Nous sommes directement visés. Les tensions géologiques liées à la guerre en Ukraine, l’évolution des positions américaines ou encore le conflit au Proche-Orient affectent directement notre sécurité numérique. Ces crises à répétition nous imposent une vigilance accrue. Dans un tel contexte, nous devons muscler notre capacité d’anticipation et de réaction.
La semaine dernière, je me rendais en Pologne, pour une réunion du Conseil de l’Union européenne consacrée au numérique. Ce rendez-vous – il s’agissait là d’une première – a été entièrement dédié à la cybersécurité. À cette occasion, les Vingt-Sept ont signé l’appel de Varsovie pour renforcer leur collaboration. Nous vivons à cet égard un moment charnière, dans lequel ce projet de loi prend tout son sens.
Pour autant, nous ne partons pas de zéro.
Dès 2006, la France a fait le choix précurseur de mettre en œuvre un dispositif de protection des secteurs d’activité d’importance vitale (SAIV).
Dès 2016, à l’échelle de l’Union européenne, nous nous sommes dotés d’une première directive Network and Information Security, dite NIS 1, qui a établi les bases d’une sécurité renforcée pour les entités essentielles. Mais, depuis, la menace a fortement évolué. Elle peut frapper n’importe qui, n’importe où, n’importe quand. J’ai pu le constater moi-même.
J’ai été particulièrement touchée par mes échanges avec les soignants de l’hôpital André-Mignot, dans les Yvelines. Ces derniers sont encore marqués par les conséquences de la cyberattaque subie à vingt-trois heures, le samedi 3 décembre 2022, il y a maintenant plus de deux ans ; et comment ne pas l’être quand on sait que le taux de mortalité augmente de 30 % dans les services hospitaliers en cas de cyberattaque ? C’est une responsabilité que nous ne pouvons plus laisser peser sur nos soignants.
J’ai aussi pu mesurer l’ampleur de cette menace lors de ma visite de la chambre de commerce et d’industrie (CCI) de Lille, attaquée à son tour l’an dernier, suivie par le conseil départemental du Loiret, touché il y a à peine une semaine – M. le rapporteur Saury le confirmera. Nous avons pu constater, dans ce dernier cas, que le degré de préparation en matière cyber faisait toute la différence.
Ces différents exemples nous rappellent que personne n’est à l’abri de telles attaques. Devoir mettre ses services à l’arrêt ; réapprendre à utiliser le papier et le crayon pour nombre de tâches quotidiennes ; ne plus pouvoir éditer de facture ; ne pas pouvoir payer ses salariés ou ses prestataires ; pire encore, ne plus pouvoir fournir le service ou l’aide nécessaire à un public vulnérable ou dans l’urgence : ce sont là autant de situations contre lesquelles nous devons plus que jamais nous prémunir.
Je tiens d’ailleurs à saluer devant vous la résilience et le sens du collectif dont font preuve les équipes que j’ai pu rencontrer. Qu’elles en soient sûres : l’État est à leurs côtés.
À ces observations de terrain répond la froide réalité des chiffres. Le constat est sans équivoque : le nombre de cyberattaques augmente de manière très sensible.
Ce matin même, l’Agence nationale de la sécurité des systèmes d’information (Anssi) dévoilait son Panorama de la cybermenace 2024. Ce document fait état de 4 386 événements de sécurité au cours de l’année 2024, soit plus de douze par jour. En outre, le nombre d’attaques progresse rapidement – il a augmenté de 15 % entre 2023 et 2024. Surtout, ces dernières ne visent plus uniquement les grandes entreprises ou les administrations centrales. Elles frappent l’ensemble de notre tissu économique et social – des hôpitaux, des collectivités territoriales, des PME, des TPE, etc. En moyenne, six attaques sur dix touchent désormais de petites structures.
Il ne s’agit donc plus de savoir si telle ou telle organisation sera attaquée, mais quand. Nous devons collectivement sortir de la logique du « cela n’arrive qu’aux autres » et apporter une réponse forte. C’est ce que je vous propose aujourd’hui avec le présent texte.
Ce projet de loi s’organise en trois grands axes correspondant à ses trois titres.
Le titre Ier, sur lequel vous avez plus particulièrement travaillé, monsieur le rapporteur Saury, transpose la directive sur la résilience des entités critiques (REC).
Comme je l’indiquais, la France a joué un rôle précurseur dans la protection de ces infrastructures, avec le dispositif des secteurs d’activité d’importance vitale. Aujourd’hui, nous devons encore renforcer la capacité desdites entités à anticiper, à résister et à récupérer.
Aussi, cette partie du projet de loi modernise notre dispositif et l’harmonise avec les normes en vigueur chez nos partenaires européens. Elle institue une analyse des risques plus précise, un suivi plus rigoureux et une meilleure gestion des interdépendances. La directive REC permet également de couvrir davantage de secteurs : sont ajoutés à la liste des entités critiques les réseaux d’assainissement, de chaleur, de froid et d’hydrogène.
Le titre II, confié à votre examen, cher rapporteur Chaize, doit nous permettre de changer d’échelle pour construire une cybersécurité collective. À cette fin, il transpose de manière fidèle la directive européenne NIS 2.
Avec NIS 2, 15 000 entités stratégiques relevant de dix-huit secteurs d’activité, parmi lesquels l’eau, l’agroalimentaire et la gestion des déchets, seront désormais concernées.
Parce que la menace n’a jamais été si diffuse, il était essentiel d’élargir le champ des entités couvertes. Nous avons conduit cette évolution en suivant quatre principes : concertation, proportionnalité, simplification et accompagnement.
La directive NIS 2 introduit une distinction claire entre deux types d’entités : d’une part, celles dites importantes, qui représentent 80 % des 15 000 entités couvertes, et pour lesquelles les obligations seront centrées sur une bonne hygiène numérique ; de l’autre, celles dites essentielles, qui seront soumises à des exigences de cybersécurité plus strictes et à des contrôles accrus, en amont comme en aval.
Par ailleurs, nous avons fait le choix d’inclure 1 500 collectivités dans le périmètre de NIS 2. C’est un choix assumé, qui s’explique avant tout par le fait que ces dernières sont la cible d’une attaque sur quatre recensée par l’Anssi, et ce dans tous nos territoires.
J’assume tout autant de proposer que ces mêmes collectivités n’encourent pas de sanctions financières, puisqu’elles ne sont ni financées ni assurées dans les mêmes conditions qu’un organisme privé.
Quelle que soit la nature des entités concernées, nous veillerons à ce qu’elles s’adaptent progressivement à leurs nouvelles obligations. C’est la raison pour laquelle nous avons prévu une période de trois ans durant laquelle s’appliqueront uniquement des contrôles blancs, dépourvus de sanctions et réalisés dans une visée éducative.
J’en viens enfin au titre III, monsieur le rapporteur Canévet, dont l’ambition est de renforcer la résilience du secteur financier par le biais de la transposition de la directive du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, dite Dora (Digital Operational Resilience Act).
Les banques et les institutions financières sont toujours plus exposées au risque de cyberattaques. Selon le FMI, elles auraient subi plus de 20 000 incidents en vingt ans et connu une perte de 25 milliards d’euros entre 2020 et 2024.
Or, jusqu’au règlement Dora, les établissements financiers devaient s’appuyer sur huit directives différentes pour comprendre les exigences auxquelles elles étaient soumises. La France a négocié Dora en s’assurant de son articulation avec NIS 2. La transposition qui est proposée y veille également.
Par ailleurs, je souhaite que nous assujettissions les sociétés de financement à Dora non pas dans un délai de cinq ans, comme cela est proposé aujourd’hui, mais dès à présent, comme cela était initialement prévu dans le texte du Gouvernement. Nous ne pouvons pas laisser ces sociétés sur le côté ; nous devons les protéger au plus vite.
La commission spéciale, qui s’est réunie la semaine dernière et dont je salue le travail, a fait évoluer le texte dans le bon sens.
Elle a en particulier rendu ce dernier plus intelligible, au travers d’amendements visant notamment à définir la notion d’incident ou à préciser les dix-huit secteurs concernés par les obligations de NIS 2.
Grâce à l’amendement du rapporteur Chaize tendant à permettre à l’Anssi d’opérer des équivalences avec les référentiels des autres pays membres de l’Union européenne, la commission spéciale a également œuvré à une meilleure harmonisation, au bénéfice notamment des entreprises qui opèrent dans plusieurs pays.
Je souhaite m’assurer que cette transposition maintienne un niveau élevé de protection, sans compromettre la compétitivité de nos entreprises vis-à-vis de leurs concurrents, y compris européens.
J’entends les objections qui sont parfois faites à ce texte : coûts financiers de la mise en conformité, normes supplémentaires ou encore complexité administrative.
Nous pouvons aisément y répondre : d’abord, en rappelant que le coût d’une attaque cyber réussie est des dizaines de fois supérieur à celui de la mise en conformité et des mesures de protection ; ensuite, en indiquant que la rationalisation et l’harmonisation des pratiques de cybersécurité en Europe servent bien notre compétitivité, en évitant toute fragmentation réglementaire ; enfin, en soulignant que ce texte doit aussi permettre de supporter le développement de solutions technologiques nationales et européennes au sein d’un écosystème industriel innovant, créateur de valeur et d’emplois.
Des nombreux retours de terrain, je retiens trois enseignements.
Le premier est que ce texte peut être un outil de valorisation si nous l’accompagnons de la création d’un label garantissant la conformité des entreprises et des collectivités aux exigences demandées.
Dans cette perspective, j’ai demandé à l’Anssi de travailler à un modèle de labellisation qui vous sera présenté dans le cadre des débats. Il permettra aux acteurs de faire valoir la résilience cyber non pas comme une contrainte, mais comme une opportunité et un atout concurrentiel.
Le deuxième enseignement est la nécessité, pour les entreprises et les collectivités, d’être guidées dans leurs nouvelles obligations. Je m’y attache, avec l’appui de l’Anssi, de la gendarmerie, de toutes les fédérations patronales et des associations.
Enfin, troisième enseignement, il nous revient de promouvoir et de mettre en avant les solutions industrielles, ainsi que l’écosystème français de la cybersécurité, pour lui permettre de gagner des parts de marché.
Vous l’aurez compris, ce projet de loi est une réponse nécessaire et ambitieuse à la menace croissante qui pèse sur nos infrastructures critiques de toute taille. Il doit nous permettre de franchir une étape importante et de contribuer à placer notre pays à la pointe du secteur stratégique de la cybersécurité.
Ce texte doit aussi être l’occasion de sensibiliser largement le grand public à ce sujet. La première des protections, c’est bien la pédagogie : nous devons tous, à notre niveau, contribuer à lever le tabou qui entoure encore bien trop souvent les cyberattaques.
Je suis convaincue que les débats qui s’ouvrent seront constructifs et permettront d’aboutir à un texte simple et efficace, mais surtout utile à la sécurité des Français et des Français.
M. le président. La parole est à M. le rapporteur. (Applaudissements sur les travées du groupe Les Républicains.)
M. Hugues Saury, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, le titre Ier du projet de loi vise à transposer en droit français la directive du 14 décembre 2022 sur la résilience des entités critiques.
Cette directive s’inspire en grande partie du dispositif français existant. Sa transposition en droit national consiste donc essentiellement en une actualisation du dispositif de sécurité des activités d’importance vitale, en vigueur depuis 2006 et désormais bien maîtrisé par les opérateurs concernés.
Cette transposition marque toutefois un changement important de philosophie : elle acte le passage d’une logique de protection des infrastructures d’importance vitale à une approche axée sur la résilience.
Cette orientation me semble pertinente, car il est évident que l’on ne pourra jamais se protéger contre toutes les menaces. L’enjeu est donc bien d’identifier les moyens d’assurer la continuité des activités essentielles pour le pays.
En ce qui concerne la transposition proprement dite, plusieurs différences doivent être signalées entre le texte qui nous est présenté et la directive.
Les opérateurs exerçant dans le domaine de la défense ou de la sécurité nationale, qui étaient déjà soumis au dispositif des SAIV, sont ainsi intégrés dans le champ de la transposition, alors que cela n’était pas prévu par la directive.
Par ailleurs, la réalisation d’une analyse des dépendances à l’égard des tiers est prévue, une obligation qui ne figurait pas dans la directive REC.
Enfin, les opérateurs d’importance vitale devront réaliser un plan de protection et de résilience pour chacun de leurs points d’importance vitale, comme c’est le cas dans le dispositif actuel, alors que la directive ne prévoit des plans qu’à l’échelle de l’opérateur lui-même.
Ces adaptations me semblent pertinentes au regard des objectifs du projet de loi. Par ailleurs, les autres obligations qu’il introduit – élaboration d’un plan de résilience opérateur, notification des incidents, instauration d’un mécanisme de sanctions administratives – sont conformes aux dispositions de la directive.
À l’article 1er, la commission spéciale a adopté plusieurs amendements visant notamment à définir les notions d’incident et de résilience, à préciser la date à partir de laquelle une astreinte prononcée dans le cadre d’une mise en demeure commence à s’appliquer, à fixer à vingt-quatre heures le délai dans lequel l’opérateur doit signaler un incident à l’autorité administrative ou encore à renforcer les garanties d’indépendance de la commission des sanctions.
Au sein du titre II, et notamment à l’article 6, la commission spéciale a adopté deux amendements visant à définir les notions d’incident et de vulnérabilité, qui ne sont pas présentes dans le projet de loi alors qu’elles figurent dans la directive NIS 2.
Mes chers collègues, le dispositif de résilience des activités essentielles prévu par le présent projet de loi et amélioré par la commission spéciale renforcera notre capacité collective à faire face aux risques croissants.
Cependant, beaucoup reste à faire, notamment quant à l’application concrète de ces dispositions et à leur déclinaison au niveau réglementaire.
À ce titre, madame la ministre, nous veillerons particulièrement à ce que les services de l’État ne surtransposent pas la directive et accompagnent efficacement les opérateurs dans la mise en œuvre de ces nouvelles obligations. Il s’agit là d’une attente forte exprimée par les acteurs concernés.
M. le président. La parole est à M. le rapporteur.
M. Patrick Chaize, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, en ma qualité de rapporteur chargé de l’examen du titre II du projet de loi, je centrerai mon intervention sur la transposition de la directive NIS 2.
Comme nos auditions nous l’ont clairement montré, la menace cyber a largement changé de nature au cours des dix dernières années.
Alors qu’elle ciblait avant tout les grandes entreprises, souvent à des fins d’espionnage industriel ou de déstabilisation, et était souvent d’origine étatique, elle est devenue systémique, émanant de plus en plus de groupes cybercriminels organisés, qui opèrent avant tout dans un but lucratif.
Ainsi, les attaques par rançongiciel ou hameçonnage tendent désormais à cibler l’ensemble du tissu économique et social.
Dans son Panorama de la cybermenace 2024 paru ce matin, l’Anssi indique que 144 compromissions par rançongiciel ont été portées à sa connaissance en 2024. Quelque 37 % de ces attaques visaient des TPE-PME, 17 % des collectivités territoriales, 4 % des établissements de santé et 12 % des établissements d’enseignement supérieur.
Les conséquences de ces attaques peuvent être particulièrement pénalisantes pour les entités, ainsi que pour leurs usagers ou leurs clients, voire provoquer des faillites ou mettre des vies en danger. Leur coût, estimé en 2022 à 2 milliards d’euros, est très élevé.
Notons enfin que cette hausse des attaques criminelles n’empêche pas le maintien à un niveau toujours très élevé des menaces de nature étatique, dans un contexte géopolitique particulièrement perturbé.
Au-delà de la hausse du nombre de secteurs et d’entités régulées, cette nouvelle directive entraîne un changement de paradigme.
Dans l’ensemble, le projet de loi assure une transposition fidèle de la directive et évite l’écueil de la surtransposition.
Deux choix importants ont été faits.
Le premier est de faire entrer dans le champ des entités régulées les régions, les départements, les communautés urbaines, les communautés d’agglomération, les communautés de communes et les communes de plus de 30 000 habitants.
Ce choix aura des conséquences financières importantes pour les quelque 1 500 collectivités concernées. Il faudra certes les accompagner et leur laisser le temps de s’adapter. Pour autant, le rehaussement de leur niveau de cybersécurité est une nécessité.
Le second est d’inclure parmi les entités régulées les établissements d’enseignement qui mènent des activités de recherche. Les attaques cyber subies par les universités Paris-Saclay et Paris 1 Panthéon-Sorbonne en 2024 ont montré combien ces établissements constituaient des cibles de choix pour les pirates cyber.
Un grand nombre des amendements adoptés par la commission spéciale ont visé à répondre au constat d’une « sous-transposition », qui laissait une place trop importante aux dispositions de nature réglementaire.
Au travers de ses amendements, la commission spéciale a beaucoup insisté également sur la nécessaire proportionnalité des mesures de cybersécurité qui seront imposées, par un référentiel de l’Anssi, aux entités régulées.
Il convient de tenir compte systématiquement de la taille de l’entité, du degré de son exposition aux risques cyber, de la probabilité de survenance d’incidents et de leur gravité, afin de ne pas imposer des obligations excessives et trop coûteuses.
Nous avons enfin travaillé pour limiter les cas où les entités régulées doivent payer les contrôles qu’elles subissent et pour encadrer les sanctions les plus lourdes prévues par le texte.
En conclusion, j’y insiste : il sera crucial que l’Anssi se mobilise très fortement pour faire connaître et faire comprendre les nouvelles obligations prévues par la réglementation, et assurer leur mise en œuvre effective.
Il faudra donc également ne pas prévoir de contrôle ni, a fortiori, de sanctions pendant la période de montée en puissance cyber. (Applaudissements sur les travées du groupe Les Républicains.)
M. le président. La parole est à M. le rapporteur. (Applaudissements au banc de la commission.)
M. Michel Canévet, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Monsieur le président, madame la ministre, mes chers collègues, le titre III du présent projet de loi transpose la directive Dora, qui prévoit que la politique de gestion des risques liés aux technologies de l’information et de la communication (TIC) des secteurs bancaire, assurantiel et financier est conforme au règlement Dora du 14 décembre 2022.
Le paquet Dora constitue la déclinaison de la directive NIS 2 applicable au secteur financier, qui est en effet une cible de choix pour les cyberattaques.
Le niveau élevé d’interconnexion du secteur constitue une vulnérabilité systémique du fait de la possibilité de propagation d’un cyberincident de l’une des 22 000 entités financières à l’ensemble du système.
Les menaces cyber, en forte augmentation depuis plusieurs années, représentent ainsi, selon la Banque de France, un risque très élevé, supérieur au risque de marché et au risque climatique.
Le présent texte précise les obligations qui s’imposent aux acteurs financiers – je vous en épargne la liste – en matière de résilience opérationnelle et numérique, de gouvernance et de gestion des risques liés aux TIC.
Il détermine également le rôle et les pouvoirs des autorités de supervision, en particulier de l’Autorité des marchés financiers (AMF), de l’Autorité de contrôle prudentiel et de résolution (ACPR), de la Banque de France et de l’Anssi, qui doivent se communiquer tout renseignement utile à l’exercice de leur mission.
La commission spéciale a adopté, sur mon initiative, plusieurs amendements visant principalement à simplifier la vie des entreprises : à l’article 62 A, en évitant le double assujettissement au paquet Dora et à NIS 2 ; à l’article 49, en fusionnant les dispositifs de déclaration d’incidents opérationnels ou de sécurité liés au paiement, prévus par la directive sur les services de paiement, et le dispositif de déclaration d’incidents liés aux TIC, prévu par le règlement Dora ; à l’article 43 A, en créant un guichet unique, permettant au passage à la France de respecter l’article 19 du règlement Dora, qui impose, lorsque c’est nécessaire, de désigner une seule autorité compétente pour la notification des incidents.
M. André Reichardt. Très bien !
M. Michel Canévet, rapporteur. Je vous proposerai d’ailleurs un amendement visant à instituer l’Autorité des marchés financiers comme guichet unique pour les entreprises de marché et pour les prestataires de services sur cryptoactifs.
Le texte de la commission spéciale prévoit également que le règlement Dora s’applique aux succursales d’entreprises d’investissement de pays tiers.
Il prévoit enfin le report à 2030 – j’y tiens particulièrement – de l’application du titre III à l’ensemble des sociétés de financement, ces sociétés de droit français n’étant pas visées par le paquet Dora.
Pour les sociétés de financement « petites et non complexes », je vous proposerai un amendement visant, comme vient de l’évoquer Patrick Chaize, à ce qu’un principe de proportionnalité s’applique à leurs obligations de gestion des risques liés aux TIC. (Applaudissements sur des travées du groupe Les Républicains, ainsi qu’au banc de la commission.)
M. le président. La parole est à Mme Vanina Paoli-Gagin.
Mme Vanina Paoli-Gagin. Monsieur le président, madame la ministre, messieurs les président et rapporteurs de la commission spéciale, dont je salue le travail, mes chers collègues, au début du mois, le secrétaire américain à la défense, Pete Hegseth, a ordonné la suspension des opérations cyber concernant la Russie.
Cette démarche participe du processus de rapprochement mené par l’administration Trump. Afin de conclure une paix factice, c’est-à-dire de concéder la victoire à Poutine, les États-Unis sont en train de redonner des marges de manœuvre à la Russie, même si des revirements semblent se profiler à l’occasion des discussions en cours en Arabie saoudite qui, espérons-le, aboutiront à une solution favorable.
De fait, depuis la nouvelle invasion russe de l’Ukraine le 24 février 2022, une guerre de haute intensité est menée sur notre continent.
Offensives et contre-offensives, guerre de tranchées, guerre des drones, tous les moyens sont employés dans cette lutte. Or, à l’heure de la trahison de Trump, force est de constater, à regret, que les troupes russes avancent plus rapidement.
Si 2 000 kilomètres nous séparent de Kiev, ce serait une erreur de conclure que ce conflit ne nous concerne pas directement : des sabotages ont lieu partout en Europe et les opérations dans le champ informationnel – faux cercueils recouverts de drapeaux français près de la tour Eiffel, étoiles de David taguées dans Paris pour faire pression sur l’opinion publique – se multiplient.
Les avancées de l’intelligence artificielle conduiront à l’intensification et à la sophistication des possibilités d’attaque, voire d’infiltration de nos narratifs, comme NewsGuard vient de le révéler très récemment.
Sans l’avoir déclarée et en prenant bien soin de rester sous le seuil de la conflictualité ouverte, la Russie mène une guerre contre notre pays, contre nos intérêts, jusque sur notre territoire.
Dans son combat, le Kremlin encourage la pègre à mener contre nous des attaques cyber, lorsqu’il ne les lance pas lui-même.
Il y a un an, jour pour jour, c’est le réseau interministériel de l’État qui était visé, et les différents ministères avaient été affectés dans leur fonctionnement. Trois mois plus tard, une autre attaque visait plusieurs sites du Gouvernement.
Comme l’a rappelé mon collègue, l’université Paris 1 Panthéon-Sorbonne a également été ciblée, de même que, plus récemment, l’université de Rennes, hier La Poste ou encore des sites de régions et de municipalités.
Si les effets des attaques sont souvent plus limités que ceux d’un bombardement, ces dernières peuvent, par ricochet, – Mme la ministre le rappelait – entraîner des morts, notamment dans les hôpitaux.
Mes chers collègues, le numérique occupe, on le voit, une place de plus en plus centrale, voire stratégique, dans nos sociétés, ainsi que dans le déploiement des services publics et privés.
Dans ce contexte, la protection des réseaux devient vitale.
La France et ses partenaires européens doivent réagir pour défendre efficacement leurs concitoyens. Plusieurs directives européennes – REC, NIS 2, Dora – ont ainsi été adoptées pour identifier plus clairement les infrastructures et services essentiels au bon fonctionnement de nos sociétés.
À cette identification sont associés plusieurs niveaux de priorité, avec différents régimes de protection. Il s’agit à la fois d’une mise à jour et de l’instauration d’un cadre européen harmonisé.
Comme toujours, cela a aussi déjà été dit, nous devrons veiller à ne pas céder à la tentation de la surtransposition, afin de ne pas nuire, tout simplement, à la compétitivité de nos acteurs.
À titre personnel, je me serais contentée de l’application de la seule norme ISO 27001, qui traite finalement tous ces enjeux. À l’instar du système retenu par nos amis belges, ce choix aurait été, me semble-t-il, plus conforme à notre souhait d’un véritable choc de simplification. Peut-être aurions-nous pu éviter, en outre, le forum shopping intracommunautaire qui risque de se faire jour.
Le texte que nous examinons prévoit des sanctions en cas de violation de ses dispositions. Sans doute seront-elles rares, puisque tous les acteurs concernés ont un intérêt direct à assurer leur propre sécurité. Elles sont néanmoins indispensables pour protéger nos concitoyens tant contre la négligence fautive que contre la malveillance caractérisée.
Ce texte technique ne fera sans doute pas la une des journaux. Il est pourtant, mes chers collègues, d’une importance capitale. De sa bonne mise en œuvre dépendent la sauvegarde de notre activité économique et, in fine, la sécurité de nos entreprises, de nos collectivités territoriales, de nos services publics et de nos concitoyens.
Ce cadre devra bien entendu s’adapter aux évolutions technologiques et être réévalué assez régulièrement pour rester pertinent.
Avant de conclure, je voudrais réaffirmer que la réglementation ne suffira pas. Une réelle sécurité implique la souveraineté.
La plupart des infrastructures et outils numériques que nous utilisons sont conçus aux États-Unis et fabriqués en Chine. C’était déjà problématique avant la deuxième présidence Trump ; cela devient extrêmement critique. Tous les Européens s’accordent à dire qu’ils ne peuvent plus dépendre des États-Unis pour leur armement. Le numérique n’est-il pas aussi stratégique ?
Il l’est selon moi, au premier chef. C’est même la reine des armes, voire l’arme fatale. Que l’on songe aux antennes 5G, voire aux grues chinoises employées dans les ports américains ! Rappelons que Washington avait alerté sur la vulnérabilité des matériels et logiciels qui sont conçus par des puissances hostiles.
À l’heure où les Européens n’ont plus d’autres vrais amis qu’eux-mêmes, il est grand temps de bâtir une industrie numérique. Et je vise ici l’industrie autant des infrastructures – les câbles, les satellites, le cloud – que des logiciels, l’industrie civile autant que militaire.
Les rapports Draghi et Letta nous montrent la voie. Hâtons-nous, mes chers collègues, de la suivre le plus rapidement possible.
L’industrie européenne devra bien sûr respecter une logique de rentabilité, mais aussi intégrer le fait que la souveraineté, comme la liberté – notre liberté chérie –, a un prix qui mérite d’être payé. (Applaudissements sur des travées du groupe Les Républicains.)
M. le président. La parole est à Mme Patricia Demas. (Applaudissements sur les travées du groupe Les Républicains.)
Mme Patricia Demas. Monsieur le président, madame la ministre, mes chers collègues, je salue à mon tour l’important travail mené par les rapporteurs dans le cadre de ce projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité.
Ce texte, qui transpose trois directives européennes, représente indéniablement une avancée majeure pour la protection de notre pays face aux menaces actuelles.
Nous devons saisir cette occasion pour aller encore plus loin, en particulier en matière de sécurité de nos infrastructures numériques, devenues indispensables à notre vie quotidienne, à notre économie et à la continuité même des services essentiels de la Nation.
J’attire votre attention sur un point crucial : la reconnaissance et la protection renforcée des infrastructures des réseaux de communications électroniques et, plus spécifiquement, de la fibre optique et des antennes-relais de téléphonie mobile.
Il serait utile de clarifier leur statut au sein même du code de la défense. En effet, il nous faudrait reconnaître explicitement ces infrastructures comme des activités numériques d’importance vitale.
Cette classification serait loin d’être symbolique. Elle entraînerait de facto l’application d’obligations de sécurité renforcée pour les opérateurs, à la hauteur des enjeux stratégiques qu’elles représentent.
Il serait également utile de ne pas les considérer comme un bloc monolithique. Nous devrions ainsi distinguer les différents types d’infrastructures de fibre optique et de téléphonie mobile en fonction de leur criticité et de leur impact potentiel sur les citoyens en cas de défaillance ou d’attaque.
Une simple armoire de rue n’a évidemment pas le même niveau de criticité stratégique qu’un nœud de raccordement optique, un central téléphonique ou un pylône d’antenne-relais.
Aborder ces aspects dans la loi impliquerait également la définition d’exigences de sécurité qui soient véritablement spécifiques et adaptées à ces infrastructures numériques vitales, autour de trois dimensions de la sécurité : la sécurité physique, modulée en fonction de la criticité des équipements ; la sécurité logique, pour protéger les systèmes d’information associés à ces infrastructures et garantir la mise en œuvre de plans de continuité et de reprise d’activité robustes ; la sécurité environnementale, trop souvent négligée, pour assurer la protection de ces infrastructures face aux aléas extérieurs.
Enfin, il faudrait renforcer et surtout clarifier les obligations qui pèsent sur les opérateurs exploitant ces activités d’importance vitale numériques. Là encore, il me semble essentiel de les préciser dans la loi, pour que ces exigences de sécurité spécifiques ne restent pas lettre morte.
Mes chers collègues, la tempête Alex, qui a frappé si durement les Alpes-Maritimes en 2020, n’est pas un cas isolé. Je peux témoigner, pour l’avoir vécue, de la vulnérabilité de nos infrastructures numériques. Trop de personnes ont été littéralement coupées du monde, privées d’accès à internet et aux communications mobiles pendant des jours, voire des semaines. Cette situation a durablement paralysé l’activité économique de territoires ; elle les a surtout fragilisés, voire mis en danger du fait de leur isolement.
Elle a démontré de façon brutale l’importance cruciale de renforcer la résilience de ces infrastructures face aux aléas climatiques mais aussi aux actes de malveillance, afin de garantir, en toutes circonstances, la continuité des services essentiels pour nos concitoyens.
Les exigences nouvelles en matière de cybersécurité transposées dans ce projet de loi font écho à la résilience et à la robustesse des réseaux de communication. Et si l’on convient qu’elles sont indispensables, elles représentent par ailleurs un défi significatif, en particulier pour nos collectivités territoriales.
La transposition de la directive NIS 2 étend ces obligations à un grand nombre d’établissements publics de coopération intercommunale, notamment aux plus petites intercommunalités à fiscalité propre, comme les communautés de communes. Or ces structures ne disposent pas toujours des moyens humains, financiers ou de l’ingénierie nécessaires pour se mettre en conformité avec ces nouvelles exigences.
L’expérience du plan France Relance et de son parcours cybersécurité a démontré l’importance d’un accompagnement ciblé. Toutefois, force est de constater que ce dispositif n’a bénéficié qu’à une minorité de petites intercommunalités.
Aussi, pour éviter de placer une nouvelle fois ces dernières dans une situation où elles seraient dans l’incapacité d’assurer leurs obligations, un accompagnement spécifique de l’État sera la clé de voûte pour atteindre réellement – nous l’espérons – les objectifs de ce projet de loi. (Applaudissements sur les travées du groupe Les Républicains, ainsi qu’au banc de la commission.)
M. André Reichardt. Très bien !
M. le président. La parole est à Mme Nicole Duranton.
Mme Nicole Duranton. Monsieur le président, madame la ministre, mes chers collègues, je félicite le président et les rapporteurs de la commission spéciale pour leur travail.
La France, comme le reste du monde, est confrontée à une menace croissante dans le domaine du numérique.
Dans un contexte géopolitique et sécuritaire dégradé, les infrastructures les plus critiques, déjà soumises aux risques naturels et technologiques, peuvent être régulièrement ciblées par des actions malveillantes. Ces actions visent tant les installations physiques que leurs systèmes d’information.
Selon Statista, un tiers des Français a déjà été victime d’une cyberattaque et les trois quarts des entreprises françaises ont subi au moins une attaque de type cyber en 2024.
Ces attaques ne se limitent pas aux personnes et aux entreprises privées. Réseaux hospitaliers, collectivités territoriales, intranet de nos écoles ou encore sites internet institutionnels sont tout autant des cibles vulnérables pour des personnes malveillantes.
Les infrastructures critiques de notre pays, notamment dans les secteurs de l’énergie, des transports ou de la santé, subissent ainsi une menace constante.
Les enjeux sont très importants. Une perturbation de ces infrastructures pourrait, et peut déjà actuellement, avoir des conséquences désastreuses sur la sécurité nationale, l’économie de notre pays ou la santé de nos concitoyens.
Face à cette menace croissante, le projet de loi que nous examinons aujourd’hui vise à mieux nous prémunir contre ce danger nouveau. Il vise ainsi à renforcer la résilience de nos infrastructures critiques et à améliorer notre cybersécurité en transposant dans notre droit national trois directives européennes.
La directive sur la résilience des entités critiques tend à renforcer la capacité de ces acteurs à résister aux perturbations naturelles et humaines.
En transposant cette première directive, le projet de loi permettra de renforcer la résilience de nos infrastructures par l’élargissement du nombre de secteurs concernés, par une meilleure prise en compte des interdépendances entre ces secteurs, y compris entre États membres, ou encore par une obligation de notification des incidents majeurs.
Les opérateurs de ces infrastructures devront ainsi adopter des mesures spécifiques pour assurer la continuité de leurs services en cas de perturbation. Ce texte prévoit en effet le passage d’une logique de protection physique des infrastructures à une logique de résilience et de continuité d’activité.
La directive NIS 2 établit, quant à elle, des exigences de cybersécurité pour les entités de secteurs essentiels.
Conformément aux préconisations de ce texte européen, les entités concernées auront à respecter certaines obligations en matière de cybersécurité : elles devront notamment s’enregistrer auprès d’une autorité nationale, notifier les incidents importants à cette autorité et mettre en œuvre des mesures adaptées de gestion des risques en la matière.
Enfin, la directive Dora, également transcrite dans ce texte, a pour objet de garantir que le secteur financier puisse continuer à fonctionner même en cas de perturbation majeure, en renforçant, à la fois, la protection des données des clients et le rôle des autorités de surveillance, tout en établissant des règles équitables dans l’Union européenne.
Ces trois directives et l’ensemble des mesures qu’elles contiennent constituent une réponse coordonnée au niveau européen pour faire face aux menaces croissantes pesant sur nos infrastructures critiques et notre cybersécurité.
Il est primordial de les transposer dans notre droit national le plus rapidement possible, afin de permettre à notre pays de se doter de l’arsenal juridique permettant de nous protéger et de nous prémunir contre ces menaces.
Cette protection s’effectuera par ailleurs en coopération avec les autres pays membres de l’Union européenne, qui auront eux aussi transposé les trois directives dans leur droit national.
Toutefois, les collectivités territoriales devront être accompagnées dans la mise en œuvre de ces nouvelles obligations. Certains établissements publics de coopération intercommunale (EPCI) sont en effet dépourvus de moyens suffisants pour se conformer aux exigences du texte.
Le groupe RDPI plaide ainsi pour l’instauration d’un accompagnement financier et technique de l’État et pour dispenser les collectivités des sanctions pécuniaires prévues en cas de manquement aux obligations de sécurité des systèmes d’information.
Mes chers collègues, il est inutile de vous rappeler les méthodes employées par certains États, notamment la Russie, afin de déstabiliser des pays européens et influer sur leurs décisions et processus démocratiques.
Face à des cybermenaces de plus en plus sophistiquées, globalisées et émanant des quatre coins du monde, il est primordial que nous ne fassions plus preuve de naïveté sur ces questions, et que nous puissions coordonner notre réponse avec nos alliés européens.
Dans la lutte contre la menace cyber, le rôle de l’État doit être central. Il y va de la confiance de nos entreprises et de nos concitoyens, qui doivent être protégés par un État fort et souverain, même dans le monde virtuel.
Le monde numérique continue, grâce à ses progrès technologiques, d’améliorer notre quotidien depuis de nombreuses années. Force est de constater que ces évolutions vont perdurer, notamment en raison du développement de l’intelligence artificielle.
Cependant, lorsque le progrès avance, de nouvelles menaces font leur apparition. Il faut ainsi choisir entre les subir ou s’en prémunir. Il est de notre devoir de nous adapter à ce défi, auquel ce projet de loi apporte une réponse ambitieuse et nécessaire grâce à l’adaptation de notre législation au droit européen.
Aussi, le groupe RDPI votera ce texte.
M. le président. La parole est à M. Bernard Fialaire.
M. Bernard Fialaire. Monsieur le président, madame la ministre, mes chers collègues, Corbeil-Essonnes, Villefranche-sur-Saône, Dax, Charleville-Mézières, Arles, Cannes : voilà une liste non exhaustive de communes dont les hôpitaux ont été la cible de cyberattaques ces dernières années.
Comme le souligne régulièrement l’Anssi, les cybercriminels ciblent de plus en plus régulièrement, sur le territoire français, des hôpitaux à l’aide de rançongiciels, paralysant ainsi l’activité de structures vitales de l’État.
Les conséquences de ces cyberattaques sont évidemment dramatiques. Elles déstabilisent profondément et parfois durablement le fonctionnement des établissements qui en sont victimes. Elles constituent une grave violation du droit à la vie privée, les données volées pouvant être vendues à des tiers, ou encore être utilisées à des fins d’usurpation d’identité.
Il est devenu aussi essentiel de se prémunir contre les risques technologiques que contre les risques naturels, sécuritaires ou sanitaires. Le contexte géopolitique actuel, caractérisé par une tension accrue, nous le rappelle à chaque instant.
La directive REC a pour objectif de renforcer la résilience des opérateurs d’importance vitale désignés comme « entités critiques ». Elle élargit le champ d’application du cadre juridique à onze secteurs et activités, contre deux actuellement en France. Elle impose une application uniforme des obligations de sécurité et de continuité des activités, afin de doter l’ensemble des opérateurs du marché intérieur de standards de sécurité communs, tout en préservant la concurrence.
L’ambition de ce projet de loi est également, en plus de sécuriser les 500 infrastructures critiques, d’assurer la résilience de 15 000 entités dites « essentielles » ou « importantes » et de l’ensemble de leurs systèmes d’information, afin de faire face au risque de cyberattaques, qu’il s’agisse d’hameçonnage, de rançongiciel ou d’exploitation de diverses vulnérabilités des systèmes.
Enfin, le texte renforce la résilience opérationnelle du secteur financier européen en matière de cybersécurité et de gestion des risques informatiques. Les entités financières auront l’obligation de mettre en place des cadres complets de gouvernance des risques liés aux technologies de l’information et de la communication, et de respecter des normes strictes de protection des données des clients.
Il est prévu que l’Anssi, dans sa fonction de contrôle, puisse prononcer des sanctions administratives et financières, d’un montant allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires, et imposer une procédure de mise en conformité.
Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont visés par ce texte. Leur infliger des sanctions financières, parfois lourdes, en cas de manquement ne paraît pas adapté à leur situation, alors qu’elles font déjà face à des contraintes financières croissantes. La réalité est que 73 % des petites et moyennes collectivités ne peuvent se permettre de consacrer plus de 5 000 euros par an à l’informatique et à la sécurité des systèmes.
C’est pourquoi le groupe du Rassemblement Démocratique et Social Européen a déposé plusieurs amendements visant à prendre en compte l’impératif donné aux collectivités de maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.
Nous proposons de les exonérer de sanctions financières en cas de manquement aux obligations de sécurisation des systèmes d’information. Nous appelons à privilégier des approches alternatives, telles que l’accompagnement, la formation et le soutien technique.
Le groupe du RDSE a également déposé un amendement réduisant l’astreinte pouvant être appliquée à une collectivité de 5 000 euros à 100 euros par jour.
Nous proposons aussi d’exonérer du financement des audits les administrations de l’État, ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, qui risquerait d’entraver leur fonctionnement et de compromettre leur équilibre budgétaire.