Mardi 11 février 2025
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 14 h 30.
Les autorités de régulation financière - Audition de l'Autorité des marchés financiers et de l'Autorité de contrôle prudentiel et de résolution
M. Olivier Cadic, président. - Notre cycle d'auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd'hui par une première table ronde avec les autorités de régulation financière.
L'Autorité des marchés financiers (AMF) est ici représentée par M. Sébastien Raspiller, secrétaire général, qui est accompagné de M. Philippe Sourlas, secrétaire général adjoint en charge de la direction de la gestion d'actifs, et de Mme Laure Tertrais, directrice de cabinet auprès de la présidente Mme Marie-Anne Barbat-Layani.
M. Frédéric Hervo s'exprimera en sa qualité de secrétaire général adjoint de l'Autorité de contrôle prudentiel et de résolution (ACPR) ; il est accompagné de Mme Véronique Bensaid-Cohen, conseillère parlementaire auprès du Gouverneur, de M. Alexandre Garcia, expert en régulation prudentielle bancaire et politique de stabilité financière, et de M. Gabriel Preguiça, chargé de mission.
Je vous remercie d'avoir répondu à notre invitation, car vous pourrez ainsi nous éclairer sur le dernier des trois volets de ce projet de loi, à savoir la transposition de la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Ce titre III entre dans le champ de compétences de notre collègue corapporteur Michel Canévet, par ailleurs membre de la commission des finances.
Nos auditions avaient jusqu'à présent surtout porté sur les deux premiers titres du projet de loi, lesquels concernent respectivement la transposition de la directive sur la résilience des entités critiques, dite « REC », et la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS2 ». Pour autant, ces sujets ne sont pas sans lien puisque certaines questions ont été soulevées lors de précédentes auditions sur les recoupements ou redondances pouvant exister entre ces trois directives. Mes collègues corapporteurs sur les titres I et II, respectivement Hugues Saury et Patrick Chaize pourront vous demander des précisions à ce sujet.
Avant de vous céder la parole, je vous rappelle que cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
Je propose que les rapporteurs posent d'emblée leurs questions pour que vous puissiez y répondre dans votre propos liminaire, ce qui laissera plus de temps ensuite pour la séquence de questions-réponses.
M. Michel Canévet, rapporteur. - Pouvez-vous nous indiquer les principaux risques que vous avez identifiés concernant le secteur financier en matière de cyber. Un certain nombre de normes n'ont pas encore été publiées. Ne pensez-vous pas que ces normes sont trop précises, ce qui entraîne des contraintes supplémentaires pour l'ensemble des institutions financières et des coûts administratifs pour l'ensemble des acteurs, c'est-à-dire non seulement les entreprises, mais aussi les superviseurs ?
J'aborderai trois sujets de préoccupation.
Premièrement, plusieurs directives ou règlements sont inclus dans le projet de loi Résilience. Les entreprises, notamment du secteur financier, pourraient être soumises à la fois aux obligations prévues par la directive NIS2 et la directive DORA. Comment éviter une telle complexification ?
Deuxièmement, les sociétés de financement ne sont pas incluses dans la directive DORA. Est-il pertinent de les inclure, comme le propose la France ? Certes, un délai supplémentaire est accordé à ces sociétés, jusqu'en janvier 2026 ? Est-ce suffisant ? Ne faudrait-il pas adopter une approche plus proportionnée ?
Troisièmement, enfin, j'évoquerai la question du reporting des incidents, qui sous-tend une adaptation des superviseurs. L'Agence nationale de la sécurité des systèmes d'information (Anssi) est organisée pour pouvoir fonctionner vingt-quatre heures sur vingt-quatre. Comment l'ACPR et l'AMF entendent-elles modifier leur organisation interne pour assurer la continuité du reporting ?
M. Patrick Chaize, rapporteur. - Je suis plus particulièrement chargé du titre II consacré à la transposition de la directive NIS2. Si cette audition est consacrée à la directive DORA, les infrastructures du marché financier et le secteur bancaire sont également concernés par la directive NIS2 en tant que secteurs hautement critiques.
Avec cette directive, c'est un changement majeur de paradigme qui est à l'oeuvre : il ne s'agit plus seulement de sécuriser des infrastructures critiques, mais d'assurer la résilience des entités critiques. Les entreprises des secteurs bancaire et financier sont-elles suffisamment informées des changements à venir ? Pensez-vous que l'Anssi est suffisamment bien identifiée par le monde financier comme un « interlocuteur de confiance » dans le domaine de la cybersécurité ? Enfin, l'articulation des dispositions prévues dans les directives NIS2 et DORA, et dans le cadre du projet de loi qui les transpose, entre ses titres II et III, vous paraît-elle adéquate ? Avez-vous, le cas échéant, identifié des difficultés ?
M. Frédéric Hervo, secrétaire général adjoint de l'Autorité de contrôle prudentiel et de résolution. - Je suis très honoré d'échanger avec vous sur la mise en oeuvre du règlement DORA relatif à la résilience informatique et cyber du secteur financier, qui fait l'objet, comme vous l'avez rappelé, d'un titre spécifique du projet de loi Résilience. En tant que secrétaire général adjoint de l'ACPR, l'autorité chargée du contrôle des secteurs bancaire et de l'assurance, je peux vous confirmer que ce sujet nous mobilise fortement en ce qu'il est essentiel pour la stabilité financière en France, mais aussi au sein de l'Union européenne.
Le contexte dans lequel s'inscrit cette nouvelle réglementation est marqué par deux éléments essentiels.
D'une part, nous vivons une digitalisation accélérée du secteur financier. En tant qu'utilisateurs de services bancaires et financiers, nous le vivons tous au quotidien. En tant que superviseurs, nous avons constaté au cours des dernières années l'essor de services supports de plus en plus massifs et complexes, tels les clouds ou les centres de données importants, y compris s'agissant des domaines liés à l'intelligence artificielle. Ces services sont proposés aux établissements financiers par des géants du numérique, dont beaucoup sont basés en dehors de l'Union européenne, ce qui soulève évidemment un certain nombre de questions sur la performance, la réussite de la transformation digitale et, bien sûr, les risques qui y sont associés.
D'autre part, nous constatons l'essor des cyberattaques à l'encontre du secteur financier, l'un des secteurs les plus affectés. Pour rappel, en 2024, la filiale américaine de la banque chinoise ICBC a dû être recapitalisée à hauteur de plusieurs milliards de dollars à la suite d'une cyberattaque au moyen d'un rançongiciel. Dans le cadre de son évaluation des risques du système financier, la Banque de France considère le risque cyber comme le risque structurel le plus élevé.
À cet égard, le règlement DORA constitue une avancée bienvenue en posant un cadre unifié d'exigences en matière de gestion des risques informatiques et cyber pour une très large gamme d'acteurs financiers - les banques, les assurances, les acteurs de paiement, les entreprises d'investissement, mais aussi les infrastructures des marchés ou les émetteurs de cryptoactifs. Tous ces acteurs doivent tester leur cyber-résilience et les plus systémiques d'entre eux seront assujettis à des tests d'intrusion pilotés par leur autorité de contrôle, afin de détecter d'éventuelles failles dans leur système d'information.
Le règlement DORA prévoit également un dispositif harmonisé pour les déclarations d'incidents cyber, informatiques et de paiement, afin que les autorités, dont l'Anssi, puissent orchestrer leurs réponses.
Enfin, ce règlement met en place une nouvelle surveillance des prestataires tiers critiques, dont la liste sera arrêtée au deuxième semestre de cette année par les autorités européennes de supervision. L'ACPR s'est préparée, au cours des deux dernières années, à assurer ces nouvelles missions.
Le règlement DORA est entré en application depuis le 17 janvier. La transposition de la directive va modifier plusieurs textes importants et le projet de loi Résilience introduit plusieurs dispositions qui nous semblent tout à fait indispensables. Ainsi, en matière d'assujettissement, les sociétés de financement comme Crédit Logement ou l'Agence française de développement ne sont effectivement pas visées par le texte européen dans la mesure où elles ont un statut national. Mais si la loi n'inclut pas ces sociétés dans le dispositif, l'ACPR ne pourra pas juridiquement recevoir les notifications d'incidents ni contrôler les registres d'externalisation de ces acteurs importants pour l'économie française. C'est un point important, car le risque cyber est susceptible de se propager. Eu égard à l'interconnexion des acteurs du système financier, il est essentiel d'éviter d'avoir un maillon faible. La logique est donc bien d'unifier le traitement de l'ensemble des acteurs du système financier.
En outre, certains amendements au projet de loi nous sembleraient utiles. Il importe notamment d'étendre le périmètre de la directive aux succursales d'entreprises d'investissement de pays tiers. Concernant la charge administrative que cette directive sous-tend pour les entités supervisées, il nous semble utile de limiter la charge induite pour les infrastructures supervisées par plusieurs autorités, à savoir l'ACPR, l'AMF et la Banque de France. En effet, un guichet unique pour déclarer les incidents serait de nature à éviter une redondance des déclarations. Dans le même esprit, s'agissant des prestataires de services de paiement, il convient de simplifier le processus de déclarations d'incidents majeurs en les centralisant auprès d'une seule autorité, l'ACPR, en accord, bien sûr, avec la Banque de France.
M. Sébastien Raspillet, secrétaire général de l'Autorité des marchés financiers. - Merci de nous recevoir pour vous présenter la manière dont l'AMF s'est préparée à mettre en oeuvre la directive DORA et vous parler concrètement des applications.
Dans une vie antérieure, j'ai négocié et finalisé, sous la présidence française du Conseil de l'Union européenne, le paquet Dora, la directive et le règlement. Il me revient aujourd'hui, au titre de l'AMF, de le mettre en application...
Le règlement DORA, la résilience opérationnelle numérique du secteur financier, s'inscrit dans un contexte de digitalisation croissante, comme l'a indiqué Frédéric Hervo, et d'externalisation importante. Les actions numériques ne sont pas toujours faites en interne. Aussi, les institutions financières doivent s'interroger sur les facteurs susceptibles de les conduire à interrompre un service.
L'AMF couvre un grand nombre d'entités, mais de taille plus petite que celles qui sont dans le champ d'activité de l'ACPR. Ce sont notamment les sociétés de gestion qui, au-delà du risque cyber, font appel à nous lorsqu'elles sont confrontées à un problème purement technique, telle une panne d'électricité, qui les prive de l'accès à leurs serveurs, et donc à leurs données. Outre les incidents cyber massifs, nous devons donc gérer quasiment au quotidien les incidents très pratiques que rencontrent ces sociétés de gestion de taille très variée.
Par ailleurs, avec l'entrée en vigueur quasi concomitante du règlement européen sur les marchés de crypto-actifs (Mica), les prestataires de services sur cryptoactifs vont passer d'une centaine d'acteurs à plusieurs dizaines.
Parmi les acteurs, nous comptons aussi les prestataires de services de financement participatif, ce que l'on appelait le crowdfunding.
Au-delà des autorités publiques qui se sont félicitées de l'adoption du paquet DORA, les investisseurs privés en Europe et outre-Atlantique reconnaissent que le règlement DORA a vocation à devenir un standard d'exigence minimale, qui suscite la confiance. Cette ambition est perçue de manière positive. De nombreux acteurs sont embarqués, car les domaines visés sont interconnectés. D'où l'intérêt de détecter les maillons faibles, comme l'a souligné Frédéric Hervo.
Il importe d'optimiser les ressources, car nous allons devoir faire face à des charges supplémentaires, comme la réalisation de tests de pénétration fondés sur la menace (TLPT, Threat-Led Penetration Testing), qui exige des compétences très pointues en termes de cyberexpertise, et la supervision des entités, une mission que nous exerçons déjà pour nous assurer du respect des réglementations européennes ou françaises, auxquelles s'ajouteront les réglementations fixées par le paquet DORA. En l'espèce, nous devrons être destinataires de la cartographie des prestations externalisées par les sociétés de gestion en vue d'identifier, le cas échéant, les éléments problématiques.
S'y ajoute notre mission de reporting. Parmi les entités critiques, nous n'avons que la plateforme de marché Euronext. Un point d'entrée unique entre les trois autorités de supervision serait effectivement une solution pertinente pour limiter la charge supplémentaire, il nous reviendrait alors d'assurer la transmission des informations, en lien avec l'Anssi. Il nous faut réfléchir à la procédure la plus efficace pour transmettre les données.
Nous subissons donc de manière indirecte les nouvelles charges imposées aux acteurs dans la mesure où notre mission de supervision sera accrue. D'où notre exigence d'efficience.
Pour illustrer mon propos, dans le domaine de la gestion d'actifs, par exemple, les petites et moyennes entreprises peuvent être victimes de ransomware ou d'intrusions prolongées dans les boîtes e-mail professionnelles, au même titre que les PME manufacturières. Le paquet DORA permettra à ces acteurs de mieux se protéger.
Pour ce qui concerne l'information des institutions financières, nous nous sommes efforcés de faire oeuvre de pédagogie dans le cadre de nos actions classiques de supervision, en rendant nos acteurs attentifs à l'entrée en vigueur du règlement DORA. De nombreuses conférences, des webinaires et des séminaires ont été organisés à cette fin. Je pense que ces entités sont bien conscientes de l'importance de ces sujets, car les conséquences en termes d'image et de réputation sont très rapides.
Sans vouloir outrepasser mes prérogatives, d'après les témoignages que nous avons pu recueillir, l'Anssi est considérée par les institutions financières comme un tiers de confiance. Avec la directive NIS2, elle pourrait devenir une autorité de supervision, ce qui pourrait, de ce fait, modifier leur perception. Toutefois, il est à noter que nous avons un dialogue avec les entités que nous supervisons et n'hésitons pas à leur apporter des conseils en cas de besoin. Il pourra donc en être de même avec l'Anssi.
Le défi de l'AMF est d'être à la hauteur de ces nouveaux enjeux, avec le recrutement d'experts pour participer à l'amélioration de la prise de conscience des acteurs et à l'accroissement de la résilience, et ce au bénéfice de la santé globale du secteur financier en France et en Europe.
M. Frédéric Hervo. - Permettez-moi de revenir de manière plus détaillée sur certaines de vos questions.
Concernant l'articulation entre les directives DORA et NIS2, le considérant 16 et l'article 1er du règlement DORA en font une lex specialis de la directive NIS2. Pour le secteur financier, le règlement DORA a donc vocation à être le texte d'application, ce qui induit de fait une conformité des entités à NIS2.
Pour autant, l'Anssi reste pleinement partie prenante : cette autorité chargée de la cybersécurité répondra au premier chef sur le plan technique aux incidents cyber, ce qui implique une bonne coopération avec les autorités de contrôle du secteur financier.
Comme l'a indiqué Sébastien Raspiller, nous constatons une bonne connaissance des missions de l'Anssi par les acteurs du secteur financier. Depuis une vingtaine d'années, le groupe de place Robustesse, sous l'égide de la Banque de France, mobilise à la fois les grands acteurs du secteur financier, mais également les autorités publiques, telles que l'AMF, l'ACPR et l'Anssi, sur les risques opérationnels et les risques cyber, organise des tests et répond à des situations de crise. À cet égard, l'Anssi a participé à une table ronde sur la mise en oeuvre du règlement DORA organisée, dans le cadre de la conférence de contrôle, par l'ACPR au mois de novembre dernier et à laquelle ont participé près d'un millier de participants.
Concernant les notifications d'incidents, nous sommes en capacité de les recevoir par le biais de différents acteurs en utilisant soit les circuits de notification habituels au reporting prudentiel, pendant les périodes ouvrées, soit la messagerie le dimanche ou en période de nuit. La temporalité et la criticité de ces notifications n'ont pas le même sens pour l'Anssi et les autorités de contrôle, qui ne jouent pas le même rôle en cas d'incidents cyber : l'Anssi apportera des réponses techniques et en informera les acteurs visés, tandis que les autorités de contrôle évalueront les conséquences de ces incidents pour le système financier et les différents acteurs concernés et aideront à ces derniers à prendre les mesures adéquates pour leurs produits financiers et leurs services. Nos rôles sont complémentaires et ne sont pas substituables. Il est donc essentiel de maintenir une bonne coopération avec l'Anssi.
Vous avez évoqué la possibilité d'avoir une approche différente pour les sociétés de financement.
Permettez-moi de rappeler que ces établissements ont une activité de financement spécialisée, telle que l'affacturage, le crédit-bail, la caution ou l'octroi de garanties financières. Bien que ne collectant pas de fonds remboursables du public, leur activité est importante pour l'économie réelle. Les sociétés de financement présentent une certaine hétérogénéité en termes de taille et d'importance. Certaines entités sont critiques en raison de leur mission de service public, comme Action Logement ou l'Agence française de développement, ou de leur mission de cautionnement des prêts immobiliers résidentiels s'agissant de Crédit Logement, par exemple. En effet, cette société de financement a cautionné un encours de près de 430 milliards d'euros sur les 1 000 milliards d'encours de crédit immobilier en France. En cas de cyberattaque, la divulgation des données de millions de Français serait préoccupante. C'est la raison pour laquelle il importe d'appliquer le règlement à ces acteurs, même s'ils disposent d'un statut national. Je rappelle que près des deux tiers des sociétés de financement font partie de groupes bancaires. Il serait donc contre-intuitif que ces filiales ne soient pas soumises à cette réglementation, alors que les groupes bancaires le sont depuis le 17 janvier. Ce pourrait être là un maillon faible. Une mise en application du règlement DORA au début de l'année 2026 nous semble un délai raisonnable, sachant que nous appliquons toujours un principe de proportionnalité avec une approche par les risques dans nos activités de contrôle.
Pour ce qui concerne les textes réglementaires, deux normes techniques de réglementation sont encore attendues : l'une sur la sous-traitance et l'autre sur les TLPT, qui ont vocation à s'appliquer aux acteurs les plus systémiques. Ces tests commenceront vraisemblablement à la fin du premier semestre. Même si le règlement DORA est applicable depuis le 17 janvier, sa mise en oeuvre est nécessairement progressive.
Mme Michelle Gréaume. - Concernant l'article 57 du projet de loi Résilience, qui introduit dans le code des assurances de nouvelles exigences pour les entreprises d'assurance et de réassurance pour renforcer la cybersécurité afin de protéger les données des assurés, comme les capacités de fonctionnement et d'indemnisation des assureurs. L'article 58 définit, quant à lui, les nouvelles obligations de gouvernance face aux risques liés à l'utilisation d'outils numériques. Comment comptez-vous renforcer la protection des contrats des assurés sur le plan numérique tant en ce qui concerne les données personnelles que financières ? Je pense aux assurances retraite, aux assurances vie ou encore aux assurances obsèques.
M. Frédéric Hervo. - Le règlement DORA aligne l'ensemble des acteurs quant à la gestion des risques informatiques, des risques d'externalisation et des risques cyber. Il est effectivement important que le secteur de l'assurance soit bien protégé, au regard des données de santé, des données de paiement ou des données personnelles des assurés, qui sont toutes sensibles. Il appartiendra à l'ACPR de s'assurer, dans le cadre de ses missions habituelles de contrôle, que ce soit par un contrôle permanent sur une base documentaire ou sur place, que les établissements sont en conformité avec les normes réglementaires. Cela se fera dans le cadre d'une approche proportionnelle, par les risques, en fonction de la taille et du profil des acteurs, ainsi que de la nature de leur activité.
Mme Vanina Paoli-Gagin. - J'ai une question plus précise sur les fournisseurs de services cloud. Étant donné que ceux-ci ne seront pas nécessairement intra-européens, comment nous assurer de la sécurité des données qui seront hébergées ? Je pense notamment aux applications extraterritoriales des lois qui peuvent se multiplier au regard des changements géopolitiques qui ont lieu ces derniers temps.
Mme Hélène Conway-Mouret. - La France jouit d'une certaine indépendance en matière de défense, mais tel n'est pas le cas de nombre de nos partenaires européens. Un climat de confiance prévaut à ce jour, mais qu'en sera-t-il de notre souveraineté si la nature des relations venait à changer ? Sommes-nous en capacité d'héberger l'ensemble des données dont nous avons besoin, même si la construction d'un supercalculateur a été annoncée hier soir ?
Par ailleurs, ne risque-t-on pas de se retrouver avec des directives européennes qui vont tenir compte de l'ensemble des volontés des uns et des autres ?
M. Frédéric Hervo. - Ces deux questions nous permettent d'aborder l'un des piliers essentiels et très novateurs du règlement DORA, à savoir la mise en place d'un dispositif de surveillance des prestataires tiers critiques.
Les acteurs du secteur financier vont, au printemps, nous rapporter l'ensemble de leurs contrats d'externalisation avec les prestataires informatiques. Ces reportings passeront par les autorités compétentes, qui rétrocéderont ces informations aux trois autorités européennes de supervision, à savoir l'Autorité européenne des marchés financiers (Esma), l'Autorité bancaire européenne (ABE) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Sur la base de ces données, il sera possible d'identifier les prestataires qui, au regard de l'importance de leurs services, seront considérés comme critiques au niveau européen pour le secteur financier. On imagine aisément de quels acteurs il s'agit, notamment les prestataires de services de cloud, pour la plupart basés en dehors de l'Union européenne. Un dispositif de surveillance sera mis en place de manière conjointe par les autorités européennes de supervision pour vérifier si ces entités respectent le règlement DORA en termes de protection des données, de niveau de sécurité, de qualité des clauses contractuelles. D'ailleurs, ces prestataires devront disposer d'une entité au sein de l'Union européenne, qui sera l'interlocutrice directe. Il s'agit donc là d'une innovation importante.
La liste de ces entités devrait être communiquée avant la fin de l'année 2025, avec une mise en oeuvre effective du nouveau dispositif de surveillance au début de l'année 2026.
Enfin, les autorités nationales participeront à cet exercice de surveillance, à due concurrence de l'utilisation des services de ces prestataires par leurs acteurs financiers.
M. Akli Mellouli. - Vos explications sont source d'inquiétudes croissantes.
Je veux évoquer la question des collectivités territoriales, qui constituent un véritable enjeu. Quels mécanismes peuvent être mis en place pour les aider à financer leurs projets de cybersécurité ? Les assurances peuvent-elles jouer un rôle, notamment en matière de couverture, pour financer la cybersécurité de nos collectivités ?
M. Frédéric Hervo. - Votre première question concerne d'autres aspects du projet de loi Résilience qui ne relèvent pas de la compétence de l'ACPR.
Concernant votre seconde question, nous constatons le développement d'un certain nombre de contrats spécifiques pour assurer le risque cyber. Les contrats d'assurance comportent une tarification associée au niveau de risque.
M. Sébastien Raspiller. - Je vous l'ai dit, j'ai négocié le paquet DORA lors de la présidence française du Conseil de l'Union européenne. Nous avions alors beaucoup insisté sur la nécessité d'avoir une capacité d'action en termes de supervision en Europe. Certes, je ne réponds pas là à votre interrogation concernant notre souveraineté, mais nous avons obtenu l'obligation d'avoir une entité implantée dans l'Union européenne.
La liste des entités tiers critiques sera arrêtée à la fin du premier semestre. En France, les autorités de régulation financière sont soumises par l'Anssi au SecNumCloud. Certes, cette obligation a un coût, mais elle est de nature à apporter une sécurité. En revanche, nos homologues ne sont pas réceptifs à la mise en place d'un cloud européen, alors que nous traitons de données confidentielles très sensibles. C'est pourquoi il importe collectivement de faire un minimum de pédagogie afin de contribuer à une prise de conscience des risques auxquels nous pouvons collectivement faire face, et le paquet DORA y participe.
Une cyberattaque sur une petite structure peut avoir des effets dévastateurs. La connaissance des sous-traitants permet d'en diminuer la probabilité. Il faut organiser des campagnes de phishing et de sensibilisation aux risques pour améliorer la résilience. Les structures que nous supervisons, y compris de plus petite taille, sont sensibilisées à ces questions. Cela ne signifie pas que tout risque est éliminé - toute entité, y compris locale, connaît une cyberattaque -, mais cela diminue sans aucun doute la probabilité de les subir. C'est pourquoi DORA impose des exigences de reporting rapide et structuré des incidents pour éviter de graves impacts. Le secteur financier a été sensibilisé à cette question bien avant la mise en place du règlement DORA. Cependant, celui-ci a pour effet de structurer, de professionnaliser et de systématiser la résilience, y compris dans d'autres secteurs.
Mme Catherine Morin-Desailly. - Vos explications ne sont pas de nature à nous rassurer. Les données les plus sensibles de nos administrations, des Français et des Européens d'ailleurs sont confiées aux trois principaux fournisseurs de services cloud que sont AWS, Google et Microsoft, qui dominent très largement le marché.
Je m'inquiète moins du Cloud Act que de la section 102 du Foreign Intelligence Surveillance Act (Fisa), renouvelée pour deux ans par Ursula von der Leyen et Joe Biden au lendemain de l'annulation, le 16 juillet 2020, du cadre de transfert de données entre l'Union européenne et les États-Unis, le Data Privacy Shield. Le Fisa permet le transfert des données des Européens sur simple requête de l'État fédéral. Un Européen peut donc se voir transférer ses données sans avoir reçu de notification, contrairement à un Américain. D'où notre crainte d'un nouveau renouvellement avec l'arrivée de Donald Trump.
M. Frédéric Hervo. - Le règlement DORA vise à répondre au risque d'attaques cyber, mais n'a pas vocation à répondre à l'ensemble des problématiques associées à l'utilisation des services en nuage, tels que les risques de corruption, de divulgation des données liées à des attaques malveillantes ni aux questions de coopération internationale ou de droits en la matière applicables par différents États. Le règlement DORA s'attache à la prévention du risque cyber d'une manière plus générale.
M. Olivier Cadic, président. - Même si trois acteurs occupent 70 % du cloud, n'oublions pas OVHcloud, un acteur français, qui est un leader européen.
Permettez-moi d'aborder un sujet d'actualité, l'intelligence artificielle (IA). J'ai demandé à un outil d'IA s'il pouvait me donner des conseils financiers. Il a orienté ma question en me demandant quels types de conseils je souhaitais obtenir - gestion du budget, investissement, épargne, immobilier, retraite, etc. Ces conseils sont donc parfaitement possibles aujourd'hui.
Un nouvel acteur, apparu il y a deux semaines, a eu un impact majeur sur les cours de bourse. Va-t-il être régulé, contrôlé par vos services ?
M. Sébastien Raspiller. - Nous avions fait ce test il y a quelque temps et l'outil nous avait répondu qu'il n'était pas autorisé, d'après la réglementation, à nous donner des conseils financiers, mais qu'il pouvait quand même le faire...
C'est une question que nous examinons au sein de l'Organisation internationale des commissions de valeurs (IOSCO, International Organization of Securities Commissions), qui regroupe quelque 130 pays. Cette organisation permet à nos enquêteurs de demander des informations sensibles à nos homologues.
Nous avons engagé une réflexion à ce sujet, mais je ne puis vous répondre, car la territorialisation est une question complexe.
Dans un contexte de digitalisation croissante des activités de l'économie, voire du quotidien, la mission première que nous a confiée le législateur ne concerne plus que la vérification du conseil bancaire. Il nous faut développer des outils de veille des réseaux sociaux. Nous avons, par exemple, développé, en coordination avec l'Autorité de régulation professionnelle de la publicité (ARPP), un certificat de l'influence responsable pour les influenceurs. L'intelligence artificielle va bouleverser les choses ; il nous faut sans cesse remettre l'ouvrage sur le métier. Nous nous efforçons de contribuer, à notre échelle, au sein de ce forum mondial à définir des lignes directrices susceptibles d'apporter des réponses satisfaisantes en matière de protection de l'épargne.
M. Olivier Cadic, président. - Je vous remercie de votre participation.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Les entreprises de cyberdéfense - Audition d'Airbus, Orange et Thales
M. Olivier Cadic, président. - Nous poursuivons notre cycle d'auditions publiques par une table ronde réunissant des groupes du secteur de la cyberdéfense.
Le groupe Airbus est représenté par M. Michaël Barthellemy, Heaf of Cyber Risk and Assets Management du groupe Airbus, et par M. Olivier Masseret, directeur des relations institutionnelles.
Le groupe Orange est représenté, pour sa propre sécurité, par M. Patrick Guyonneau, directeur de la sécurité du groupe Orange, et, pour la fourniture de services de cyberdéfense, par M. Olivier Bonnet de Paillerets, général, ancien directeur adjoint de la direction générale de la sécurité extérieure (DGSE) et maintenant Executive Vice President Technology & Marketing de la filiale Orange Cyberdefense. Ils sont accompagnés de M. Laurentino Lavezzi, directeur des affaires publiques.
Enfin, le groupe Thales est représenté par M. Alexis Caurette, vice-président stratégie cybersécurité, et par Mme Isabelle Caputo, directrice des relations institutionnelles.
Je vous remercie d'avoir accepté de venir nous livrer votre vision globale du projet de loi qui vise à transposer trois directives : la directive sur la résilience des entités critiques, dite REC, dans le titre Ier ; la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite NIS 2, dans le titre II ; et la directive sur la résilience opérationnelle numérique du secteur financier, dite DORA, dans le titre III.
Vous êtes tous, à votre niveau, directement concernés par ce projet de loi, comme vous l'étiez d'ailleurs par la directive NIS 1, en tant qu'acteurs majeurs du secteur de la défense et du secteur civil.
Vos groupes se caractérisent également par une dimension européenne et internationale. Votre regard sur le marché européen et les risques de distorsion juridique de transposition dans les différents États membres de l'Union européenne nous sera donc très utile.
Enfin, outre le souci de votre propre sécurité, vous fournissez des services de cybersécurité à vos clients, entreprises ou collectivités territoriales, par le biais de vos filiales - Airbus Protect, Orange Cyberdefense ou Thales Solutions de cyberdéfense. Là aussi, nous serons à l'écoute de vos points de vue sur l'impact du projet de loi.
Avant de vous céder la parole, je rappelle à tous que cette audition fait l'objet d'une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
M. Patrick Chaize, rapporteur. - En ma qualité de rapporteur chargé de l'examen du titre II de ce projet de loi, mon intervention sera centrée sur la transposition de la directive NIS 2.
Cette directive est d'une importance capitale : les changements qu'elle implique pour le monde économique sont significatifs dans toute l'Union européenne, mais plus particulièrement en France.
D'abord, le nombre d'entités régulées passe de 500 à 15 000 et le nombre de secteurs économiques de 6 à 18 par rapport au précédent cadre de régulation fixé par la directive NIS 1.
Ensuite, ce sont désormais tous les systèmes d'information des entités régulées qui sont, par principe, concernés.
Enfin, c'est un changement majeur de paradigme qui est à l'oeuvre : il ne s'agit plus seulement de sécuriser des infrastructures critiques, mais aussi d'assurer la résilience des entités critiques en tant qu'organisations. Autrement dit, la couverture est beaucoup plus large.
Je me réjouis donc aujourd'hui d'entendre l'analyse des experts de la cyberdéfense que vous êtes sur le projet de loi de transposition de la directive NIS 2.
Pouvez-vous tout d'abord nous indiquer quelles solutions de cyberdéfense vous développez, et à l'attention de quels clients ? La directive NIS 2 aura-t-elle un impact très important sur vos activités ?
Quelle analyse faites-vous ensuite du projet de loi ? Considérez-vous qu'il assure une transposition fidèle de la directive ? Identifiez-vous un risque de surtransposition ou, a contrario, de sous-transposition ?
Sur la procédure de notification des incidents, alors que la directive NIS 2 prévoit la transmission, « sans retard injustifié », d'une alerte précoce dans un délai de vingt-quatre heures puis la transmission d'une notification d'incident dans un délai de soixante-douze heures, le projet de loi ne mentionne pas ce double délai, contraignant les entités à notifier leurs incidents « sans délai » et évoquant la notification « d'incidents critiques » plutôt que « d'incidents importants ».
Que pensez-vous de ces choix ? Sont-ils de nature à surtransposer ou à sous-transposer la directive et, surtout, sont-ils de nature à affaiblir ou à renforcer notre réponse collective aux cybermenaces ?
S'agissant du périmètre, le Gouvernement a opéré trois choix qui soulèvent des interrogations : l'inclusion des établissements d'enseignement menant des activités de recherche ; l'inclusion des collectivités territoriales, notamment les départements, les métropoles, les communautés urbaines, les communautés d'agglomérations et les communes de plus de 30 000 habitants ; enfin, l'élargissement du périmètre des entreprises concernées, puisque les critères de taille et de chiffre d'affaires sont fixés alternativement tandis que les textes européens les fixent cumulativement. Que pensez-vous de ces choix ?
Enfin, les entreprises et les collectivités territoriales vous semblent-elles suffisamment informées des changements à venir ?
M. Michaël Barthellemy, Head of Cyber Risk and Assets Management du groupe Airbus. - Enjeu crucial pour les organisations, notamment pour les organisations critiques désormais catégorisées en « entreprises essentielles » et « entreprises importantes », la résilience digitale peut se définir comme la capacité à anticiper, prévenir, dissuader, détecter, et retarder les attaques, y répondre, résister et se remettre des incidents de cybersécurité.
Le but est de protéger l'intégrité informatique et fonctionnelle, de limiter les pertes financières ainsi que la dégradation de l'image et de la confiance, d'assurer la continuité des activités et le maintien de la productivité malgré les attaques, y compris en mode dégradé, de préserver et de sécuriser les données, en particulier dans le contexte du règlement général sur la protection des données (RGPD).
Cette résilience, lorsqu'elle parvient à être démontrée, conditionne l'instauration d'un climat de confiance avec nos clients, nos usagers, nos fournisseurs et nos autorités de tutelle.
Nos organisations doivent également de plus en plus s'assurer contre le préjudice que représenterait une disruption majeure et démontrer aux assureurs et cyberassureurs leur potentiel de résilience.
Je souhaiterais à présent attirer votre attention sur quelques points qui ressortent de notre étude du projet de loi.
Sans vouloir déposséder le Parlement français de ses prérogatives, il ne nous semble plus envisageable aujourd'hui que ce type de mesures soient véhiculées par une directive. Elles devraient impérativement faire l'objet d'un règlement européen. Imaginez en effet la difficulté pour un groupe comme Airbus, présent dans la quasi-totalité des États membres de l'Union, de devoir appliquer vingt-sept réglementations différentes...
Il faut ensuite analyser plus globalement l'impact de la réglementation sur la compétitivité des entreprises européennes dorénavant régulées. Le projet de loi, dans la continuité des dispositifs existants, apparaît pour notre filière comme une double surtransposition de la directive européenne. La France dépasse les demandes de la directive et la proposition de transposition actuelle vient doublonner un certain nombre de contraintes déjà présentes dans le corpus réglementaire en vigueur - loi de programmation militaire, instruction générale interministérielle n° 1300, instructions interministérielles nos 900 et 901.
L'augmentation des sanctions fera également peser une pression financière sur nos entreprises. Nos concurrents internationaux, y compris européens, qui ne sont pas soumis à ces règles, seront avantagés. Veillons à ne pas créer par surtransposition une opportunité de dumping de cybersécurité pour les autres États membres.
Nous nous soucions également de l'articulation de ces nouvelles dispositions avec les autres réglementations existantes, nationales et européennes, et nous demandons à ce que le délai pour satisfaire à ces différentes transpositions soit étendu.
Les PME et les entreprises de taille intermédiaire (ETI), déjà vulnérables, pourraient être les premières fragilisées par des exigences trop contraignantes et une mise en oeuvre précipitée. Nous devons leur laisser le temps nécessaire de se conformer aux nouvelles règles.
Les questions de souveraineté numérique et d'indépendance géostratégique nous préoccupent aussi. La résilience opérationnelle vient parfois contredire le principe de souveraineté, notamment dans les domaines où les Gafam - Google, Apple, Facebook, Amazon, Microsoft - prennent une place prépondérante. Les choix qui seront faits aujourd'hui détermineront notre capacité à maintenir demain l'équilibre entre indépendance et interdépendance, dans un contexte de concurrence globale.
Enfin, pour que nos entreprises puissent réussir cette transition vers NIS 2, un soutien des services de l'État, au bon niveau, sera indispensable : soutien technique et financier, aide au développement de solutions de confiance adaptées aux PME et aux ETI, etc. Nous pensons que l'Agence nationale de la sécurité des systèmes d'information (Anssi) doit jouer un rôle prépondérant dans ce dispositif.
M. Laurentino Lavezzi, directeur des affaires publiques du groupe Orange. - Nous sommes concernés à double titre par ce projet de loi : en tant qu'entreprise essentielle, nous devrons nous soumettre aux nouvelles obligations ; en tant que fournisseur de services, nous pourrons voir quelques marchés s'ouvrir à nous.
Nous partageons les préoccupations de Michaël Barthellemy sur la cohérence et l'articulation des différentes réglementations. Il sera d'autant plus facile d'appliquer ces nouvelles obligations qu'elles seront peu ou prou les mêmes partout en Europe.
Nous nous soucions aussi de la compétitivité de nos entreprises et d'un risque de surtransposition, y compris au niveau des règlements d'application. Nous souhaitons donc que le Parlement encadre autant que possible le champ d'intervention du pouvoir réglementaire.
L'application de la loi de l'établissement principal pourrait en effet conduire, en cas de surtransposition en France, à des asymétries entre acteurs d'un même marché.
M. Patrick Guyonneau, directeur de la sécurité du groupe Orange. - Il n'est pas toujours aisé d'appréhender dans le détail les obligations qui s'imposent à nous. Ainsi, pour notre activité d'opérateur de télécommunications, nous sommes soumis à la fois à NIS 2 et aux dispositions concernant les opérateurs d'importance vitale (OIV). En revanche, pour nos activités numériques, nous sommes concernés par l'ensemble des mesures du projet de loi. Il arrive pourtant fréquemment qu'un même système d'information ait plusieurs finalités.
Par ailleurs, comme l'a souligné Laurentino Lavezzi, dès lors que le droit du siège prévaut, toute transposition maximaliste de la directive risque de nous handicaper, car nous sommes présents en Slovaquie, en Pologne, en Belgique, au Luxembourg, en Espagne et en Moldavie, des pays où les droits locaux sont moins restrictifs qu'en France. Les directives adressées par Orange à ses filiales pourraient donc être plus contraignantes que les règles locales.
Était-il opportun d'inclure les collectivités locales dans le champ du texte ? À notre sens, oui, en raison notamment d'une spécificité française, les réseaux d'initiative publique (RIP) en matière de télécommunications. En excluant les collectivités locales, on risquait sans doute d'exclure les RIP et de créer des points de faiblesse. Or il est très important d'assurer une continuité dans les communications, en particulier pour les appels d'urgence.
M. Olivier Bonnet de Paillerets, Executive Vice President Technology & Marketing d'Orange Cyberdefense. - Orange Cyberdefense est une société anonyme de services et de sécurité numériques détenue par le groupe Orange qui couvre l'ensemble du champ du marché de la cybersécurité : détection et analyse de la menace, protection et gestion de crise.
Le marché de la cybersécurité reste très dynamique, en croissance de 11 % à 12 % par an jusqu'en 2030 selon les analystes. C'est un marché très fragmenté et très concurrentiel. Nous sommes leader en Europe avec 12 % de parts de marché, 5 % en Belgique.
Nous faisons face à des niveaux de complexité de plus en plus élevés. En Europe, le deuxième continent le plus visé après les États-Unis, la cybercriminalité continue de croître de 20 %, et même de 57 % cette année si l'on considère les petites et moyennes entreprises.
Les nouvelles menaces, en provenance des activistes, ont un impact croissant sur les sociétés, avec des actions de désinformation couplées à des actions de saturation de type DDoS (attaque par déni de service distribué).
La régulation qui s'impose aux entreprises devient elle-même de plus en plus complexe.
Enfin, le mouvement vers le cloud accroît la « surface d'attaque » des entreprises.
Pour nos clients, tout cela devient trop compliqué, ils ont besoin d'être accompagnés.
En tant que société numérique, nous sommes également visés par le règlement d'exécution de l'Union européenne d'octobre 2024 comme entreprise essentielle. Cela représente un coût pour nous, certes marginal, car nous avions déjà toutes nos certifications Anssi, mais surtout un changement culturel important. Nous devrons en effet garantir que tout nouveau service de sécurité que nous lançons soit conforme à NIS 2, ce qui nécessite un investissement important. Mais cette évolution nous semble positive, car elle consolide notre réputation.
C'est aussi une opportunité pour nous. Avec NIS 2, de plus en plus d'entreprises seront concernées par cette double complexité et nous devons investir ce marché très rapidement, en accompagnant ces entreprises par de nouveaux services.
Sur la transposition elle-même, je suis moins préoccupé que mes collègues, car j'y vois pour nous de nouvelles opportunités. Mais le diable peut se cacher dans le détail des décrets d'application, et il reste des questions sur les processus de remontée d'incidents, les certifications et les qualifications. N'est-ce pas l'occasion de les simplifier et d'avoir des parallèles de conformité ? L'Anssi aura un rôle majeur à jouer dans la rédaction de ces décrets.
M. Alexis Caurette, vice-président stratégie cybersécurité du groupe Thales. -Je suis chargé de la stratégie des activités de services en cybersécurité et des offres associées au niveau du groupe.
Nous sommes à la fois éditeur de logiciels et constructeur de solutions de cybersécurité pour protéger ces derniers. Nous accompagnons aussi plus globalement nos clients dans la gestion de leur risque cyber en développant des services de security operations center, c'est-à-dire des services de détection et de réponse aux attaques, partout en Europe.
Nous nous concentrons plus spécialement sur l'accompagnement des grands groupes et des opérateurs d'importance vitale du secteur bancaire.
Comme vous l'avez rappelé, monsieur le rapporteur, le nombre d'entités régulées va passer de 500 à 15 000 avec la directive NIS 2. La cybersécurité va dépasser le cadre des systèmes d'information sensibles pour évoluer vers une notion de résilience à grande échelle. La marche à gravir sera importante, et il nous semble fondamental d'accompagner le déploiement de ces normes européennes par une politique industrielle claire de cybersécurité axée sur le développement d'offres capacitaires suffisantes pour permettre aux entités essentielles et importantes de se mettre en conformité avec NIS 2 et de rehausser leur niveau de maturité et de résilience cyber.
Face à cette forte croissance du périmètre couvert, avec des acteurs qui n'auront pas forcément toutes les capacités pour monter en compétences, le risque est réel de voir émerger des offres low cost, qui permettront de cocher la case « conformité », mais sans réalité opérationnelle derrière.
La mise en oeuvre de la loi de programmation militaire a contribué au développement d'une politique industrielle autour des schémas de qualification de services. Ces schémas ont permis d'accroître le niveau d'exigence, non seulement vis-à-vis des OIV, mais surtout vis-à-vis des offreurs. Il est important de prendre cela en compte, et de réfléchir à la mise en place d'une politique industrielle qui permette la construction d'une offre répondant aux besoins. Ce ne sera certes pas l'offre qui a été développée avec la loi de programmation militaire - le cadre est probablement trop contraignant, les enjeux liés à la sécurité tenant plus de la souveraineté que de la résilience -, mais il faut une politique qui garantisse une offre de qualité, tout en permettant agilité et compétitivité.
Il nous semble donc fondamental d'associer, à la fois, les nouveaux régulés et les acteurs de l'offre dans la réflexion sur cette politique industrielle, sur les nouveaux labels ou schémas de certification qui permettraient d'encourager la mise sur le marché d'offres de bonne qualité, dans un contexte où l'on s'attend à une accélération très forte de la demande.
Cette politique industrielle pourrait être associée à un soutien au financement ou développement d'offres spécifiques, de cadres - ou frameworks - de mise en conformité. Le déploiement de solutions autour de l'intelligence artificielle (IA) pour la cybersécurité permettrait également d'accompagner la mise à l'échelle. Enfin, se posent des questions de formation des donneurs d'ordre et des opérateurs.
Je veux par ailleurs revenir sur le sujet des remontées d'incidents qui a été mentionné, avec des exigences en termes de délais et de niveau de sécurité. Sur ce volet, il s'agit bien, avec la transposition de la directive, d'améliorer la vision qu'ont les États et la Commission européenne de l'état de la menace, pour anticiper d'éventuelles crises cyber majeures. Il me semble néanmoins que la boucle descendante n'est pas suffisamment modélisée et mise en avant : faire remonter l'information, c'est bien, mais ce sont les acteurs exposés au risque et à la menace qui en ont besoin ; or il y a peu de clarification sur la façon dont l'information redescend.
Nous considérons le traitement de cet aspect relativement faible dans les textes. Le partage d'information devrait être renforcé, avec le développement d'une offre de renseignement d'intérêt cyber - ou Cyber Threat Intelligence dans le jargon américain - qui serait mise à la disposition des entités essentielles et importantes, mais que celles-ci pourraient également actionner. Aujourd'hui, un certain nombre d'informations, qui concernent notamment le contexte de la menace - écosystème des acteurs malveillants, modes opératoires, etc. -, circulent peu, alors qu'elles sont fondamentales pour améliorer la résistance et la résilience des entités intermédiaires.
S'agissant du risque de surtransposition, notons qu'il y aussi de la sous-transposition à certains endroits du texte. L'enjeu pour nous, c'est celui de la compétitivité : il ne faut pas qu'une surtransposition vienne compromettre l'accès des entités régulées aux marchés européens. L'hétérogénéité entre réglementations nationales que créent les surtranspositions ou sous-transpositions nous posent également des problèmes, car en tant qu'acteur de la cybersécurité français à vocation européenne, nous cherchons à exploiter les offres que nous avons développées sur l'ensemble du territoire européen.
Enfin, sur le périmètre et l'inclusion des collectivités territoriales, je donnerai plutôt un avis personnel : les enjeux en termes d'expositions cyber sont tels pour ces organisations, avec des risques économiques, mais aussi des risques sur l'image du service public, qu'il me paraît indispensable de les accompagner dans leur montée en maturité.
M. Patrick Chaize, rapporteur. - Ce que je souhaite précisément savoir, c'est si des points essentiels du texte du Gouvernement vous paraissent déjà relever de la surtransposition ou de la sous-transposition. Je ne vous demande pas de me les citer maintenant, mais il serait très intéressant pour nous d'avoir une réponse écrite de votre part sur ce sujet.
M. Patrick Guyonneau. - Les sujets clés sont la définition des incidents - nous sommes un peu dans le flou sur ce point - et les délais pour signaler ces incidents. Nous sommes trois groupes mondiaux autour de la table : est-ce, par exemple, le siège qui doit déclarer ? À ce stade, il est écrit qu'il faut remonter n'importe quel incident dans une filiale européenne à Paris, en vue d'une déclaration à l'Anssi. Cela a-t-il vraiment du sens ?
M. Olivier Cadic, président. - Et c'est sans parler du retour de l'information... C'est pourquoi, comme l'a indiqué Patrick Chaize, nous souhaitons connaître vos frustrations ou les limites que vous constatez. Vos propos rejoignent complètement certains commentaires entendus lors d'auditions d'experts de l'écosystème, et vous venez en réalité conforter une préoccupation que nous avons depuis le début. Notre objectif est bien que ce texte serve à aider les entités à mieux se défendre, non à leur compliquer la vie.
Avant de passer la parole à mes collègues, je veux porter à votre connaissance les questions de l'un de nos rapporteurs, Hugues Saury.
Celui-ci souhaite tout d'abord savoir si le choix du Gouvernement de confier à une autorité unique, sauf exception pour la défense, la mise en oeuvre de la politique gouvernementale en matière de sécurité des systèmes d'information vous paraît pertinent.
Il s'interroge également sur le regard que vous portez aux définitions inscrites à l'article 1er du projet de loi : activité d'importance vitale ; infrastructure critique ; point d'importance vitale et système d'information d'importance vitale. Au cours de précédentes auditions, plusieurs personnes ont regretté l'absence de définition des notions d'incident et de vulnérabilité, notamment d'origine humaine. Hugues Saury souhaitait vous interroger sur ce point précis, mais je crois que le constat est unanime...
Mme Audrey Linkenheld. - Ma question, certes un peu décalée, me permet néanmoins de rebondir sur certains propos concernant la sécurisation du cloud. Nous le savons, la plupart des grands acteurs de ce domaine ne sont pas européens, mais c'est aussi vrai pour les prestataires. C'est un des points d'alerte que nous avions identifiés, avec ma collègue Catherine Morin-Desailly, lors d'un travail sur une proposition de résolution européenne relative à la cyber réserve. J'ai conscience que le projet de loi traite plutôt de la prévention en amont, mais, considérant qu'une cybermenace peut se transformer en cyberattaque, peut-on profiter de votre présence pour évoquer l'aval ? Pouvez-vous nous éclairer sur la question des prestataires en cas d'intervention à mener ? Des éléments viennent-ils vous conforter ou vous fragiliser dans le texte que nous examinons ?
M. Michaël Barthellemy. - Je peux vous confirmer l'existence de la cyber réserve, puisque j'en fais partie à titre personnel. Cela étant dit, nous avons déjà monté des groupes d'entraide au sein de la filière, ces groupes ayant vocation à aider un acteur qui en aurait besoin. Cette avancée a été permise par la mise en oeuvre de la loi de programmation militaire, dont le but était tout de même d'accroître le niveau global de résilience cyber. Le projet de loi, dans sa rédaction actuelle, semble aller en sens inverse, en formulant une demande assez forte de démonstration de preuve. Cela peut être contre-productif sur le plan de l'efficacité économique. En effet, tout l'argent que les entreprises mettront à démontrer qu'elles sont conformes, elles ne l'emploieront pas autrement.
Cela rejoint la question de l'Anssi. Oui, nous souhaitons que l'Agence soit le point, non unique, mais central. Depuis que celle-ci est montée en compétences, tout fonctionne beaucoup mieux.
L'écosystème doit être bipartite : l'État, d'un côté, et les différents intervenants privés ou publics, de l'autre. Tous doivent se mettre d'accord sur les preuves attendues et les groupes d'intervention auxquels on pourra faire appel en cas de sinistre. Pour donner un exemple, Airbus a réfléchi à la façon dont on pouvait, au niveau de l'assurance cyber, travailler en filière : de la sorte, un risque systémique qui surviendrait sur la filière bancaire serait moins susceptible d'affecter la filière industrielle, laquelle pourrait alors venir en aide à la première.
M. Olivier Bonnet de Paillerets. - Si j'ai bien compris, madame la sénatrice, vous évoquez la réserve de l'Union européenne. Celle-ci soulève un dilemme : peut-on accepter que des sociétés de services non européennes en fassent partie ? La bonne équation, selon moi, est de faire en sorte que les entreprises de l'Union européenne soient primus inter pares dans l'intervention, avec la possibilité d'être accompagnées par des sous-traitants non européens.
S'agissant de l'Anssi, la maturité face au numérique progresse moins vite que le numérique lui-même, qui s'impose dans les organisations. C'est pourquoi, pour ma part, je préfère que l'on sous-transpose, à condition que l'on renforce dans le même temps le rôle de l'Anssi.
M. Alexis Caurette. - Nous sommes en train de parler de sécurité et de résilience d'organisations qui n'ont pas forcément un enjeu en termes de souveraineté. La question est de savoir si, pour ces organisations, il est possible de sécuriser correctement des charges déployées dans des clouds qui peuvent être parfois globaux. Je le pense, mais cela doit s'accompagner des bonnes solutions et du bon niveau de maturité. La transposition de la directive NIS2 sous-tend une approche par le risque : il n'y a pas de raison de penser que nous serions incapables de mener des analyses de risques au niveau de l'entité, indépendamment de l'origine du cloud, et de déployer les bonnes mesures de protection.
Sur la cyber réserve européenne, il y a un enjeu autour du maintien de capacités locales dans chaque pays. En effet, les capacités régaliennes sont considérées comme étant d'abord au service de la résilience de l'État ; quant à la participation à une résilience européenne, elle incombera aux entreprises privées... Malheureusement, nous sommes actuellement en sous-capacité de réponse à un incident cyber en Europe. On ne peut donc pas faire l'économie de se tourner vers quelques acteurs pertinents. Mais je suis tout à fait d'accord avec Olivier Bonnet de Paillerets, il faut que la coordination ne relève que d'entreprises européennes car nous ne savons pas dire, aujourd'hui, d'où viendront les attaques.
La question de la surtransposition ou de la sous-transposition dépendra aussi des décrets d'application qui, j'imagine, seront sectoriels. C'est là toute la complexité du sujet. Nous sommes à la croisée des chemins entre l'expertise cyber et l'expertise de chaque secteur. Qu'une entité unique soit garante du respect du processus de transposition et de son homogénéité est une bonne chose, mais il faudra s'assurer que l'Anssi, par le biais de collaborations ou de ressources propres, dispose de l'expertise sectorielle nécessaire pour pouvoir prendre en compte les enjeux spécifiques des différents marchés.
Mme Michelle Gréaume. - Comment les entreprises de cyberdéfense comptent-elles collaborer avec le nouveau régiment de cyberdéfense de l'armée de terre et quelles actions sont mises en oeuvre pour assurer la défense des intérêts français ?
Par ailleurs, quels efforts de formation pourraient être engagés par vos entreprises ? Dans le domaine de la cyberdéfense, quel objectif de formation comptent-elles atteindre ?
Mme Vanina Paoli-Gagin. - On sent bien qu'une approche systémique est nécessaire, dès lors que notre objectif est la robustesse du dispositif dans son ensemble. Envisagez-vous la possibilité d'une coconstruction public-privé des cahiers des charges qui prédétermineront les offres, ou d'une mise à disposition de « patrons » ? Les collectivités locales ne disposent pas nécessairement d'acheteurs publics capables de concevoir de telles offres.
M. Michaël Barthellemy. - La collaboration avec « l'arme cyber » se fait non pas de manière directe, mais au travers de l'Anssi. Nous communiquons des analyses de menaces et examinons les indicateurs de compromission que nous avons pu trouver.
En ce qui concerne la formation, on constate que de plus en plus de cursus sont mis en place. Nous aurons, demain, des wagons de professionnels, mais il faudra réussir à les garder chez nous, car - il ne faut pas se voiler la face - ceux qui sont extrêmement bons partent à l'étranger...
En ce qui concerne les offres groupées, l'analyse des différentes réglementations au niveau européen montre que nous devons gérer 3 500 contraintes... Si nous pouvions avoir demain une offre « tamponnée » par l'Anssi - elle validerait qu'une solution répond à une majorité des contraintes prévues dans les différentes lois -, nous ferions un grand pas en avant !
M. Olivier Bonnet de Paillerets. - Le monde de l'entreprise et celui de l'État ne se connaissent pas encore suffisamment, en particulier dans le domaine numérique, alors qu'ils sont confrontés à des enjeux communs en matière de souveraineté et d'innovation. Il nous faut recréer, imaginer ou développer d'autres formes de partenariats.
J'étais déjà très favorable aux partenariats lorsque j'étais commandant de la cyberdéfense au ministère des armées, je le suis encore plus maintenant que je travaille dans le monde de l'entreprise. Nous avons, par exemple, créé un cadre d'échanges entre des officiers qui viennent pendant trois ans au sein d'Orange Cyberdefense et des ingénieurs d'Orange qui partent travailler dans les armées, afin que chacun s'imprègne de la culture de l'autre. Ces petits pas me semblent essentiels pour la connaissance mutuelle.
Nous portons une attention particulière aux collectivités locales parce que la descente dans le bas de marché et au niveau territorial de l'offre cyber est de plus en plus critique. On se doit de proposer aujourd'hui des services « sur étagère », très faciles d'accès, qu'on appelle « plug and play », permettant à des non-initiés de disposer immédiatement de services cyber. Cela nécessite que nous nous rapprochions davantage des collectivités.
M. Patrick Guyonneau. - Le groupe Orange compte 250 à 300 réservistes ; nous avons des conventions avec les armées pour organiser leur disponibilité. Pendant les jeux Olympiques, nous avons mis à la disposition des forces de la gendarmerie un certain nombre de spécialistes cyber. Ce dispositif est intéressant, car il permet un échange de cultures, et des échanges opérationnels en fonction des besoins.
Dans l'une des versions du projet de loi, un article portait sur les opérateurs soumis à l'application du code des marchés publics. Il serait intéressant que cet article permette de promouvoir les services proposés par des entreprises nationales. Quand il s'agit d'analyses de risques d'une université qui fait de la recherche, je ne comprends pas que l'on fasse un marché ouvert ! Des critères extrafinanciers peuvent également être mis en place : par exemple, le prestataire accueille-t-il des réservistes ? Car mettre un certain nombre de spécialistes à disposition au travers de la réserve fait partie de notre contribution à l'oeuvre commune de défense.
Nous avions fait, dans le cadre de la filière des industries de sécurité, des offres d'expertise et de renforts de sécurité qui avaient très bien fonctionné pour les hôpitaux, en 2021-2022 dans le cadre de France 2030. Nous attendons la relance de cette filière, avec des offres non seulement pour les systèmes de santé, qui sont fortement soumis à des cyberattaques, mais aussi pour les collectivités locales.
M. Olivier Bonnet de Paillerets. - Nous sommes en train de modifier nos formations pour sortir du mode « les experts parlent aux experts » et former les cadres dirigeants, les « C-Level », à la question cyber et à la gestion de crise, notamment dans les comités exécutifs (comex). Nous pouvons encore faire des gains de maturité extrêmement importants, qui permettent depuis le haut de faire descendre et d'infuser une compréhension des contraintes et des enjeux de cybersécurité.
M. Alexis Caurette. - Les grands groupes tels que les nôtres ont pratiquement tous développé des filières internes de formation à la cyber. J'ai observé cette tendance, à la fois, dans de grands groupes offrant des solutions cyber, mais également dans le domaine bancaire, l'industrie et le domaine énergétique : cela s'expliquait par un manque de formations disponibles sur le marché. Aujourd'hui, les propositions de formation initiale se sont étoffées, avec des écoles diplômantes en cybersécurité ou des cursus d'ingénieur spécialisés cyber. Le nombre d'ingénieurs, d'apprentis et de stagiaires sur le marché a crû, ce qui est une bonne nouvelle.
Ce qui manque, c'est la formation du management à un niveau plus élevé et l'acculturation au risque cyber dans les filières de formation continue. Selon moi, ce n'est pas aux industriels de la cyber de proposer ce niveau de formation, mais à la filière de la formation de s'adapter à cet enjeu. Des directives comme NIS 2 auront forcément un impact sur la demande, en raison des responsabilités importantes que devront assumer les cadres dirigeants.
La coconstruction public-privé d'offres et de solutions va de pair avec les sujets de politique industrielle que j'évoquais tout à l'heure. Se pose la question de la labellisation des offres, afin d'aider les nouveaux régulés à choisir des solutions en toute confiance quand ils n'ont pas forcément le bon niveau de maturité pour le faire.
La bonne nouvelle est que nous disposons de tous les vecteurs en France pour travailler sur les sujets. M. Guyonneau a mentionné le Comité de la filière industrielle de sécurité. Nous avons des fédérations professionnelles, comme l'Alliance pour la confiance numérique, qui sont des cadres d'échange pour les industriels et les offreurs : elles leur permettent de gérer les contraintes de compétition pour codévelopper des offres et des solutions.
L'ensemble des acteurs qui sont autour de la table aujourd'hui sont heureux, me semble-t-il, de participer à ces discussions.
M. Rémi Cardon. - Je serais curieux de connaître le coût d'investissement ou de fonctionnement - je ne sais pas comment vous le classez, car cela relève un peu des deux. Notre enjeu, c'est de convaincre de faire la bascule, et pour cela il est essentiel de disposer des chiffres clés. Il serait donc utile d'avoir une étude qualitative sur cet enjeu.
La directive doit être déclinée dans son pays, mais encore faut-il regarder les études d'impact. Certains d'entre vous se sont plaints du coût et de la concurrence déloyale. Comme vous disposez de plusieurs années d'ancienneté sur les enjeux cyber, avez-vous réfléchi à la question ? J'imagine que vous l'avez fait en interne, et le sujet est peut-être confidentiel.
Mme Catherine Morin-Desailly. - J'ai été sensible à la remarque consistant à dire qu'il était important que, concomitamment à cette nouvelle législation, une véritable politique industrielle soit mise en place. À quel niveau cette politique peut-elle être instaurée ? Faut-il profiter de la mise à jour, prévue pour 2026, de la stratégie Décennie numérique, laquelle est largement insuffisante ?
Il faudrait prendre de nouvelles orientations et financer des solutions d'intelligence artificielle pour la cybersécurité et le quantique. Comment articuler cela avec les politiques nationales ?
M. Alexis Caurette. - Le sujet du cadre de l'exécution d'une politique industrielle est compliqué : on peut passer par différents véhicules. Je reste persuadé que l'Anssi peut s'occuper d'établir un recueil des besoins et d'émettre une feuille de route. L'Agence dispose de la liste des services et produits nécessaires pour accompagner l'exécution de la loi de programmation militaire : elle déploie des schémas de certification et de qualification des offres qui répondent à ces besoins. Nous avons un niveau d'exigence important du fait des enjeux de résilience de la Nation et de souveraineté, ce qui présente un risque de surcoût. Il faut trouver un moyen de « tamponner » les offres avec un visa de sécurité plus facile à atteindre, tout en garantissant la confiance et un bon niveau d'agilité.
Le risque derrière les offres qualifiées, c'est que, avec ce tampon, l'offre soit figée dans le temps jusqu'à son renouvellement. Dans la cybersécurité, il s'agit d'un réel problème ! Il faudrait disposer de modèles permettant d'avoir confiance dans les acteurs du conseil ou de la détection d'attaques sans leur imposer de tamponner une offre à un instant T et les empêcher de la faire évoluer dans le temps au risque de perdre leur tampon.
Sur le coût, je relayerai une remarque de Vincent Strubel, qui disait être étonné de voir des offres de conformité NIS 2 apparaître sur le marché du conseil alors qu'il n'avait pas encore travaillé sur les décrets d'application... Le coût de la mise en conformité dépendra des différents secteurs touchés et de ces décrets.
En tant qu'industriels, cela fait partie de nos politiques de produit que d'investir dans des offres et les développer. En ce qui concerne les entités régulées, quel sera, en fonction de leur point de départ, l'écart avec la conformité NIS 2 ? Pour les entreprises ou les organisations qui n'ont jamais rien fait, la marche sera haute ; d'autres, en revanche, ont déjà un certain niveau de maturité et d'éducation : elles devront peut-être adapter leur approche, mais le surcoût sera marginal.
Il est donc difficile de répondre à la question. Pour Vincent Strubel, le ticket d'entrée pour une entreprise de taille intermédiaire, qui n'aurait entrepris aucune démarche, est estimé à 200 000 euros.
M. Patrick Guyonneau. - En tant qu'OIV, nous avons des systèmes d'information d'importance vitale (SIIV), qui coûte 30 % plus cher qu'un système d'information (SI) normal, en raison des coûts de conception, de la maintenance dans de strictes conditions de sécurité et des coûts de supervision spécifiques parce qu'il faut un système de cloisonnement pour les logs.
Il faut que le SI régulé soit vraiment restreint aux entités importantes ou vitales. Les applications d'Orange pour le territoire national sont au nombre de 9 000, et nous avons quelques dizaines de SIIV - et le surcoût est déjà immense. La définition du périmètre est donc très importante : tout le monde ne peut se voir imposer les mêmes conditions de sécurité.
En ce qui concerne la politique industrielle, le comité stratégique de filière est aujourd'hui un peu endormi.
Mme Catherine Morin-Desailly. - Il faut le réveiller !
M. Patrick Guyonneau. - Plusieurs ministres doivent signer le contrat de filière.
M. Michaël Barthellemy. - La cybersécurité représente à peu près 10 % du coût d'un système d'information. Il ne faut pas se leurrer : chaque augmentation du niveau de sécurité se traduit soit par une hausse de l'enveloppe globale, au détriment de l'efficacité de l'entreprise, soit par une mise de côté de certaines exigences- la conformité n'est alors pas assurée.
Une flopée de consultants vous expliqueront les règles auxquelles il faut se conformer et celles qui se négocient. Il n'est pas étonnant qu'ils soient dès à présent un certain nombre sur le marché parce qu'ils regardent déjà comment biaiser par rapport à une loi qui n'est pas encore adoptée...
Les industriels, eux, vont demander à chacun de leurs fournisseurs dans leur chaîne d'approvisionnement d'apporter la preuve qu'ils se sont mis en conformité avec NIS 2. Pour être plus efficace, il faudrait qu'un organe puisse valider le niveau de conformité.
M. Olivier Cadic, président. - J'ai demandé à l'intelligence artificielle quel était le meilleur endroit en Europe pour être conforme à NIS 2 : j'ai obtenu une explication sur l'ISO 27000, et sur le fait qu'en la matière la Belgique était le pays le plus avancé aujourd'hui.
Pour le législateur, il est insupportable d'entendre que l'on doive s'en remettre à l'administration pour prendre un décret et nous dire comment les choses vont se passer. Car c'est nous qui sommes responsables devant les électeurs. Le bureau de notre commission spéciale prendra position sur la question, mais on ne peut pas s'en remettre à un organisme qui n'est pas soumis à un contrôle pour décider à quelle sauce nous allons être mangés...
Nous savons ce qu'il faut faire pour être conforme à NIS 2 puisque nous sommes allés à Bruxelles, où nous avons eu la réponse : il faut obtenir la norme ISO 27000 par un auditeur validé. Nous avons demandé à M. Strubel si un tel système serait accepté en France, et la réponse a été négative. Cela étant, un organisme qui obtient sa conformité NIS 2 en Belgique pourra intervenir sur notre territoire. Tout cela crée du trouble, et nécessite des clarifications.
Mes chers collègues, nous en avons terminé avec notre cycle d'auditions publiques.
Nous aurons ainsi pu, à notre niveau, contribuer à l'information des professionnels et du grand public avec : deux auditions de responsables publics - M. Vincent Strubel, directeur général de l'Anssi et Mme Clara Chappaz, ministre déléguée à l'intelligence artificielle et au numérique - ; et cinq tables rondes qui auront réuni les organisations professionnelles, des représentants des entreprises cyber, les associations d'élus, et aujourd'hui les autorités de régulation financière et trois grands acteurs de la cyberdéfense.
La réunion est close à 17 h 00.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.