Texte intégral
M. le président. L'ordre du jour appelle la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (projet n° 33, texte de la commission n° 394, rapport n° 393).
La procédure accélérée a été engagée sur ce texte.
Dans la discussion générale, la parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique. Monsieur le président, monsieur le président de la commission spéciale, messieurs les rapporteurs, mesdames, messieurs les sénateurs, nous sommes réunis dans cet hémicycle pour examiner en première lecture le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Son objectif est clair : accroître la sécurité et la résilience de structures indispensables à la vie de notre nation.
Le présent texte est l'aboutissement d'un travail au long cours, alimenté notamment par le Sénat. L'ensemble de ces initiatives contribuent à faire de la France une nation à la pointe de la cybersécurité.
Il y a six semaines, je me présentais devant la commission spéciale constituée par votre assemblée pour examiner ce projet de loi. Je tiens d'ailleurs à saluer le travail accompli par le président de cette commission, M. Olivier Cadic, ainsi que par ses rapporteurs, MM. Hugues Saury, Patrick Chaize et Michel Canévet.
J'affirmais alors que le renforcement de notre sécurité n'était plus un sujet technique, réservé aux experts, mais qu'il s'agissait désormais bel et bien d'un enjeu géopolitique. Je ne pouvais imaginer à quelle vitesse l'actualité nous rattraperait. Nous faisons face à une nouvelle réalité, qui s'impose à nous.
Le 3 mars dernier, devant l'Assemblée nationale, le Premier ministre exprimait sa préoccupation, face à une situation internationale qu'il décrivait comme " la plus grave, la plus déstabilisée et la plus dangereuse […] depuis la fin de la Seconde Guerre mondiale ".
Le surlendemain, dans son allocution relative au conflit en Ukraine, le Président de la République alertait quant à lui les Françaises et les Français face aux ingérences étrangères qui testent nos limites " dans les airs, en mer, dans l'espace et derrière nos écrans ".
Nous sommes directement visés. Les tensions géologiques liées à la guerre en Ukraine, l'évolution des positions américaines ou encore le conflit au Proche-Orient affectent directement notre sécurité numérique. Ces crises à répétition nous imposent une vigilance accrue. Dans un tel contexte, nous devons muscler notre capacité d'anticipation et de réaction.
La semaine dernière, je me rendais en Pologne, pour une réunion du Conseil de l'Union européenne consacrée au numérique. Ce rendez-vous – il s'agissait là d'une première – a été entièrement dédié à la cybersécurité. À cette occasion, les Vingt-Sept ont signé l'appel de Varsovie pour renforcer leur collaboration. Nous vivons à cet égard un moment charnière, dans lequel ce projet de loi prend tout son sens.
Pour autant, nous ne partons pas de zéro.
Dès 2006, la France a fait le choix précurseur de mettre en œuvre un dispositif de protection des secteurs d'activité d'importance vitale (SAIV).
Dès 2016, à l'échelle de l'Union européenne, nous nous sommes dotés d'une première directive Network and Information Security, dite directive NIS 1, qui a établi les bases d'une sécurité renforcée pour les entités essentielles. Mais, depuis, la menace a fortement évolué. Elle peut frapper n'importe qui, n'importe où, n'importe quand. J'ai pu le constater moi-même.
J'ai été particulièrement touchée par mes échanges avec les soignants de l'hôpital André-Mignot, dans les Yvelines. Ces derniers sont encore marqués par les conséquences de la cyberattaque subie à vingt-trois heures, le samedi 3 décembre 2022, il y a maintenant plus de deux ans ; et comment ne pas l'être quand on sait que le taux de mortalité augmente de 30% dans les services hospitaliers en cas de cyberattaque ? C'est une responsabilité que nous ne pouvons plus laisser peser sur nos soignants.
J'ai aussi pu mesurer l'ampleur de cette menace lors de ma visite de la chambre de commerce et d'industrie (CCI) de Lille, attaquée à son tour l'an dernier, suivie par le conseil départemental du Loiret, touché il y a à peine une semaine – M. le rapporteur Saury le confirmera. Nous avons pu constater, dans ce dernier cas, que le degré de préparation en matière cyber faisait toute la différence.
Ces différents exemples nous rappellent que personne n'est à l'abri de telles attaques. Devoir mettre ses services à l'arrêt ; réapprendre à utiliser le papier et le crayon pour nombre de tâches quotidiennes ; ne plus pouvoir éditer de facture ; ne pas pouvoir payer ses salariés ou ses prestataires ; pire encore, ne plus pouvoir fournir le service ou l'aide nécessaire à un public vulnérable ou dans l'urgence : ce sont là autant de situations contre lesquelles nous devons plus que jamais nous prémunir.
Je tiens d'ailleurs à saluer devant vous la résilience et le sens du collectif dont font preuve les équipes que j'ai pu rencontrer. Qu'elles en soient sûres : l'État est à leurs côtés.
À ces observations de terrain répond la froide réalité des chiffres. Le constat est sans équivoque : le nombre de cyberattaques augmente de manière très sensible.
Ce matin même, l'Agence nationale de la sécurité des systèmes d'information (Anssi) dévoilait son Panorama de la cybermenace 2024. Ce document fait état de 4 386 événements de sécurité au cours de l'année 2024, soit plus de douze par jour. En outre, le nombre d'attaques progresse rapidement – il a augmenté de 15% entre 2023 et 2024. Surtout, ces dernières ne visent plus uniquement les grandes entreprises ou les administrations centrales. Elles frappent l'ensemble de notre tissu économique et social – des hôpitaux, des collectivités territoriales, des PME, des TPE, etc. En moyenne, six attaques sur dix touchent désormais de petites structures.
Il ne s'agit donc plus de savoir si telle ou telle organisation sera attaquée, mais quand. Nous devons collectivement sortir de la logique du " cela n'arrive qu'aux autres " et apporter une réponse forte. C'est ce que je vous propose aujourd'hui avec le présent texte.
Ce projet de loi s'organise en trois grands axes correspondant à ses trois titres.
Le titre Ier, sur lequel vous avez plus particulièrement travaillé, monsieur le rapporteur Saury, transpose la directive sur la résilience des entités critiques, dite directive REC.
Comme je l'indiquais, la France a joué un rôle précurseur dans la protection de ces infrastructures, avec le dispositif des secteurs d'activité d'importance vitale. Aujourd'hui, nous devons encore renforcer la capacité desdites entités à anticiper, à résister et à récupérer.
Aussi, cette partie du projet de loi modernise notre dispositif et l'harmonise avec les normes en vigueur chez nos partenaires européens. Elle institue une analyse des risques plus précise, un suivi plus rigoureux et une meilleure gestion des interdépendances. La directive REC permet également de couvrir davantage de secteurs : sont ajoutés à la liste des entités critiques les réseaux d'assainissement, de chaleur, de froid et d'hydrogène.
Le titre II, confié à votre examen, cher rapporteur Chaize, doit nous permettre de changer d'échelle pour construire une cybersécurité collective. À cette fin, il transpose de manière fidèle la directive NIS 2.
Avec NIS 2, 15 000 entités stratégiques relevant de dix-huit secteurs d'activité, parmi lesquels l'eau, l'agroalimentaire et la gestion des déchets, seront désormais concernées.
Parce que la menace n'a jamais été si diffuse, il était essentiel d'élargir le champ des entités couvertes. Nous avons conduit cette évolution en suivant quatre principes : concertation, proportionnalité, simplification et accompagnement.
La directive NIS 2 introduit une distinction claire entre deux types d'entités : d'une part, celles dites importantes, qui représentent 80% des 15 000 entités couvertes, et pour lesquelles les obligations seront centrées sur une bonne hygiène numérique ; de l'autre, celles dites essentielles, qui seront soumises à des exigences de cybersécurité plus strictes et à des contrôles accrus, en amont comme en aval.
Par ailleurs, nous avons fait le choix d'inclure 1 500 collectivités dans le périmètre de NIS 2. C'est un choix assumé, qui s'explique avant tout par le fait que ces dernières sont la cible d'une attaque sur quatre recensée par l'Anssi, et ce dans tous nos territoires.
J'assume tout autant de proposer que ces mêmes collectivités n'encourent pas de sanctions financières, puisqu'elles ne sont ni financées ni assurées dans les mêmes conditions qu'un organisme privé.
Quelle que soit la nature des entités concernées, nous veillerons à ce qu'elles s'adaptent progressivement à leurs nouvelles obligations. C'est la raison pour laquelle nous avons prévu une période de trois ans durant laquelle s'appliqueront uniquement des contrôles blancs, dépourvus de sanctions et réalisés dans une visée éducative.
J'en viens enfin au titre III, monsieur le rapporteur Canévet, dont l'ambition est de renforcer la résilience du secteur financier par le biais de la transposition de la directive du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, dite directive Dora (Digital Operational Resilience Act).
Les banques et les institutions financières sont toujours plus exposées au risque de cyberattaques. Selon le FMI, elles auraient subi plus de 20 000 incidents en vingt ans et connu une perte de 25 milliards d'euros entre 2020 et 2024.
Or, jusqu'au règlement Dora, les établissements financiers devaient s'appuyer sur huit directives différentes pour comprendre les exigences auxquelles elles étaient soumises. La France a négocié Dora en s'assurant de son articulation avec NIS 2. La transposition qui est proposée y veille également.
Par ailleurs, je souhaite que nous assujettissions les sociétés de financement à Dora non pas dans un délai de cinq ans, comme cela est proposé aujourd'hui, mais dès à présent, comme cela était initialement prévu dans le texte du Gouvernement. Nous ne pouvons pas laisser ces sociétés sur le côté ; nous devons les protéger au plus vite.
La commission spéciale, qui s'est réunie la semaine dernière et dont je salue le travail, a fait évoluer le texte dans le bon sens.
Elle a en particulier rendu ce dernier plus intelligible, au travers d'amendements visant notamment à définir la notion d'incident ou à préciser les dix-huit secteurs concernés par les obligations de NIS 2.
Grâce à l'amendement du rapporteur Chaize tendant à permettre à l'Anssi d'opérer des équivalences avec les référentiels des autres pays membres de l'Union européenne, la commission spéciale a également œuvré à une meilleure harmonisation, au bénéfice notamment des entreprises qui opèrent dans plusieurs pays.
Je souhaite m'assurer que cette transposition maintienne un niveau élevé de protection, sans compromettre la compétitivité de nos entreprises vis-à-vis de leurs concurrents, y compris européens.
J'entends les objections qui sont parfois faites à ce texte : coûts financiers de la mise en conformité, normes supplémentaires ou encore complexité administrative.
Nous pouvons aisément y répondre : d'abord, en rappelant que le coût d'une attaque cyber réussie est des dizaines de fois supérieur à celui de la mise en conformité et des mesures de protection ; ensuite, en indiquant que la rationalisation et l'harmonisation des pratiques de cybersécurité en Europe servent bien notre compétitivité, en évitant toute fragmentation réglementaire ; enfin, en soulignant que ce texte doit aussi permettre de supporter le développement de solutions technologiques nationales et européennes au sein d'un écosystème industriel innovant, créateur de valeur et d'emplois.
Des nombreux retours de terrain, je retiens trois enseignements.
Le premier est que ce texte peut être un outil de valorisation si nous l'accompagnons de la création d'un label garantissant la conformité des entreprises et des collectivités aux exigences demandées.
Dans cette perspective, j'ai demandé à l'Anssi de travailler à un modèle de labellisation qui vous sera présenté dans le cadre des débats. Il permettra aux acteurs de faire valoir la résilience cyber non pas comme une contrainte, mais comme une opportunité et un atout concurrentiel.
Le deuxième enseignement est la nécessité, pour les entreprises et les collectivités, d'être guidées dans leurs nouvelles obligations. Je m'y attache, avec l'appui de l'Anssi, de la gendarmerie, de toutes les fédérations patronales et des associations.
Enfin, troisième enseignement, il nous revient de promouvoir et de mettre en avant les solutions industrielles, ainsi que l'écosystème français de la cybersécurité, pour lui permettre de gagner des parts de marché.
Vous l'aurez compris, ce projet de loi est une réponse nécessaire et ambitieuse à la menace croissante qui pèse sur nos infrastructures critiques de toute taille. Il doit nous permettre de franchir une étape importante et de contribuer à placer notre pays à la pointe du secteur stratégique de la cybersécurité.
Ce texte doit aussi être l'occasion de sensibiliser largement le grand public à ce sujet. La première des protections, c'est bien la pédagogie : nous devons tous, à notre niveau, contribuer à lever le tabou qui entoure encore bien trop souvent les cyberattaques.
Je suis convaincue que les débats qui s'ouvrent seront constructifs et permettront d'aboutir à un texte simple et efficace, mais surtout utile à la sécurité des Françaises et des Français.
Source https://www.senat.fr, le 25 mars 2025
