Quels enseignements tirez-vous de la mise en oeuvre de la directive NIS 1 et de sa transposition en droit français, qui inciteraient à amender le texte du Gouvernement pour transposer NIS 2 ?
Sauf exception pour la défense, le Gouvernement a choisi de confier à une autorité unique, l'Anssi, la mise en oeuvre de la politique gouvernementale en matière de sécurité des systèmes d'information, alors que ce choix n'était pas imposé par la directive NIS 2 : ce choix vous semble-t-il pertinent ?
L'article 6 du projet de loi ne reprend pas les définitions d'incident figurant dans la directive NIS 2, précisées par la suite par un règlement d'exécution du 17 octobre 2024. Cette absence vous semble-t-elle poser des difficultés d'application ? Les définitions retenues par le Gouvernement vous semblent-elles opérantes et suffisamment claires ?
M. Daniel Le Coguic. - Je me focaliserai sur le budget et les éléments de politique industrielle.
Il y a, d'abord, le budget des opérateurs étatiques, en charge de suivre la mise en place du programme ; ce sera à l'État d'en décider, en particulier si c'est l'Anssi qui en est chargée. La dépense à prévoir porte sur plusieurs années, il faut doter les opérateurs en conséquence, donc de crédits pluriannuels. L'application de NIS 1 et la séquence des JO nous montrent qu'il faut trois composantes au budget, trois lignes budgétaires : une pour la sensibilisation, la formation, la communication, sachant que les actions à conduire varient en fonction des priorités, des cibles, des territoires ; il faut une impulsion, sachant qu'il y aura des relais institutionnels, par les organisations professionnelles, les collectivités locales et l'industrie ; deuxième ligne budgétaire, des crédits pour les diagnostics : il faut aider les cibles à connaître leur vulnérabilité, on l'a vu dans les JO pour les stades, cette action doit inclure de la remédiation ; enfin, la troisième ligne budgétaire doit aller à des expérimentations technologiques, pour la mise en oeuvre elle-même.
Il faudrait que ces trois lignes budgétaires soient centralisées, comme cela a été fait pour les JO - le plan d'expérimentation cofinancé par l'État et les industriels a donné des résultats importants, il faut poursuivre dans ce sens : 80 % des solutions expérimentées étaient françaises et plus de 96 % européennes, 77 % venaient de PME et de start-up, cela démontre qu'on peut répondre au défi tout en soutenant l'effort d'innovation européen et français.
Nous proposons, ensuite, de soutenir fortement les efforts des entreprises pour la cybersécurité, en mettant en place l'équivalent d'un crédit d'impôt recherche (CIR) pour les inciter à appliquer les nouvelles règles et alléger leur effort financier.
M. Benjamin Leroux. - Les entreprises qui doivent se mettre en conformité sont-elles assez informées ? Celles qui font déjà de la cybersécurité, oui, mais celles qui ne se sentent pas concernées, à tort, vont devoir s'y plonger et elles auront beaucoup de travail - et c'est pourquoi il faut plus de communication.
En matière de régulation et de reporting, il est important de savoir vers qui se tourner, des retours d'expérience montrent que l'ensemble est flou et que les entreprises ne savent pas bien à qui s'adresser - d'où le sujet du guichet unique, du formalisme, c'est concret.
Oui, il faut avoir les définitions les plus claires possibles, dans le texte, pour savoir ce qu'est un incident et ce qu'il faut faire selon le type d'incident qui se produit, à qui s'adresser et dans quel calendrier précis - le facteur temps est décisif dans la crise cyber, le formalisme ne doit pas ralentir l'action, il faut aller vite pour redémarrer les systèmes et limiter les pertes : la notification et le partage d'informations sont importants, mais il ne faut pas les privilégier au détriment de la réactivité.
Deux autres enseignements de la directive NIS 1. Le volet cyber des différentes versions de la loi de programmation militaire (LPM) a initié une dynamique pour les structures concernées, avec des réflexes tels que l'homologation, l'audit et le contrôle. En revanche, NIS 1 n'a pas eu un effet aussi important, car des structures se sentaient beaucoup moins concernées. La question de la sanction, qui reste un élément structurant en particulier pour les entreprises, sera utile pour inciter à se protéger.
Enfin, le choix de l'Anssi comme autorité unique nous semble pertinent. L'Agence a fait un travail de fond pour se rendre visible, elle est reconnue pour son accompagnement et, même si elle doit désormais s'adapter pour parler à plus de structures, la dynamique initiée est intéressante à poursuivre.
M. Sebastien Garnault. - Avons-nous eu des informations pour les acteurs financiers, via l'ACPR ou la Banque de France ? Non, mais nous sommes proches de Paris Europlace, qui a un nouveau président de sa commission cyber, c'est par ce canal que nous coopérons avec les institutions financières.
Sur l'écosystème européen, il n'est pas toujours facile de donner une nationalité à une entreprise : est-ce qu'Air France est française, quand 49 % de ses parts sont détenues par les Pays-Bas ? En réalité, on peut faire de la souveraineté avec de l'argent étranger, voyez le projet américain Stargate, financé par le Japon, et je crois que le plus important, c'est de connecter nos industries nationales avec l'activité, les projets. Si on veut faire un marché unique, il faut connaître nos collègues, et c'est ce que nous faisons en développant nos relations avec les agences européennes et nos collègues du secteur privé.
L'articulation entre Dora et NIS 2 ne va pas de soi, c'est un euphémisme. En réalité, beaucoup de gens ne sont pas suffisamment informés, - ils s'informent comme ils le peuvent -, et c'est aussi pourquoi il y a ici une responsabilité politique : le jour où un ministre prendra le sujet à bras-le-corps et définira une stratégie claire et dotée de moyens, le sujet aura véritablement de la visibilité. Cela aiderait beaucoup que l'impulsion vienne du plus haut niveau, on l'a vu pendant la crise sanitaire avec l'application StopAntiCovid, il a suffi d'une annonce du Président de la République pour avoir des millions de téléchargements dans la journée et propulser cet outil qui paraissait ne jamais pouvoir décoller... Le sujet est interministériel, c'est pourquoi nous aurions aimé qu'un ministre délégué auprès du Premier ministre en soit chargé.
Les délais sont intéressants, car il y a une « mise en défaut par défaut » qui permettra à l'Anssi de perquisitionner si vous n'avez pas respecté les délais, donc d'avoir un accès direct - cependant, en tant que chef d'entreprise, cela me questionne sur le secret des affaires.
Un problème, me semble-t-il, vis-à-vis des collectivités territoriales : ce projet de loi exonère les communes de moins de 30 000 habitants, alors qu'elles sont souvent les premières victimes et les plus faibles. Je crois qu'il vaut mieux les couvrir aussi contre le risque cyber, et miser sur une montée en compétence des élus. Je suis à votre disposition pour mettre le sujet au coeur du prochain Congrès des maires, c'est un sujet dont il faut parler clairement, d'autant que cela va coûter de l'argent.
L'autorité chargée de la mise en place, ensuite. En général, quand on est un régulateur et qu'on sanctionne, on est une autorité administrative indépendante. L'Anssi est très concrètement à nos côtés, elle nous accompagne, ce serait dommage qu'elle se retrouve dans la position de la CNIL, qui ne va pas sans défiance...
Oui, REC s'articule avec NIS 2, mais nous ne sommes pas les mieux placés pour en parler, vous aurez plus d'éléments dans vos auditions des semaines à venir.
Mme Anne Elise Jolicart, membre de CyberTaskForce. - Une précision sur les enseignements à tirer de l'application de la directive NIS 1. Elle visait à renforcer la résilience, on a vu alors qu'il y avait des trous dans la raquette ; la bonne nouvelle, c'est que NIS 2 veut les combler, en changeant de paradigme, avec un nouveau périmètre et une définition des vulnérabilités qui couvre les aspects techniques, mais aussi le facteur humain. La directive est claire sur ce point, et nos voisins allemands, italiens et belges l'ont précisément transcrite, y compris, pour les Allemands, en chiffrant le rançongiciel par exemple, c'est une avancée pour renforcer la résilience.
La question des définitions est fondamentale. Albert Einstein disait que s'il avait une heure pour sauver le monde, il passerait 55 minutes à définir le problème et 5 minutes pour le résoudre. Si on ne définit pas bien le problème, je ne vois pas comment on pourra atteindre les objectifs de la directive. Le Conseil d'État a rappelé l'importance des définitions, y compris si cela implique d'ajouter des définitions qui ne sont pas dans le texte originel. C'est ce qu'ont fait les Allemands et les Italiens quand ils ont repris la définition d'approche tous risques qui inclut expressément le risque lié au facteur humain.
M. Christian Daviot. - Il n'y a pas eu d'évaluation sérieuse de NIS 1 - celle qui a été faite à l'échelon européen n'a été lue par personne, ce qui vaut peut-être mieux... En France, nous avons surtransposé NIS 1, en ajoutant 9 secteurs d'activité.
Un élément qui nous différencie peut-être dans cette table ronde : nous pensons que, pour les collectivités territoriales, l'échelon régional est le bon, et qu'il ne faut pas descendre jusqu'aux communes, sauf peut-être à relever le seuil démographique, par exemple à 80 000 habitants. La directive mentionne l'échelon régional, il nous parait le meilleur, il y a d'autres façons de couvrir les communes qu'avec les obligations et sanctions prévues par NIS 2, qui peuvent passer par la voie réglementaire.
Enfin, sur le pilotage, nous pensons que la question est moins celle de l'autorité unique que celle de l'efficacité du dispositif d'ensemble, qu'il faut évaluer. France 2030 a engagé environ 750 millions d'euros sur la cybersécurité, cet argent a-t-il été dépensé efficacement, quels sont les enseignements d'organisation ? Nous avons besoin d'une évaluation globale du dispositif national de cybersécurité. Il faudrait s'appuyer sur des structures existantes pour aider à mettre en oeuvre une stratégie d'ensemble, mais l'Anssi ne peut pas tout faire, en particulier en région.
M. Farid Lahlou, membre de l'Alliance pour la confiance numérique. - J'ai co-fondé la société BonjourCyber, qui développe un outil ciblé sur la protection des PME et des ETI. Quand une entreprise se demande comment se déclarer, une grande partie du chemin est déjà fait ; la vraie difficulté, c'est de concerner les entreprises qui ne connaissent pas du tout le danger, ni les parades. Les entreprises recherchent avant tout un retour sur investissement, elles se focalisent sur leur trésorerie et leur chiffre d'affaires, il est difficile de les intéresser d'emblée à une menace qu'elles ne perçoivent pas.
L'initiative des chèques cyber de la région Île-de-France montre, me semble-t-il, que la communication n'est pas qu'institutionnelle, elle gagnerait à être aussi commerciale : les entreprises de cybersécurité jouent un rôle clé dans l'identification des entreprises soumises à NIS 2, nous n'avons pas suffisamment souligné leur rôle.
Enfin, on demande aux entreprises de se déclarer dans des délais raisonnables et l'on parle de sanctionner celles qui ne l'auront pas fait ; prises par leurs problèmes de trésorerie, leur focus sur le chiffre d'affaires, les entreprises risquent fort de reporter leur déclaration, donc des sanctions par la suite ; puisque le mécanisme de sanction n'est pas prêt d'être en place, est-ce qu'une incitation serait possible entretemps, pour accélérer le mouvement ?
M. Ludovic Haye. - Merci pour ces propos complets et complémentaires les uns des autres. Quand un élu local me dit que la loi est mal faite, je réponds qu'il est difficile de faire des normes qui vaillent aussi bien pour une métropole de plus de 100 000 habitants, que pour un village de 50 habitants. Ce qu'il faut, c'est une bonne articulation sur le dernier kilomètre, c'est là où nous avons notre rôle, cela vaut aussi pour la cybersécurité et l'application de NIS 2. L'écart est énorme entre une entreprise du CAC 40, qui dispose d'une direction des services informatiques importante, et une commune qui a pour toute ressource technique une secrétaire de mairie à temps partiel... Il y a un sujet de bon sens, de système D, qui ne coûte pas cher, mais qui a son importance. Lorsque je visite des communes, je demande si les services ont au moins une sauvegarde - la plupart du temps, la réponse est floue, me confirmant qu'un plan de reprise d'activité n'a pas été fait et qu'on n'est pas en mesure, le jour de l'attaque, de repartir. La directive NIS 2 ne doit pas être une épée de Damoclès supplémentaire pour les communes, une menace supplémentaire d'amende administrative : ce n'est pas la sanction qui va résoudre le problème des communes, il faut les accompagner dans le dernier kilomètre.
Enfin, j'alerte sur le caractère opportuniste de certaines entreprises sur le marché de la cybersécurité, qui prétendent avoir les solutions pour parer à tout : les maires et les adjoints ont besoin d'accompagnement pour séparer le bon grain de l'ivraie.
Mme Catherine Morin-Desailly. - Vous avez parlé des conditions normales de la commande publique comme levier de développement pour nos entreprises françaises et européennes. Qu'entendez-vous par conditions normales, alors que nombre d'entreprises européennes dénoncent des rédactions biaisées dans les appels d'offres, qui favorisent les entreprises extra-européennes ? C'est ce qui s'est passé avec la plateforme des données de santé.
La Direction interministérielle du numérique (Dinum) a-t-elle des directives précises sur ce point ? La Cour des comptes travaille actuellement sur ce sujet, qui répond à la question pertinente de M. Canévet : avons-nous les moyens de développer un écosystème numérique et de récupérer progressivement des briques de souveraineté ?
Mme Michelle Gréaume. - La cybersécurité en entreprise, comme celle des petites collectivités territoriales, est d'autant plus menacée que la vulnérabilité a augmenté avec le développement du télétravail, lui-même lié à la crise sanitaire. Les TPE et les PME sont logiquement les premières cibles des criminels, alors qu'elles ont moins de moyens pour se protéger. Dès lors, comment rendre plus attractifs les investissements en cybersécurité, en faire un atout économique de protection des salariés, de l'activité et une opportunité pour les entreprises de votre secteur ?
Concernant la commande publique, quels freins rencontrent aujourd'hui les entreprises du secteur pour gagner des marchés publics, en dehors des parts de marché importantes des États-Unis ?
La manipulation des élections en Europe, notamment l'annulation d'un scrutin présidentiel en Roumanie en raison de la diffusion de fausses informations et de manipulations numériques d'ampleur, pose question. La situation a donné lieu à une passe d'armes entre Elon Musk et Thierry Breton. Dans quelle mesure la protection des systèmes électoraux constitue-t-elle un enjeu pour les entreprises de votre secteur, alors que les élections législatives allemandes sont menacées par la manipulation et la désinformation ?
Enfin, la panne informatique mondiale de juillet 2024 a montré la fragilité du système numérique global, notamment pour les entreprises utilisant les logiciels de Microsoft avec CrowdStrike. Comment analyser cette panne et l'évolution de la cybersécurité en France ?
M. Olivier Cadic, président. - Je propose, surtout vu le temps imparti, de laisser de côté les questions concernant la manipulation de l'information, car ce sujet n'entre pas exactement dans notre sujet.
Mme Audrey Linkenheld. - À Lille, nous avons subi une cyberattaque d'ampleur, alors que j'étais première adjointe de Martine Aubry, et cette expérience me fait souligner qu'en matière de cybersécurité, comme vous le dites, le problème et la solution résident aussi bien dans les gens que dans les systèmes - donc pas seulement dans les systèmes informatiques.
La différence entre les collectivités et les entreprises, c'est que si les entreprises voient un impact financier immédiat aux menaces cyber, ce n'est pas tout à fait aussi vrai pour les collectivités. L'enjeu pour elles n'est pas tant financier que dans la continuité des services publics et dans la question du process plus général, qui n'est pas toujours informatique. Il faut examiner cet aspect des choses et répondre à cette question : si le système informatique fait défaut, comment rend-t-on quand même le service public ? Ce n'est pas qu'une question d'argent, il faut un accompagnement, pour anticiper les choses et connaitre nos vulnérabilités.
Enfin, que pensez-vous des computer security incident response team (CSIRT) mis en place à l'échelon régional avec du soutien public ?
M. Stéphane Meynet, membre du CyberCercle. - Les entreprises sont préoccupées par la conformité aux normes internationales ou sectorielles, ce qui leur permet d'avoir des parts de marché supplémentaires ou de ne pas en perdre, plutôt que de se conformer à une réglementation sur la cybersécurité, il faut prendre en compte cette réalité.
La mise en place d'un nouveau texte oblige les entreprises à démontrer leur conformité à des normes et à des réglementations, ce qui représente un double travail. Ne peut-on pas harmoniser les réglementations pour simplifier le travail des entreprises et des collectivités territoriales ? Il serait utile de dresser un état des lieux de ce qui existe avant de proposer un texte supplémentaire...
M. Daniel Le Coguic. - Cette transposition donne l'occasion de mettre en mouvement la filière de la cybersécurité, au service des territoires, des organisations publiques et des entreprises - et mon message est simple : il faut être ensemble, anticiper, innover et collaborer. C'est le point clé, beaucoup de cibles sont manquées, il faut simplifier le chemin de la mise en conformité avec des solutions technologiques.
Nous avons aussi besoin d'un programme de filière, avec une dimension de service et une dimension d'expertise, nous manquons de ressources humaines et d'outils technologiques. Il faudra peut-être faire un effort de certification, de labellisation des entreprises qui seront « NIS 2 compatibles », à nous de proposer une forme d'habilitation, de labellisation, ceci pour simplifier les décisions des collectivités, des hôpitaux, des entreprises. La commande publique a son rôle à jouer, évidemment. Il ne s'agit pas de suréquiper les collectivités, mais de définir des solutions adaptées aux besoins. L'industrie doit avoir une vision de prédiction sur le long terme pour proposer une économie générale intéressante. Il faudra s'inspirer de ce que fait la Direction générale de l'armement (DGA) ou l'armée dans le cadre de la LPM. Cela donnera la visibilité aux industriels dans le cadre d'un programme sur plusieurs exercices.
M. Benjamin Leroux. - Il faut apprendre de nos expériences pour éviter de répéter les erreurs du passé, notamment celles du RGPD - tout le monde disait alors avoir une solution miracle, mais les problèmes ont persisté...
La certification et la labellisation sont des sujets importants. Il y a des solutions, mais il faut les adapter pour être à la bonne échelle ; les visas de sécurité de l'Anssi peuvent être une solution, à vérifier - il faut s'inspirer de l'existant pour éviter des coûts supplémentaires pour les sociétés de cybersécurité, la labellisation coûte cher, alors qu'il faut être opérationnel rapidement. Il faudrait peut-être un label d'échelon européen, pour faire le tri entre les professionnels européens les plus adaptés et les opportunistes, mais aussi conforter les acteurs les plus compétitifs.
Oui, le facteur humain, l'organisation sont décisifs, au-delà de la technologie. La cybersécurité a besoin de sensibilisation et de préparation. Il faut prévoir le pire et savoir comment gérer une crise. Cela doit faire partie de l'accompagnement, car pendant la crise, il faut poursuivre les activités, que ce soit pour une entreprise ou une administration.
La panne informatique de juillet 2024, liée au logiciel CrowdStrike, nous alerte sur le risque avec les solutions d'accès distant, des pare-feu ont fait l'objet de vulnérabilités. L'Anssi s'en est inquiétée, il est malheureux que des briques de cybersécurité... posent des problèmes de cybersécurité. Le Cyber Resilience Act devrait responsabiliser ceux qui fabriquent des objets numériques, pour qu'ils y mettent un peu plus de protection par défaut.
Mme Anne Elise Jolicart, membre de CyberTaskForce. - Nous avons travaillé sur les vulnérabilités humaines, et précisé les choses dans des fiches, que nous pourrons vous transmettre.
Un mot sur la question de la lutte contre la manipulation de l'information, un domaine que je connais bien, en tant que membre de groupes de travail du CNRS sur le sujet et réserviste opérationnelle pour l'armée. Lutter contre les vulnérabilités humaines et maitriser l'empreinte numérique des citoyens, cela revient précisément à traiter cette menace, les sujets sont très liés.
M. Philippe Luc. - Des actionnaires et des administrateurs d'entreprises cotées, par exemple, peuvent être influencés ou contraints, voire déstabilisés par des actions d'origine cyber. Et il faut bien voir que dans les élections pour le Brexit ou la première élection de Donald Trump, le piratage n'a pas porté sur les systèmes électoraux, mais sur les cerveaux des électeurs. C'est tout à fait comparable pour les actionnaires et les responsables d'entreprise, ils sont des cibles pour les menaces cyber.
M. Olivier Cadic. - Je suis tout à fait d'accord. Viginum a publié un rapport pour prévenir les entreprises des menaces de divers ordres, qui peuvent avoir un impact sur le cours de la Bourse. Cependant, ces aspects ne font pas partie de ce projet de loi de transposition. Mais si vous pensez qu'il faut ajouter des articles pour trouver des moyens de lutter contre la désinformation, vous pouvez compter sur moi - même si je ne vois pas bien comment la loi pourrait empêcher, par exemple, que de grandes personnalités reprennent les éléments de langage de pays étrangers sur nos propres chaînes de télévision... Le sujet est donc ô combien intéressant, mais il n'est pas dans le texte auquel nous devons nous tenir.
M. Sébastien Garnault. - Nous sommes d'accord avec l'idée qu'en dessous de 30 000 habitants, par exemple, il vaille mieux passer par les intercommunalités que s'adresser aux communes, il faut rechercher la solution la plus efficace.
Sur la lutte contre la manipulation informationnelle, des coopérations existent entre pays européens ; après l'annulation de l'élection présidentielle en Roumaine, le directeur de l'Anssi roumaine nous a transmis des documents aussitôt qu'ils avaient été déclassifiés - la coopération n'est pas institutionnalisée mais elle existe, entre personnes, même s'il ne faut pas oublier que sur des sujets aussi sensibles, l'intérêt national prime rapidement. Les Américains, il faut le dire aussi, savent très bien exploiter le marché de la menace cyber.
Enfin, s'agissant des CSIRT régionaux, je ne peux que vous transmettre ce qu'on m'en dit, car je n'en ai pas d'expérience directe. On me dit qu'il y a un problème de fond, et de forme. Il y aurait une perte d'information. Et leur financement par l'État ne semble pas pérenne, sans que les régions paraissent devoir prendre le relais - pour ce que j'en sais, ce n'est pas très positif.
M. Christian Daviot. - Attention, les CISRT régionaux ne sont pas de véritable CSIRT, il faudrait arrêter de les désigner par ce terme. Cette appellation est normalisée et obéit à des règles ; or, les personnes travaillant actuellement dans ces structures régionales n'assument pas les missions qui sont censées être celles d'un CISRT.
M. François Coupez, membre du CyberCercle. - L'aspect humain est pris en compte dans la directive NIS 2. L'article 20 sur la gouvernance prévoit des formations pour les dirigeants et une sensibilisation des personnels. Ces éléments viendront a priori dans les textes réglementaires en application de la loi, avec des obligations de formation spécifiques pour les acteurs du numérique, qui sont déjà couverts par le règlement d'exécution du 17 octobre 2024 - nous pourrons vous en détailler le contenu par écrit, il y a tout un ensemble de mesures, un encadrement avec les chartes d'utilisation des moyens de système informatique, et des sanctions.
Les règles prévues par Dora et NIS 2 sont articulées, puisque dès qu'un établissement - du secteur bancaire, financier ou assurantiel - respecte Dora, il est conforme à NIS 2. Des questions se posent sur les procédures de notification, pour éviter les doublons ou les lourdeurs ; l'ACPR et l'Anssi se concertent actuellement pour faire au mieux, il faut s'assurer que les règles nouvelles n'alourdissent pas les procédures. Dora prévoit des règles plus fortes, qui de ce fait satisfont NIS 2. Mais il faut bien voir que le mouvement va se prolonger, il y aura une directive NIS 3, qui sera un mix entre les deux - quelque chose comme une directive « Doris » -, avec un contrôle jusqu'au dernier sous-prestataire, que l'on trouve dans la résilience opérationnelle de Dora. La directive NIS 2 comprend une clause de revoyure, comme le faisait NIS 1, et l'on sait que vers la mi-2027, on va se poser la question du prochain texte, qui entrera en vigueur mi-2028.
Les contraintes ne portent pas uniquement sur les entités essentielles, elles vont être sur leurs sous-traitants, à travers des audits très précis sur l'activité des sous-traitants. Il va se passer la même chose qu'il y a vingt ans avec le Règlement 97/02 sur les établissements financiers, les prestataires vont devoir s'adapter pour devenir sous-traitants d'opérateurs couverts par NIS 2, cela va tripler voire quadrupler le nombre d'acteurs couverts par ces règles.
M. Olivier Cadic, président. - Merci pour toutes ces informations. Je reprendrai les mots de Daniel Le Coguic : il nous faut être ensemble, collaborer. Si nous avions été ensemble et si nous avions collaboré, il n'y aurait peut-être pas eu besoin des CSIRT régionaux et l'argent public aurait été dépensé autrement. Nous devons donc travailler ensemble, et avant de dépenser de l'argent public, commençons par nous interroger sur les objectifs - il est toujours trop confortable de se dire qu'en mettant plus d'argent sur la table, on règle les problèmes...
Sous réserve de l'approbation de la conférence des présidents, nous pourrions examiner ce projet de loi le 11 mars prochain. Je vous invite à nous faire parvenir par écrit vos analyses et vos propositions d'amendements, nous les partagerons avec tous les rapporteurs.
Je souhaite une transposition intelligente de NIS 2, c'est-à-dire faite par les professionnels, pour les professionnels. Chacune de vos propositions sera partagée entre vous tous, nous ne vous dirons pas nécessairement d'où ces propositions viennent, mais nous vous demanderons votre avis - nous voulons que nos ajouts, finalement, aient été passés au crible de la critique et qu'ils aient été élaborés de façon collective. On ne peut plus légiférer sans consulter ni même sans associer ceux qui seront chargés de l'application des normes : c'est une démarche nouvelle, nous voulons la conduire dans la transparence. Vous êtes les professionnels qui aurez en charge d'aider les entreprises à se mettre en conformité, il est donc essentiel que vous puissiez également examiner ce texte et y contribuer à votre niveau - je souhaite que ce travail soit interactif. Merci encore pour votre apport, il est essentiel.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 11 h 25.