Résilience des infrastructures critiques et renforcement de la cybersécurité (Procédure accélérée)
M. le président. - L'ordre du jour appelle la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. La procédure accélérée a été engagée sur ce texte.
Discussion générale
Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique . - Ce projet de loi vise à renforcer la sécurité et la résilience des structures indispensables au fonctionnement de la nation. C'est l'aboutissement d'un travail au long cours, sur la base des travaux du Sénat, qui fait de la France une nation à la pointe de la cybersécurité.
Je salue le travail de votre commission spéciale, en particulier de son président et de ses rapporteurs. Il y a six semaines, je disais devant elle que le renforcement de notre sécurité n'était plus un sujet technique, mais un enjeu géopolitique. Je n'imaginais pas à quelle vitesse l'actualité nous rattraperait.
Le 3 mars dernier, devant l'Assemblée nationale, le Premier ministre qualifiait la situation internationale de la plus grave, la plus dangereuse depuis la fin de la Seconde Guerre mondiale. Le 5 mars, le Président de la République alertait les Français sur les ingérences étrangères qui testent nos limites dans les airs, les mers, dans l'espace et derrière nos écrans. Les tensions géopolitiques affectent directement notre sécurité numérique.
Les crises à répétition nous invitent à muscler notre capacité d'anticipation et de réaction. La semaine dernière, le Conseil européen du numérique a été entièrement consacré à la cybersécurité : les Vingt-Sept ont signé l'appel de Varsovie, pour renforcer notre collaboration. C'est un moment charnière, dans lequel ce projet de loi prend tout son sens.
Nous ne partons pas de zéro. La France a depuis 2006 un dispositif de protection des secteurs d'activité vitale ; dès 2016, l'Union européenne a adopté la directive NIS 1 (Network and Information Security). Mais la menace a évolué et peut frapper n'importe qui, n'importe où, n'importe quand.
J'ai vu combien les soignants de l'hôpital André-Mignot demeuraient marqués par la cyberattaque du 23 décembre 2022. Comment ne pas l'être, quand le taux de mortalité augmente de 30 % en cas de cyberattaque ? J'ai constaté la menace lors de ma visite de la chambre de commerce de Lille, attaquée l'an dernier, et au conseil départemental du Loiret, il y a une semaine. Le degré de préparation fait toute la différence.
Nul n'est à l'abri. Réutiliser papier et crayon, ne pas pouvoir éditer de factures, payer ses salariés, fournir le service ou l'aide nécessaire à un public vulnérable : autant de situations contre lesquelles nous devons nous prémunir. Je salue la résilience et le sens du collectif des équipes que j'ai rencontrées : l'État est à leurs côtés.
Les chiffres sont sans équivoque. L'Agence nationale de la sécurité des systèmes d'information (Anssi) fait état de 4 386 événements de sécurité l'année dernière, soit plus de douze par jour, en hausse de 15 % par rapport à 2023. Ces attaques frappent désormais l'ensemble du tissu économique et social : hôpitaux, collectivités, PME, TPE. Six sur dix concernent des petites structures. Cela n'arrive pas qu'aux autres ! Il ne s'agit plus de savoir si une organisation sera attaquée, mais quand.
Destiné à apporter une réponse forte, ce texte est organisé autour de trois axes.
Le titre Ier transpose la directive sur la résilience des entités critiques, dite REC. La France a été précurseur avec le dispositif des secteurs d'activité d'importance vitale (SAIV) : nous devons renforcer leur capacité à anticiper, résister, récupérer. Le projet de loi modernise, harmonise, prévoit une analyse des risques plus précise, une meilleure gestion des interdépendances, et permet de couvrir davantage de secteurs, dont l'assainissement, les réseaux de chaleur et de froid et l'hydrogène.
Le titre II transpose la directive NIS 2, pour un changement d'échelle, vers une cybersécurité collective. Quelque 15 000 entités stratégiques sont concernées, dans dix-huit secteurs d'activité. La menace est diffuse. Quatre principes guident notre action : concertation, proportionnalité, simplification et accompagnement. NIS 2 distingue les entités importantes des entités essentielles, soumises à des exigences plus strictes et à des contrôles accrus.
Nous avons choisi d'inclure 1 500 collectivités à NIS 2, car elles sont la cible d'une attaque sur quatre, selon l'Anssi. Elles n'encourront pas les mêmes sanctions financières, et nous veillerons à ce qu'elles s'adaptent progressivement à leurs nouvelles obligations : pendant trois ans, seuls des contrôles blancs, à visée éducative, s'appliqueront.
Le titre III renforce la résilience du secteur financier en transposant la directive Dora (Digital Operational Resilience Act). Les banques et institutions financières sont toujours plus exposées au risque de cyberattaque. Selon le FMI, elles auraient subi plus de 20 000 incidents en vingt ans, et une perte de 25 milliards d'euros entre 2020 et 2024.
La France a négocié Dora en veillant à sa bonne articulation avec NIS 2. La transposition y veille également. Je souhaite que les sociétés de financement y soient assujetties immédiatement, et non dans un délai de cinq ans. Nous devons les protéger au plus vite.
Votre commission spéciale a rendu le texte plus intelligible, en définissant notamment la notion d'incident et en améliorant l'harmonisation avec les autres pays de l'Union européenne : l'Anssi pourra ainsi opérer des équivalences avec les référentiels d'autres pays membres. Il s'agit pour nous de maintenir un haut niveau de protection sans compromettre la compétitivité de nos entreprises.
J'entends les objections faites à ce texte : coûts de mise en conformité, complexité administrative, nouvelles normes... Mais le coût d'une cyberattaque réussie est très supérieur à celui de la mise en conformité et des mesures de protection !
Rationaliser et harmoniser les pratiques en Europe sert en outre notre compétitivité, en évitant la fragmentation réglementaire.
Enfin, ce texte contribue au développement de solutions technologiques nationales et européennes et d'un écosystème industriel innovant, créateur de valeur et d'emplois.
Des retours du terrain, je retiens trois enseignements. Premièrement, ce texte doit être un outil de valorisation, par la création d'un label ad hoc. L'Anssi y travaille. Il permettra de faire valoir la résilience cyber non comme une contrainte mais comme un atout concurrentiel.
Deuxièmement, les entreprises et les collectivités doivent être accompagnées dans leurs nouvelles obligations. Je m'y attache, avec l'Anssi, la gendarmerie, les fédérations patronales et les associations.
Troisièmement, le secteur cyber français doit être capable de capter des parts de marché.
Ce projet de loi est une réponse nécessaire à une menace croissante. Notre pays doit être à la pointe dans ce secteur stratégique.
Ce texte doit aussi être l'occasion de sensibiliser le grand public. La première protection, c'est la pédagogie. Nous devons lever le tabou qui trop souvent entoure les cyberattaques.
Nul doute que nos débats aboutiront à un texte simple, efficace, utile à la sécurité des Français.
M. Hugues Saury, rapporteur de la commission spéciale . - (Applaudissements sur les travées du groupe Les Républicains) Le titre Ier du projet de loi transpose en droit français la directive REC, qui s'inspire en grande partie du dispositif français en vigueur depuis 2006, qu'il s'agit donc d'actualiser. Elle acte toutefois le passage d'une logique de protection des infrastructures d'importance vitale à une logique de résilience. On ne pourra jamais se protéger contre toutes les menaces ; l'enjeu est d'assurer la continuité des activités essentielles pour le pays.
Je note quelques différences entre le texte proposé et la directive. Les opérateurs exerçant dans le domaine de la défense ou de la sécurité nationale sont intégrés dans le champ de la transposition, ce qui n'était pas prévu par la directive. La réalisation d'une analyse des dépendances à l'égard des tiers n'y figure pas non plus. Les opérateurs devront réaliser un plan de protection et de résilience pour chaque point d'importance vitale, quand la directive ne prévoit de plans qu'à l'échelle de l'opérateur. Autant d'adaptations pertinentes au regard de l'objectif.
Les autres obligations introduites par le texte - élaboration d'un plan de résilience opérateur, notification des incidents, sanctions administratives - sont conformes à la directive.
La commission spéciale a adopté plusieurs amendements à l'article 1er pour définir les notions d'incident et de résilience, pour préciser la date à partir de laquelle s'applique une astreinte en cas de mise en demeure, pour fixer à vingt-quatre heures le délai de notification d'un incident ou encore pour renforcer les garanties d'indépendance de la commission des sanctions.
Au titre II, la commission a adopté deux amendements à l'article 6 précisant les notions d'incident et de vulnérabilité, absentes du projet de loi alors qu'elles figurent dans NIS 2.
Beaucoup reste à faire, notamment pour l'application concrète des dispositions du texte et leur déclinaison au niveau réglementaire. Madame la ministre, nous veillerons à ce que les services de l'État ne surtransposent pas et accompagnent efficacement les opérateurs.
M. Patrick Chaize, rapporteur de la commission spéciale . - La menace cyber a changé de nature. Alors qu'elle visait surtout les grandes entreprises, à des fins d'espionnage industriel, et était souvent d'origine étatique, elle est devenue systémique, émane de groupes cybercriminels à but lucratif et cible désormais l'ensemble du tissu économique et social.
Selon l'Anssi, sur 144 attaques par rançongiciel en 2024, 37 % visaient des PME-TPE, 17 % des collectivités territoriales, 4 % des établissements de santé et 12 % des établissements d'enseignement supérieur. Les conséquences peuvent être particulièrement pénalisantes, provoquer des faillites voire mettre des vies en danger. Leur coût est estimé en 2022 à 2 milliards d'euros. En parallèle, la menace étatique demeure élevée, dans un contexte géopolitique perturbé.
Le projet de loi transpose fidèlement cette directive qui opère un changement de paradigme, en évitant l'écueil de la surtransposition.
Il a fait entrer dans le champ des entités régulées les régions, départements, communautés urbaines, communautés d'agglomération, communautés de communes et communes de plus de 30 000 habitants. Cela aura un coût. Ces 1 500 collectivités devront être accompagnées, mais rehausser leur niveau de cybersécurité est une nécessité.
Le choix a également été fait d'inclure les établissements d'enseignement menant des activités de recherche, après les attaques cyber subies par Paris-Saclay et Panthéon-Sorbonne en 2024.
Les amendements de la commission ont insisté sur la nécessaire proportionnalité des mesures de cybersécurité imposées par le référentiel de l'Anssi aux entités régulées. Il faudra tenir compte de la taille de l'entité, de son exposition aux risques, de leur probabilité de survenance et de leur gravité pour ne pas imposer d'obligations excessives et trop coûteuses. Nous avons limité le paiement des contrôles par les entités et encadré les sanctions les plus lourdes.
L'Anssi devra se mobiliser fortement pour faire connaître et comprendre les nouvelles obligations prévues par la réglementation. Ni contrôle ni sanction pendant la période de montée en puissance ! (Applaudissements sur les travées du groupe Les Républicains)
M. Michel Canévet, rapporteur de la commission spéciale . - (Applaudissements au banc des commissions) Le titre III transpose la directive Dora. Le secteur financier est en effet une cible de choix. Le niveau élevé d'interconnexion constitue une vulnérabilité systémique, du fait du risque de propagation des incidents de l'une des 22 000 entités à l'ensemble du système. Selon la Banque de France, le risque cyber est supérieur au risque de marché et au risque climatique.
Le texte précise les obligations qui s'imposent aux acteurs financiers en matière de résilience opérationnelle et numérique, de gouvernance et de gestion des risques. Il détermine aussi le rôle et les pouvoirs de l'Autorité des marchés financiers (AMF), de l'Autorité de contrôle prudentiel et de résolution (ACPR), de la Banque de France et de l'Anssi, qui doivent se communiquer tout renseignement utile.
La commission a adopté plusieurs amendements visant à simplifier la vie des entreprises, en fusionnant notamment les dispositifs de déclaration des incidents et en créant, à l'article 43 A, un guichet unique pour respecter l'article 19 de Dora.
M. André Reichardt. - Très bien !
M. Michel Canévet, rapporteur. - Je proposerai que ce rôle soit assumé par l'AMF. Le texte de la commission prévoit également que Dora s'applique aux succursales d'investissement de pays tiers, et reporte à 2030 l'application à l'ensemble des sociétés de financements. Pour les sociétés de financement « petites et non complexes », je vous présenterai un amendement appliquant un principe de proportionnalité. (Applaudissements sur quelques travées du groupe Les Républicains ; M. Olivier Cadic applaudit également.)
Mme Vanina Paoli-Gagin . - Au début du mois, le secrétaire américain à la défense, Pete Hegseth, a ordonné la suspension des opérations cyber concernant la Russie. Cela s'inscrit dans le processus de rapprochement mené par l'administration Trump pour concéder la victoire à Poutine...
Depuis l'invasion de l'Ukraine, le 24 février 2022, une guerre de haute intensité est en cours. À l'heure de la trahison de Trump, les troupes russes accélèrent. Quelque 2 000 kilomètres nous séparent de Kiev, mais ce conflit nous touche de près. Faux cercueils sous la tour Eiffel, étoiles de David taguées dans Paris pour influencer l'opinion, les exemples d'ingérence sont nombreux. Avec l'intelligence artificielle, l'infiltration de nos narratifs, comme le révèle NewsGuard, va s'intensifier.
Sans l'avoir déclarée, la Russie mène une guerre contre notre pays, nos intérêts, jusque sur notre territoire. Le Kremlin encourage la pègre à lancer contre nous des attaques cyber, quand il ne le fait pas lui-même. Le réseau interministériel de l'État a été visé, puis plusieurs sites du Gouvernement, la Sorbonne, l'université de Rennes, La Poste, des sites de région, entre autres. Les attaques contre des hôpitaux peuvent, par ricochet, entraîner des morts.
Vu la place centrale qu'occupe le numérique dans nos sociétés, la protection des réseaux devient vitale.
La France et l'Europe doivent réagir pour défendre leurs concitoyens, c'est le sens de l'adoption des directives REC, NIS 2 et Dora. Plusieurs niveaux de priorité ont été définis, avec différents régimes de protection. Il s'agit d'une mise à jour et d'une harmonisation. Veillons à ne pas céder à la tentation de la surtransposition, pour ne pas nuire à la compétitivité des acteurs. Je me serais contentée de l'application de la seule norme ISO 27001, pour un vrai choc de simplification, et pour éviter le forum shopping intra-communautaire...
Les sanctions prévues par le texte pour défaut de mise en oeuvre seront sans doute rares, les acteurs concernés ayant un intérêt direct à assurer leur propre sécurité. Elles sont toutefois indispensables.
Ce texte technique ne fera sans doute pas la une, mais il est d'une importance capitale. De sa bonne mise en oeuvre dépend la sécurité de nos entreprises, de nos collectivités, de nos services publics, et de nos concitoyens. Ce cadre devra être réévalué régulièrement.
Mais la réglementation ne suffira pas. Une réelle sécurité implique la souveraineté. Or la plupart de nos infrastructures et outils sont conçus aux États-Unis et fabriqués en Chine. Les Européens disent qu'ils ne peuvent plus dépendre des États-Unis pour leur armement - mais le numérique n'est-il pas la reine des armes, voire l'arme fatale ? À l'heure où les Européens n'ont plus d'autres amis qu'eux-mêmes, il est grand temps de bâtir une industrie numérique et logicielle, civile comme militaire. Les rapports Draghi et Letta nous montrent la voie.
L'industrie européenne devra respecter une logique de rentabilité. Mais la souveraineté et la liberté, notre liberté chérie, ont un prix. (MM. André Reichardt et Guillaume Chevrollier applaudissent.)
Mme Patricia Demas . - (Applaudissements sur les travées du groupe Les Républicains) Je salue le travail des rapporteurs.
Je souhaite que l'on se saisisse de cette opportunité pour aller plus loin dans la protection de nos infrastructures numériques, devenues indispensables à la continuité des services essentiels de la nation.
La reconnaissance et la protection renforcée des infrastructures de réseau de communication électronique - fibre optique, antennes-relais de téléphonie mobile - sont cruciales. Il faudrait clarifier leur statut au sein même du code de la défense, et les reconnaître comme activités d'importance vitale, soumises à obligations de sécurité renforcées, en distinguant les infrastructures en fonction de leur criticité et de l'impact potentiel sur les citoyens en cas de défaillance ou d'attaque.
Il faut définir des exigences de sécurité spécifiques et adaptées à ces infrastructures numériques vitales, autour de trois dimensions : sécurité physique ; sécurité logique pour protéger les systèmes d'information ; sécurité environnementale, trop souvent négligée.
Enfin, il faudrait renforcer et clarifier les obligations qui pèsent sur les opérateurs concernés, en les précisant dans la loi. Elles ne doivent pas rester lettre morte.
La tempête Alex qui a frappé les Alpes-Maritimes en 2020 a mis en lumière nos vulnérabilités, coupant du monde de nombreuses personnes privées d'internet et de communications mobiles, paralysant l'activité, fragilisant les territoires. C'est dire l'importance de renforcer la résilience des infrastructures face aux aléas climatiques comme face aux actes de malveillance, afin de garantir la continuité des services essentiels.
Les exigences nouvelles transposées dans ce projet de loi sont un défi pour nos collectivités territoriales. La transposition de la directive NIS 2 étendra ces obligations aux plus petits EPCI, comme les communautés de communes, qui ne disposent pas forcément des moyens humains et financiers nécessaires pour s'y conformer. Le parcours cybersécurité du plan France Relance a démontré l'importance d'un accompagnement dédié, mais ce dispositif n'a bénéficié qu'à certaines intercommunalités. Un accompagnement spécifique de l'État sera clé pour atteindre les objectifs du projet de loi. (Applaudissements sur les travées du groupe Les Républicains)
M. André Reichardt. - Très bien.
Mme Nicole Duranton . - Félicitations au président et aux rapporteurs pour leur travail.
La France est confrontée à des menaces croissantes dans le domaine numérique. Dans un contexte géopolitique et sécuritaire dégradé, les infrastructures critiques peuvent être ciblées par des actions malveillantes visant tant les installations physiques que les systèmes d'information. Un tiers des Français a déjà été victime d'une cyberattaque et trois quarts des entreprises ont subi au moins une attaque cyber en 2024. Ces attaques ne se limitent pas aux personnes ou aux entreprises privées : hôpitaux, collectivités territoriales, écoles ou sites institutionnels sont des cibles vulnérables. Une perturbation de nos infrastructures critiques dans les secteurs de l'énergie, des transports ou de la santé peut avoir des conséquences désastreuses.
Le projet de loi vise à mieux nous prémunir contre cette menace et à renforcer la résilience des entités critiques, en transposant trois directives.
En transposant la directive REC, le projet de loi élargit le nombre de secteurs concernés, prend en compte l'interdépendance entre secteurs et entre États membres, et impose la notification des incidents majeurs. Les infrastructures devront adopter des mesures spécifiques pour assurer la continuité de leurs services, dans une logique de résilience.
La directive NIS 2 établit des exigences de cybersécurité pour les secteurs essentiels. Les entités concernées devront s'enregistrer auprès d'une autorité nationale, notifier les incidents et mettre en oeuvre des mesures adaptées de gestion des risques.
La directive Dora garantit quant à elle que le secteur financier continue à fonctionner même en cas de perturbation majeure, en renforçant la protection des données des clients et le rôle des autorités de surveillance notamment.
Ces trois directives constituent une réponse européenne coordonnée aux menaces croissantes qui pèsent sur nos infrastructures critiques. Il est primordial de les transposer au plus vite.
Toutefois, nous devrons accompagner les collectivités territoriales, notamment les EPCI qui n'ont pas toujours les moyens de se mettre en conformité. Le RDPI plaide pour un accompagnement financier et technique de l'État, et pour dispenser les collectivités des sanctions pécuniaires en cas de manquement.
Inutile de rappeler les méthodes employées par certains pays, comme la Russie, pour déstabiliser des pays européens et influer sur leurs processus démocratiques. Nous devons cesser d'être naïfs et coordonner nos réponses avec nos alliés européens. L'État doit être fort et souverain : il en va de la confiance de nos entreprises et de nos concitoyens.
Le numérique améliore notre quotidien, mais le progrès s'accompagne de nouvelles menaces. Nous devons choisir entre les subir ou s'en prémunir. Ce projet de loi apporte une réponse ambitieuse et nécessaire à ce défi. Le groupe RDPI votera ce texte.
M. Bernard Fialaire . - Corbeil-Essonnes, Charleville-Mézières, Dax, Arles, Villefranche-sur-Saône, Cannes : quelques communes dont les hôpitaux ont été la cible de cyberattaques. Les conséquences sont dramatiques et paralysent les établissements qui en sont victimes. Les données volées peuvent être vendues ou utilisées pour des usurpations d'identité.
Il est essentiel de se prémunir contre ces risques.
La directive REC élargit le cadre juridique à onze secteurs d'activité, contre deux actuellement en France. Elle dote les opérateurs du marché intérieur de standards de sécurité communs tout en préservant la concurrence.
Ce projet de loi ambitionne de sécuriser les 500 infrastructures critiques et d'assurer la résilience des 1 500 entités dites essentielles ou importantes face aux risques de cyberattaques.
Enfin, le texte renforce la résilience opérationnelle du secteur financier européen. Il prévoit l'obligation de mettre en place des cadres complets de gouvernance des risques et impose des normes strictes de protection des données des clients.
L'Anssi pourra prononcer des sanctions allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires.
Infliger des sanctions financières aux collectivités territoriales ne paraît pas pertinent, alors que 73 % des petites et moyennes collectivités ne peuvent consacrer plus de 5 000 euros par an à l'informatique et à la sécurité des systèmes. Nous proposerons de les exonérer de sanctions en cas de manquement et de privilégier l'accompagnement, la formation et le soutien technique. Le RDSE proposera également de réduire l'astreinte de 5 000 à 100 euros par jour et d'exonérer de financement d'audits les administrations, les collectivités et les établissements publics administratifs, pour ne pas compromettre leur équilibre budgétaire.
Enfin, il est préférable de laisser un délai de cinq ans pour la mise en oeuvre des nouvelles règles.
Ce texte est nécessaire, mais les obstacles sont multiples : manque de ressources humaines, de moyens financiers, méconnaissance des réglementations. Nous devons veiller à ce que les obligations soient proportionnées, et à ce que les collectivités soient accompagnées par l'État. Le RDSE sera vigilant.
M. Olivier Cadic . - (M. Michel Canévet applaudit.) En tant que président de la commission spéciale, je remercie ses membres et tout particulièrement Catherine Morin-Desailly, qui avait présidé la commission spéciale sur le projet de loi visant à sécuriser et réguler l'espace numérique. Je souscris aux constats des rapporteurs qui ont fait évoluer le texte dans le bon sens - merci, madame la ministre, de l'avoir souligné. Je salue aussi le travail des membres de la commission spéciale. Je remercie l'Alliance pour la confiance numérique, le CyberCercle, la CyberTaskForce, dont l'expertise a nourri nos réflexions.
Des amendements ont été déposés en vue de la séance pour que le Gouvernement clarifie certains points.
La transposition de NIS 2 devait intervenir avant le 17 octobre 2024. Dissolution, censure, le texte a surmonté les péripéties politiques. Madame la ministre, vous aurez été un heureux élément de continuité !
En tant que rapporteur sur les crédits de l'Anssi depuis 2017, je m'attache à sensibiliser sur le sujet de la cybersécurité. En 2023, les cyberattaques ont coûté près de 90 milliards d'euros à l'économie française. J'ai souhaité une large diffusion publique des auditions de la commission spéciale, pour que nos concitoyens prennent conscience de la menace. L'objectif premier n'est pas d'empêcher les cyberattaques qui ne feront que s'accentuer. Il y a ceux qui ont été attaqués, et ceux qui le sont mais ne le savent pas encore !
M. André Reichardt. - Et ceux qui le seront !
M. Olivier Cadic. - L'objectif est d'être plus résilient et de pouvoir vite redémarrer après une cyberattaque
Bien que l'Anssi ait conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, avec onze associations d'élus et quatre fédérations de collectivités territoriales, et malgré une étude d'impact de 900 pages, les personnes auditionnées ont déploré un manque d'information et de concertation, notamment sur le volet réglementaire. Second paradoxe : la crainte qu'une sous-transposition législative de certaines dispositions des directives - notamment sur le périmètre d'activité, la notion d'incident ou les délais - n'engendre une surtransposition réglementaire. J'ai eu le sentiment que l'on donnait parfois carte blanche à l'administration, sans que le législateur n'ait son mot à dire.
La commission spéciale a fait plusieurs recommandations à l'intention du Gouvernement : veiller à la proportionnalité des entités assujetties, simplifier les mesures d'application, se garder de toute surtransposition réglementaire et accompagner les collectivités en tenant compte des problèmes de compétences et de financement.
Ce texte ne peut être qu'un catalogue de mesures ; il doit porter une vision positive de l'élévation du niveau de cybersécurité.
Au niveau européen, la non-harmonisation se traduirait par un risque de distorsion de concurrence. Une entreprise respectant la norme ISO 27001 en Belgique est considérée comme conforme à la directive NIS 2. En France, selon l'Anssi, ce n'est pas le cas. Vous nous annoncez un label national, cela promet... L'application des mesures ne peut être laissée à la seule discrétion d'une agence qui ne rend aucun compte. Il faut élever au niveau politique le pilotage du projet de loi.
Enfin, par l'amendement n°1, je veux éviter aux fournisseurs de services de chiffrement la possibilité de prévoir des brèches de sécurité, ou backdoors. Notre compétitivité est en jeu.
Votre avis, madame la ministre, sera très suivi. Notre travail n'est pas terminé avec le vote de ce soir ; il doit être accepté par tous. Cela dépendra de la qualité du dispositif qui mettra en oeuvre le texte.
Le groupe UC votera pour. (Applaudissements sur les travées du groupe UC)
Mme Michelle Gréaume . - (Applaudissements sur les travées du groupe CRCE-K, ainsi que sur quelques travées du groupe SER) Il y a des décennies où rien ne se passe, et des semaines où le temps s'accélère. Le monde s'embrase. La cybersécurité est un enjeu stratégique qui irrigue la société, les institutions, l'économie.
Ce texte, en deçà des enjeux, est le produit d'une doctrine politique qui s'est résignée à la dépendance, et qui préfère la résilience à la souveraineté, l'adaptation à la maîtrise et la soumission au capitalisme numérique mondialisé plutôt que la reconquête de nos capacités industrielles et technologiques.
Notre dépendance technologique au cloud et aux logiciels américains n'a jamais été aussi grande. Pourtant, nous avons su développer des câbles sous-marins avec des entrepreneurs nationaux. L'ADSL et la carte Vitale sont le fruit de l'industrie nationale. Mais les gouvernements successifs ont fait le choix de la désindustrialisation, de la disparition de Thomson ou d'Alcatel. Ommic, fleuron français des semi-conducteurs, et le domaine spatial ont été vendus. Le Gouvernement délaisse Atos. Les laboratoires de recherche de France Télécom ont été balayés. Nous avons manqué le tournant du cloud computing et sommes désormais soumis aux sociétés étrangères.
La France importe près de 20 milliards d'euros de technologie chaque année. Loin d'être un acteur de la révolution numérique, nous en sommes devenus des consommateurs passifs, prisonniers de systèmes d'exploitation et de cloud extraterritoriaux.
Le texte est le résultat de cet abandon. Il traduit une stratégie orientée vers l'aval de la chaîne de valeur, via les nouvelles obligations de reporting ou la surveillance de prestataires technologiques critiques, sans que le coût pour les collectivités et les entreprises ne soit évalué.
Mme Cécile Cukierman. - Très bien !
Mme Michelle Gréaume. - Dans certaines régions, les ressources humaines sont rares. Nous craignons des hausses de prix, mal anticipées par le Gouvernement.
Nous subissons les conséquences de choix d'externalisation des compétences et de plateformisation de l'action publique.
Ce texte, hélas, n'enrayera pas la concentration de ressources critiques entre les mains d'entreprises extra-européennes. Or cela conditionne l'autonomie stratégique des États et leurs capacités industrielles.
Nous émettons les réserves les plus vives quant à la méthode du Gouvernement...
M. le président. - Merci, chère collègue.
Mme Cécile Cukierman. - Elle termine !
Mme Michelle Gréaume. - ... qui renvoie trop d'éléments à des décrets.
L'enjeu reste celui de l'émancipation technologique ou économique face aux grandes plateformes numériques et aux multinationales. (Applaudissements sur les travées du groupe CRCE-K)
Mme Cécile Cukierman. - Très bien !
M. Akli Mellouli . - (Applaudissements sur les travées du GEST) Dans un contexte de nouvelles tensions et de guerre hybride, face aux cybermenaces, nous devons nous prononcer sur la transposition de ces trois directives qui protégeront nos collectivités territoriales et entités critiques. Cette transposition est indispensable, mais nous devons nous interroger sur les moyens et l'accompagnement des entités.
La transposition de la directive REC protégera des activités critiques. Il s'agit de se rapprocher de l'objectif de résilience des infrastructures d'importance vitale en l'étendant à de nombreux secteurs, comme la santé publique et l'environnement. Le projet de loi inclut des structures industrielles ou installations publiques dont le dysfonctionnement aurait des conséquences graves sur les citoyens et l'économie.
Les inquiétudes dont nous ont fait part les plus petites structures sont réelles. Les collectivités territoriales feront face à des charges lourdes.
La transposition de Dora protégera efficacement les entités financières.
Concernant NIS 2, directive ambitieuse, nous nous interrogeons sur sa mise en oeuvre. Les collectivités territoriales sont aussi vulnérables, en témoignent les cyberattaques nombreuses ciblant nos mairies et nos hôpitaux. La transposition de NIS 2 prévoit d'inclure 1 500 collectivités territoriales et 15 000 entités.
Mais quels sont les moyens à la disposition des acteurs concernés ? La mise en conformité aura un coût de 2 milliards d'euros, dont 690 millions d'euros par an pour les collectivités territoriales. Nous regrettons l'absence d'un plan d'accompagnement des acteurs.
Enfin, nous déplorons les sanctions financières importantes, alors que les collectivités territoriales sont financièrement fragiles.
Notre groupe proposera par voie d'amendement des exonérations pour les collectivités, leurs groupements et leurs établissements. Nous aurions aimé une autre approche que celle de la sanction financière, avec un véritable plan national d'accompagnement.
Ce projet de loi est nécessaire et apporte des avancées. Il répond aux enjeux vitaux de la cybersécurité. Néanmoins, les circonstances budgétaires ne permettent pas aux acteurs concernés d'amorcer cette réflexion sereinement. Les petites collectivités ne peuvent être laissées seules face aux cybermenaces.
Le GEST votera pour ce projet de loi, même s'il aurait préféré aller plus loin, vers une stratégie européenne. (Applaudissements sur les travées du GEST)
Mme Audrey Linkenheld . - (Applaudissements sur les travées du groupe SER) Du 1er au 3 avril, Lille accueillera le forum international de la cybersécurité (FIC). C'est dire si l'enjeu cyber est bien identifié dans cette ville. Pourtant, en mars 2023, elle a subi une attaque pour un coût d'environ 2 millions d'euros. Certes, aucune donnée n'a été perdue, mais le fonctionnement habituel de la collectivité a été perturbé.
Une collectivité sur dix déclare avoir subi une attaque dans les douze derniers mois, d'après le baromètre paru à l'occasion du dernier salon des maires. La menace est systémique.
La législation européenne tente de s'adapter à cette menace croissante, par une meilleure coordination notamment entre les États membres. Mais prenons garde à ce que cet enchaînement de textes européens ne complexifie pas le système. Attention aussi aux coûts !
Les directives opèrent un changement d'échelle. Pas moins de 1 500 collectivités territoriales deviennent des entités essentielles. Le défi est de taille pour ces structures, publiques et privées. Il leur faut mieux se protéger.
Cependant, le retard collectif en la matière ne sera pas facile à rattraper. La forte tension dans les métiers cyber comme les coûts en infrastructure, formation et mise en conformité peuvent être lourds à supporter.
La plupart des amendements du groupe SER ont trait à une montée en puissance progressive et concertée du projet de loi, avec un accompagnement. C'est sa condition d'acceptabilité première.
Ce texte comporte des contrôles et des sanctions. Or l'enjeu cyber ne peut être vécu comme punitif. Oui, la menace est réelle, mais rien ne serait pire que des blocages dus à trop de sanctions et pas assez d'explications.
Nous souhaitons vivement que la stratégie nationale cyber soit complétée par un plan d'accompagnement local, par exemple. Nous proposons aussi de réfléchir à un crédit d'impôt, déjà défendu en 2021 par Rémi Cardon et Sébastien Meurant.
L'adoption de mesures visant à améliorer notre cyber-résilience et notre cybersécurité est indispensable. Le groupe SER votera les principales dispositions que ce texte transpose, mais veillera aux conditions effectives de leur mise en oeuvre et aux moyens financiers. (Applaudissements sur les travées du groupe SER)
Mme Marta de Cidrac . - (Applaudissements sur les travées du groupe Les Républicains) Je félicite les rapporteurs pour leur travail sur cet enjeu crucial.
La directive REC modernise notre approche en passant d'une logique de protection à une approche de résilience. La directive NIS 2 élargit le périmètre des entités concernées. La directive Dora protège le secteur financier contre le risque cyber.
Ce texte prend toute son importance au regard de la montée en puissance des cyberattaques, notamment des rançongiciels. Nul n'est à l'abri. Comme le montrent les rapporteurs, en un an, les attaques ont bondi de 30 %, avec des conséquences économiques et sociales considérables.
L'hôpital Mignot, dans les Yvelines, que vous avez visité fin février, madame la ministre, est resté paralysé pendant des mois. Ces attaques sont des atteintes à notre souveraineté et à notre résilience nationales.
Je salue la vigilance des rapporteurs à ne pas surtransposer les directives européennes. Je forme le voeu que l'examen en séance publique suive une dynamique similaire.
Mais ce texte soulève des interrogations et appelle à des engagements clairs du Gouvernement.
La mise en oeuvre des obligations transposées pèsera notamment sur les plus petites entreprises. Un cadre clair et réaliste doit être définitif, et un accompagnement financier et technique assuré.
Il faudra aussi répondre aux questions de coordination et de contrôle. L'Anssi verra en effet ses responsabilités considérablement élargies. Sera-t-elle prête à assurer ce rôle élargi de supervision ?
L'examen du texte devra aborder certains points essentiels, comme le renforcement de l'accompagnement des acteurs privés et publics.
Nous devons légiférer vite. Le temps nous est compté. La transposition de certaines directives, notamment NIS 2, est déjà en retard. Mais ne confondons pas vitesse et précipitation. La réussite du texte dépendra des mesures concrètes d'accompagnement mises en oeuvre par le Gouvernement. Une sous-transposition législative ne doit pas conduire à une surtransposition réglementaire.
Protéger nos infrastructures critiques et renforcer la cybersécurité, ce n'est pas seulement une obligation légale, mais un impératif de souveraineté pour notre pays. (Applaudissements sur les travées du groupe Les Républicains)
M. Mickaël Vallet . - (Applaudissements sur les travées du groupe SER) Il est sept heures du matin quelque part en France lorsqu'un dysfonctionnement touche une installation d'eau potable. Le service n'est pas rétabli aussitôt, la panne s'aggrave, en quelques heures les réservoirs sont vides. Dans les hôpitaux, les industries, on rationne la consommation. Les populations paniquent. Le pire, c'est qu'il s'agit d'une défaillance technique aggravée par un manque de planification, d'anticipation et donc de résilience.
Cette situation est parfaitement vraisemblable. Et ce texte intervient comme une évidence.
Le tragique de l'histoire imposée à l'Ukraine a mis en lumière la vulnérabilité des infrastructures critiques.
La transposition de la directive REC ne fait que tirer les conséquences d'une réalité incontestable : la vulnérabilité croissante de nos infrastructures essentielles dans un monde où les crises deviennent la norme. Nous avons vu des collectivités tétanisées, des entreprises stratégiques paralysées par les rançongiciels. Nos infrastructures critiques sont devenues des cibles. Les yeux des gouvernants se dessillent enfin face aux menaces des impérialismes russe et chinois, mais aussi américain.
Le texte utilise la transposition pour opérer des révisions de politique publique. Nous ne sommes plus dans une logique de protection statique des infrastructures, mais dans une approche dynamique de la résilience.
La multiplication par cinq du nombre d'opérateurs d'importance vitale témoigne de la nécessité d'une vigilance accrue.
Les sénateurs socialistes ont amélioré le texte en commission. Nous examinerons le projet de loi dans ce même esprit de responsabilité. (Applaudissements sur les travées du groupe SER)
Mme Catherine Belrhiti . - (Applaudissements sur les travées du groupe Les Républicains) Ce texte est d'une importance capitale. Les menaces numériques se multiplient, nous devons doter les entités essentielles des moyens de se protéger. Préserver nos intérêts fondamentaux demande un engagement sans faille.
Chaque semaine, les cyberattaques rappellent la vulnérabilité de nos systèmes d'information. Des hôpitaux ont été paralysés, des collectivités territoriales prises en otage par des rançongiciels. Des entreprises clés de notre base industrielle et technologique de défense (BITD) ont été ciblées.
Les conséquences sont désastreuses. La France subit une pression constante dans son cyberespace. L'année 2024 voit une augmentation de 15 % des incidents portés à la connaissance de l'Anssi.
Je salue l'avis du Conseil d'État du 6 juin 2024 sur le présent projet de loi, qui nous éclaire notamment sur son champ d'application.
Ce projet de loi prévoit une meilleure identification des entités essentielles, une responsabilisation accrue des dirigeants, des sanctions plus importantes en cas de manquement aux obligations de cybersécurité, entre autres. Cela demande des moyens adaptés et une coordination efficace entre l'État, les collectivités et les entreprises.
Ce texte va plus loin que la transposition, puisqu'il élargit dans son article 62 le champ de compétence de la résilience numérique au secteur financier. Ce choix cohérent va dans le sens de notre protection.
L'Anssi, qui joue un rôle central, verra ses pouvoirs renforcés. Mais avec quels moyens ?
Les obligations imposées par le texte ne doivent pas devenir un fardeau insurmontable pour les entreprises. La cybersécurité doit être considérée non comme une contrainte, mais comme un investissement stratégique. À nous d'accompagner les petites collectivités et les PME.
L'État doit jouer son rôle, en mettant les ressources nécessaires à disposition des communes ; mais les entreprises et les collectivités territoriales ont aussi un rôle essentiel à jouer.
Ce projet de loi, que je vous invite à adopter, est une étape vers une France plus résiliente face au défi numérique.