Mardi 17 décembre 2024
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 15 h 35.
Entreprises et cybersécurité - Audition des représentants du Mouvement des entreprises de France (Medef) et de la Confédération des PME (CPME)
M. Olivier Cadic, président. - C'est avec un grand plaisir que j'ouvre aujourd'hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Je rappelle que notre commission spéciale s'est constituée le 12 novembre dernier pour examiner ce texte qui vise à transposer trois directives différentes : celle portant sur la résilience des entités critiques, dite directive REC ; celle concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite directive NIS 2 ; enfin, celle concernant la résilience opérationnelle numérique du secteur financier, dite directive Dora.
Cette transposition devait intervenir avant le 17 octobre ; toutefois, le contexte politique actuel explique le retard de nombreux projets de loi. Cela dit, les entreprises attendent avec impatience de connaître les nouveaux objectifs de cybersécurité et les nouvelles obligations qui leur incomberont.
C'est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des petites et moyennes entreprises (CPME) d'avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et sur l'impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations auprès du directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), que nous auditionnerons après vous. L'Union des entreprises de proximité (U2P) et l'Association française des entreprises privées (Afep) m'ont fait savoir que leur position n'était pas encore arrêtée et qu'elles nous adresseraient ultérieurement leur contribution écrite.
Pour le Medef, nous accueillons : Mme Maxence Demerlé, directrice du numérique ; M. Maxime Foret, chargé de mission sénior au sein du pôle Affaires publiques ; et Mme Mathilde Briard, chargée de mission Économie numérique.
La CPME est représentée par : Mme France Charruyer, membre de la commission numérique ; M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales ; M. Jérôme Normand, économiste ; et M. Adrien Dufour, responsable des affaires publiques.
Avant de vous céder la parole, je rappelle que cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
Pour ouvrir cette table ronde, je propose que vous présentiez vos positions sur le texte puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet, Patrick Chaize et Hugues Saury, puis à ceux de nos collègues qui le souhaitent.
J'en profite pour vous indiquer que le « 17 cyber » a été lancé ce matin. À cette occasion, il a été rappelé plus de 60 % des entreprises ne sont pas conscientes d'être exposées aux risques numériques.
Mme Maxence Demerlé, directrice du numérique du Medef. - Nous sommes nous aussi très heureux que la plateforme cybermalveillance.gouv.fr se transforme en « 17 cyber » ; c'est un outil extrêmement pratique que le Medef attendait avec impatience.
Le Medef regroupe 101 fédérations qui rassemblent des entreprises de toutes tailles et de tous secteurs d'activité. Nous disposons de 120 représentations dans les territoires.
Nous organisons actuellement un Tour de France de l'IA (intelligence artificielle) : nous sentons que les chefs d'entreprise ont envie de comprendre les enjeux de l'économie numérique. C'est l'occasion de recenser des cas d'usage, mais aussi des incidents cyber, tels que les rançongiciels. Ces cybermenaces se multiplient, mais les chefs d'entreprise n'en sont pas toujours conscients. Hélas, les chiffres sont éloquents : le parquet de Paris a ainsi ouvert 512 nouvelles enquêtes pour ce type d'affaires en 2023, soit une augmentation de 22 % par rapport à l'année précédente.
Dans son rapport annuel consacré aux cybermenaces, l'Agence européenne pour la cybersécurité (Enisa) signale que l'un des plus grands acteurs du rançongiciel, LockBit 3.0, a fait de la France sa deuxième cible mondiale après les États-Unis. Notre pays est sur le podium des nations les plus menacées : le numérique, c'est aussi politique, et pas seulement technologique. C'est pourquoi nous sommes très heureux d'évoquer les moyens visant à renforcer notre cyber-résilience devant la représentation nationale.
Nous accueillons ce texte dans un esprit positif et constructif. Le Medef s'était beaucoup impliqué dans la transposition de la directive NIS 1 . Moins de dix ans plus tard, nous examinons la deuxième version de cette directive, qui élargit considérablement le nombre de secteurs et d'entreprises concernés.
Persuader les entreprises de s'intéresser à la cybersécurité représente un Everest à gravir, compte tenu du nouveau périmètre prévu par le texte, dont les contours sont imprécis. La définition des entités importantes et des entités essentielles devrait être précisée. De nombreuses entreprises nous ont contactés pour savoir si elles étaient ou non concernées.
Aux termes de l'article 8, les entités essentielles sont définies comme des entreprises employant au moins 250 personnes ou dont le chiffre d'affaires annuel excède 50 millions d'euros annuels. Nous souhaitons que ce critère soit non pas alternatif, mais cumulatif. Il en va de même pour les entités importantes, définies à l'article 9. Cette recommandation nous semble d'autant plus importante que l'article 12 prévoit que l'Anssi établisse la liste de ces entités sur la base de leurs déclarations.
Certaines entreprises nous ont fait part de leurs doutes sur leur classification comme entité essentielle ou entité importante. Là encore, une clarification s'impose. Peut-être l'Anssi pourrait-elle les aider à déterminer si elles sont concernées par l'application de la directive.
Nous nous réjouissons que le caractère proportionnel des dispositions applicables aux entités essentielles et entités importantes soit bien prévu par le projet de loi ; nous y sommes très attachés.
Nous souhaiterions que la même philosophie s'applique aux mesures qui seront exigées des entreprises par l'Anssi. Les entités importantes sont définies à l'article 9 comme des entreprises employant au moins 50 personnes ou dont le chiffre d'affaires excède 10 millions d'euros. Avec une telle définition, de nombreuses entreprises de taille moyenne seraient concernées. Or celles-ci ne disposent souvent pas du budget suffisant pour mettre en place des mesures ambitieuses : souvent, elles n'ont pas à proprement parler de directeur des services informatiques (DSI) ; quand elles ont en un, le poste est parfois externalisé. Les recommandations de l'Anssi devront donc être adaptées à la réalité de ces structures.
L'article 10 du projet de loi prévoit que le Premier ministre peut désigner par arrêté comme entité essentielle ou comme entité importante une entité exerçant une activité relevant d'un secteur d'activité hautement critique ou critique, quelle que soit sa taille, sous réserve de justifier cette désignation par le respect de certains critères. Un recours contre cette décision sera-t-il possible ? Nous souhaiterions introduire un échange contradictoire.
De combien de temps les entreprises disposeront-elles pour se mettre en conformité avec ces nouvelles dispositions ? Le texte est muet sur ce point. Nous aimerions que des précisions à ce sujet y soient intégrées, ou, à tout le moins, évoquées lors des débats parlementaires. Nous préconisons un délai de trois ans, à l'image de ce que prévoyait la directive NIS 1, car les entreprises ont besoin de définir précisément les objectifs et les formations nécessaires pour se mettre en conformité avec les nouvelles règles, et donc prévoir les fonds en conséquence. Les sommes que consacrent les entreprises de moins de 10 salariés à l'informatique, matériel inclus, s'élèvent entre 2 000 et 3 000 euros par an. Or le précédent directeur général de l'Anssi estimait que 10 % à 15 % du budget total consacré à l'informatique devait porter sur des dépenses liées à la cybersécurité. Cela représente des sommes peu élevées pour les petites entreprises. Nous avons donc besoin de temps pour clarifier et planifier les choses.
Nous souhaiterions mieux comprendre les dispositions de l'article 11. Comment s'applique la directive pour les groupes ? Nombre de nos adhérents ont des activités dans plusieurs pays. Or l'article évoque notamment les entreprises établies sur le territoire national. Mais cette notion n'est pas évidente : le siège du groupe n'est pas nécessairement en France. En outre, quid des filiales ?
Le III de l'article 11 dispose que l'établissement principal s'entend du lieu où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Mais le I ne contient nulle référence à cette notion d'établissement principal.
Nous avons donc besoin de clarifications : les dispositions du texte s'appliqueront-elles parce que l'établissement principal est situé en France ou parce que l'établissement dépasse le seuil de salariés ou de chiffre d'affaires ? Par extension, les filiales de l'entreprise situées à l'étranger devront-elles respecter la loi française, même si elles ne dépassent pas le seuil ? Plusieurs de nos adhérents ont des activités dans d'autres pays européens : ils ont besoin de comprendre la façon dont les règles s'appliqueront.
L'article 17 porte sur la notion d'incident important, un critère majeur pour le déclenchement de certaines procédures prévues par le texte. Celles-ci devrait être mieux précisées. L'incident est déterminé par un acte d'exécution qui vient d'être pris pour les entreprises de services numériques. Dans un esprit d'harmonisation, nous souhaiterions que les critères de cet acte servent de base pour définir un incident important afin de ne pas créer de distorsion d'un pays à l'autre et d'éviter le cybershopping : tous les États doivent être mis sur un pied d'égalité. Nous avons aussi un objectif sous-jacent : faire en sorte que le marché de la cybersécurité puisse être à la portée de nos entreprises. Notre pays a la chance de compter de nombreuses firmes spécialisées dans la cybersécurité : l'objectif sous-jacent est de mettre ce marché à leur portée. Nous appelons donc à une transposition harmonisée, qui crée le moins possible de nouvelles obligations.
L'article 5 désigne l'Anssi comme l'entité responsable de la mise en oeuvre de ce texte. C'est elle qui sera chargée d'effectuer les contrôles prévus. L'Agence dispose de compétences techniques extraordinaires, qui ont contribué à faire de la France un pays sécurisé en matière cyber, alors que la menace pesant sur notre pays est réelle. Mais elle est placée sous l'autorité du Premier ministre et rattachée au secrétariat général de la défense et de la sécurité nationale (SGDSN) : cette position était logique lorsqu'elle assurait uniquement la cybersécurité des systèmes d'information de l'État. Est-elle toujours pertinente ? Par ailleurs, l'Anssi disposera-t-elle des moyens suffisants pour agir ? Des représentants des acteurs économiques pourraient-ils être associés à sa gouvernance, à l'instar des collèges créés par l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) ou par la Commission nationale de l'informatique et des libertés (Cnil) ? Les relations entre le monde économique et les délégués régionaux de l'Agence sont excellentes, mais ces derniers ne sont pas très nombreux. Comment accompagner au plus près les entreprises ?
Le texte n'évoque pas le rôle des centres de réponse aux incidents de sécurité informatique (CSIRT), ou Computer security incident response team en anglais. Ces structures créées par les conseils régionaux accomplissent un travail de bonne qualité, mais disposent de peu de moyens. En outre, l'articulation avec la plateforme Cybermalveillance est peu développée : c'est dommage, car celle-ci est pourtant un bel exemple de partenariat public-privé réussi.
Mme France Charruyer, membre de la Commission numérique de la CPME. - Je vous remercie de l'occasion unique qui nous est offerte de collaborer avec le Sénat et de présenter les actions menées par la CPME sur le terrain.
La CPME compte 243 000 adhérents, 133 structures territoriales et 122 fédérations patronales. Aujourd'hui, la question qui lui est posée est de savoir comment embarquer les dirigeants qu'elle représente dans la gestion du nouveau risque numérique.
En tant qu'entrepreneur et avocat délégué à la protection des données au service des entreprises, j'ai une approche de terrain. C'est pourquoi je tiens à présenter les dispositifs innovants mis en place au sein de la CPME. En effet, en la matière, il s'agit non pas de surtransposition ou de tout régler par la norme, mais de savoir si les dirigeants sont capables d'absorber des chocs toujours plus nombreux et de faire face à l'imprévu, alors qu'on dénombre actuellement 66 000 défaillances d'entreprises. Comment peut-on les encourager dans cette direction lorsqu'ils sont quotidiennement confrontés à un manque de trésorerie et qu'ils doivent eux-mêmes embarquer leurs salariés dans la transformation numérique ?
Cette dernière revêt des obligations légales définies par le code du travail - je le rappelle ; il n'a pas fallu attendre la directive NIS 2 pour cela. Ainsi en est-il de l'obligation générale de sécurité, dite by-design, résultant de l'article 32 du règlement général sur la protection des données (RGPD) et des nouvelles obligations sectorielles issues des directives NIS 2 et Dora, de la loi du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur (Lopmi), de la loi de programmation militaire (LPM) ou encore du Cyber Resilience Act (CRA). Dans cet enfer réglementaire, dont les enjeux se mesurent en réalité au niveau des États, le droit est une arme de défense économique. Aussi, pour faire adhérer les dirigeants aux dispositifs prévus, il faut non pas se contenter de développer un marketing de la peur ou un marketing normatif, mais entrer dans cette chaîne de valeur.
Par conséquent, la CPME a mis en place des commissions dédiées à la sécurité économique, car il n'est pas souhaitable d'aborder la question de la cybersécurité sous le prisme de la sanction. En la matière, il faut expliquer aux dirigeants que le patrimoine informationnel de leur entreprise est un actif à protéger. La CPME a aussi mis en oeuvre de petites choses, car les entreprises qu'elle représente sont de taille modeste - des très petites entreprises (TPE) et des PME innovantes, quelques entreprises de taille intermédiaire (ETI) -, comme une convention de partenariat avec des centres de réponse aux incidents cyber territoriaux, les CSIRT, par exemple Cyber'Occ dans la région Occitanie ou le campus régional de cybersécurité et de confiance numérique de la région Nouvelle-Aquitaine qui fonctionnent très bien. Nous avons également développé des formations gratuites destinées aux dirigeants. Aussi, la première difficulté en la matière aura trait au changement d'échelle induit.
La deuxième difficulté est liée à la disponibilité de trésorerie nécessaire pour remédier à un problème de cybersécurité. En effet, la question est alors non pas de savoir si les bonnes cases d'une documentation ont été remplies, mais de disposer de trois mois de trésorerie d'avance. Malheureusement, c'est le cas de très peu d'entreprises.
La troisième difficulté est liée à la bonne compréhension de la norme. Selon l'enquête à laquelle ont participé la CPME, le Medef et la plateforme cybermalveillance.gouv.fr, moins d'une entreprise sur deux est dotée d'une solution de détection et une majorité des dirigeants sondés avouent méconnaître la norme en vigueur. Ainsi ne connaissent-ils pas le sens de l'acronyme NIS 2, encore moins celui de la Lopmi, loi qui leur permettrait de profiter de garanties assurantielles. Ils méconnaissent totalement les règles et les obligations de déclaration ou de notification. Par conséquent, ils ne peuvent pas anticiper les actions à mettre en place dans ce domaine.
La nouvelle réglementation est-elle accessible à tous et définie à la bonne échelle ? L'Anssi a indiqué qu'un délai de transition de trois ans était prévu. Nous avons besoin que soit prise en compte la courbe d'apprentissage des entreprises, comme ce fut le cas en 2018 lors de l'entrée en application du RGPD, et que cela soit inscrit.
Si le périmètre nous pose le même problème qu'au Medef, nous en avons un autre plus important. Au sein du tissu économique de la CPME, l'ensemble des sous-traitants qui participent à la chaîne de valeur seront concernés, mais aussi ceux qui voudront ou devront travailler avec les grosses entreprises ; dans ce cas, le standard en vigueur écrase tout. La norme ne servira-t-elle pas de nouveau de bouclier, comme ce fut le cas pour les Gafam ? Je le rappelle : 96 % des données de nos entreprises sont hébergées par des sociétés soumises à une réglementation extraterritoriale.
C'est pourquoi il serait souhaitable de s'intéresser à la valeur de l'actif à protéger et, peut-être, aux dispositifs incitatifs en la matière plutôt qu'aux sanctions. En effet, pour embarquer les petites PME dans cette transformation, il faut d'abord leur expliquer comment se mettre en conformité avec l'état de l'art dans ce domaine et, par conséquent, faire oeuvre de pédagogie. Sur le terrain, la CPME a donc conclu des conventions de partenariat avec les CSIRT financés par les régions, qui devront disposer de davantage de moyens.
En effet, les entreprises aujourd'hui ne disposent pas de solutions de détection, car celles-ci reposent en majorité sur des dispositifs très puissants faisant appel à l'intelligence artificielle (IA), comme l'Open Source Intelligence (Osint), qui ne sont pas à la portée des PME. Or comment les entreprises peuvent-elles savoir si elles sont victimes de fuites de données, notamment sur le clear web, sans accéder à ces technologies ? Des accords ont été signés avec des compagnies d'assurance qui réalisent des « scans cyber » selon une logique de prévention des risques. Mais est-ce le rôle des assureurs ou celui des entreprises ou des syndicats d'entreprises ? Non. Nous avons la chance de disposer des CSIRT, qui fonctionnent très bien et qui pourraient devenir des lanceurs d'alerte en collaboration avec l'Anssi, s'ils étaient dotés de tels outils technologiques, selon les termes de l'article 24 du projet de loi. L'Anssi et les CSIRT doivent donc disposer de moyens supplémentaires.
Un deuxième problème a trait à la lisibilité de la norme ; cette dernière doit avoir un sens et indiquer une direction. Or il existe plusieurs définitions de la notion d'incident, selon notamment le RGPD, les directives NIS 2 et Dora, ou le règlement sur la cyber-résilience. Il faut être un fin juriste pour s'y retrouver ! Pour ce qui concerne la notion de risque, ce terme figure cent soixante-dix-sept fois dans le règlement européen sur l'intelligence artificielle (RIA), mais sa définition est différente. Il serait donc nécessaire de réfléchir à un « commun numérique », à savoir une réglementation harmonisée, que nous appelons de nos voeux. Cela suppose d'arrêter la guerre que se livrent les régulateurs européens et, en France, de faire travailler ensemble les deux régulateurs que sont la Commission nationale de l'informatique et des libertés (Cnil) et l'Anssi, tout en les dotant de moyens supérieurs, afin de ne plus faire peser le risque sur les plus petits éléments de la chaîne, qui n'en peuvent plus - en témoignent les 66 000 défaillances d'entreprises. Or ce sont des maillons essentiels : sans eux, la chaîne de sous-traitance ou la logistique ne fonctionnent pas. Ils n'y arrivent pas par manque de trésorerie, parce qu'ils ne savent pas lire la norme, parce qu'ils ne sont dotés ni de direction générale, ni de délégué à la protection des données (DPO, pour Data Protection Officer), ni de responsable de la sécurité des systèmes d'information (RSSI) mutualisé. C'est pourquoi ils font appel à un réseau de bénévoles, dont la CPME fait partie, car la souveraineté commence par la défense de la compétitivité des territoires.
Ainsi, trois conditions doivent être réunies pour transformer les dirigeants en entrepreneurs de la donnée : il faut d'abord qu'ils prennent conscience de ce qu'ils possèdent, ensuite, qu'ils connaissent l'écosystème, enfin, que les CSIRT qui détiennent des solutions de détection des incidents et de fuites de données deviennent des lanceurs d'alerte. À cela doit s'ajouter une nécessaire proportionnalité ; l'Anssi nous soutient en la matière, car elle a conscience qu'il faudra plus de trois ans pour y parvenir. Nous avons su le faire lors de la mise en oeuvre du RGPD, nous saurons aussi le faire dans le cas présent.
La norme et les standards européens ne doivent pas se retourner contre nos entreprises. Il ne s'agit pas d'entreposer notre mémoire dans les archives d'un autre. La souveraineté appartient à celui qui détient le pouvoir d'exception.
La cybersécurité est une arme d'intelligence économique. Dans ce domaine, nous avons besoin de tous les maillons de la chaîne économique. À l'heure de l'IA générative, les entreprises déploient la solution Copilot, sans en avoir réellement conscience et sans avoir les moyens de paramétrer Purview, c'est-à-dire l'étiquetage de la donnée ; elles n'ont pas les moyens de se doter de DPO, mais elles savent comment mutualiser.
Aujourd'hui, nous avons l'occasion unique de doter nos institutions et nos organes de contrôle de moyens suffisants. Ne faites pas peser sur les entreprises le poids de cette cybersurveillance, de cette cybercompétence, puisque les organisations doivent se transformer en systèmes autoapprenants. Il faut faire preuve de réalisme et de modestie, mais aussi comprendre comment les investissements dans la cybersécurité transformeront une entreprise en une société productrice de bases de données, ce qui dépassera la notion de charge et sera pris en compte dans la mesure de la performance extrafinancière des entreprises. Depuis deux ans, les fonds d'investissement demandent des Technical Due Diligence et s'intéressent enfin à la solidité et à la robustesse du système d'information (SI) et de l'outil informatique pour investir, car l'argent magique, c'est fini.
Pour faire entrer les chefs d'entreprise dans la chaîne de valeur de la cyber-économie, il faut libérer le patrimoine numérique des entreprises et faire confiance aux entrepreneurs. Les textes qui comprennent uniquement des sanctions seront contre-productifs, parce que lisibles uniquement par les plus gros entrepreneurs. Une forme de cannibalisme se mettra alors en place, ce qui posera des questions de fermeture du marché. On se retrouvera avec une cybersécurité made in Microsoft, avec des outils d'IA génératives qui sont en réalité des éponges à données et à secrets d'affaires. L'Anssi a réalisé un travail remarquable avec les CSIRT pour remettre la réglementation à l'endroit.
Nous souhaitons donc aussi de la proportionnalité et une meilleure définition du périmètre ; nous savons que nous l'obtiendrons. En réalité, il est question de moyens. Aussi, ne nous refilez pas la patate chaude, si je puis dire.
Un syndicat professionnel signe une convention avec des CSIRT - le Medef et les chambres de commerce et d'industrie (CCI) en ont également signé une -, pour mettre en place cette cybersécurité. Selon un CSIRT, la moyenne générale des scores d'une PME s'élève à 1,4 sur 5 ; nous devrons donc gravir cette échelle ensemble. Il y va de la défense de notre patrimoine, de celle de notre capital humain et numérique, mais aussi, demain, de notre vivre-ensemble. Tout ne doit pas être magique ni made in USA.
M. Patrick Chaize, rapporteur. - En tant que rapporteur chargé de l'examen du titre II du projet de loi, mon intervention sera centrée sur la transposition de la directive du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, plus connue sous le nom de directive NIS 2.
À l'occasion d'un déplacement à Bruxelles effectué la semaine dernière, nous avons échangé avec des représentants de la direction générale des réseaux de communication, du contenu et des technologies de la Commission européenne, la DG Connect, qui a piloté l'élaboration de cette nouvelle directive.
Pour le monde économique, les changements attendus sont significatifs dans toute l'Union européenne, mais plus particulièrement en France, puisque le nombre d'entités régulées devrait augmenter de 500 à 15 000 et celui des secteurs économiques concernés, de six à dix-huit, par rapport au précédent cadre de régulation défini par la directive NIS 1. Surtout, par principe, tous les systèmes d'information des entités régulées sont désormais concernés.
C'est un changement majeur de paradigme qui est à l'oeuvre : il s'agit non plus uniquement de sécuriser des infrastructures critiques, mais d'assurer la résilience des entités critiques. Autrement dit, la couverture est bien plus large.
Plusieurs questions se posent auxquelles vous avez déjà esquissé quelques réponses.
Pensez-vous que les entreprises que vous représentez sont suffisamment informées des changements à venir ? Quel travail devrait-il être mis en oeuvre pour y parvenir ?
Selon vous, l'Anssi est-elle suffisamment bien identifiée par le monde économique comme un interlocuteur de confiance dans le domaine de la cybersécurité ? Les entités régulées par la directive NIS 2 devront s'enregistrer auprès de l'Anssi, mais aussi lui signaler les incidents significatifs de cybersécurité ; il est donc important que l'Agence soit bien identifiée.
Parmi les entreprises que vous représentez, combien seront qualifiées d'entités essentielles, au titre de l'exercice d'une activité hautement critique, ou d'entités importantes, en raison de celui d'une activité critique ? Disposez-vous d'estimations précises ?
Le projet de loi confie, à juste titre, à l'Anssi des pouvoirs importants en matière de supervision, de contrôle des obligations des entreprises et de sanction en cas de manquement à ces obligations. Afin de permettre une application douce et progressive, seriez-vous favorable à la définition d'une période d'adaptation et d'accompagnement ? Vous avez répondu à cette question, pouvez-vous nous en dire davantage ? Les sanctions prévues vous semblent-elles proportionnées et adéquates ?
M. Hugues Saury, rapporteur. - Sénateur du Loiret, je siège au sein de cette commission spéciale en tant que rapporteur au titre de la commission des affaires étrangères, de la défense et des forces armées dont je suis membre. Aussi me revient-il d'instruire le titre Ier du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose la directive REC en droit français.
Vous avez abordé différents sujets ayant trait aux moyens et à l'accompagnement, mais aussi à la proportionnalité et à la compétitivité. Mes questions recoupent ces sujets, mais aussi celles exprimées précédemment.
Quel bilan tirez-vous du dispositif actuel de sécurité des activités d'importance vitale ? Quel en est le poids pour les entreprises que vous représentez ? Celles-ci adhèrent-elles globalement à ce dispositif ? En la matière, leur intérêt peut varier selon l'importance des risques auxquels elles sont soumises.
Que pensez-vous de la philosophie générale de la directive REC et du titre Ier du projet de loi, notamment pour ce qui concerne la priorité donnée à la résilience plutôt qu'à la simple protection ?
Selon vous, les obligations prévues par le titre Ier - plan de résilience opérateur et plan particulier de résilience, notifications d'incidents, exigences spécifiques pour les entités critiques d'importance européenne particulière - sont-elles pertinentes et surtout proportionnées ?
Comment jugez-vous les mécanismes de contrôle et de sanction prévus en cas de manquements ou d'obstruction, notamment les plafonds, les procédures et les garanties associées ?
Avez-vous le sentiment que les dispositifs d'accompagnement proposés par l'Anssi répondent aux obligations énoncées par le projet de loi ?
Quel est le ressenti des acteurs de terrain ? Quelles sont les attentes des entreprises que vous représentez ?
Mme France Charruyer. - Pour répondre à M. Patrick Chaize et à sa première question sur l'état des lieux, selon les résultats de l'enquête que nous avons menée avec l'Ipsos sur la maturité des investissements cyber, un tiers des personnes interrogées avoue sa complète méconnaissance des questions réglementaires, quand un autre tiers souligne son manque de ressources humaines. Il existe donc un problème de compétences et un problème de moyens. Transformer l'entreprise au travers de la réglementation revient à la transformer en système autoapprenant, au sein duquel il faut intégrer la norme et faire monter en compétences les salariés. Par conséquent, le premier défi a trait à la formation. Les dispositifs d'incitation à la formation sont aussi des dispositifs de financement.
La deuxième question concerne la philosophie de la résilience et la directive Dora : cette réglementation est très intéressante puisqu'on parle enfin de remédiation, de résilience opérationnelle : actuellement certaines directions des systèmes d'information font de la conformité en cochant des cases d'une documentation et en remplissant des formulaires, mais sans s'intéresser véritablement à la manière dont tout fonctionne sur le plan opérationnel.
L'enjeu est pourtant de savoir si la personne derrière le clavier, qui agit dans une interface homme-machine, est capable ou non de résister au biais d'automatisation et de se poser les bonnes questions lorsque cela est nécessaire. Les entreprises sont confrontées à une « polycrise », à une explosion des risques cyber et elles doivent s'outiller pour y faire face. Or dès lors que les menaces sont conçues par intelligence artificielle, il faut se doter aussi pour y répondre d'un outil d'IA. Tout repose alors in fine sur la qualité de la décision humaine : il importe de former les hommes placés dans une interface homme-machine à pouvoir toujours exercer leur esprit critique. C'est très concret : il faut avoir conscience que tout système informatique peut être craqué et que l'opérateur doit pouvoir reprendre la main face à la machine si cela est nécessaire.
Là où le bât blesse, c'est que prévaut toujours dans les entreprises, en ce qui concerne les obligations de déclaration et de notification, le « pas vu, pas pris ». Je vous renvoie au site de la Cnil sur les notifications de violations de données. Il est difficile, pour un dirigeant, de s'auto-incriminer. C'est compréhensible. La CPME a demandé à ses adhérents de vérifier si elles étaient soumises à NIS 2. Les dirigeants ne sont pas friands de « l'auto-incrimination » ; pourtant la procédure prévue est utile et le dispositif est très bon. Le risque est, paradoxalement, que les personnes préfèrent chercher à éviter d'appliquer la règle plutôt que de se poser les bonnes questions opérationnelles.
Vous me demandez si l'accompagnement de l'Anssi est suffisant. J'ai envie de vous dire qu'il ne sera jamais suffisant. Les CSIRT jouent un rôle crucial. L'offre de formation actuelle en matière de cybersécurité est surdimensionnée. Les entreprises sont conviées à de nombreuses conférences et à de nombreux ateliers sur la cybersécurité. Elles se voient proposées de nombreux outils très compliqués à base d'IA, mais l'ensemble est peu lisible. Cette offre semble surdimensionnée.
Or on nous demande, dans les contrats que l'on signe, d'être « à l'état de l'art », mais c'est très difficile. Cette notion n'est pas définie. Il faut avoir une très bonne connaissance des textes, des lignes directrices, savoir ce qu'est le Comité européen de la protection des données, savoir lire les décisions de justice, etc. Tout cela suppose de réaliser une veille documentaire importante. Qui peut faire ce travail ? Il me semble que cette tache revient aux CSIRT, qui travaillent en étroite collaboration avec l'Anssi et qui sont financés au niveau régional. La proximité est essentielle.
Nous ne recevons pas de messages d'alerte lorsqu'une faille de sécurité est détectée. Il conviendrait sans doute de revoir la législation et de modifier la notion de recel de leaks, de réutilisation de fuites de données, afin de faciliter la détection des fuites de données et de permettre aux dirigeants de se saisir de cette problématique. Il faut que les PME puissent s'adresser à des tiers non marchands, dans les CSIRT, pour réaliser un diagnostic et déterminer si elles sont victimes de fuites. Elles ont besoin d'une formation et, surtout, d'une feuille de route pour se mettre à jour en matière de conformité. En effet, lorsque les petites entreprises travaillent avec des entreprises de taille intermédiaire (ETI) ou interviennent en tant que sous-traitants, elles sont soumises, comme leur donneur d'ordre, aux obligations définies par NIS 2. Il y a donc un enjeu de responsabilité.
Un autre enjeu concerne la gouvernance du risque. Les grosses entreprises, qui sont capables de gérer leur propre risque, doivent aussi scanner tous les risques existants dans leur chaîne de sous-traitants. Mais les petites entreprises, si elles sont victimes de fuites de données sans le savoir, ne comprendront pas pourquoi elles ne sont pas retenues dans un appel d'offres. C'est pourquoi les entreprises ont besoin des CSIRT.
La règle de proportionnalité est importante : si l'on veut mettre tout un écosystème au niveau, il faut être capable de descendre à l'échelle de tous les opérateurs, c'est-à-dire de faire en sorte qu'ils puissent s'appuyer sur des opérateurs de confiance, tel que les CSIRT, qui leur fournissent une aide en matière de cybersécurité conforme aux exigences de la réglementation, dans une relation non marchande. C'est ainsi que nous pourrons bâtir, dans les trois ans qui nous sont impartis, un écosystème performant. Notre but est de transformer ces centres en des entrepreneurs de la donnée. En effet, on ne peut pas s'intéresser à la réglementation sur la cybersécurité sans prendre en compte le contexte : le Data Governance Act, le Data Act, les appels à projets de Bpifrance sur la constitution d'entrepôts de données, etc. Notre seule richesse en ce domaine, en Europe, face aux Gafam, c'est notre créativité, notre agilité et notre capacité à travailler ensemble pour mettre en oeuvre des mesures alternatives. C'est grâce à la mutualisation que nous pourrons avancer.
Mme Maxence Demerlé. - Je souscris aux propos qui viennent d'être tenus sur l'information des entreprises. Il est clair qu'elles manquent d'informations. La Commission supérieure du numérique et des postes (CSNP) avait d'ailleurs suggéré l'organisation d'une campagne d'information. Il conviendrait d'améliorer la communication sur toutes les questions relatives à la cybersécurité.
La plateforme Cybermalveillance a communiqué sur le sujet, en collaboration avec le Medef, en organisant le mois de la cybersécurité ou d'autres actions. Avec la CPME et l'U2P, nous avons créé le dispositif « Alerte cyber », sur le modèle d'« Alerte enlèvement », pour informer largement les entreprises en cas de découverte d'une faille de sécurité susceptible d'avoir des effets sur de nombreuses entreprises, alors qu'une solution simple à mettre en oeuvre existe. Nous avons eu cette idée à la suite de l'affaire SolarWinds. Dans ce cadre nous avons relayé une douzaine d'alertes cyber en deux ans ; nous avons sélectionné des cas très précis. Les alertes sont rédigées par Cybermalveillance et par l'Anssi et nous les diffusons ensuite au travers de notre réseau. J'espère que ce mécanisme a eu des effets, mais nous aurions besoin d'outils globaux à visée généraliste : les alertes publiées chaque jour par l'Anssi sur le site www.cert.ssi.gouv.fr ne sont pas compréhensibles, à moins d'être un expert. Un effort d'intermédiation s'impose. Il faudrait créer une sorte de météo de la cybersécurité, qui pourrait informer les entreprises des attaques les plus graves, face auxquelles elles peuvent réagir.
En outre, les softwares en vente sur le marché n'ont pas tous la même date de garantie en ce qui concerne la maintenance informatique de cybersécurité ; pour certains produits celle-ci est prévue jusqu'au 15 novembre 2027, pour d'autres elle va jusqu'en 2030, etc. Une grande diversité prévaut en la matière et ce n'est guère lisible pour les entreprises.
Nous avons donc besoin d'un effort de clarification et de mettre en oeuvre des outils simples. Il faut que l'entrée en vigueur de ces directives soit accompagnée d'une grande campagne de communication.
À la différence de la CPME, nous ne demandons pas la création d'un service public de la cybersécurité, mais il est sans doute possible de mettre en place un système d'aide renforcée dans ce domaine, notamment en cette période de transition. La plateforme Cybermalveillance a créé un label ExperCyber : c'est un gage de confiance et d'indépendance. Il est important de disposer d'opérateurs spécialisés indépendants, qui même s'ils interviennent dans le secteur marchand, ont été labellisés par une entité qui n'a aucun intérêt commercial. Je regrette d'ailleurs que la communication autour de ce label n'ait pas été plus importante, car les entreprises ont besoin de savoir à qui elles peuvent s'adresser en toute confiance.
Les coûts de mise en conformité sont importants. J'ai été surprise en constatant que l'article 14 du projet de loi prévoyait que non seulement les coûts de mise en conformité, mais aussi les coûts liés aux contrôles de l'Anssi seraient à la charge des entreprises. Les coûts des contrôles de l'Urssaf ne sont pas à la charge des entreprises !
Les sanctions prévues sont aussi très élevées, pouvant aller jusqu'à l'interdiction d'exercer. Selon les termes de l'article 37, « la commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l'entité essentielle d'exercer des responsabilités dirigeantes dans cette entité, jusqu'à ce que l'entité essentielle ait remédié au manquement. » Nous sommes résolument opposés à cette disposition. Cette sanction est excessive. Les sanctions financières nous semblent déjà très élevées.
Je ne sais pas combien d'entreprises sont visées par la directive NIS2 : il est probable que la grande majorité des entités essentielles et des entités importantes sont membres du Medef, mais je n'ai pas de recensement et je ne sais pas quelles sont les entreprises concernées précisément. Le volet du projet de loi correspondant à la directive REC est plus spécifique. Les entreprises qui étaient anciennement des opérateurs d'importance vitale (OIV) se sont habituées à la réglementation. Elles sont aguerries. Celles qui étaient considérées comme des opérateurs de services essentiels (OSE) sont, elles aussi bien habituées aux contraintes qui s'imposent à elles.
La notion de résilience est fondamentale. Un chef d'entreprise m'indiquait qu'il faisait des sauvegardes tous les deux jours et que celles-ci n'étaient pas sur le réseau. En cas de cyberattaque, il ne peut perdre, au pire, que deux jours de données. Voilà une démarche de résilience. Plus celle-ci est développée, moins les cyberattaques ont de conséquences. Attention toutefois à ne pas demander aux entreprises d'être des devins : elles ne peuvent pas tout anticiper !
M. Olivier Cadic, président. - Il n'y a pas de CSIRT dans toutes les régions et l'une d'entre elles n'a pas voulu en créer. L'Anssi a commencé à installer ce réseau lorsqu'elle disposait d'une certaine manne budgétaire lors de la crise du covid. Aujourd'hui, ces centres sont à la charge des régions. La question du financement se pose donc : nous devons vérifier si le modèle proposé est bien finançable. La question de la création d'un service public de la cybersécurité a été soulevée, mais il semble difficile, vu les contraintes budgétaires que l'on connaît actuellement, de mobiliser des crédits à cette fin.
M. Damien Michallet. - Alors que le RGPD s'inscrivait dans une approche plutôt punitive, la visée de ces directives est différente : il s'agit de renforcer la productivité et la compétitivité de nos entreprises. Nous devons veiller à les transposer strictement et à éviter toute surtransposition. L'enjeu économique est réel : autant il serait risqué de ne pas chercher à se prémunir contre les risques cyber, autant on pénaliserait la compétitivité de nos entreprises en alourdissant le texte et en surtransposant.
Vous avez évoqué les obligations liées à la mise en oeuvre du RGPD, mais les entreprises doivent aussi mettre en oeuvre les obligations prévues par la directive européenne relative à la publication d'informations en matière de durabilité par les entreprises (CSRD) ou concernant la généralisation de la facturation électronique : comment les entreprises font-elles face à toutes ces contraintes concomitantes ? Quel serait le coût pour les entreprises lié à l'entrée en vigueur de ce projet de loi ?
Mme Catherine Morin-Desailly. - La Normandie a été la première région à créer un CSIRT. Je suis donc très intéressée par vos propos sur ces organismes. L'aide des régions, en lien avec l'Anssi, est-elle utile aux entreprises ? L'échelon régional est-il, selon vous, l'échelon approprié pour vous apporter une réponse globale et coordonnée en la matière ? Que pensez-vous par ailleurs de l'articulation entre les CSIRT et les services spécialisés de police ou de gendarmerie ? Vous avez évoqué le RGPD. La Cnil est donc compétente aussi. Je viens de corédiger un rapport sur la dérive normative de l'Union européenne. Dans la lignée du rapport Draghi, nous montrons que l'accumulation des normes pèse sur les entreprises. Comment réagissent-elles ? Il me semble avoir compris qu'elles appellent à davantage de communication en matière de cybersécurité, voire à la création d'un service public dédié, et à une montée en compétence numérique globale de la société, par le biais de la formation initiale ou de la formation continue.
Mme Audrey Linkenheld. - Je voulais aussi vous interroger sur les CSIRT. Les financements vous semblent-ils suffisants en matière de cybersécurité ? Que pensez-vous de l'articulation entre les CSIRT et les campus cyber ? Faut-il rapprocher davantage ces structures ? Vous avez dit aussi que les CSIRT avaient un rôle de lanceur d'alerte. Il me semble qu'ils ont pour mission de sensibiliser ou de répondre à des incidents. Pourriez-vous préciser vos propos sur ce point ?
La directive NIS 2 visera les entreprises mais aussi les collectivités. Le risque financier est très important pour une entreprise en cas de fuite de données ; la cyberattaque d'une entité publique peut avoir des effets vitaux pour la société - je pense notamment au secteur de la santé. Faut-il donc, comme le prévoit ce texte, traiter le secteur privé et le secteur public de la même manière ?
Mme France Charruyer- En ce qui concerne les campus cyber et les CSIRT, je vous répondrai en prenant l'exemple que je connais de l'Occitanie et de la Nouvelle-Aquitaine. Le campus cyber de la Nouvelle-Aquitaine est aussi un CSIRT. Le système fonctionne très bien. Nous sommes invités à participer à leurs travaux. Nous pouvons faire beaucoup de formations gratuites à destination des entreprises. L'essentiel, c'est l'échange de bonnes pratiques et la remontée d'informations.
Je connais le cas d'une entreprise qui a été victime d'un ransomware, mais cette attaque a touché aussi, par capillarité, 80 entreprises. Celles-ci n'avaient plus accès à leur logiciel de gestion des relations clients (CRM) et ne pouvaient plus facturer leurs clients. On a ainsi assisté à une cascade de défaillances d'entreprises. Une cyberattaque peut donc être létale pour les petites entreprises, car celles-ci n'ont pas une trésorerie importante. La défaillance d'un éditeur de logiciel peut avoir des effets dévastateurs sur les entreprises. Cela va très vite. Les entreprises n'ont pas le temps d'obtenir des aides. Certes les entreprises ont signalé le problème et se sont acquittées de leurs obligations de conformité, mais le temps économique n'est pas le temps réglementaire et elles ont été obligées de se déclarer en cessation de paiement. Plus les entreprises sont petites, plus elles sont vulnérables.
Les CSIRT font un effort de formation pour aider les entreprises à se transformer en systèmes autoapprenants et pour développer les échanges d'informations. Moins de la moitié des entreprises disposent de solutions de détection des menaces. C'est pourtant essentiel pour monter en gamme en matière de cybersécurité. Or les dispositifs puissants de détection des menaces sont souvent possédés par des organismes étatiques. L'article 24 du projet de loi prévoit que l'Anssi sera compétente pour agréer les organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents. Si l'on souhaite conserver les CSIRT, avec un mécanisme de financement à imaginer, mais qui ne soit pas uniquement régional, il faut développer les échanges entre les ingénieurs de l'Anssi, les informaticiens des campus cyber, la police et la gendarmerie, etc. Dans le cas que j'ai évoqué, si la fuite de données avait été remontée plus tôt, il aurait peut-être été possible d'aider les entreprises à faire des sauvegardes et d'éviter la contagion. C'est une solution opérationnelle assez simple, mais pourquoi ne pas la mettre en oeuvre dans la mesure où nous avons les outils et les hommes compétents ?
Faut-il prévoir des normes différentes pour le public et le privé ? Nous avons tous le même objectif : défendre la compétitivité du territoire. J'ai eu l'occasion de travailler avec Départements de France. Certains départements ont été touchés par des cyberattaques d'ampleur. Nous nous sommes tous réunis - directeurs des systèmes d'information, élus, directeurs juridiques - pour comprendre pourquoi il avait été possible de résoudre les problèmes rapidement dans certains départements et pourquoi cela avait été plus difficile ailleurs. Nous avons identifié des éléments très simples : on ne paie pas toujours les sous-traitants le même jour ; la personne qui a le chéquier n'est pas toujours la même ; dans certains cas, une cellule de crise a été constituée, etc.
Nous avons ainsi réussi, tous ensemble, à établir un plan de réponse aux incidents que nous avons envoyé à tous les acteurs. C'est pourquoi je parlais de « commun numérique ». Les départements n'ont pas d'argent. Leurs personnels ne sont pas toujours formés. Or lorsque l'on organise une formation pour dix personnes, il ne coûte rien de l'ouvrir à cent ! Il faut faire confiance à l'intelligence collective. L'essentiel donc, c'est que les CSIRT ou les campus cyber - peu importe le nom de la structure - permettent de mobiliser l'intelligence collective et de publier des documents utiles pour aider les directeurs des systèmes d'information des départements.
La nouvelle réglementation européenne est intéressante, car elle définit strictement les procédures. Son défaut tient au manque de clarté des définitions, et à la cacophonie en ce qui concerne les délais de déclaration des cyberincidents : par exemple, dans le cadre de la loi du 24 janvier 2023 d'orientation et de programmation du ministère de l'Intérieur (Lopmi), l'indemnisation de pertes et dommages causés par une cyberattaque est subordonnée au dépôt d'une plainte dans les 72 heures. La distinction entre un incident de sécurité et une violation de données n'est pas aisée à comprendre. Le RGPD vise à défendre et à protéger les données. Le RIA vise à défendre l'innovation. Cette réglementation n'est pas un simple millefeuille. On en comprend l'esprit lorsque l'on met bout à bout tous les textes : elle traduit la volonté de remettre la main sur le patrimoine informationnel et de le valoriser. Cela implique de le protéger : c'est la logique des directives Dora, NIS 2, CSRD, etc. Il s'agit de faire moins, mais mieux. Dans le RGPD prévaut le principe de minimisation des données, mais c'est aussi une question de soutenabilité. Ainsi il y a deux enjeux, de valorisation et de soutenabilité.
Il importe de comprendre comment fonctionne la réglementation. C'est ainsi que l'on peut éviter les redondances. Lorsque l'on demande aux entreprises de faire des analyses de risques sur le déploiement d'outils à base d'IA, il ne s'agit pas que les entreprises fassent une analyse d'impact RGPD, puis une analyse d'impact RIA. La présidente de la Cnil a dit très clairement, il y a deux semaines, qu'on allait faire en sorte d'éviter que les analyses de risques soient redondantes. La logique est bien celle d'une approche par les risques. Il s'agit de faire confiance aux opérateurs économiques pour qu'ils déterminent leurs bonnes pratiques. Le principe d'accountability rime avec responsabilisation.
La solution n'est pas l'empilement des normes. Ce qu'il faut, c'est que les acteurs travaillent ensemble au déploiement des bonnes pratiques opérationnelles. Les secteurs de la défense et du spatial ont besoin de bonnes pratiques particulières, ne serait-ce que pour s'adapter aux réglementations spécifiques. Dans ces domaines, nous parlons de technologies duales. L'intervention de l'Anssi est indispensable, comme celle de spécialistes. Il faut une réglementation « métier ».
On peut en dire autant des transports ou des données de santé. Il faut réfléchir à l'échelle sectorielle et renforcer la mutualisation dans un même secteur d'activité - c'est, au fond, une question de bon sens. On évitera ainsi que les incidents cyber et les violations de sécurité ne deviennent létales.
Mme Maxence Demerlé. - Comme Mme Charruyer, je crois profondément à l'intelligence collective et à la vertu des têtes de réseau. C'est précisément le rôle que nous avons essayé d'assumer.
Dans ce domaine, il a d'abord fallu faire feu de tout bois : diverses initiatives régionales ont émergé, se traduisant en particulier par le développement de campus, pour faire apparaître un écosystème d'entreprises. C'était là un préalable indispensable à la prise de conscience des enjeux de cybersécurité.
Passé cette période de grande créativité, l'heure est manifestement à la rationalisation. À ce titre, les CSIRT ne suffiront sans doute pas. Toutes les régions n'en disposent pas. Sauf erreur de ma part, la région Auvergne-Rhône-Alpes n'a pas créé une telle structure. Quant au CSIRT de Corse, il n'emploie que quelques personnes et, si compétentes soient-elles, un si faible effectif ne saurait suffire.
Nous avons besoin de têtes de réseau : c'est notre capacité à réagir collectivement qui importe. Pour autant, tout ne saurait être décidé depuis Paris. De nombreuses initiatives très créatives, venant des territoires, doivent être préservées.
J'y insiste, les dispositifs de ce texte reposent largement sur les entreprises elles-mêmes. Ces dernières doivent se notifier et se mettre en conformité. Ce sont elles qui assumeront le coût des contrôles et, le cas échéant, celui des sanctions. Or la responsabilité doit aussi relever d'un écosystème plus large. En ce sens, le label ExpertCyber peut être une bonne piste. De même, la création de systèmes d'information globale, axés sur la prévention, constitue un enjeu essentiel.
L'initiative de Départements de France est très intéressante à cet égard. Pour notre part, nous avons pris soin d'afficher, à chaque étage de notre siège, les cinq gestes à accomplir en cas d'attaque cyber, à côté des consignes à suivre en cas d'incendie. Nous nous sommes contentés de reprendre les recommandations de Cybermalveillance... La culture de la cybersécurité doit se diffuser partout, et un tel effort ne coûte pas forcément grand-chose.
La compétition entre réglementations a été évoquée. À ce titre, je vous le confirme : dans nos réseaux d'entreprises, nous avons plus entendu parler de la directive CSRD que de NIS 2, peut-être pour des raisons relevant de la communication. À mon sens, ces réglementations ne sont pas concurrentes. Il faut assurer leur articulation pour garantir la meilleure sécurité. Nous y gagnerons tous économiquement.
Nous avons aujourd'hui toutes les cartes en main. En particulier, nous pouvons compter sur de très belles entreprises de la cybersécurité : il faut leur donner un marché et les laisser travailler.
En la matière, le benchmarking a tout son sens. La Belgique, qui a déjà transposé la directive NIS 2, dispose d'une équivalence de conformité avec la norme ISO 27 001, qui est gage d'efficacité et de rapidité. Nous pourrions réfléchir à une disposition comparable. Les experts, notamment ceux de l'Anssi, ne jugeront peut-être pas une telle solution satisfaisante, mais il est urgent d'avancer. Alors que les labellisations sont nécessairement onéreuses, une telle présomption de conformité permettrait d'aider les entreprises en limitant les coûts.
M. Olivier Cadic, président. - J'abonde dans votre sens, car je ne suis pas du tout convaincu de la nécessité de légiférer dans ce domaine. Une loi n'a pas été nécessaire pour que les Français mettent des volets à leurs fenêtres et des serrures à leurs portes : pourquoi en faudrait-il une pour ajouter des pare-feu aux serveurs informatiques ?
Comme vous le soulignez, la Belgique a transposé la directive NIS 2 en retenant une approche très pragmatique. Le secteur de la cybercriminalité représente un chiffre d'affaires annuel de 1 500 à 2 000 milliards de dollars. On demande aux entreprises de payer pour se protéger à ce titre, mais l'État se doit, pour sa part, d'assurer la sécurité de tous, citoyens et entreprises confondus.
Bref, nous nous posons, comme vous, de nombreuses questions à ce sujet. C'est tout le sens du travail de réflexion que nous menons, en particulier, avec MM. les rapporteurs.
Mme Vanina Paoli-Gagin. - Un grand nombre de données que nous évoquons relèvent du cloud. À cet égard, l'absence de cloud souverain européen n'est-elle pas une faiblesse de l'édifice de protection numérique que nous nous efforçons de bâtir avec ce projet de loi ?
Mme Maxence Demerlé. - Il est possible qu'en vertu de ce projet de loi l'Anssi exige demain des entreprises qu'elles aient recours à des produits certifiés. En tout cas, la question se pose.
Pour sa part, le Medef souhaite garantir la plus grande liberté des entreprises. En ce sens, ces dernières doivent avant tout pouvoir faire un choix éclairé : c'est précisément pourquoi nous faisons de la transparence l'un de nos chevaux de bataille. Les entreprises doivent connaître les caractéristiques, notamment les contraintes techniques et juridiques, des produits qu'elles utilisent.
Aussi, le Medef s'est prononcé en juin dernier pour la labellisation dite EUCS +, assurant la transparence quant à l'application éventuelle de lois extraterritoriales. Nous sommes plusieurs organisations à militer en ce sens, même si certains pays de l'Union européenne s'y opposent.
Un groupement d'entreprises européennes s'est constitué de lui-même à cette fin. Dès lors que des entreprises réclament un tel niveau de labellisation, nous soutenons leur démarche. Mais, à nos yeux, cette labellisation ne doit pas être imposée : une entreprise doit pouvoir recourir au prestataire de cloud de son choix, dans les limites retenues par l'Anssi.
Mme France Charruyer. - Au sujet du cloud, un certain nombre d'enjeux nous échappent à l'évidence. Quant à la norme EUCS, elle risque malheureusement de ne pas être étendue dans le sens indiqué, du fait des luttes d'influence à l'oeuvre au sein de l'Union européenne.
La liberté des entreprises est évidemment un enjeu majeur, mais nous faisons d'ores et déjà face à l'augmentation du coût des licences américaines. Nous devons donc trouver d'autres solutions que les clouds certifiés qui nous sont proposés. On peut sans doute faire plus petit, moins cher et plus soutenable.
Mme Catherine Morin-Desailly. - Gardons-nous de toute forme de dépendance étrangère, qu'il s'agisse des licences américaines ou du gaz russe.
M. Olivier Cadic, président. - Mesdames, Messieurs, permettez-nous de vous remercier une nouvelle fois des réponses que vous nous avez apportées. Je vous rappelle que vous pouvez également nous faire parvenir une contribution écrite : vous alimenterez ce faisant le travail de nos rapporteurs.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Audition de M. Vincent Strubel, directeur général de l'Agence nationale de sécurité des systèmes d'information
M. Olivier Cadic, président. - Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l'audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Monsieur le directeur général, je vous remercie de venir nous présenter les dispositions de ce texte relevant de votre administration. Votre venue est d'autant plus attendue que nous avons dû reporter l'audition de Mme Clara Chappaz, secrétaire d'État chargée de l'intelligence artificielle et du numérique, par laquelle nous devions ouvrir nos travaux le 9 décembre dernier.
Avec MM. Michel Canévet, Patrick Chaize et Hugues Saury, rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles. Nous nous y sommes entretenus avec les représentants de la Commission européenne et des autorités belges, qui ont d'ores et déjà engagé la transposition de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne, dite NIS 2.
Aujourd'hui, c'est à vous que revient la première prise de parole publique de l'administration française au sujet de cette transposition. Selon vous, qu'apportera ce travail en matière de résilience et de cybersécurité ? En outre, qu'impliquera-t-il pour les entreprises et les collectivités territoriales ?
Je rappelle que cette audition fait l'objet d'une captation vidéo retransmise en direct sur le site internet du Sénat, qui sera ensuite consultable à la demande.
Avant de vous céder la parole, je vous félicite du lancement officiel, ce matin même, du site 17Cyber, qui remplace Cybermalveillance. Peut-être reviendrez-vous également sur ce chantier.
M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Avant tout, je tiens à saluer la constance avec laquelle le Sénat a soutenu le 17Cyber, dispositif qui s'inscrit pleinement dans la logique de ce projet de loi.
Je suis très honoré de vous présenter aujourd'hui le titre II du texte soumis à votre examen, titre dont l'Anssi a piloté la rédaction et dont elle pilotera également la mise en oeuvre, si le Parlement l'y autorise.
Permettez-moi de revenir en quelques mots sur la genèse de ce travail.
Contrairement à ce que l'on pourrait croire, la directive NIS 2 n'est pas la suite de la directive NIS de 2016, transposée dans notre droit national en 2018 et désormais connue sous le nom de NIS 1.
La directive NIS 1 se contentait de prolonger le cadre national établi via la loi de programmation militaire (LPM) de 2013, régulant un certain nombre d'opérateurs d'importance vitale au titre de la défense et de la sécurité nationale. Cette directive avait étendu les dispositions de la LPM à quelques enjeux sociétaux et économiques en suivant la même logique : protéger des opérateurs stratégiques contre des menaces très ciblées, principalement étatiques.
Ces menaces étaient alors notre quotidien. Elles le sont toujours, mais d'autres phénomènes s'y sont ajoutés.
La directive NIS 2 trouve précisément sa source dans l'évolution du paysage de la menace. On a ainsi vu apparaître la menace dite systémique, liée au crime organisé et notamment aux rançongiciels. Paralysant des hôpitaux, des collectivités territoriales, des entreprises ou encore, plus récemment, des universités, un certain nombre d'attaques ont marqué les esprits. Elles ne sont pas menées par des États, mais par des activistes se prévalant de causes diverses et variées en cherchant surtout à se mettre en lumière.
Activistes et membres de la criminalité organisée ont en commun une approche totalement indiscriminée ; quiconque est susceptible de devenir, tôt ou tard, leur victime. Les quelques exemples que je viens de fournir en donnent l'illustration.
D'une certaine manière, les petits acteurs, qui jusqu'à présent échappaient à la menace, sont frappés de manière disproportionnée. Ces attaques ont des conséquences économiques et sociales inacceptables. Elles affectent aussi bien la marche des services publics que la vie des entreprises, allant jusqu'à provoquer des faillites.
Certes, cette menace n'est pas de nature étatique, mais plusieurs groupes incriminés n'en ont pas moins, à l'évidence, des liens avec des États. Si les groupes du crime organisé prospèrent ainsi, c'est parce que les États où ils sont implantés ne leur opposent pas de résistance. Une épée de Damoclès est donc suspendue au-dessus de nos têtes, car ces différents acteurs sont susceptibles de se coordonner, dans une perspective de durcissement de la situation géopolitique. Or cette situation pèse sur la liberté d'action de l'État français. La vulnérabilité généralisée de notre société et de notre économie à ce type d'attaques est désormais un enjeu du dialogue entre États.
Nous avons dressé ce constat avec nos partenaires de l'Union européenne, et c'est sur cette base qu'a été rédigée la directive NIS 2, portée sur les fonts baptismaux lors de la présidence française du Conseil de l'Union européenne (PFUE) et publiée à la fin de l'année 2022.
NIS 2 est la suite logique de NIS 1 pour ce qui est des entités dites essentielles, c'est-à-dire les acteurs les plus matures, soumis à des exigences élevées. Mais, surtout, NIS 2 crée un paradigme de régulation de plus petits acteurs. Ces « entités importantes », selon les termes de la directive, constitueront la grande majorité des nouveaux assujettis. Elles n'ont pas vocation à être protégées contre la menace stratégique ciblée d'un service de renseignements étranger, mais elles sont malheureusement les victimes récurrentes, pour ne pas dire quotidiennes, d'une menace systémique.
Avec NIS 2, nous changeons donc clairement d'échelle - la France dénombre aujourd'hui 500 acteurs régulés ; demain, il y en aura potentiellement plus de 15 000 - et, surtout, nous changeons de paradigme. Je le répète, on entreprend également de contrer la menace non ciblée, dite systémique.
À cette fin, la logique de sanction évolue elle aussi. À l'évidence, les sanctions pénales, en vigueur jusqu'à présent, ne sont pas opérantes. Il faut passer à des sanctions administratives et financières, beaucoup plus efficaces, dans le droit fil du règlement général sur la protection des données (RGPD).
Je précise que ce changement de paradigme sort l'Anssi de sa zone de confort. De facto, notre agence est, comme tous les autres acteurs, confrontée à la menace systémique, mais nous n'avons jamais été en position de réguler les entités dites importantes.
C'est dans cet esprit que nous avons mené ce travail, en suivant quelques principes directeurs.
Premièrement, nous avons fait en sorte d'éviter les surtranspositions. Le texte dont vous êtes saisis assure une transposition sèche garantissant l'exercice de deux droits d'option, l'un pour les collectivités territoriales, l'autre pour les établissements d'enseignement. À ce titre, j'estime que nous avons fait des choix rationnels et raisonnables, d'ailleurs comparables à ceux opérés par les autres États membres.
Deuxièmement, nous avons suivi un principe de proportionnalité. Pour les acteurs essentiels, nous nous inscrivons dans le sillage de NIS 1 et du code de la défense. En revanche, les entités importantes représentent un champ nouveau ; nous avons dû veiller à fixer le bon niveau d'exigence, ni trop haut - ce ne serait pas réaliste économiquement - ni trop bas - des exigences trop faibles seraient en effet bien trop faciles à contourner.
Troisièmement, nous avons mené un travail de coconstruction tout à fait inédit pour l'Anssi. Depuis septembre 2023, nous avons consulté plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d'élus et quatre fédérations de collectivités territoriales, abordant tour à tour différents points de la transposition.
Ce travail va encore s'intensifier. Dès janvier 2025, nous allons mener des consultations relatives au cadre réglementaire. Il s'agit notamment d'évaluer avec précision l'empreinte économique des mesures que nous préconisons - les estimations figurent dans le dossier qui vous a été transmis.
Pour de petites structures partant de zéro - ce n'est pas le cas de toutes -, l'investissement initial demandé serait de l'ordre de 100 000 à 200 000 euros, les frais récurrents représentant 10 % de la somme mobilisée au départ. Pour les entités essentielles, les montants sont nécessairement plus élevés. Mais, quelle que soit la taille de la structure, l'investissement initial est dix fois inférieur au coût d'une cyberattaque ; le coût récurrent y est donc cent fois inférieur. Or la cyberattaque est pour ainsi dire une certitude, à long terme, pour toute entité qui ne se protégerait pas.
En parallèle, même si cela ne sautera sans doute pas aux yeux des lecteurs de ce projet de loi, nous nous sommes attaqués au millefeuille réglementaire.
Au fil des années, les dispositions se sont accumulées, notamment dans le code de la défense. Notre intention est de donner, grâce à ce projet de loi, un référentiel commun à l'ensemble des cadres réglementaires et législatifs relatifs à la cybersécurité, qu'il s'agisse des acteurs assujettis à NIS 2, des opérateurs d'importance vitale relevant du code de la défense ou des administrations publiques relevant, elles, du référentiel général de sécurité (RGS), créé par une ordonnance de 2005.
Nous faisons un premier effort en faveur de la simplification, tout en allant dans le sens de l'harmonisation à l'échelle de l'Union européenne. Bien sûr, tous les États membres n'ont pas vocation à faire de même en la matière, sinon NIS 2 ne serait pas une directive, mais un règlement. Il n'en faut pas moins aligner autant que possible les différents dispositifs. Cette harmonisation sera favorable aux entreprises concernées. Je pense notamment à celles dont l'activité se déploie dans plusieurs États membres.
À cette fin, le groupe de coopération NIS 2, constitué par la Commission européenne, est chargé d'alimenter un dialogue permanent. Les actions subséquentes de la Commission sont examinées dans ce cadre, notamment l'acte d'exécution pris l'été dernier pour fixer le cadre applicable aux infrastructures numériques.
D'autres États membres peuvent être source d'inspiration, parmi lesquels la Belgique, seul pays de l'Union européenne ayant à ce jour totalement transposé la directive NIS 2, l'Italie s'approchant il est vrai de ce but.
La Belgique joue manifestement un rôle précurseur. Elle devrait en ce sens essuyer un certain nombre de plâtres au profit de l'Union européenne tout entière. Je garde ces différents éléments à l'esprit, et je souligne qu'ils ont guidé certains choix relevant de l'équilibre entre mesures législatives et réglementaires. C'est également un enjeu de souplesse dans la mise en oeuvre de ce cadre normatif.
À cet égard, la question des délais est évidemment centrale. Il faut poser le cadre législatif et réglementaire le plus tôt possible - c'est tout le sens du travail que nous menons pour préparer les textes d'application -, mais, une fois le cadre posé, il faudra aussi prendre le temps de l'implémentation.
J'en suis convaincu, trois ans au moins seront nécessaires avant d'exiger une conformité complète, compte tenu des délais d'investissement, de renouvellement des marchés et des contrats. Pour certaines exigences n'impliquant pas d'investissement, les délais seront sans doute plus courts - je table sur six mois environ pour les exigences d'enregistrement auprès de l'Anssi et de notification d'incidents. Mais, j'y insiste, la conformité aux mesures techniques prendra au moins trois ans. Ces délais de six mois et de trois ans font d'ailleurs consensus parmi les États membres dont j'ai pu consulter les représentants, qu'il s'agisse de la Belgique ou de l'Allemagne.
Un autre élément fait consensus, et le Conseil d'État l'a d'ailleurs confirmé dans son avis : un tel travail ne peut pas relever de la loi. C'est, passez-moi l'expression, un bug de la directive, laquelle ne fixe pas de délai de mise en application ou de mesure transitoire. Ce sujet est renvoyé au pouvoir réglementaire.
De plus, j'ai particulièrement à coeur de ne pas dénaturer le fonctionnement de l'Anssi. Notre agence est historiquement connue comme un « cyber pompier », et nous en sommes bien sûr fiers. Or on ne peut pas remplir un procès-verbal tout en éteignant l'incendie...
Quand l'Anssi vient secourir une victime, elle ne saurait laisser planer un quelconque doute quant aux poursuites ultérieures. C'est précisément pourquoi ce projet de loi crée une commission des sanctions, qui sera seule à même de juger des sanctions prises in fine selon les règles qui s'imposent, à commencer par le principe du contradictoire, les principes d'impartialité et de proportionnalité. Les processus de l'Anssi donneront lieu, quant à eux, à une réflexion d'ensemble : l'information qui circule entre les missions d'appui aux victimes et les missions de contrôle et d'instruction menées en amont de sanctions doit être dûment filtrée.
J'ai déjà insisté sur la nécessité de préserver de la souplesse : cet enjeu vaut aussi en matière de conformité. Nous entendons ainsi fixer de grands objectifs au titre de la réglementation pour les mesures techniques, qui seront une formule parmi d'autres. Les assujettis pourront proposer d'autres moyens d'atteindre les objectifs qui leur seront assignés, qu'il s'agisse des mesures techniques ou de la gouvernance.
Enfin, dans les trois ans que nous nous donnons pour créer ce cadre, le besoin d'accompagnement sera considérable. Tous les acteurs que nous avons consultés le soulignent.
En la matière, nous sommes face à un enjeu de financement ; je ne suis pas le plus légitime pour me prononcer sur ce point, et les circonstances ne s'y prêtent guère. Nous sommes également face à un enjeu de communication et de sensibilisation. Nous nous attelons à ce travail depuis déjà de nombreux mois, en partenariat avec les associations et les fédérations que nous avons consultées. Vos collègues députés et vous-mêmes pourrez bien sûr y être associés : nous sommes à votre disposition.
Il y a également des enjeux d'outillage. Le portail monespacenis2.cyber.gouv.fr a été mis en ligne en version bêta, en attendant la promulgation de la loi ; il tient compte des critères d'appréciation figurant dans le projet de loi afin que les entreprises puissent tester leur assujettissement ou non à la directive NIS 2. La plateforme monaidecyber.ssi.gouv.fr a pour finalité de mettre en relation des aidants et des entités afin d'établir un premier diagnostic non commercial des besoins de sécurité que celles-ci peuvent avoir.
Il existe ensuite un enjeu de mobilisation de tout l'écosystème, qu'il s'agisse des ministères dans leur rôle de coordination sectorielle, des organisations professionnelles, des acteurs comme le groupement d'intérêt public (GIP) Cybermalveillance, qui a une expérience remarquable dans l'accompagnement de plus petites structures, des relais locaux que sont les chambres de commerce et d'industrie, des agences de développement économique, des services de l'État du dernier kilomètre - la gendarmerie par exemple -, des CSIRT (Computer Security Incident Response Team) territoriaux...
À cela s'ajoutent un enjeu de développement et d'appui et un enjeu d'organisation. Il faudra poursuivre le débat sur la notion de guichet de notification d'incident, en gardant l'esprit que tout doit in fine remonter à l'Anssi, conformément à la fois à la directive et aux besoins de capitalisation sur la menace et de circulation de l'information. Il faudra toutefois veiller à ne pas créer la maison qui rend fou des Douze Travaux d'Astérix, mais au contraire faire en sorte que les victimes d'une cyberattaque soient accompagnées dans leurs démarches jusqu'à remplir l'obligation de notification et non pas renvoyées d'un guichet à un autre.
J'en viens à la question de l'adéquation des moyens de l'Anssi à l'objectif de mise en oeuvre. Nous avons estimé le besoin global lié à la mise en oeuvre de NIS 2 à 50 équivalents temps plein (ETP) dans une perspective triennale, en plus de la croissance triennale déjà actée de 40 ETP par an. Sans préjuger des débats qu'il reste à mener sur le projet de loi de finances pour 2025, il est évident que cela ne se fera pas l'année prochaine, comme il est évident que le calendrier de transposition a glissé. L'année 2025 sera donc consacrée à la définition et à la mise au point du cadre, qu'il s'agisse du parcours législatif ou de sa déclinaison réglementaire, ainsi qu'à l'amorçage de NIS 2. Nous y parviendrons en conservant la même enveloppe, par une bascule d'efforts et au détriment d'autres missions. Néanmoins, le besoin demeurera pour les années suivantes.
M. Olivier Cadic, président. - Lors de la table ronde avec les organisations professionnelles, qui vient de se tenir, le Mouvement des entreprises de France (Medef) et la Confédération des petites et moyennes entreprises (CPME) ont salué le travail de l'Anssi, mais déploré un manque d'information des entreprises à ce stade. Ils s'étonnent que l'article 14 fasse reposer le coût de son contrôle aux entreprises. Par ailleurs, l'interdiction d'exercer des fonctions de dirigeant paraît disproportionnée.
M. Patrick Chaize, rapporteur. - Les échanges que nous avons eus la semaine dernière avec vos homologues à l'occasion de notre déplacement à Bruxelles ont été instructifs et ont soulevé quelques questions supplémentaires.
Premièrement, pensez-vous que les entreprises, en particulier les TPE-PME exerçant des activités critiques, qui seront qualifiées d'entités importantes et qui n'étaient pas soumises à la directive NIS 1, sont suffisamment informées de l'évolution du cadre normatif induite par l'entrée en application de la directive NIS 2 ?
Deuxièmement, que répondez-vous aux chefs d'entreprise et aux fédérations professionnelles qui craignent une « surtransposition » par l'Anssi ? Même si vous nous avez déjà rassurés sur ce point, le doute est légitime, car de nombreuses dispositions du projet de loi devront être précisées par voie réglementaire.
Par exemple, alors que la directive NIS 1 recensait six secteurs d'activité que l'Union européenne avait jugés prioritaires en raison de leurs effets potentiellement systémiques, la France en avait ajouté six autres. Désormais, la directive NIS 2 énumère dix-huit secteurs d'activité, mais, dans la mesure où la liste des entités concernées sera fixée par décret, des inquiétudes se font jour sur le fait que des secteurs d'activité supplémentaires pourraient être concernés.
Troisièmement, pensez-vous que les sanctions prévues sont proportionnées ? Le défaut d'harmonisation des sanctions à l'échelon européen risque d'entraîner une concurrence entre États. Les États membres qui ont déjà transposé la directive NIS 2 ont prévu des sanctions inférieures à celles que prévoit le projet de loi. C'est notamment le cas de la Belgique : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial hors taxes pour les entités essentielles et jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial hors taxes pour les entités importantes, les offices et les bureaux d'enregistrement.
Quatrièmement, quelle sera la philosophie de l'Anssi dans les premiers mois d'application de la loi visant à transposer la directive NIS 2 ? Sera-t-elle une autorité compréhensive et accompagnante à l'égard des entreprises ?
Cinquièmement, pourquoi ne pas avoir repris directement dans le projet de loi la définition des incidents de cybersécurité devant être notifiés à l'Anssi telle qu'elle figure dans la directive NIS 2 ?
En conséquence, pouvez-vous nous confirmer que les décrets d'application qui seront préparés par l'Anssi seront bien en phase avec les différentes notions d'incident définies aux articles 7 à 14 du règlement d'exécution du 17 octobre 2024, qui distingue notamment les incidents importants des incidents récurrents et fixe des critères différents selon le type d'acteurs concernés ?
M. Hugues Saury, rapporteur. - Sauf pour la défense, pourquoi avoir choisi de confier à une autorité unique, l'Anssi, la mise en oeuvre de la politique gouvernementale en matière de sécurité des systèmes d'information, alors que ce choix n'était pas imposé par la directive NIS 2 ? Dans la mesure où le champ d'application de l'Anssi a évolué avec les directives, notamment par la présence d'acteurs économiques, ne serait-il pas logique de faire évoluer la gouvernance ?
Pourquoi l'article 6 du projet de loi ne reprend-il pas la définition de la notion d'incident de la directive NIS 2, pourtant essentielle ? Est-il prévu de s'appuyer sur le règlement d'exécution 2024/2690 du 17 octobre 2024 dans les textes réglementaires à venir ?
Les dispositions du titre II relatives à la cybersécurité ne sont pas codifiées. Le Conseil d'État estime que ce choix nuit à l'accessibilité de la norme. Pourquoi ne pas avoir, pour plus de clarté, intégré ces dispositions dans le code de la défense ?
Quel type de mesures pourraient être prises par le Premier ministre pour répondre aux crises majeures ou affectant la sécurité des systèmes d'information ? Quels critères pourraient être retenus pour la définition de ces événements ?
Par ailleurs, quid des consultations que l'Anssi mène depuis l'automne 2023 avec des acteurs de terrain pour préparer la transposition de NIS 2 ? L'Anssi se donne au moins trois ans pour la pleine application de cette directive. Quel accompagnement est prévu, notamment vis-à-vis des moins aguerris au risque de menace cyber ? Accorderez-vous une attention particulière aux sous-traitants des entreprises relevant de la directive sur la résilience des entités critiques, dite REC ?
Confirmez-vous qu'aucune sanction pour non-conformité à la directive NIS 2 ne sera appliquée dans un délai de trois ans ?
L'Anssi apparaît comme le chef d'orchestre. Comment parvenez-vous à mobiliser et à travailler avec tous les échelons, notamment les partenaires européens et territoriaux et les services de l'État ? Quelles limites rencontrez-vous et quelles améliorations doivent être envisagées ?
M. Patrick Chaize, rapporteur. - J'ai une dernière question. Quelles seront les missions des 50 ETP supplémentaires ?
M. Olivier Cadic, président. - Voici la question de Michel Canévet, rapporteur pour la commission des finances : qu'est-ce qui justifie que, dans le règlement Dora (Digital Operational Resilience Act), il soit envisagé d'intégrer les sociétés de financement dans les entreprises contraintes ? Avez-vous identifié au sein du secteur financier et de celui des assurances des faiblesses dans le domaine cyber ?
J'en viens à ma propre question. La directive NIS 2 encourage le recours à des normes et spécifications techniques européennes et internationales et indique que les États membres peuvent prescrire des produits et services certifiés dans le cadre de schémas européens afin de démontrer la conformité à certaines exigences. La France fera-t-elle le choix de suivre cet encouragement et de recourir à des normes et spécifications techniques européennes et internationales ? Si oui, quelles seront les normes ou standards retenus parmi tous ceux qui existent ? Qui sera chargé de ces choix ?
M. Vincent Strubel. - Sur la question de l'information des entités, je partage largement le diagnostic posé par la CPME. Nous avons été aux côtés des entreprises qui ont rencontré des difficultés et il faudra être mobilisé pour aider tout le tissu de PME potentiellement concernées par le périmètre de la directive NIS 2. La communication et la sensibilisation seront donc des enjeux majeurs. À cette fin, il n'y a pas de levier unique.
Je crois profondément au rôle des fédérations professionnelles, notamment dans le cadre des consultations, tout comme au rôle des parlementaires pour porter ce message auprès du plus grand nombre. Il nous faut mobiliser toutes les formes de communication possible, en capitalisant sur ce que nous avons fait dans le cadre de la préparation des jeux Olympiques et Paralympiques, par exemple en trouvant des canaux de communication inhabituels - j'ai ainsi répondu à une interview dans L'Équipe afin de toucher les acteurs du monde du sport et de leur parler de cybersécurité.
J'en viens à ce qui relève du réglementaire et du législatif. Comme toujours, nous avons été guidés par des injonctions contradictoires entre le besoin légitime d'avoir un débat parlementaire sur les paramètres du nouveau cadre et la nécessité de conserver une forme de souplesse pour, à la fois, poursuivre des consultations avec les acteurs sur les points qui ne sont pas tranchés et s'inscrire dans une temporalité plus longue.
J'en suis convaincu, nous avons besoin de nous inspirer des exemples de nos partenaires européens qui en sont à des stades d'avancement de transposition différents, la Belgique particulièrement, mais également l'Allemagne et d'autres pays. Il nous faut garder cette forme de souplesse.
Il était évident que la notion d'incident, qui figurait dans la directive NIS 2, serait précisée par un acte d'exécution - il a été pris cet été. Nous avons donc fait le choix de ne pas l'inscrire dans la loi, et de garder plutôt le levier réglementaire. Nous procéderons éventuellement à quelques ajustements mineurs pour l'intégrer dans le cadre plus général des dispositions préexistantes, notamment en ce qui concerne les prestataires de services qualifiés, qui seront soumis à la même définition d'incident. Nous apporterons peut-être aussi des précisions pour en affiner l'interprétation. Reste que nous avons bien l'intention de reprendre cette définition et de l'intégrer.
De la même façon, nous comptons suivre les évolutions du cadre européen ou des décisions prises par nos partenaires. Le niveau réglementaire nous permettra de poursuivre une forme d'harmonisation et d'itération pour améliorer le texte de manière rapide dans les années à venir.
Si nous souhaitons maintenir une autorité unique, alors que la directive ne l'impose pas, c'est d'abord parce que c'est ce modèle qui a marché pour la France depuis la création de l'Anssi en 2009. Nous faisons aussi bien que nos amis allemands avec trois fois moins de moyens. Cette frugalité et cette efficacité constituent un marqueur historique de l'Anssi. Le modèle centralisateur permet d'avoir un acteur au-dessus de la mêlée, qui intervient dans tous les champs, n'a pas d'autres missions et n'est pas soumis à des conflits d'intérêts. Il est bien ce chef d'orchestre naturel, comme vous l'avez souligné, monsieur Saury.
Ce rôle découle à la fois de la loi, du fait que nous sommes placés sous l'autorité du Premier ministre, ainsi que d'une forme d'expertise et d'efficacité : nous parvenons à coordonner l'action des services de l'État, des services déconcentrés, des acteurs de terrain et des acteurs du privé.
Nous en avons eu une nouvelle illustration ce matin avec le lancement de la plateforme 17Cyber.gouv.fr au sein du GIP Acyma (Action contre la cybermalveillance), qui permet de mobiliser d'autres acteurs en vue d'apporter des réponses aux besoins plus spécifiques de nos concitoyens notamment.
Sur les consultations, les retours sont assez homogènes. Les points d'attention et de mise en oeuvre que j'ai mentionnés en tiennent compte. La question des délais est évidemment très prévalente. Celle de l'accompagnement l'est tout autant, ce qui nous conduit à accorder un temps suffisant, mais aussi à mobiliser tous les acteurs du relais qui peuvent aider et épauler.
Des travaux sont en cours sur l'accompagnement financier. Sur ce sujet également, les Belges sont un exemple inspirant pour mobiliser les leviers d'accompagnement existants, mais aussi pour rentabiliser la conformité à NIS 2 en l'inscrivant dans une démarche de labellisation ou dans un périmètre plus large. À titre d'exemple, les assureurs et le secteur bancaire pourraient s'appuyer sur la conformité à NIS 2 pour fonder leurs analyses de risques et ainsi donner un avantage aux acteurs qui respecteraient cette directive.
La question de la codification s'est posée. Il est apparu qu'aucun code n'était réellement naturel : ni le code de la défense, car le champ d'application de NIS 2 dépasse très largement les enjeux de défense nationale, ni d'autres codes.
J'en viens aux sanctions. Dans le projet de loi, le coût des contrôles a vocation à reposer sur les entités contrôlées, comme le prévoit déjà le cadre législatif actuel, notamment la loi de programmation militaire.
Dans la directive, le régime de contrôle est clairement différencié entre les entités importantes et les entités essentielles. Le contrôle des entités importantes ne peut avoir lieu que ex post. Une forte suspicion de non-conformité ou d'irrégularité est nécessaire pour déclencher un contrôle. Toutes ces entités n'ont pas vocation à être contrôlées de manière systématique. Ce serait, j'en conviens, insoutenable pour elles.
En matière de sanctions, l'ensemble des États membres se sont alignés sur les seuils prévus dans la directive, concernant notamment les pourcentages du chiffre d'affaires global, soit 2 % pour les entités essentielles et 1,4 % pour les entités importantes. L'objectif n'est pas d'être maximaliste dans tous les cas ; il est de faire des questions de cybersécurité un sujet de gouvernance au bon niveau dans les entités assujetties, c'est-à-dire au niveau des comités exécutifs.
Le but de ce régime de sanctions est de faire en sorte que ce sujet, perçu à tort comme étant purement technique et dépendant du seul directeur informatique d'une entreprise, relève désormais du directeur financier, du directeur des affaires juridiques et du patron. C'est précisément à ces niveaux que les décisions en matière d'investissements dans la sécurité ou de gestion des risques doivent être prises.
L'interdiction d'exercer des fonctions de dirigeant est une reprise de la directive, mais je ne nous vois pas aller jusque-là. NIS 1 prévoyait déjà des sanctions pénales, mais personne n'a jamais poursuivi un chef d'entreprise devant les tribunaux pour manquement à une obligation prévue dans cette directive.
Je reviens rapidement sur la philosophie d'accompagnement : elle s'appuie sur la mobilisation d'un ensemble de relais que j'ai précédemment mentionnés, sur de la communication proactive et sur la mobilisation des fédérations professionnelles. En outre, elle nécessite énormément de pédagogie pour accompagner la maturation des entités assujetties, grâce à des contrôles à blanc. Nous devons pour cela constituer un premier noyau de structures de contrôle et de supervision afin d'aller au contact des assujettis et de tester le régime de contrôle.
Vous m'avez beaucoup interrogé sur la Belgique : ce pays est pour nous une source d'inspiration, pas uniquement d'ailleurs s'agissant de la transposition de NIS 2. Nous nous concertons assez régulièrement et nous leur savons gré d'essuyer les plâtres et de guider nos choix. Pour autant, nos dispositions ne seront pas totalement alignées sur les leurs, notamment s'agissant des cyber fundamentals, les mesures techniques que les Belges mettent en oeuvre pour répondre aux exigences de la directive NIS 2. Nos niveaux d'exigence sont comparables, mais nous ne privilégions pas, pour notre part, la reprise stricto sensu de la logique des cyber fundamentals.
Les mesures techniques, dont l'élaboration fait toujours l'objet de consultations, s'inscrivent, pour ce qui concerne les entités essentielles, dans la continuité de ce qui a été fait au titre de la directive NIS 1 ou du code de la défense, afin d'éviter un changement brutal pour les acteurs ayant déjà investi dans la mise en conformité avec le texte précédent.
Pour les entités importantes, la question de l'alignement sur le dispositif belge se pose. La démarche de nos amis belges repose en partie sur la norme ISO 27001, en partie sur des compléments issus du NIST américain (National Institute of Standards and Technology). Il s'agit non pas d'une certification conforme à une norme préexistante prise in extenso, mais d'un montage ad hoc. Tous les États membres sont confrontés à la même réalité : il n'existe pas de norme préexistante conforme à NIS 2 qui puisse être prise sur étagère. La norme ISO 27001 ne traite pas tous les enjeux de gouvernance par exemple.
Par ailleurs, la norme ISO 27001 est un dispositif d'analyse des risques par l'entité qui la met en oeuvre. Pour notre part, nous considérons que les entités importantes ne seront peut-être pas toutes en mesure de conduire leur propre analyse des risques, car cela nécessite une certaine maturité. Nous allons plutôt privilégier la conformité à des règles claires et simples, ne nécessitant pas un travail d'intégration et d'internalisation de la réflexion sur les risques et sur leurs déclinaisons. Il ne faut pas imposer un modèle de conformité unique. Au risque de m'avancer un peu, je n'exclus pas que, à terme, la labellisation cyber fundamentals belge ou d'autres dispositifs d'autres États membres puissent être reconnus en France comme un mode de conformité acceptable. Compte tenu de la variété des entités assujetties, un modèle unique ne pourra pas convenir à tout le monde. Il faut de la souplesse.
Je n'ai pas répondu à votre question sur Dora, qui relève selon moi du périmètre du ministère de l'économie et des finances. J'indique simplement que nous avons travaillé avec les futurs régulateurs de Dora, qu'il s'agisse de la Banque de France, de l'Autorité de contrôle prudentiel et de résolution (ACPR) ou de l'Autorité des marchés financiers (AMF) pour essayer d'harmoniser deux directives et deux cadres qui ont été négociés parallèlement par des acteurs différents et qui vont s'imposer, pour certains, conjointement. Certaines entreprises - et c'est malheureux - relèveront en effet pour une moitié de leur activité de Dora et pour l'autre moitié de NIS 2. L'harmonisation ne sera pas totale, mais nous continuerons d'être en lien étroit avec les autorités de contrôle pour limiter les déperditions d'énergie et les frictions.
J'en viens à la répartition des 50 ETP. L'essentiel de la mission de mise en oeuvre de NIS 2 relève des compétences habituelles de l'Anssi, à l'exception de la mission de contrôle et de supervision, de pré-instruction de possibles sanctions, lesquelles seront décidées in fine par la commission indépendante des sanctions. Il s'agit d'un métier totalement nouveau pour nous, qui requiert une trentaine d'ETP. En outre, nous devons renforcer notre accompagnement des bénéficiaires, ne serait-ce que pour accroître la coordination avec les ministères, les différents secteurs d'activité et les autorités de régulation. Enfin, nous devons renforcer notre présence dans les régions. Nous avons aujourd'hui un coordinateur dans chaque région métropolitaine et un pour l'ensemble des outre-mer.
M. Hugues Saury, rapporteur. - Je n'ai pas l'impression que vous ayez répondu à nos questions sur la gouvernance et sur la chaîne de sous-traitants des entreprises concernées par la directive REC.
M. Vincent Strubel. - En ce qui concerne la gouvernance, l'ambition est de préserver le modèle qui a été le nôtre jusqu'à présent, celui d'une autorité chef d'orchestre. L'Anssi intervient dans tous les champs de la cybersécurité, en coordination avec l'ensemble des acteurs. Elle est tour à tour opératrice, régulatrice, conductrice de politiques publiques. C'est ce qui fait sa force et la cohérence de son modèle.
Notre activité opérationnelle nous conduit à nous confronter quotidiennement aux meilleurs attaquants du monde et à mettre fin à leurs agissements quand ils s'en prennent à des entités françaises. Nous avons aussi une action dans le domaine de la régulation et de la coordination de politiques publiques. Ce modèle fonctionne. Je ne vois pas pourquoi il ne fonctionnerait pas avec des missions étendues dans le cadre de NIS 2.
Le traitement des sous-traitants est une part du problème que nous cherchons à résoudre avec NIS 2. Nous travaillons depuis des années à la sécurité de nos infrastructures les plus critiques, mais il est également nécessaire de sécuriser leurs chaînes de valeur pour éviter les défaillances en cascade qui, in fine, feraient tomber les infrastructures critiques. Je suis convaincu que, malgré le travail sur les chaînes de valeur, on oubliera toujours un acteur. Il est donc nécessaire de prévoir une sécurité de base étendue à l'ensemble du tissu économique.
Il est en particulier nécessaire de prendre en compte la chaîne de valeur numérique. À cet égard, j'attire votre attention sur le Cyber Resilience Act, qui est un règlement européen, et donc d'application directe, dont l'objet est de réguler les fournisseurs du numérique, c'est-à-dire les éditeurs de logiciels. Ce règlement est la deuxième face de la même pièce. Je me réjouis que ces deux textes arrivent en même temps et instaurent un équilibre entre, d'une part, les utilisateurs du numérique, qui entrent dans le champ de NIS 2 et qui ont porté jusqu'à présent la totalité des responsabilités en matière de cybersécurité, et, d'autre part, les fournisseurs du numérique, qui ont depuis longtemps, et parfois à tort, échappé à toute forme de responsabilité quand ils fournissaient des logiciels vulnérables.
Je ne me fais aucune illusion sur la capacité d'une petite entité régulée assujettie à NIS 2 à imposer des règles de conformité à son éditeur de logiciel ayant pignon sur rue et présent sur un marché mondial. En revanche, un acte réglementaire européen régulant l'ensemble du marché intérieur lui permettra d'imposer de telles règles.
Mme Catherine Morin-Desailly. - Quel est votre point de vue sur le règlement européen et du Conseil établissant des mesures destinées à renforcer la solidarité et les capacités dans l'Union afin de détecter les menaces et incidents de cybersécurité, de s'y préparer et d'y réagir ? La commission des affaires européennes du Sénat s'est beaucoup étonnée que le texte intervienne de manière si précipitée, sans aucune étude d'impact ni projet de financement.
Certaines mesures vont à l'encontre de l'organisation française, comme la création d'un centre opérationnel de sécurité à l'échelle nationale. Quelle est selon vous la bonne échelle pour organiser un tel centre d'aide et de réponse à nos entreprises et à nos collectivités ?
M. Vincent Strubel. - Je commencerai par la deuxième question. La bonne échelle, en fait, c'est d'articuler toutes les échelles entre elles. C'est déjà une réalité, d'ailleurs, puisqu'au niveau européen il existe une coordination technique, le CSIRT Network, qui relie les centres nationaux de réponse aux incidents des États membres - pour la France, c'est l'Anssi. Il existe aussi une coordination au niveau des directeurs d'agence : je fais partie du club CyCLONe (Cyber Crisis Liaison Organisation Network), qui rassemble mes homologues des 27 États membres. Ceux-ci font charnière, comme moi-même, entre la réalité technique traitée dans le CSIRT Network et les directives de nos autorités politiques, que nous avons vocation à informer dans la gestion des crises majeures.
Ces réseaux s'articulent assez naturellement avec l'échelon national. Nous avons d'ailleurs un maillage régional de CSIRT, et il y en a aussi dans les entreprises. L'Anssi joue ce rôle pour le Gouvernement et à l'échelon national, mais elle anime aussi une communauté de CSIRT. L'articulation de tous ces réseaux est bonne. Elle a d'ailleurs été une composante fondamentale de notre traitement des cyberattaques durant les jeux Olympiques et Paralympiques. Une fois de plus, l'Anssi est passée petit à petit de son rôle habituel de chef d'orchestre de la préparation à celui de tour de contrôle pendant le déroulement des jeux. Elle a mobilisé tous ces réseaux, nationaux et européens, pour alimenter ses partenaires, parfois les rassurer, en tout cas se coordonner pour le traitement des menaces qui débordaient nos frontières.
Ce qui ne fonctionnerait pas, c'est une grande agence supranationale. L'idée refait régulièrement surface, il faut la combattre car c'est une fausse bonne idée. Cela ne répondrait pas à la logique de proximité qui est nécessaire. Et cela contournerait un élément fondamental : le partage des responsabilités, prévu par les traités, entre l'échelon européen et l'échelon national. Les États membres restent responsables de leur sécurité nationale.
Cela dit, le règlement sur la cybersolidarité me semble aller dans le bon sens car il respecte ces lignes rouges. En tout cas, il a été soutenu par la France. Un certain nombre de nos remarques ont été prises en compte, afin de ne pas glisser subtilement vers cette fausse bonne idée d'une grande agence supranationale, par exemple. Ce texte organise une concertation entre les États membres et crée la possibilité d'une entraide, ce qui est nécessaire et utile : nous ne pouvons pas faire abstraction de ce qui se passe chez nos voisins, et nous avons intérêt à pouvoir les aider, parce que ce qu'il se passe chez eux a des conséquences chez nous.
Imaginons, par exemple, une attaque sur le réseau de distribution électrique. Même si le réseau électrique français se porte parfaitement bien, il suffit que le réseau électrique allemand, belge ou de n'importe quel autre partenaire européen s'effondre suite à une cyberattaque pour que les conséquences se fassent sentir aussi au niveau national : tout cela est interconnecté, et nous avons besoin de pouvoir aider nos voisins - et peut-être aurons-nous un jour besoin de nous faire aider par eux.
À cet égard, le règlement sur la cybersolidarité crée un cadre efficace. Il ne crée pas des bataillons de cybercombattants européens, qui attendraient l'arme au pied qu'une crise se déclenche, mais il permet et encadre la mobilisation de prestataires privés. En somme, il reproduit au niveau européen un modèle qui fonctionne très bien au niveau national. Nous avons en effet été précurseurs dans la certification de prestataires privés intervenant de cette manière, en réponse à un incident. Honnêtement, je ne sais pas comment nous ferions si nous ne pouvions pas nous appuyer, de manière quotidienne, sur ces prestataires. Bien sûr, quand on touche au coeur du régalien, que ce soit par la nature de la victime ou de l'attaquant, c'est l'Anssi seule qui intervient. Dans tous les autres cas, elle intervient aux côtés de prestataires privés.
M. Olivier Cadic, président. - Vous avez eu des mots très chaleureux pour vos collègues belges, je suis sûr qu'ils apprécieront. Ils ont d'ailleurs été eux-mêmes très élogieux à l'égard de l'Anssi quand ils nous ont reçus la semaine dernière.
Vous dites que, sans reconnaître le Cyber Fundamentals Framework, nous considérerons une entreprise comme conforme à NIS 2 si elle l'est à Cyber Fundamentals Framework. Cela me va. Il existe une deuxième possibilité, proposée par les Belges : ISO 27001. Leur seule demande est que le certificateur soit reconnu par leur agence. Cela pourrait-il vous convenir, ou voyez-vous une faille dans le dispositif ? Une troisième méthodologie, pour eux, serait de permettre que des personnes issues du centre de cybersécurité belge viennent auditer directement l'entreprise, en facturant ce service. L'Anssi envisage-t-elle cette option ?
Le Medef a parlé tout à l'heure de l'article 11. Comment s'applique la directive sur les groupements de sociétés ? Certains s'étendent sur plusieurs pays...
Je termine en évoquant les choix des produits et services certifiés dans le cadre des schémas européens. Quels sont les schémas retenus ? Qui sera responsable de ces choix ? Quelle politique industrielle sera mise en place afin de développer des produits et services certifiés en nombre suffisant pour les quelque 15 000 entités qui seront concernées par NIS 2 ? Sauf erreur, le projet de transposition de NIS 2 n'aborde pas ces sujets.
M. Vincent Strubel. - Je ne m'engage pas à reconnaître le label belge tel quel, mais nous devons poursuivre la réflexion pour progresser vers une reconnaissance croisée. Il n'y a pas de faiblesse dans ISO 27001, mais quelques manques relatifs à la gouvernance, qui sont comblés par nos amis belges. Je reproche simplement à cette méthode d'impliquer une analyse de risque effectuée par l'entité qui doit se faire labelliser.
Bien sûr, il sera au coeur de nos exigences, pour les entités essentielles, que celles-ci effectuent leur propre analyse de risque, en modélisant leur activité, en identifiant les facteurs de vulnérabilité, les enjeux, etc. C'est un travail très vertueux, mais coûteux. Et il ne correspond pas forcément à ce qu'on doit demander à une PME... D'ailleurs, pour un secteur d'activité donné, l'Anssi est à même de porter une appréciation relativement adaptée sur les risques. Mieux vaut donc donner à ces entreprises la recette de cuisine que je mentionnais tout à l'heure, c'est-à-dire une liste de mesures communes. Bien sûr, je jouerais contre mon camp si j'interdisais à ces acteurs de faire des analyses de risque. Mais je ne vais pas le leur imposer.
Je ne ferme pas la porte à l'idée d'audits portés par l'Anssi. Nos propres équipes d'audit sont extrêmement mobilisées sur les enjeux les plus cruciaux et les infrastructures les plus critiques : il faudrait donc faire appel, comme c'est notre pratique courante, à des prestataires privés. À cet égard, le cadre de certification Passi (prestataire d'audit de la sécurité des systèmes d'information), qui existe depuis 2014, et qui a été rénové récemment dans la perspective de NIS 2 pour porter un niveau d'exigence moindre, est un bon moyen de structurer une activité d'audit.
En revanche, je n'ai pas l'intention d'imposer dans NIS 2 le recours à des prestataires certifiés par l'Anssi. Ceux-ci correspondent à un niveau d'expertise et à des exigences particulièrement élevées. Nous travaillons à diversifier le paysage des prestataires, avec un niveau d'exigence moindre pour certains. Ceux-ci peuvent être un appui, mais ils ne seront pas assez nombreux, en tous cas dans un calendrier compatible avec la mise en oeuvre de NIS 2.
Il s'agit de valoriser le recours à des prestataires certifiés ou qualifiés par l'Anssi, en utilisant la notion de présomption de conformité : lorsque l'audit est mené par un prestataire certifié par l'Anssi, celle-ci ne posera pas de questions, dans sa mission de contrôle éventuelle, sur la qualité ou la nature de l'audit qui a été mené. Nous le prendrons pour argent comptant. Les experts cyber, par exemple, sont des prestataires sélectionnés avec un niveau d'exigence moindre, labellisé par nos collègues du GIP Cybermalveillance. Il serait dommage de se priver de ces acteurs, car ils peuvent suffire pour aider une PME à se protéger contre la menace ambiante, qu'on appelle systémique.
M. Olivier Cadic, président. - Merci pour ces précisions. Nous allons avoir un point d'entrée unique, qui répartira entreprises et particuliers vers le bon prestataire. La Commission le réclame depuis longtemps. Votre approche est axée sur l'entreprise et le client, c'est-à-dire qu'elle se focalise, à juste titre, sur la victime potentielle. Il n'est pas impossible que nous demandions à vous entendre de nouveau en fin de processus.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 15.