Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 85 rect. quater

11 mars 2025
 

AMENDEMENT

présenté par
C Défavorable
G Défavorable
Rejeté

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et HENNO, Mme JACQUEMET et MM. LAFON, PARIGI et PILLEFER

ARTICLE 14

Alinéa 3

Compléter cet alinéa par les mots et une phrase ainsi rédigée :

lorsque celle-ci a une implication directe sur la sécurité des réseaux et systèmes d’information. Les rôles et les responsabilités de chacun sont précisés autant que de possible au préalable ;

Objet

L’article 14 prévoit que les entités essentielles doivent prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information. Pour ce faire, elles doivent notamment assurer la protection de ces réseaux et systèmes, y compris en cas de recours à la sous-traitance.

La mention explicite de la sous-traitance pourrait entraîner des interprétations excessives entraînant, pour les entités essentielles, des obligations de sécurité pour l’ensemble des sous-traitants, y compris ceux dont l’intervention n’a pas d’incidence directe sur la sécurité des systèmes d’information.

De plus, la sous-traitance impliquera des responsabilités différentes selon le niveau d’accès aux données et aux systèmes du donneur d’ordre. En effet, les sous-traitants administrateurs ou gestionnaires des données jouent un rôle actif dans la gestion des systèmes ou le traitement des données du donneur d’ordre. A ce titre, ils doivent garantir que leurs infrastructures et procédures ne constituent pas une faille de sécurité susceptible d’exposer les données à des risques de cyberattaques. Il est essentiel d’exiger d’eux des garanties spécifiques en matière de cybersécurité et de conformité aux exigences de la directive NIS.

Concernant les sous-traitants ayant un simple accès aux données, sans rôle de gestion ou d’administration, bien qu’ils n’interviennent pas directement sur les systèmes, leur accès aux données du donneur d’ordre peut représenter un risque, notamment en cas d’utilisation inappropriée, de fuite d’informations ou d’erreur humaine. Il est donc essentiel d’encadrer leurs rôles et responsabilités afin d’éviter toute utilisation inappropriée ou faille de sécurité.

Le présent amendement propose donc de clarifier la portée de cette disposition en limitant sa mise en œuvre aux cas où la sous-traitance a une implication directe sur la sécurité des systèmes d'information et en spécifiant que les rôles et responsabilités de chacun devront être précisés autant que de possible au préalable.



NB :La présente rectification porte sur la liste des signataires.