Lundi 27 janvier 2025
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 15 h 5.
Audition de Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique
M. Olivier Cadic, président. - Madame la ministre, notre commission spéciale s'est constituée le 12 novembre dernier, et nous devions ouvrir notre cycle d'auditions par votre audition le 9 décembre, date que nous avions prévue avant que la censure n'entraîne la démission du précédent gouvernement. Après une si longue attente, nous vous remercions et nous réjouissons de votre présence ce matin, signe d'une continuité ministérielle bienvenue pour le suivi d'un texte très attendu par les professionnels de la cybersécurité et tous les utilisateurs de systèmes d'information, c'est-à-dire tout le monde !
En effet, ce projet de loi vise la transposition de trois directives différentes : la directive (UE) 2022/2557 sur la résilience des entités critiques, dite « REC » ; la directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS 2 » ; et la directive (UE) 2022/2556 qui concerne la résilience opérationnelle numérique du secteur financier, dite « Dora ».
Votre présence est aussi le signe qu'enfin le calendrier se dégage pour l'examen de ce texte en séance au Sénat, qui devrait intervenir le 11 mars prochain, sous réserve de confirmation dans les prochains jours par la conférence des présidents.
Avant de vous accueillir, la commission spéciale n'est pas restée inactive. Les rapporteurs ont mené des auditions et nous nous sommes rendus à Bruxelles auprès de la Commission européenne et des autorités belges qui ont d'ores et déjà transposé la directive NIS 2 selon un modèle intéressant faisant notamment référence à la norme ISO 27001. La commission a également entendu M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), et organisé deux tables rondes réunissant, d'une part avec le Mouvement des entreprises de France (Medef) et la Confédération des petites et moyennes entreprises (CPME), d'autre part avec des associations d'experts de la cybersécurité : l'Alliance pour la confiance numérique (ACN), le Clusif, le Cyber Cercle et la Cyber Task Force.
Ces auditions ont d'ores et déjà soulevé un certain nombre de préoccupations sur l'économie du projet de loi, le rôle de l'Anssi, les obligations et sanctions applicables aux entreprises.
La transposition de ces directives est essentielle pour renforcer la cybersécurité en Europe, mais le projet de loi présente des risques de divergences par rapport aux autres pays européens. D'après les premières auditions, il apparaît crucial d'adopter une approche proportionnée en évitant les surtranspositions et en harmonisant les obligations de sécurité.
Madame la ministre, avant de vous donner la parole, je rappelle que cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.
Mme Clara Chappaz, ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique. - Permettez-moi de vous remercier pour cette audition, dont l'organisation a en effet été bousculée par l'actualité politique des dernières semaines. C'est un honneur de pouvoir m'adresser à vous sur le renforcement de la cybersécurité et la résilience de nos infrastructures numériques, un sujet d'intérêt stratégique qui n'est plus réservé à des experts techniques.
Nous sommes confrontés à des menaces multiples et toujours plus nombreuses tant dans le monde physique que dans l'environnement numérique. Aux risques naturels, sécuritaires et sanitaires s'ajoutent des risques technologiques et des menaces liées à des ingérences étrangères. La crise sanitaire du covid-19 a souligné combien l'économie mondialisée reposait sur des chaînes de valeurs diffuses et des processus de production extrêmement fragmentés, de la conception à la distribution.
Toute perturbation de nos services essentiels, même initialement limitée à une entité ou un seul secteur, peut produire des effets en cascade et avoir une incidence négative de grande ampleur sur la fourniture des services au sein du marché européen. Au pic de la pandémie, le retour des contrôles aux frontières a perturbé la poursuite de certaines de nos activités.
Le contexte géopolitique, géoéconomique et sanitaire international se caractérise désormais par une particulière instabilité. Des conflits locaux ont une incidence mondiale, à l'instar de la guerre en Ukraine qui a perturbé l'approvisionnement en céréales, ou encore de la confrontation entre Israël et le Hamas. Les exemples de retard ou de pénurie de produits sont nombreux. Lors de la crise sanitaire, la prise de conscience de ce phénomène s'est accélérée, car la France a constaté sa dépendance par rapport à la production de paracétamol et autres principes actifs. De la même manière, la bascule majeure de notre pays en télétravail a accru notre exposition aux risques cyber.
Dans ce climat, l'utilité de chacun des titres du projet de loi dit « Résilience » est démontrée sans détour.
Le titre Ier, qui transpose la directive REC, s'attache d'abord à maîtriser la variété des risques auxquels sont confrontés nos infrastructures et opérateurs critiques. Nous ne partons pas de rien. En effet, dès 2006, la France a fait le choix précurseur de mettre en oeuvre un dispositif de protection des secteurs d'activité d'importance vitale. Mais l'évolution vers une plus grande imprévisibilité politique ainsi que la diversification des menaces doit conduire les opérateurs concernés à prendre en compte la sécurité non plus seulement de leurs installations physiques, mais de tous les éléments qui concourent au fonctionnement de leur activité.
En outre, la cybersécurité est désormais un pilier de notre souveraineté, une composante de notre robustesse économique et financière, et un préalable à la confiance que placent nos concitoyens dans les services numériques - vous l'avez dit, chacun d'entre nous en bénéficie. Une prise de conscience collective s'impose à nous au gré de la multiplication des incidents à tous les échelons.
C'est à cette question que s'attache à répondre le titre II du projet de loi consacré à la directive NIS 2. Là aussi, nous ne partons pas de rien : la France disposait dès 2013 d'une réglementation robuste pour renforcer la cybersécurité des systèmes d'information d'importance vitale. Ce cadre a été complété avec la directive NIS 1, au profit de près de 300 opérateurs de services essentiels (OSE) qui étaient la cible privilégiée d'une menace cyber dite « stratégique ». Ces OSE ont gagné en maturité dans la gestion de leurs menaces en ligne, ont intégré la réglementation dans leurs procédures internes et ont ainsi évolué avec succès vers des systèmes d'information plus robustes.
Cependant, comme le directeur général de l'Anssi l'a mentionné, la menace cyber a fortement évolué ces dernières années. Historiquement très stratégique, elle est devenue systémique et émane de plus en plus de groupes cybercriminels organisés, qui opèrent à but lucratif ou s'efforcent de nous déstabiliser pour des raisons idéologiques. Les attaques par rançongiciel, phishing ou d'origine étatique ciblent non plus uniquement les grandes entreprises ou les infrastructures critiques, mais bien l'ensemble du tissu économique et social. Elles ont augmenté de 30 %, et 60 % d'entre elles visent les TPE-PME et les collectivités territoriales - certaines ne font l'objet d'aucune réglementation cyber ; parallèlement, la maturité des entités essentielles rend les nouvelles entités beaucoup plus attractives aux yeux des cybercriminels.
À titre d'exemples, je citerai l'attaque perpétrée au mois d'octobre contre le groupe Hospi Grand Ouest, qui a entraîné la déprogrammation de plusieurs opérations, ou celle qui a visé le centre hospitalier de Bourg-en-Bresse. Une étude menée par trois chercheuses de l'université du Minnesota a d'ailleurs démontré que, en cas d'intrusion par rançongiciel, la mortalité des patients déjà admis à l'hôpital augmentait sensiblement. Les collectivités territoriales ne sont pas en reste ; elles sont même une cible privilégiée. Entre janvier 2022 et juin 2023, l'Anssi a traité en moyenne dix attaques par mois contre une collectivité.
Face à l'évolution de la menace et à l'ampleur de ses conséquences, les États membres de l'Union européenne, dont la France, ont jugé qu'il était impératif de moderniser le cadre réglementaire et se sont mobilisés en ce sens. Ces efforts concernent également le système financier, tout aussi exposé, plus de la moitié des banques ayant été victimes d'une attaque réussie en 2024, selon les chiffres de l'Autorité bancaire européenne (ABE). Cette même année, les sites de La Poste et du Crédit Agricole étaient piratés, avant que la Banque de France confirme pour sa part avoir constaté des intrusions sur l'un de ses extranets. La transposition de la directive accompagnant le règlement Dora au sein du titre III du présent projet de loi nous permettra donc d'identifier les risques cyber spécifiques qui pèsent sur ce secteur.
Les exemples concrets que j'ai cités illustrent combien certaines menaces ont des répercussions tangibles sur le quotidien de nos entreprises, de nos collectivités et, surtout, de nos concitoyens. Ces attaques ont un coût très élevé, estimé en 2022 par le cabinet d'études économiques Asterès à 2 milliards d'euros, et contribuent à ébranler la confiance qu'ont les Français dans la capacité de nos institutions publiques à les protéger.
Le présent projet de loi envisage une démarche globale qui s'exprimera ex ante par une meilleure prévention des risques, et ex post par une réaction rapide et efficace en cas d'incident. À ce titre, je tiens à saluer le choix qu'a fait le Sénat de constituer cette commission spéciale, qui permettra de s'appuyer sur l'expertise des commissions des affaires étrangères et de la défense, des finances et des affaires économiques.
J'apporterai maintenant quelques précisions sur chacun des trois volets du texte.
Le titre Ier, qui transpose la directive REC, consacre avant tout un changement d'approche quant à la protection des opérateurs fournissant des services vitaux pour les fonctions sociétales ou les activités économiques. Là où le dispositif précédent de sécurité des activités d'importance vitale (SAIV) était concentré sur la protection physique des infrastructures, il s'agit de mettre aussi l'accent sur la résilience et l'adaptabilité des opérateurs nationaux face aux crises, y compris à l'échelle européenne. C'est un cheminement salutaire pour tirer les conséquences des crises passées, tenir compte des interdépendances d'aujourd'hui et mieux protéger demain des activités indispensables à notre vie économique et sociale. Je pense à la santé, à l'alimentation ou à l'eau potable, dont nous avons pu tristement mesurer l'importance pour notre souveraineté au cours des dernières années.
Avec le dispositif de SAIV, environ 300 opérateurs et 1 500 points d'importance vitale faisaient l'objet d'une protection spécifique. La transposition de la directive REC modernisera ce cadre et le rendra plus adapté aux défis actuels. Surtout, cette harmonisation de la réglementation mettra l'ensemble des États membres, dont certains ne possédaient pas de dispositif similaire au nôtre, sur un pied d'égalité. Il s'agira ainsi de rétablir une égalité concurrentielle entre nos opérateurs et leurs homologues européens, tout en apportant une meilleure réponse aux risques transfrontaliers et d'interdépendance des chaînes d'approvisionnement.
La transposition proposée vise donc à préserver les principes de la politique de SAIV tout en restant le plus près possible des exigences de la directive REC. Les entités critiques pourront ainsi continuer à s'appuyer sur une pratique et une méthode éprouvée.
Trois nouveaux secteurs seront couverts - assainissement, réseaux de chaleur et hydrogène -, qui viendront s'ajouter aux douze qui existaient déjà. Autre nouveauté : le passage d'une logique de sécurisation des sites à une logique de résilience, axée sur la continuité de l'activité. Les acteurs concernés devront réaliser une analyse des risques dans des plans de résilience, mieux identifier les dépendances qui les lient à leurs prestataires ou d'autres secteurs, et notifier les incidents majeurs qu'ils pourraient constater. Ces mesures garantissent une prise en compte accrue des risques, qu'ils soient physiques ou numériques.
S'agissant des collectivités territoriales, la directive ne les couvre pas en tant que secteur spécifique. Celles qui sont concernées doivent avoir été désignées comme opérateur d'importance vitale ou de services essentiels dans les secteurs qui relèvent de leur compétence : eau, transport ou énergie. En cas de gestion en régie, les changements seront marginaux.
Le titre Ier du projet de loi s'inscrit donc dans une politique cohérente et globale en matière de sécurité, en synergie avec les obligations prévues par les directives NIS 2 et Dora. Concrètement, les entités régulées au titre de la directive REC devront respecter les exigences des deux autres dispositifs.
J'en viens au titre II, consacré à la directive NIS 2 qui vise à renforcer la résilience cyber de tous les États membres de l'Union. L'harmonisation des régimes mis en oeuvre sera déterminante. C'est pourquoi la transposition proposée est une transcription fidèle du texte européen. De plus, les négociations puis la rédaction de ce texte ont été guidées par la volonté que la directive puisse être appliquée par tous. Le principe de proportionnalité est donc un fil conducteur du projet. Une distinction claire est ainsi établie entre, d'une part, les entités importantes - elles représentent 80 % de la totalité -, et, d'autre part, les entités essentielles, et ce afin de fixer des obligations adaptées au profil de chaque acteur.
Les premières sont pour la plupart des petites structures, qui bénéficieront d'un régime proportionné centré sur les bonnes pratiques d'hygiène numérique, en s'appuyant sur le guide rédigé par l'Anssi. Cette approche permettra de munir les plus fragiles d'un filet de sécurité cyber minimal. Les secondes, dont la majorité est déjà soumise aux réglementations précédentes et absorbera à moindres frais les coûts de conformité associés, devront respecter des contrôles accrus, du fait des risques de conséquences en cascade dans des secteurs connexes, voire dans d'autres pays. Ces acteurs sont déjà bien armés par leur taille, leur surface financière, leur dispositif de gestion des risques et leurs connaissances des enjeux de cybersécurité.
Grâce à un champ d'application large, des exigences proportionnées, adaptées et raisonnables, la transposition de la directive NIS 2 fera de la cybersécurité un élément du socle fondamental de notre Nation, de notre société et de notre économie. Au total, plus de 15 000 entités seront régulées en France, dans 18 secteurs d'activité. Elles devront répondre à différentes exigences : s'enregistrer auprès de l'Anssi ; notifier les incidents ayant un impact important sur la fourniture de leurs services et potentiellement en informer le public ; prendre des mesures adaptées pour protéger leurs réseaux et systèmes d'information.
Si vous y consentez, les objectifs de sécurité seront précisés par voie réglementaire, afin que nous disposions de plus de souplesse pour les faire évoluer. Le référentiel a déjà fait l'objet de plusieurs concertations et continuera d'être coconstruit jusqu'à sa parution.
S'agissant des collectivités territoriales, la directive prévoit un droit d'option que le Gouvernement a choisi d'activer, car plus d'un quart des victimes d'attaques par rançongiciel recensées par l'Anssi en 2023 étaient des collectivités. Elles seront environ 1 800 à relever directement de NIS 2. Celles de moins de 30 000 habitants, c'est-à-dire l'immense majorité des communes, ne seront concernées qu'à travers leur intercommunalité de rattachement.
Nous sommes bien conscients des efforts que certaines collectivités devront accomplir. Sans remettre en cause l'objectif et l'intérêt de ce projet de loi, les associations d'élus locaux ont exprimé un vrai besoin d'accompagnement.
J'en viens enfin au troisième volet du projet de loi, relatif au renforcement de la résilience numérique du secteur financier. Banques en ligne ou mobiles, paiements électroniques : les institutions financières sont toujours plus exposées aux risques cyber. Le système financier est en outre très interconnecté à l'échelle mondiale, ce qui l'expose aux risques de contagion et d'incidents systémiques. Selon le FMI, il aurait subi plus de 20 000 incidents en vingt ans et connu une perte de 28 milliards de dollars pour la seule période 2020-2024.
Jusqu'au règlement Dora, les établissements financiers devaient s'appuyer sur huit directives européennes différentes. Le chevauchement de ces textes et l'hétérogénéité des approches nationales ne permettaient pas un fonctionnement optimal du marché intérieur. L'harmonisation apportée par le règlement Dora est donc la bienvenue. La France l'a négocié en exigeant qu'il soit précisément articulé avec NIS 2, dont il constitue une déclinaison sectorielle. Ce règlement est construit sur cinq piliers principaux : l'adoption de procédures d'identification et d'atténuation des risques liés aux technologies ; la mise en place d'une procédure de notification des incidents ; la réalisation de tests de résilience opérationnelle ; l'encadrement de la gestion des risques liés à leurs prestataires ; enfin, le partage d'informations entre entités financières afin d'améliorer notre résilience collective.
La directive accompagnant le règlement Dora qu'il est proposé de transposer vise à assurer une cohérence juridique et technique entre le règlement, d'application directe, et les huit directives que je viens d'évoquer.
Vous l'aurez compris, le projet de loi Résilience est un texte ambitieux et pragmatique qui repose sur une philosophie claire : protéger efficacement sans entraver l'innovation et la compétitivité. Nous devons donc tenir une ligne de crête que je résumerai en trois principes : proportionnalité, concertation, accompagnement.
Ce texte, qui se fonde sur une approche proportionnée, a été construit au terme d'une large concertation. L'Anssi a ainsi mené plus de 70 consultations depuis septembre 2023 sur la transposition de NIS 2. J'ai moi-même eu l'occasion de m'entretenir dès ma prise de fonction avec des élus, notamment plusieurs d'entre vous, des associations d'élus, des entreprises et des fédérations, partout sur le territoire. Ce dialogue est bien entendu amené à se poursuivre tout au long de la vie du texte, y compris sur son volet réglementaire et pendant sa mise en oeuvre.
Enfin, le Gouvernement entend naturellement répondre à la demande consensuelle d'accompagnement qui s'est exprimée. L'objectif de ce texte n'est pas de sanctionner, mais d'identifier nos points de vulnérabilité et de renforcer notre sécurité numérique au bénéfice de tous. Aujourd'hui, la question n'est plus de savoir si une entité sera attaquée, mais plutôt quand elle le sera. J'ai conscience que pour certains acteurs nouvellement assujettis, la marche semble haute, mais rappelons que le coût de la sécurité est cent fois inférieur au coût d'une attaque réussie.
Au-delà des outils en ligne que l'Anssi a développés, et qu'elle enrichira - MonAideCyber, MonEspaceNIS2 -, des réseaux de terrain joueront un rôle de proximité particulièrement précieux pour les entités régulées. Je pense notamment aux chambres de commerce, aux campus cyber régionaux, aux centres de réponse aux incidents de sécurité informatique (CSIRT) et aux fédérations professionnelles qui seront autant de relais utiles dans nos territoires. Nous sommes en train de travailler à un renforcement, une meilleure structuration et une plus grande lisibilité de ces réseaux et guichets de terrain afin que les entités régulées puissent disposer d'un parcours clair, de l'évaluation de sécurité jusqu'à la sollicitation des services de remédiation, en passant par la notification d'incident.
Au final, ce texte constitue une opportunité d'élever collectivement nos compétences et notre conscience en matière de risque cyber, et d'opérer un changement de culture. L'intégration de la gestion des risques cyber dans les stratégies des organisations est désormais impérative. Nous continuerons les efforts de sensibilisation en ce sens et veillerons à ce que l'ensemble des citoyens adoptent les pratiques d'une bonne hygiène numérique.
Je porte aussi la conviction personnelle que le présent projet de loi est une opportunité unique pour notre écosystème cyber français. Dans un marché de la cybersécurité en pleine expansion, nos entreprises, dont les compétences sont reconnues, ont un rôle clé à jouer à l'échelle européenne. En renforçant la sécurité de nos infrastructures, nous stimulerons aussi l'innovation dans ce domaine et créerons les conditions d'une croissance durable.
En veillant à une transposition au plus proche des textes européens, nous limiterons les frictions juridiques et garantirons une concurrence loyale entre les entités couvertes par NIS 2 dans les différents États membres de l'Union européenne. Nous partageons, je le crois, cette ambition collective de relever notre niveau de cybersécurité et de renforcer la résilience de notre Nation. C'est un impératif majeur, presque existentiel.
Au regard des échanges que j'ai déjà pu avoir avec certains d'entre vous, je suis convaincue que nos débats à venir seront constructifs et que nous pourrons, grâce à ce texte, faire de la France un modèle en matière de résilience et d'innovation cyber.
M. Patrick Chaize, rapporteur. - Je vous remercie de votre présence parmi nous, madame la ministre. Nous attendions avec impatience la venue d'un membre du Gouvernement pour évoquer les enjeux de cybersécurité, mais nous n'osions plus l'espérer...
Le sujet est certes moins médiatisé que celui de l'intelligence artificielle, mais il n'en est pas moins urgent et primordial. En ma qualité de rapporteur chargé de l'examen du titre 2 de ce projet de loi, mon intervention sera centrée sur la transposition de la directive NIS 2. Au-delà de la hausse du nombre de secteurs et d'entités régulés, c'est un changement majeur de paradigme qui est à l'oeuvre. Il ne s'agit plus seulement de sécuriser des infrastructures critiques, mais aussi d'assurer la résilience de l'ensemble du système d'information des entités critiques.
Depuis le début de l'année, je mène des auditions auprès de différents représentants sectoriels, experts de la cybersécurité et administrations. Je ne peux que témoigner de l'ampleur du chemin qu'il reste à parcourir pour une plus grande prise de conscience collective. Surtout, je ne peux que regretter le manque de communication autour de la transposition de la directive NIS 2. L'Anssi a pris de nombreuses initiatives, mais qu'en est-il du portage politique ? Que comptez-vous faire, madame la ministre, pour enfin donner à ce sujet la visibilité qu'il mérite ? Une campagne de communication institutionnelle ne serait-elle pas pertinente, pour les secteurs concernés, mais aussi pour toutes les entreprises et collectivités de France ?
Je me permets d'insister, car plus de 15 000 entreprises sont concernées, ainsi que l'ensemble des régions et des départements, près de 1 000 communautés de communes et 300 communes de plus de 30 000 habitants. Ces organisations devront elles-mêmes évaluer si elles sont soumises à la directive NIS 2, si elles sont des entités essentielles ou importantes ; elles devront s'enregistrer auprès de l'Anssi et lui notifier leurs incidents de cybersécurité.
Toutes les auditions pointent dans la même direction : nous ne sommes pas prêts, alors que, paradoxalement, nous sommes déjà en retard aux yeux de la Commission européenne et en comparaison d'autres États membres. Il ressort également de nos travaux plusieurs points d'alerte, souvent récurrents et concordants, sur lesquels je souhaiterais avoir votre avis.
De façon assez inhabituelle pour notre pays, de nombreux acteurs dénoncent une sous-transposition de la directive et un projet de loi qui laisse une place trop importante aux dispositions de nature réglementaire. Par exemple, en cas d'incident, alors que la directive NIS 2 prévoit la transmission d'une alerte précoce dans un délai de 24 heures et la notification de l'incident dans un délai de 72 heures, le projet de loi contraint les entités à notifier leurs incidents sans délai et évoque la notification d'incidents critiques plutôt que d'incidents importants. Comment expliquez-vous ces différences qui peuvent nous paraître anodines, mais qui sont loin de l'être pour les entités concernées ?
À l'inverse, certains choix effectués sont assimilables à de la surtransposition, dont nous sommes beaucoup plus familiers dans notre pays. Par exemple, l'élargissement du périmètre des entreprises concernées par le projet de loi est régulièrement dénoncé, puisque des critères de taille et de chiffre d'affaires sont fixés alternativement, tandis que les textes européens les fixent cumulativement. Comment expliquez-vous ce choix ?
Enfin, le régime de contrôles et de sanctions exercés par l'Anssi est souvent perçu comme trop punitif et insuffisamment préventif. Les entités s'inquiètent du coût financier des contrôles réalisés par l'Anssi, qui seraient à leur charge, de l'absence de prise en compte du caractère intentionnel de la non-transmission d'informations à l'Anssi et de la rupture d'égalité induite par l'absence de sanctions prévues pour les administrations de l'État. Comment expliquez-vous ces choix qui paraissent discutables ?
M. Olivier Cadic, président. - Nous avons fait le calcul, plus de 40 décrets d'application sont prévus, ce qui est délicat pour le Parlement. Nous pouvons voir dans ce transfert au pouvoir réglementaire une sous-transposition, mais qui pourrait aussi devenir une surtransposition une fois les décrets parus.
Mme Clara Chappaz, ministre déléguée. - Nous faisons de la communication et de la sensibilisation un objectif majeur. L'Anssi a déjà accompli un travail important depuis 2023, mais nous comptons aussi sur l'impulsion du secteur déjà régulé, qui contribue depuis plusieurs années à élever le niveau de sécurité de nos infrastructures, et qui pourra aider l'Anssi à accompagner les nouvelles entités concernées.
Le Gouvernement doit également prendre toute sa part, j'en ai pleinement conscience, et nous travaillons à le faire de plusieurs manières. J'étais présente à l'European Cyber Week qui s'est tenue récemment à Rennes. Nous travaillons aussi avec le campus cyber à l'organisation d'un événement afin de sensibiliser l'écosystème au sens large et avec l'Anssi à des campagnes de communication plus directes à destination des entités qui devraient, selon les différents modèles d'analyse, être concernées par le texte. Je rappelle que nous n'avons pas accès à toutes les informations permettant d'identifier les entreprises qui seront régulées.
Je fais aussi confiance aux fédérations professionnelles que j'ai pu rencontrer pour porter sur le terrain des messages de sensibilisation et d'accompagnement, et je vous suis bien entendu reconnaissante de relayer les attentes et interrogations que vous avez pu recueillir sur le terrain.
En matière de notification d'incident, l'article 17 du projet de loi impose aux entités mentionnées à l'article 14 de notifier sans retard injustifié à l'Anssi tout incident ayant un impact important sur la fourniture de leurs services. Dans certains cas prévus par la loi, notamment lorsque la divulgation de l'incident est dans l'intérêt public, l'Anssi peut, après avoir consulté l'entité essentielle ou importante concernée, exiger de celle-ci qu'elle informe le public de l'incident ou le faire elle-même.
Les critères d'appréciation de l'importance des incidents et les délais de notification seront précisés dans le décret en Conseil d'État d'application de la loi. L'Anssi travaille d'ores et déjà sur la notion d'incident « important » et sa définition réglementaire s'appuiera sur des critères objectivables, dans le prolongement de la réglementation en vigueur issue de la directive NIS 1. La directive NIS 2 précise elle-même certains de ces critères, mais la voie réglementaire nous semble la mieux à même de suivre l'évolution très rapide des menaces de cybersécurité. Quoi qu'il en soit, les textes réglementaires seront bien entendu soumis à consultation, comme ce fut le cas pour la définition des incidents dans le dispositif de sécurité des activités d'importance vitale prévu par la loi de programmation militaire.
S'agissant du risque de surtransposition de la directive NIS 2 que vous pointez en raison d'une différence de définition des entreprises de taille moyenne concernées, le décalage s'explique par le fait que l'article 2 du texte européen définit le champ des entreprises exclues de la directive, alors que le projet de loi délimite le champ des entreprises qui en relèvent. C'est pourquoi le critère cumulatif devient alternatif. La Belgique a suivi la même logique dans sa loi de transposition, et je peux donc vous rassurer sur ce point : le projet de loi ne vise que les seules entreprises qui dépassent les seuils fixés dans la directive. Le même raisonnement s'applique pour les entités importantes.
Sur la question des sanctions, le texte s'inscrit avant tout dans une logique d'accompagnement des entités vers une mise en conformité, la définition des sanctions permettant de matérialiser les conséquences attachées, à terme, à une non-conformité. À nos yeux, le projet de loi se contente en la matière de transposer à l'identique les mesures de la directive NIS 2, qu'il s'agisse des contrôles, du régime de sanctions ou des amendes administratives. Je rappelle aussi que les taux d'amendes visés, 2 % du chiffre d'affaires pour les entités essentielles et 1,4 % pour les entités importantes, sont des seuils maximaux. La commission des sanctions ne prononcerait pas forcément de façon automatique les pourcentages qui ont été mentionnés.
Les entités essentielles peuvent également être soumises à une interdiction d'exercice, conformément au cadre de NIS 2, en cas de non-conformité. Enfin, il n'y aura pas de double sanction. La directive NIS 2 et le règlement général sur la protection des données (RGPD) étant très imbriqués, l'Anssi et la CNIL devront coopérer et s'informer en cas d'incident susceptible d'avoir un impact sur les données personnelles.
L'exclusion des sanctions pour les administrations nous semble proportionnée, celles-ci n'ayant pas les revenus et les moyens financiers des entreprises. Cela n'empêchera pas l'Anssi de mener un certain nombre de contrôles, et bien entendu des actions d'accompagnement et de sensibilisation.
M. Olivier Cadic, président. - Lorsqu'un hôpital privé peut être sanctionné, mais pas un hôpital public, il est difficile de ne pas y voir une forme d'inégalité.
M. Olivier Cadic, président, en remplacement de M. Hugues Saury, rapporteur. - L'économie du titre Ier du projet de loi qui vise à transposer la directive REC nous semble aller dans le bon sens. Lors des auditions que j'ai conduites, j'ai pu constater un consensus autour de la nécessité de renforcer le cadre normatif pour protéger les activités vitales de la Nation. Cependant, des préoccupations ont été exprimées, tant par les entreprises que par les collectivités territoriales, concernant l'accompagnement de l'État dans la mise en oeuvre des obligations prévues par le projet de loi.
Pouvez-vous nous préciser les mesures envisagées pour soutenir les opérateurs d'importance vitale ainsi que ceux qui pourraient être amenés à intégrer ce dispositif avec l'entrée en vigueur de la loi ? En outre, dans un contexte budgétaire contraint, les services des ministères coordinateurs disposeront-ils de moyens suffisants pour assurer leurs missions actuelles et prendre en charge les nouvelles responsabilités qui leur incomberont ? L'étude d'impact du projet de loi reste en effet vague sur ce point, se contentant de mentionner que certaines dispositions entraîneront « une charge de travail supplémentaire pouvant avoir des impacts sur les ressources humaines ».
M. Olivier Cadic, président, en remplacement de M. Michel Canévet, rapporteur. - Sur la préparation du secteur financier à la mise en conformité avec Dora, beaucoup de retard a été pris pour la publication des normes de niveau 2. Or, les acteurs en ont besoin pour modifier leurs infrastructures informatiques ou encore pour renégocier les contrats avec leurs fournisseurs. Par ailleurs, beaucoup d'institutions financières déplorent le degré de détail très élevé des normes RIS (Retail Investment Strategy), ce qui renchérit d'autant leur coût d'application.
Pouvez-vous vous mobiliser pour exiger des autorités européennes de supervision une meilleure visibilité sur le calendrier de publication de ces normes européennes, essentielles pour la bonne application de Dora ? À défaut, ne faudrait-il pas reporter l'entrée en vigueur de certaines dispositions ?
Le secteur financier étant soumis aux obligations de Dora, il serait souhaitable que, dans le projet de loi Résilience, les acteurs financiers soient bien explicitement exclus du statut d'entité essentielle prévu par la directive NIS 2.
À défaut, on assisterait à un empilement des couches d'exigences techniques et de déclarations qui comporterait un risque d'insécurité juridique pour les entreprises concernées. Pourquoi ne pas avoir explicitement prévu cette exclusion dans le projet de loi ?
Enfin, les sociétés de financement sont soumises aux obligations de Dora, alors même que cette catégorie d'acteurs n'est pas mentionnée dans la directive. Certes, un délai supplémentaire est accordé à ces sociétés jusqu'au 17 janvier 2026, mais ne faudrait-il pas adopter une approche plus proportionnée pour ces petites sociétés ? Une date d'entrée en vigueur au 1er janvier 2027 ne serait-elle pas plus réaliste ? Elle présenterait en effet l'avantage d'être très proche de celle fixée pour les autres entités financières similaires aux sociétés de financement dans l'Union européenne. L'Allemagne prévoit que les entités exerçant des activités de leasing seront soumises au cadre simplifié prévu par l'article 16 de Dora à partir du 1er janvier 2027.
Mme Clara Chappaz, ministre déléguée. - Vous m'interrogez sur les dispositifs d'accompagnement dont pourront bénéficier les opérateurs d'importance vitale, en particulier les collectivités territoriales. La sécurité des activités d'importance vitale repose sur une logique partenariale, même si elle n'exclut pas les contrôles. La directive REC prévoit de poursuivre les dispositifs actuels de soutien au moyen de plans types, de guides, d'exercices et de plans de protection externe pour leur permettre de se préparer en amont et de préparer aussi le concours des services de l'État en cas d'incident.
Un soutien à la formation des agents privés de sécurité est également prévu, de même que la fourniture d'outils de communication pour faciliter l'échange d'informations classifiées et la réalisation d'enquêtes administratives de sécurité au profit de l'opérateur.
Il me semble que cette logique d'accompagnement, qui est mise en oeuvre depuis un certain temps maintenant par les structures compétentes de l'État, a fait ses preuves et que les retours sont positifs. Néanmoins, nous mettrons naturellement à jour les documents de planification.
Sur la question des budgets, nous n'avons pas été sensibilisés sur la nécessité de les revoir : en effet, les processus que je viens de décrire resteront les mêmes avec REC. Toute l'architecture d'accompagnement est déjà là. Certes, nous devrons mettre en place quelques éléments nouveaux, mais les budgets semblent suffisants pour absorber cette évolution. Pour autant, nous sommes évidemment prêts, comme je vous l'ai déjà indiqué, à procéder à de nouvelles consultations, si le besoin s'en fait sentir.
Dora s'applique depuis le 17 janvier dernier ; les acteurs financiers - banques, assurances, services de paiement... - le savent depuis longtemps et ils se devaient d'être prêts. Nous avons bien conscience qu'il existe encore des défis, mais cette échéance, fixée par le droit européen, est incontournable. Une autre échéance importante pour les entreprises concernées consiste à fournir aux autorités compétentes - ACPR et AMF -, au plus tard le 30 avril, les registres de leurs contrats de prestations. Ce reporting permettra aux instances européennes de désigner les partenaires et les prestataires informatiques critiques.
Les préoccupations dont vous vous êtes fait l'écho et que nous entendons également sur les délais, le manque de clarté ou le retard d'un certain nombre de normes sont davantage le reflet, à mon sens, d'un besoin de clarification, d'explication et de pédagogie plutôt que d'un strict problème de transposition. L'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Autorité des marchés financiers (AMF) ont publié des dossiers thématiques et des foires aux questions sur leurs sites internet. Il me semble que les différentes ressources mises à disposition répondent à une grande partie des questions que se posent encore certains acteurs.
La totalité des normes de NIS 2 a été finalisée, même si certaines publications officielles accusent un retard. La norme technique de réglementation (RTS selon l'acronyme anglais) sur le reporting des incidents informatiques et cyber devrait être publiée au journal officiel dans les prochains jours pour une entrée en vigueur vingt jours plus tard. La RTS sur l'harmonisation de la supervision est attendue sous peu, puisque le Parlement européen devait rendre son avis avant le 24 janvier.
En revanche, la Commission européenne a rejeté le standard technique de la sous-traitance, le texte doit donc être remanié par les autorités européennes de supervision et nous n'avons pas de date pour son entrée en vigueur.
Au total, ces différents retards n'ont pas d'incidence sur la transposition.
En ce qui concerne le coût de la mise en conformité, les entités concernées ont déjà un niveau de maturité avancé en matière de cybersécurité et de risques. Loin de moi l'idée de minimiser ce coût, notamment en termes de mises à jour technologiques, de recrutement ou de tests de pénétration, mais il faut le rapporter à celui des attaques physiques ou cyber...
En ce qui concerne l'articulation entre NIS 2 et Dora, cela résulte d'un héritage européen et nous avons eu des échanges nourris avec l'AMF, l'ACPR, l'Anssi et l'ensemble des parties prenantes pour nous assurer que les frictions éventuelles seront minimisées pour les entités soumises aux deux textes. Même les entités couvertes par Dora doivent s'assurer que leurs systèmes d'information qui sont utilisés par des millions de Français respectent les référentiels de NIS 2. Les deux textes sont en fait complémentaires et sortir certaines entités de NIS 2, au motif qu'elles respectent Dora, ferait prendre un risque aux Français lorsqu'ils utilisent des services financiers.
Le sujet des sociétés de financement est particulier à la France. Le délai d'un an, jusqu'à 2026, nous semble réaliste pour ces sociétés, qui ont été consultées à ce sujet et qui, me semble-t-il, n'ont pas soulevé de problème spécifique. La principale différence entre une société de financement et un établissement de crédit réside dans le fait que la société de financement ne peut effectuer, dans les conditions et limites de son agrément, que des opérations de crédit, alors que l'établissement de crédit à la fois délivre des crédits et reçoit des fonds remboursables. Il n'y a donc pas dans le texte de surtransposition, mais le reflet d'une pratique courante ; ce n'est d'ailleurs pas la première fois que cette question est soulevée dans le cadre d'une telle transposition.
Pour nous, les exigences de Dora doivent être étendues aux sociétés de financement pour deux raisons : d'une part, harmoniser les exigences en matière de gestion du risque cyber entre les différentes structures qui assurent le même service ; d'autre part, préserver la stabilité financière en garantissant une protection cyber.
Le secteur financier est une cible privilégiée pour des attaques cyber et ces attaques effritent particulièrement la confiance de nos citoyens dans la sécurité de nos infrastructures critiques. C'est pourquoi nous avons jugé utile d'ajouter les sociétés de financement au texte.
M. Michel Canévet, rapporteur. - Je remercie le président de la commission spéciale d'avoir relayé mes premières questions.
Pour les entreprises qui sont concernées à la fois par Dora et par NIS 2, il sera très difficile de retenir une méthodologie pertinente pour mettre en oeuvre des obligations qui sont différentes. Il faut prendre ce problème concret en compte.
Par ailleurs, vous savez certainement, madame la ministre, que le Sénat entend le plus possible éviter les surtranspositions. Or c'est clairement le cas pour les sociétés de financement. Il ne peut évidemment être question de méconnaître les risques cyber, mais intégrer ces sociétés pose des difficultés particulières : d'une part, hormis deux gros acteurs, il s'agit de structures de petite taille pour lesquelles le coût du processus sera élevé ; d'autre part, ce marché est particulièrement concurrentiel au niveau européen et international et nous ne pouvons pas mettre des boulets aux pieds de nos seules entreprises.
Je voudrais enfin évoquer la question du reporting. Aujourd'hui, l'Anssi est organisée pour assurer un reporting permanent. Est-ce que les autres acteurs qui seront demain concernés - l'AMF, l'ACPR - en seront capables ? Comment se préparent-ils à cette mission ?
Mme Clara Chappaz, ministre déléguée. - Pour les sociétés de financement de petite taille, la question du délai d'un an pour la mise en conformité - nous en avons déjà parlé - a été abordée lors des consultations : ce délai permet de répondre au besoin que vous exprimez. Nous avons réalisé une étude à ce sujet : 135 sociétés sont concernées par cette mise en conformité, dont une dizaine de taille telle qu'elles devront être en conformité dès l'entrée en vigueur de la loi, les autres bénéficiant donc d'un délai d'un an. Nous procéderons à de nouvelles consultations, si cela est nécessaire.
S'agissant de l'articulation entre NIS 2 et Dora, l'Anssi travaille avec l'AMF et l'ACPR pour établir des guidelines pertinentes. Le périmètre des entités régies par Dora est plus petit que celui de NIS 2 et nous travaillons pour éviter les lourdeurs de mise en oeuvre et de gestion, ainsi que les doubles contrôles. Nous ne voulons pas alourdir les processus de reporting, de contrôle ou de mise en conformité.
Enfin, sur votre dernière question, vous avez raison de mettre l'accent sur la nécessité de nous organiser pour internaliser certaines contraintes, en particulier en termes de cellules de veille. Cela va naturellement prendre du temps, mais nous sommes sur la bonne voie.
M. David Ros. - Madame la ministre, vous êtes venue vendredi dernier dans l'Essonne, sur le plateau de Saclay, pour le lancement de neuf clusters autour de l'intelligence artificielle. Or ce département a été victime de plusieurs cyberattaques importantes : au centre hospitalier Sud Francilien, à l'hôpital d'Orsay et récemment à l'université Paris-Saclay. Cette dernière attaque a paralysé le début de l'année universitaire ; je me félicite donc que les établissements d'enseignement menant des activités de recherche soient mentionnés, dans l'article 8 du projet de loi, parmi les entités essentielles.
La prévention, la pédagogie et l'information sont des aspects très importants de la lutte contre la cybercriminalité. Or, d'une part, le nombre des attaques augmente ; d'autre part, il faut souvent remettre en service de manière urgente les systèmes attaqués, en particulier lorsque cela paralyse l'activité de l'établissement concerné. Les moyens seront-ils suffisants pour tout cela ?
Se défendre, c'est bien, mais contre-attaquer, c'est mieux ! Pour cela, les activités de recherche sont très importantes et l'intelligence artificielle peut sûrement nous aider. Est-ce que des études sont menées dans ce sens ?
Mme Hélène Conway-Mouret. - Selon certaines estimations, la France serait le quatrième pays le plus touché par des cyberattaques, le deuxième selon le Medef. J'ajoute que 60 % des entreprises qui subissent une attaque déposent le bilan dans les six mois qui suivent.
Je voudrais vous interroger particulièrement sur les petites entreprises qui ne sont pas concernées par ce texte, puisqu'il établit un seuil de mise en conformité relativement élevé - 50 employés selon l'article 9 du projet de loi pour être qualifiée d'entité « importante ». Or, par exemple dans le secteur de la défense, auquel notre commission des affaires étrangères, de la défense et des forces armées est particulièrement attentive, beaucoup de fournisseurs de grands groupes sont de petite taille, mais font pourtant preuve d'une grande innovation et oeuvrent dans des domaines sensibles. Ces petites entreprises sont absolument essentielles à notre écosystème économique et militaire et à notre souveraineté et elles ont, elles aussi, besoin d'un niveau de protection très élevé, mais elles ne disposent pas d'une trésorerie suffisante pour se protéger correctement. Elles souffrent aussi d'un manque d'informations.
Au-delà de ce projet de loi, avez-vous défini, madame la ministre, une politique volontariste pour accompagner ce type d'entreprises qui sont victimes à la fois de rackets et de vols de technologie, ce qui est particulièrement grave ? Il faut aussi penser à protéger les personnels qui utilisent des ordinateurs portables.
Mme Michelle Gréaume. - Selon l'article 10 du projet de loi, le Premier ministre pourra désigner comme entité essentielle ou importante une entité exerçant une activité relevant d'un secteur d'activité hautement critique ou critique. Quelles entités envisagez-vous dans cet article ?
L'article 17 concerne l'obligation de notification par les personnes concernées de tout incident ayant un impact important sur la fourniture de leurs services. Au-delà de la notification, ce qui est important, c'est le suivi des notifications et les réactions des autorités, y compris le week-end ou en cas d'attaques massives simultanées.
L'article 41 modifie le code des postes et des communications électroniques pour renforcer les sanctions. Comment comptez-vous préserver les systèmes d'information de La Poste, un service public auquel les Français sont très attachés ? Quelles seront les conséquences sur l'efficacité du service ?
Certains métiers vont disparaître avec l'intelligence artificielle ; d'autres vont se créer. Des études ont-elles été réalisées quant aux conséquences à court et moyen terme sur l'emploi du développement de l'intelligence artificielle ?
M. Akli Mellouli. - Les directives européennes dont nous parlons vont élargir le public concerné par des obligations en termes de cybersécurité. Existe-t-il un programme national pour sensibiliser et former les Français ?
Dans ce type de politique, l'évaluation est très importante. Comment sera mesuré l'impact de cette loi et quels mécanismes permettront d'ajuster les obligations, si cela s'avère nécessaire, dans les prochaines années ?
Comment renforcer la coopération entre l'État et le secteur privé dans la mise en oeuvre des exigences de cybersécurité ?
M. Olivier Cadic, président, en remplacement de Mme Vanina Paoli-Gagin. - Notre collègue Vanina Paoli-Gagin a dû partir, mais elle m'a demandé, madame la ministre, de vous poser deux questions.
Est-ce l'innovation en open source, la diversification des fournisseurs de cloud ou bien les deux qui nous permettront une meilleure gestion proactive des risques cyber protéiformes que vous nous avez exposés ?
Comment va-t-on pouvoir mobiliser les financements nécessaires pour assurer l'upgrading - en bon français... - de l'ensemble des infrastructures ?
Mme Clara Chappaz, ministre déléguée. - L'Anssi a naturellement un rôle de chef de file en matière de prévention et de pédagogie, mais on ne doit pas oublier le formidable travail réalisé en la matière par l'ensemble des acteurs de notre écosystème. Le Gouvernement doit bien sûr prendre toute sa part dans la sensibilisation et la communication autour des sujets cyber ; il est évident que le sujet de l'IA nous mobilise particulièrement, notamment à l'approche du sommet international que la France va bientôt accueillir, mais cela n'enlève rien à l'importance de la question de la cybersécurité sur laquelle nous restons également engagés.
D'ailleurs, l'IA peut apporter beaucoup à la cybersécurité : récemment, je me suis rendue à Rennes, dans le cadre de l'European Cyber Week, pour évoquer le projet SequoIA qui est développé dans un cluster de l'université de la ville. Nous avons lancé à cette occasion un nouvel appel à projets sur les technologies critiques innovantes.
S'agissant des moyens de l'Anssi, vous savez, puisque vous avez auditionné son directeur, que l'agence bénéficie d'une trajectoire d'augmentation continue de ses équivalents temps plein (ETP) depuis 2022, ce qui reflète le soutien que le Gouvernement entend lui apporter. Elle exerce déjà plusieurs des missions qui sont énumérées dans NIS 2 et ses responsables ont estimé les besoins en agents liés à la mise en oeuvre des directives à 50 ETP. Or le délai de mise en conformité est de trois ans, tandis que la trajectoire dont je parlais prévoit une progression des ETP de 40 par an. L'agence devrait donc pouvoir absorber la montée en puissance de ses nouvelles missions au fur et à mesure et conformément au calendrier fixé.
S'agissant des petites entreprises sous-traitantes, je vous rappelle que le référentiel de l'Anssi fixe des guidelines pour leur mise en conformité et qu'il existe un effet d'entraînement avec les entreprises donneuses d'ordre. Dans le secteur de la défense plus particulièrement, le ministère des armées a mis en place des parcours cyber dédiés.
J'ajoute, comme cela a été dit, que le Premier ministre peut désigner une entité afin qu'elle soit assujettie aux obligations de NIS 2, même quand elle ne remplit pas les critères en termes de nombre d'employés ou de chiffre d'affaires, par exemple des hôpitaux ou des laboratoires de recherche.
Madame Gréaume, je ne pense pas que nous ayons le temps de débattre aujourd'hui des liens entre l'IA et l'emploi : c'est un sujet passionnant et je pourrais en parler des heures...
En ce qui concerne les budgets informatiques, il est absolument nécessaire que les entreprises et tous les organismes de manière générale intègrent les questions de cybersécurité dans leurs dépenses courantes, parce que la menace est forte et qu'elle évolue en permanence. Ce sont des dépenses récurrentes, pas temporaires !
Vous avez aussi évoqué l'article 41 qui a trait notamment au dispositif de sanctions à la main de l'Agence nationale des fréquences (ANFR) en matière de lutte contre le brouillage des fréquences. Cette question tient également une place essentielle dans la continuité des activités économiques et étatiques. Le nombre des cas de brouillage et leur gravité augmentent depuis quelques années, ce qui altère le bon fonctionnement des applications qui utilisent des ressources hertziennes. Un rapport d'inspection a présenté une série de recommandations pour sécuriser ces fréquences et il nous a semblé adéquat d'inscrire dans la loi des sanctions graduées avec des quantums de peine plus élevés pour rendre la dissuasion plus efficace. Il existe aujourd'hui une forme de sentiment d'impunité en la matière et nous voulons y mettre fin avec ce texte.
M. Olivier Cadic, président. - Pourquoi les missions de l'Autorité nationale inscrites dans la première version du texte sont-elles maintenant renvoyées à un décret en Conseil d'État ?
À quelles autres entités l'article 5 fait-il référence, lorsqu'on parle d'activités « dans le domaine de la défense » ?
Patrick Chaize vous a interrogé sur la qualification des incidents, qui est précisée dans la directive, mais cela reste un mystère pour moi : pourquoi les autres pays inscrivent-ils la définition des incidents dans la loi, alors que le Gouvernement renvoie cela à un décret ?
La directive NIS 2 prévoit, dans son article 10, que les États membres veillent à ce que « chaque Centre de réponse aux incidents de sécurité informatique (CSIRT) dispose de ressources suffisantes pour pouvoir s'acquitter efficacement de ses tâches ». Comment le Gouvernement a-t-il prévu d'assurer la pérennité financière des centres régionaux ? Ces centres régionaux sont-ils concernés par l'article 11 de la directive ?
Certains interlocuteurs nous ont alertés sur l'insertion, dans l'article 14 du texte, de SecNumCloud : pour eux, cela pourrait entraver l'harmonisation européenne des normes de sécurité. Quelles sont les intentions du Gouvernement à cet égard ?
Lors de notre déplacement en Belgique, nous avons été marqués par la clarté de la position des autorités belges. Par exemple, si une entité est certifiée ISO 27001, elle est réputée conforme, parce que cette norme inclut les problématiques humaines - or on sait que 80 % des problèmes de cybersécurité sont liés à une erreur humaine. Que pensez-vous de cette position de la Belgique ?
Vous avez évoqué le GIP ACYMA (Groupement d'intérêt public Action contre la cybermalveillance). Finalement, comment voyez-vous l'articulation entre les différents acteurs ?
Enfin, le projet de loi renvoie fréquemment au pouvoir réglementaire, mais qui va contrôler l'administration ?
Mme Clara Chappaz, ministre déléguée. - Nous avons discuté avec l'Anssi des normes belges, mais nous avons une différence d'approche avec ce pays. Nous privilégions des objectifs de sécurité et de protection face à la menace cyber, quand la Belgique envisage la conformité par le prisme du management.
S'agissant des entités essentielles, nous avons voulu rester proches de NIS 1 et des dispositions du code de la défense pour éviter des changements trop brutaux qui auraient eu un coût élevé. Pour autant, nous étudions - le directeur de l'Anssi en parlerait mieux que moi - la mise en place de mécanismes de reconnaissance mutuelle pour faciliter l'activité des entreprises concernées.
Sur l'article 14, nous n'avons pas prévu d'y intégrer SecNumCloud, parce que, dans la directive européenne, il n'est pas fait mention de certification au niveau du cloud et que nous ne voulons pas surtransposer. Nous devons travailler sur un cadre européen de sécurité du cloud, mais ce n'est pas l'objet de ce texte.
Les CSIRT territoriaux seront bien des organismes de proximité, mais l'idée de l'Anssi est qu'il faut partir de la victime : peu importe vers qui elle se tourne, elle doit recevoir le même niveau de réponse. Il revient à l'Anssi d'organiser le travail entre les différents acteurs sans que cela pèse en aucune façon sur les victimes.
En ce qui concerne la définition des incidents, cela relève aussi, au niveau de l'Union européenne, de ce que nous appelons en France le pouvoir réglementaire, puisqu'il s'agit d'un acte délégué. Il faut pouvoir faire évoluer la définition au gré de l'évolution des menaces. Voilà pourquoi nous devons garder de la flexibilité, mais tout cela sera naturellement décidé après consultations. Il en était de même dans NIS 1.
Je ferai la même réponse pour la définition des missions des autorités - c'était votre première question, monsieur le président. Nous faisions ainsi dans le cadre de NIS 1 et le Conseil d'État a été d'avis qu'il fallait faire de même ici.
M. Olivier Cadic, président. - Madame la ministre, je vous remercie.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 16 h 35.