Lire l’article de ZDNet : NIS2 : pourquoi le gros sujet des backdoors bloque la transposition du texte

Extraits :

Un article au cœur du blocage

Dans une conférence de presse organisée au début du mois de février par le sénateur Olivier Cadic et le député Philippe Latombe, respectivement président des commissions spéciales chargées de l’étude du projet de loi au Sénat et à l’Assemblée, les deux parlementaires ont alerté sur le blocage de ce texte jugé essentiel pour la cybersécurité du pays.

Selon eux, l’exécutif rechigne à inscrire le texte à l’ordre du jour de l’Assemblée Nationale en raison d’un article introduit à l’initiative d’Olivier Cadic portant sur la question des portes dérobées. Dans l’article 16bis du texte adopté par le Sénat, le projet prévoit en effet d’interdire “l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques.”

Cette disposition déplaît fortement aux services de renseignement, estiment les parlementaires.

(…)

Effet collatéral

Avec cet article, les parlementaires souhaitent écarter de futures tentatives d’imposer des portes dérobées dans les systèmes de communication, une condition qui leur paraît dans la droite ligne de la stratégie nationale de cybersécurité, qui fait du chiffrement “un socle essentiel.”

Et ce double discours renforce l’incompréhension vis-à-vis du retard. “On ne comprend pas pourquoi les services sont bloqués sur cet amendement, et on comprend d’autant moins que nous n’avons eu aucune discussion officielle avec eux sur le sujet” explique Olivier Cadic.

Lire l’article de NEXT : La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

Extrait :

(Suite à l’introduction de l’article 16 bis dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité)

Initialement introduit et défendu par Olivier Cadic afin d’ « inscrire dans la loi un principe clair de sécurité numérique », et depuis renforcé par un amendement de Philippe Latombe adopté en septembre dernier, il sanctuarise le chiffrement de bout en bout :

« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme ou processus permettant un accès non consenti aux données protégées. »

À l’époque, Olivier Cadic l’avait justifié au motif que « certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques » :

« Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. »

Lire l’article Cybersécurité : l’heure est à l’action (Entreprendre à l’international)

J’ai répondu aux questions suivantes :
. Les attaques de cybersécurité désignent un spectre large…
. Vous dites qu’on voit la paille dans l’œil de son voisin, mais pas la poutre dans le sien…
. Quels sont les pays particulièrement actifs dans le domaine de la cybercriminalité ?
. La cybersécurité est-elle un enjeu européen ? Jusqu’où se fier à nos voisins ?
. Que conseillez-vous aux entreprises au regard de ces menaces ?
. 50 % des PME victimes d’une cyberattaque feraient faillite dans les 12 mois suivants. Comment réagir ?
. Est-ce que l’Europe en fait assez en matière de cybersécurité ?
. Une solidarité internationale totale est-elle vraiment envisageable ?

Le vieux disque des “backdoors”

Et pour cause… « Les backdoors reviennent à espionner les gens et remettent en cause le droit à la vie privée et à la protection des données, affirme le sénateur centriste Olivier Cadic. On est en train de préparer le terrain pour qu’un régime autoritaire s’installe ! »

De quoi péter un câble ! Les portes dérobées affaiblissent aussi la sécurité des applications. Si on décodait une partie des conversations, toutes se retrouveraient fragilisées. Dès lors, les failles pourraient être exploitées par les services de renseignement… mais aussi par des groupes criminels et des États hostiles contre lesquels ils prétendent justement lutter. Un sacré bug !

Pour s’assurer que les ministres régaliens n’essaient pas de revenir par la fenêtre pour imposer des portes dérobées, Cadic avait introduit dans le projet de loi Résilience contre les cyberattaques un amendement les interdisant formellement, et ce avec le soutien du Premier ministre de l’époque, François Bayrou. Dix mois plus tard, le gouvernement refuse d’inscrire à l’ordre du jour de l’Assemblée ce texte, qui transcrit dans le droit français plusieurs directives européennes visant à prévenir les entreprises et les administrations contre les piratages.

En décembre, Matignon a même demandé au sénateur Cadic de jeter son amendement à la corbeille, ce qu’il a refusé de faire. Pour le court-circuiter, le ministère de l’Intérieur songe désormais à faire voter une loi autorisant les backdoors avant l’entrée en vigueur des directives européennes en France…

Ce projet de loi dit « Résilience », pour lequel je préside la commission spéciale, a pourtant été adopté par le Sénat en mars 2025, puis approuvé à l’unanimité en commission spéciale à l’Assemblée nationale en septembre 2025. Toutefois, il n’a jamais été inscrit à l’ordre du jour de l’AN.

Lire l’article Cybersécurité : la France accumule les retards, les hackers accumulent les victimes, déplorent des experts sur le site Epoch Times

Extraits :

Quinze mois. C’est le retard accumulé par la France dans la transposition de la directive NIS2, qui aurait dû être intégrée au droit national avant le 17 octobre 2024. Entre ces deux chiffres, un gouffre temporel que le sénateur Olivier Cadic, président de la Commission spéciale NIS2 au Palais du Luxembourg, synthétise en une formule : « Pour passer une loi, il faut des mois, voire des années. Dans le cyber, certaines attaques se produisent donc en 28 secondes à cinq minutes. »

(…)

« La loi doit poser les cadres généraux. Ensuite, ce sont les professionnels eux-mêmes qui doivent s’emparer de ces principes, s’adapter et sécuriser leurs systèmes en fonction de leur environnement », a plaidé Olivier Cadic. « Si l’on cherche à tout encadrer juridiquement, nous serons constamment en retard, toujours un pas derrière le terrain. » Le vice-président de la commission des Affaires étrangères, de la défense et des forces armées, lui-même ciblé, avec d’autres parlementaires, par une cyberattaque attribuée à des pirates chinois agissant pour le compte de Pékin, se montre particulièrement investi sur les questions de cybersécurité.

Ce programme repose sur trois piliers essentiels : la résilience cyber, l’autonomie d’appréciation et la capacité d’action dans les champs hybrides. Les crédits du SGDSN augmentent de 23 millions d’euros, incluant l’ANSSI, Viginum et l’OSIIC, tandis que ceux dédiés au renseignement progressent légèrement.

Mon exposé a pointé plusieurs préoccupations majeures. L’absence de publication des stratégies nationales de cybersécurité et de lutte contre les manipulations informationnelles, pourtant annoncées depuis un an, demeure inexpliquée.

L’ANSSI, de son côté, ne fournit pas suffisamment de retours d’expérience sur les cyberattaques massives ayant frappé France Travail, la DGFiP ou encore l’Urssaf. J’ai d’ailleurs proposé de lancer une mission flash sur le dernier incident concernant l’Urssaf, après avoir projeté le reportage de France Télévision (lien).

Alerté également sur le retard pris par la France dans la transposition des directives NIS2 et REC, un décalage susceptible d’entraîner une sanction européenne de 50 millions d’euros. S’agissant des ingérences numériques, on observe un contraste entre la capacité d’analyse de Viginum sur des élections à l’étranger et l’insuffisance d’investigations équivalentes lorsque cela se passe sur notre propre territoire.

Pour conclure, j’ai appelé à davantage de transparence, de réactivité et de culture qualité au sein de l’action publique.

Mon intervention s’est articulée autour de plusieurs axes : la stratégie nationale de cybersécurité et la stratégie de lutte contre les manipulations de l’information ; l’organisation nationale du dispositif cyber français en me référant aux Etats-Unis ; certains choix budgétaires de l’ANSSI ; la transposition de NIS2 ; les recommandations du rapport de la Cour des comptes et les mesures concrètes attendues, comme le filtre « anti-arnaque ».

Monsieur le Secrétaire général,

Votre rôle est central dans l’élaboration des stratégies nationales de défense et de sécurité de notre pays.

Après l’actualisation de la Revue nationale stratégique que vous étiez venu nous présenter au printemps dernier, comme notre président l’a rappelé, je me réjouis de vous entendre, cette fois en audition publique, sur les crédits de la coordination de la sécurité et de la défense du programme 129 de « coordination du travail gouvernemental ».

Le grand public ne vous connait pas. Pourtant vos services rendent des services essentiels à la population contre les cyberattaques et les ingérences étrangères ;

je pense évidemment à l’Agence nationale de sécurité des systèmes d’information (ANSSI) pour la cybersécurité, de l’ensemble des organismes d’intérêts vitaux (infrastructures, énergies, transports, etc.), des hôpitaux, des services publics et au sens large de tout le tissu socio-économique ;

et au service VIGINUM de lutte contre les ingérences numériques étrangères qui dévoile des menaces très concrètes orchestrées depuis l’étranger, que M. le chef de service de Viginum vient d’illustrer parfaitement.

D’après les données budgétaires pour 2026 les crédits de paiement de la coordination de la sécurité et de la défense soient confortés (et même en hausse de 6 % à 431 millions d’euros, contre 406,1 M€ en 2025).

On pourrait s’en réjouir, cependant à titre de comparaison, le budget cyber de la seule banque JP Morgan est de 1 milliard de dollars sur un budget IT de 15 milliards de dollars.

J’ai plusieurs questions sur l’utilisation de nos crédits.

– En premier lieu, à la même époque l’an dernier, il nous avait été annoncé pour 2025 d’abord l’actualisation de la stratégie nationale de cybersécurité, ensuite l’élaboration d’une stratégie de lutte contre les manipulations de l’information.
C’était également une demande de notre excellent collègue Rachid Temal en qualité de rapporteur de la commission d’enquête sur les politiques publiques face aux influences étrangères.

Qu’en est-il des stratégies de cybersécurité et de lutte contre les manipulations de l’information ?

Quand seront-elles publiées et a minima communiquées au Parlement ?

Cette question de la stratégie rejoint un constat que nous avons déjà fait sur l’organisation qui apparaît anarchique et inutilement coûteuse : nous avons des points d’entrée avec une multiplication des interlocuteurs institutionnels face aux cyberattaques : ANSSI, cyber-malveillance, les CERT sectoriels (computer emergency response team), et les CSIRT régionaux (computer security incident response team).

À titre de comparaison, aux Etats-Unis, le bureau local du FBI est le seul point d’entrée. Les USA ont unifié l’ensemble du dispositif pour tracer les cyber-attaquants.
On remplit une plainte et le FBI bloque les transactions de paiement des rançons.

Nous pensions que la création du 17Cyber et que le projet de loi Résilience & Cybersécurité allait conduire l’ANSSI à mettre de l’ordre et de la lisibilité sur le rôle des différents acteurs.

Bien au contraire, nous avons appris au cours de nos auditions préparatoires que l’ANSSI avait lancé pendant l’été 2025 un appel à manifestation d‘intérêt (AMI) pour le renforcement de l’accompagnement local aux enjeux de cybersécurité, doté de quelque 7 millions d’euros.

Ces fonds contribuent au financement des CSIRT, alors même que le directeur de l’Anssi avait pris l’engagement en juillet devant le président Philippe Latombe de la commission spéciale à l’AN, de ne plus les financer.

Par contre pour GIP ACyma : rien.

Pourquoi ce revirement et ce dispositif qui ne figurait pas au PLF 2025 ?

Quels sont les résultats attendus qui justifient cette dépense et l’arrivée de nouveaux intervenants ?

Concernant la mise en œuvre du projet de loi relatif à la résilience des entités critiques et au renforcement de la cybersécurité, le Sénat a rempli sa mission.

Il a adopté dès mars dernier, sous ma présidence, un texte modifié en première lecture, qui attend toujours de passer à l’Assemblée nationale…

L’ANSSI n’a toujours pas indiqué en quoi consisterait NIS2 pour les entreprises françaises.

Ne craignez vous pas de mettre nos entreprises en retard ou en danger en faisant planer l’incertitude, voire en ne leur suggérant pas d’être certifiés ISO 27001, pour s’aligner sur nos voisins belges puisque nous parlons d’une directive européenne ?

Pour nos banques qui officient aux Etats-Unis, les attentes du régulateur américain sont supérieures au règlement européen Dora.

À titre d’exemple, pour le Vulnérability Patch Management, le délai de réponse exigé par la FED est d’une semaine.

Il est de 3 mois chez nous.

Comment justifier cette distorsion qui fait courir un risque de responsabilité important à nos établissements financiers vis à vis des autorités américaines ?

Enfin, la cour des comptes a publié un rapport relatif à “La réponse de l’État aux cybermenaces sur les systèmes d’information civils”, dont plusieurs des 11 recommandations rejoignent nos sujets de préoccupation, notamment la nécessité de mettre en place à court terme un observatoire national de la cybermenace, centralisant à l’échelle nationale les données et analyses utiles.

Les vols de données massives chez France Travail, DGFIP, Santé nous inquiètent et révèlent des échecs cuisants pour nos systèmes qui affectent des dizaines de millions de compatriotes.

Quand disposerons-nous de cet observatoire pour suivre concrètement l’efficacité de notre réponse aux attaques cyber ?

Le filtre « anti-arnaque » qui existe dans de nombreux pays a été voté en France en 2024 dans la loi SREN promulguée depuis 18 mois. Nous déplorons 50 800 dépôt de plainte via la plateforme dédiée aux e-escroqueries en 2024. Quand est-ce que le filtre entrera en vigueur ?

Cela fait déjà beaucoup de questions, principalement dans le domaine cyber, et mon collègue Mickaël Vallet pourra les compléter.

Philippe et moi-même présidons chacun la commission spéciale constituée dans nos deux chambres respectives pour assurer l’examen approfondi de ce texte. L’un et l’autre avons contribué à enrichir la réflexion parlementaire grâce à la diversité des points de vue recueillis lors des auditions d’acteurs publics et privés du secteur de la cybersécurité.

Adopté au Sénat et désormais entre les mains de l’Assemblée nationale, ce texte stratégique marque une étape majeure dans la transposition en droit français de trois directives européennes structurantes pour la sécurité numérique (*).

La Roche-sur-Yon, 9/10/2025

À La Roche-sur-Yon comme à Paris, les deux échanges, animés par Bénédicte Pilliet, présidente du CyberCercle, ont permis d’aborder plusieurs sujets essentiels : cohérence des dispositifs, équilibre entre acteurs publics et privés, partage d’informations, sanctions, guichet unique ou encore simplification des obligations.

Face à nous, les représentants d’organisations publiques et privées engagées sur les sujets de confiance et de sécurité numériques ont exprimé une même attente : clarifier et harmoniser les dispositifs, sans ajouter de complexité, afin de renforcer la résilience des organisations face aux menaces numériques et de favoriser une cybersécurité collective.

Dans l’attente de l’examen du texte par l’Assemblée nationale, prévu à la mi-novembre, puis en commission mixte paritaire, les membres du CyberCercle ont été invités à nous adresser leurs souhaits et de leurs attentes à cette étape du processus législatif, à la lumière des travaux du Sénat et des apports de la commission spéciale de l’Assemblée nationale.

Toute ma gratitude à Martin Briens, ambassadeur de France en Italie pour son accueil au palais Farnese et à Fabrice Maïolino (à l’image), consul général de France à Rome, qui m’a accompagné tout au long de ce déplacement.

Diplomatie économique

CCEF – Réunion régionale Europe du sud

Deux jours de réflexion pour augmenter la visibilité des entreprises françaises en Italie.

Dans le majestueux cadre du Palais Farnèse qui accueille l’ambassade de France en Italie, j’ai suivi l’intervention volontariste de Martin Briens, ambassadeur de France. L’ambassadeur décrit l’Europe comme un moteur à explosion qui avance au gré des crises.

La France est le premier investisseur en Italie, 2 ou 3ème client ou fournisseur. Nos structures industrielles sont très complémentaires et lorsque nous observons nos performances respectives en commerce extérieur (excédent de 7 milliards d’euros pour l’Italie et déficit de 80 milliards pour la France), cela devrait nous inciter à rechercher toutes les opportunités de développer notre relation bilatérale.

Marcel Patrignani, président CCEF Italie a rappelé que le comité était présent sur tout le pays et que chaque district économique avait ses secteurs industriels de prédilection.
La section est organisée en trois groupes de travail : attractivité pour aider les entreprises italiennes à s’implanter en France, les accompagnements des VIE et la formation.

Accompagné ensuite de Stella Fau Clarke, présidente CCEF Europe et Emmanuel Montanié, délégué général des CCEF, les trois représentants ont détaillé le fonctionnement du réseau qui réunit 4900 CCEF dans 150 pays.

Merci à Cécile André pour avoir lancé cette invitation à Stockholm et à tous les organisateurs et participants qui ont partagé avec moi leurs regards sur l’évolution des affaires. +d’images

Cybersécurité

Mon intervention devant les CCEF

Très honoré d’avoir été invité par les conseillers du commerce extérieur de la France (CCEF) à m’exprimer, sur les enjeux de cybersécurité et de cyber-résilience, dans le cadre prestigieux du palais Farnese, à la faveur de leur rencontre régionale Europe du Sud.

J’ai évoqué :

1- l’arrivée du 17Cyber depuis le 17/12/24, et notre travail en cours pour permettre le dépôt de plainte en ligne depuis l’étranger, au travers de cette plate-forme.
2- l’action de Viginum pour permettre aux entreprises d’anticiper les actions susceptibles de les déstabiliser.
En matière de menace informationnelle, les entreprises et acteurs économiques peuvent être ciblés par les principaux modes opératoires suivants :
•⁠ ⁠Le raid numérique
•⁠ ⁠L’incitation à conduire des actions dans le champ physique
•⁠ ⁠L’usurpation d’identité d’entreprise
3 – Projet de loi Résilience & Cybersécurité pour transposer 3 directives européennes (NIS2, DORA, REC)
4 – L’Artificial Intelligence Act (AI Act) encadre l’utilisation et le développement de l’intelligence artificielle dans l’UE. L’Union européenne a créé le premier cadre juridique global au monde dédié à l’IA.

Merci aux organisateurs de m’avoir offert l’opportunité de partager les défis et nos progrès en matière de cyber. +d’images

Agence nationale pour la Cybersécurité (ACN)

Visite de l’Agence nationale pour la Cybersécurité (ACN), pour un entretien avec Massimo Marotti, directeur général pour la stratégie et la coopération internationale, qui avait participé à la Paris Cyber Week, l’an passé.

L’ACN est une jeune agence indépendante, qui relève du Conseil italien. Sa forme et ses missions sont semblables à celles de l’ANSSI, avec laquelle une coopération très étroite et modèle a été établie.

336 personnes collaborent au sein de l’ACN. Ils devraient être 500 fin 2025.

L’Italie fait partie des premiers pays européens à avoir mis en œuvre la directive NIS2. Le décret d’application date du 4 septembre 2024. 22 000 entreprises sont déjà enregistrées sur la plateforme des entreprises concernées par la loi.

Si la loi est destinée à élever le niveau de résilience des entreprises en cyber, Massimo s’interroge avec pertinence sur la signification du mot “résilience”. À partir du moment où “augmenter la résilience” est un objectif de la loi, il convient en effet de connaître les indicateurs qui nous permettent de mesurer nos progrès. +d’images

Communauté française

Réunion avec les élus

Le consulat général de France à Rome réunit la partie Centre et Sud de l’Italie et compte 16500 inscrits (Rome 10500 ; Florence 3500 et Naples 2500), tandis que la partie Nord, qui relève du consulat général de Milan, compte 18000 inscrits.

À l’invitation de Fabrice Maïolino, consul général de France à Rome, j’ai eu un entretien privilégié avec deux des cinq conseillers des Français de l’étranger de Rome qui ont pu se rendre disponibles.

Carole de Blesson est une élue qui s’est engagée en faveur de l’associatif au sein de Rome Accueil et qui organise des réunions sur les problèmes de la vie quotidienne.
Olivier Lebel, retraité très actif dans le soutien aux start-ups, est devenu conseiller des Français de l’étranger en février 2024. Il est également suppléant de Caroline Yadan, députée de la circonscription.

Les deux élus ont fait part de la vive préoccupation de nos compatriotes retraités qui se sont trouvés redressés de fortes sommes par le fisc italien. Un article du Figaro de février 2025 intitulé “L’Italie, le nouvel eldorado des exilés fiscaux français” est susceptible d’entraîner nos compatriotes dans de graves difficultés. Nos élus rappellent que l’Italie impose les revenus à des taux bien plus élevés que la France. Elle applique également des impôts sur le patrimoine immobilier et mobilier situés à l’étranger.

Pour éviter les déconvenues, le consulat général et les élus organisent régulièrement des conférences avec des experts comptables et fiscaux.

Un grand merci au consul général et à nos deux élus pour leur mobilisation.

Enseignement

Lycée international Chateaubriand

Constitué de trois sites, Strohl-Fern, Malpighi et Patrizi, l’établissement scolarise 1500 élèves de la petite section de maternelle jusqu’à la terminale.

En 2023, le lycée a célébré son 120e anniversaire. À cette occasion, une campagne de travaux d’une durée de 10 ans a été menée pour améliorer la qualité d’accueil et les infrastructures de l’établissement.

Accueilli en compagnie de Fabrice Maïolino, consul général de France, par le proviseur adjoint, Christophe Chades, j’ai découvert les aménagements réalisés depuis mon précédent déplacement.

Situé sur le site de la Villa Strohl-Fern, le bâtiment historique « Casone » a été entièrement rénové. Les nouvelles salles de classe sont plus spacieuses. Le bâtiment « Moresco » a également fait l’objet d’une restructuration complète.

La visite a été suivie de deux réunions dans la médiathèque, avec les représentants des enseignants puis des parents d’élèves.

Les effectifs en maternelle fléchissent, car les parents attendent plus de souplesse sur les horaires. Pour le reste, les effectifs sont de 23 à 29 élèves par classe en secondaire, et les listes d’attente se reconstituent.

Suite à l’adoption par le Sénat du projet de loi « relatif à la Résilience des infrastructures critiques et au renforcement de la cybersécurité » ce 12 mars (compte-rendu), j’ai présenté les apports et les recommandations de la commission spéciale que je préside, avant le jeu de questions-réponses.

L’échange fut riche et constructif avec une soixantaine de participants sur les enjeux et les implications de la transposition des trois directives européennes (dites REC, NIS2 et DORA) en droit français.

J’ai ainsi rappelé que notre objectif n’est pas d’empêcher les cyber-attaques, mais d’être résilient, dans le cadre d’une loi faite avec les professionnels pour les professionnels.

VERBATIM de mon intervention

Mesdames, Messieurs,

Je tiens tout d’abord à remercier MM. Pierre Lellouche, Président, et Christian Sommade, Délégué général, du Haut comité français pour la résilience nationale de m’associer régulièrement à vos travaux. L’an dernier, j’avais pu m’exprimer à votre invitation dans les locaux de la Direction générale de la Gendarmerie nationale sur les questions de cybersécurité, de souveraineté du cloud et des ingérences numériques étrangères dont je suis depuis 8 ans le rapporteur budgétaire pour avis de la commission des affaires étrangères et de la défense du Sénat. Nous avions alors regretté l’absence d’un représentant du Secrétariat général de la défense et de la sécurité nationale !

Quoiqu’il en soit, je suis encore plus touché que cet événement annuel se déroule aujourd’hui au Sénat et que vous m’ayez proposé d’ouvrir le débat.

Le thème sur lequel vous avez sollicité mon intervention est le suivant : « la sécurité des activités d’importance vitale à la résilience des entités critiques, quel équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs ? ».

Ce sujet est d’actualité car je préside la commission spéciale sénatoriale sur le projet de loi relatif à la résilience des entité critiques et au renforcement de la cybersécurité. Ce projet de loi a été adopté par le Sénat la semaine dernière avec exactement 100 amendements adoptés donc 61 amendements adoptés en commission et 39 amendements en séance publique.

Ce projet de loi prévoit la transposition de 3 directives différentes a fait l’objet d’un :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Je reviendrai plus en détail sur leur contenu car il entre tout à fait dans le thème de votre question relative à l’acceptation de nouvelles normes, contraignantes et coûteuses, dont le gouvernement n’est pas en mesure d’en présenter précisément l’impact pour les entreprises et les collectivités territoriales.

Cela me permet donc d’aborder très concrètement la question de l’équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs. Ce sujet a été une préoccupation constante des travaux de la commission spéciale.

J’ai été invité à ouvrir les travaux à ses côtés, en présence de Vincent Strubel, directeur général de l’ANSSI et de Michel Van Den Berghe, président du Campus Cyber.

Les enjeux cruciaux liés à la transposition en droit français des directives européennes NIS2, DORA et REC ont été rappelés. Le niveau d’exigence a été rehaussé au point qu’on parle de changement de paradigme. Heureusement, la mobilisation des professionnels et des élus locaux concernés par ce changement d’échelle est patente. L’objectif commun est de bâtir une cybersécurité efficace et durable, gage de la confiance dans notre écosystème !

En raison de l’intérêt transversal du projet de loi intéressant au moins trois commissions (défense, affaires économiques, finances), le Sénat a constitué une commission spéciale, en novembre 2024, que j’ai eu l’honneur de présider. Au cours de mon intervention, je me suis concentré sur trois points :

1 – Les apports du Sénat
Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
> Deux auditions de responsables publics, dont Clara Chappaz et Vincent Strubel.
> Cinq tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).
> Notre commission a apporté 61 amendements au texte initial.

2 – Une mesure emblématique adoptée, en séance : Empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries (compte-rendu).

Je tiens à remercier mes collègues au Sénat qui ont voté mon amendement en créant ainsi un principe clair de sécurité numérique (compte-rendu).

Je salue le travail exceptionnel des trois rapporteurs de la commission spéciale que j’ai présidée pour préparer ce texte : Michel Canévet, Hugues Saury, Patrick Chaize. Toujours à notre écoute, Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, aura été un heureux élément de continuité dans ce processus, ce qui est à souligner.

Je tiens à remercier tous les membres de cette commission pour leur confiance, leur participation aux travaux et leur contribution à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Le projet de loi a été modifié par la commission spéciale, puis en séance publique qui s’est achevée le 12 mars. Ainsi, la commission spéciale a adopté 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dites REC, NIS2 et DORA :
> inscrire dans la loi l’élaboration par le gouvernement d’une stratégie nationale de cybersécurité
> compléter et encadrer les définitions et délais d’application
> clarifier les obligations pesant sur les entités assujetties
> éviter des différences de traitement injustifiées entre les entreprises
> simplifier la vie des entreprises
> modérer les effets de surtranspositions.

Les travaux en séance publique ont permis de revenir sur des rédactions communes avec le gouvernement sur les questions de contrôle et de reste à charge des coûts des contrôles, certains désaccords subsistants principalement sur le titre III relatif à la transposition de la directive DORA.

Une mesure emblématique que j’ai proposée a été adoptée : empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries ; le Sénat reste la maison qui protège les libertés publiques (compte-rendu).

Enfin, la commission spéciale a formulé plusieurs recommandations :
> fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.

Consultez Pourquoi ce texte ? Et Les apports du Sénat

Consultez l’Essentiel (PDF 8p) : la France transpose 3 directives européennes pour renforcer la résilience et la cybersécurité

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système ! Ces dispositifs sont appelés backdoors – portes dérobées – et constitue des failles de vulnérabilités afin que nos autorités puissent exercer un contrôle sur les données échangées.

Des collègues LR se sont opposés en faisant valoir que le Sénat avait adopté une position inverse à l’article 8 ter lors de la proposition de loi Narcotrafic, suite à un amendement de leur groupe. J’ai rappelé que cette disposition n’existait pas dans le rapport de la commission d’enquête de lutte contre le Narcotrafic ; que l’article 8 Ter avait eu un avis défavorable de la commission des Lois du Sénat ; et qu’il avait été adopté par le Sénat dans un contexte particulier qui ne correspondait pas au sujet débattu.

Il avait été supprimé ensuite à l’unanimité de la commission spéciale de l’Assemblée nationale. Cette disposition n’existe donc plus.

Aussi, il paraissait important de remettre l’église au milieu du village à la faveur de ce texte destiné justement à élever le niveau de notre sécurité numérique.

Face à des arguments caricaturaux et parfois déplacés des LR, j’ai indiqué en conclusion pour justifier l’amendement, que je suis en politique pour défendre des idées de liberté, de confiance dans nos réseaux dans le numérique, et notre sécurité.

En adoptant à une large majorité mon amendement, les sénateurs ont rappelé que le Sénat est et reste la maison des libertés publiques !

Je leur en suis profondément reconnaissant.

L’amendement n°1 a été adopté par 181 voix contre 134, malgré la demande de retrait du gouvernement représenté par Clara Chappaz, ministre chargée de l’Intelligence artificielle et du Numérique

VERBATIM de mon intervention

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

En effet, certaines initiatives législatives et réglementaires récentes ont cherché à imposer à ces fournisseurs l’intégration de « portes dérobées » (backdoors), de « clés de déchiffrement maîtresses » ou autres mécanismes dont le but est de créer des failles exploitables par nos autorités, comme technique de surveillance !

Ces « backdoors » sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées, comme le démontre le cas Salt Typhoon où des cybercriminels chinois ont exploité des vulnérabilités imposées aux acteurs de la Tech US par le législateur américain !

En outre, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes.

Ce projet de loi prescrit une hausse drastique des normes de cybersécurité́.

Où serait la cohérence si on acceptait que la loi autorise de créer sciemment des failles de sécurité ?

Cela irait à l’encontre des principes de sécurité, reconnus au niveau international et imposés par la directive NIS2.

La loi que nous votons ce soir doit empêcher cette possibilité.

Nous devons respecter les principes fondateurs de la RGPD, protéger le droit à la vie privée et à la protection des données personnelles.

Le chiffrement garantit une confidentialité absolue des échanges et des transactions numériques.
Cet amendement a reçu un fort soutien de la part de l’éco-système cyber.
Il vise à inscrire dans la loi un principe clair de sécurité numérique.

Monsieur le Président / Madame la Présidente,
Madame la Ministre,
Messieurs les rapporteurs,
Mes chers collègues,

J’interviens à cet instant au titre de mon groupe de l’Union centriste mais vous vous en douterez ce temps de parole est également l’occasion de faire passer quelques messages qui me tiennent à cœur en qualité de président de cette commission spéciale.

Je tiens à remercier les membres pour leur confiance et leur participation, avec une attention spéciale envers Catherine Morin-Desailly, qui a présidé, il y a 2 ans, la commission spéciale « Sécuriser et réguler l’espace numérique », et m’a apporté son soutien et son expérience.

Je souscris en tous points aux constats et observations fait par les rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury qui ont fait évoluer le texte dans le bon sens et je vous remercie madame la ministre de l’avoir dit et d’appuyer ce point, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.

Je salue leur travail ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Je veux d’ailleurs exprimer toute ma gratitude en particulier à l’ACN, l’Alliance pour la confiance numérique, au cybercercle, à la Cyber task force et à tant d’autres. Leur expertise a nourri nos réflexions.

Certains amendements ont été adoptés en commission.
D’autres sont déposés pour le débat en séance publique pour que le Gouvernement puisse éclaircir et s’engager sur plusieurs points d’attention que nous avons relevés.
J’y reviendrai plus en détail.

Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.

Les circonstances politiques que l’on sait auront conduit à surmonter une dissolution de l’Assemblée nationale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l’audition de Mme Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.

Vous aurez été en tout état de cause, Madame la Ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.

Il y a dans le domaine de la cybersécurité un effort tout particulier à faire en matière de sensibilisation et de prise en compte de la gravité de risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’ANSSI depuis 2017.

En 2023, les cyberattaques ont coûté près de 90 Milliards d’euros à l’économie française. Le panorama de la cyber menace publié par l’ANSSI ce matin démontre que ces attaques ont encore progressé en 2024

Ce texte nous permet de porter un message de mobilisation. La commission spéciale y aura contribué par la large diffusion publique que j’ai souhaité apporter à nos auditions.
Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.

Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent. C’est un fait.

Vous avez dit Mme la Ministre ce n’est pas si vous êtes attaqués mais quand ? moi j’ai l’habitude de dire il y’a ceux qui ont été attaqué et ceux qui le sont déjà et qui ne le savent pas encore

L’objectif est d’être plus résilient et de pouvoir redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites :
> J’ai relevé un premier paradoxe. Bien que l’ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d’élus et quatre fédérations de collectivités territoriales – et en dépit d’une étude d’impact faisant plus de 900 pages –, l’ensemble des personnes entendues a déploré un manque d’information et de concertation notamment sur les dispositions réglementaires d’application du projet de loi ;

> Cela soulève un second paradoxe. De nombreux intervenants ont pointé l’absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » pouvant engendrer un risque d’une « sur-transposition réglementaire ».

Le projet de loi renvoie à 40 décrets en conseil d’État. De fait, ni les acteurs concernés, ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration.

J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur n’ait son mot à dire.

C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du gouvernement :
1 -veiller à la proportionnalité des obligations des entités assujetties ;
2 – Fournir un effort de simplification des mesures d’application
3- se garder de toute surtransposition réglementaire ;
4- accompagner les collectivités territoriales dans cette démarche nouvelle en tenant compte des problématiques de compétences et de financement.

A titre plus personnel et avec mon groupe, il nous semble important que ce projet de loi ne soit pas perçu que comme un catalogue inintelligible d’obligations et de sanct ions. Ce projet de loi doit au contraire porter une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.

Plus largement, et pour conclure sur la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne ou plutôt du risque de non-harmonisation qui va engendrer des distorsions de concurrence avec nos voisins européens.

Un exemple précis vaut mieux qu’un long discours comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin

Nos voisins belges ont déjà transposé la directive NIS 2 et nous ont dit qu’ils prenaient pour référence le respect de la norme ISO 27001 dites « Systèmes de management de la sécurité de l’information ». En d’autres termes, une entreprise qui respecte cette norme est considérée en Belgique comme remplissant les obligations de la directive.

Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires belges remplirait aussi ses obligations dans notre cadre national ? Non répond l’ANSSI !

C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union, vous nous annoncez qu’il va y avoir un label national cela promet.

Il y a clairement ici un point d’équilibre à trouver entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.

Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous Madame la Ministre pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.

Pour conclure mon propos, je voudrais vous parler de mon amendement, le N°1 sur ce projet de loi. Par cet amendement, je veux éviter la possibilité d’imposer aux fournisseurs de services de chiffrement, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

Garantir la sécurité numérique est un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées « backdoors », peut poser de vrais problèmes.

Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux.

Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis sur le sujet, Madame la Ministre, sera très suivi. Je vous inviterai, mes chers collègues, à voter cet amendement.

Notre travail n’est pas terminé avec le vote de ce soir.

Pour être efficace, ce projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui le mettra en œuvre.

Le groupe Union centriste votera évidemment ce texte.

Je vous remercie.

La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.

Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.

Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.

Liste des amendements adoptés (par ordre de discussion) sur le site du Sénat

Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.

– – – – – – – – – –

VERBATIM de mon intervention

Mes chers collègues,

L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.

Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).

Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.

Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.

Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.

Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.

Selon l’ANSSI, les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. Les cyberattaques ont également des conséquences pour les usagers, comme la suspension du versement d’allocations.

Notre projet de loi de transposition de la directive NIS 2 vise à élever le niveau de cybersécurité des collectivités territoriales de plus de 30.000 habitants.

S’il y a une ferme volonté d’appréhender le sujet, les élus locaux ont exprimé diverses inquiétudes sur les conditions de leur mise en conformité avec la directive NIS 2.

En premier lieu, les solutions de sécurité seront-elles supportables financièrement et faisables techniquement, à commencer par le recrutement sur des métiers en tension ?

Alors que les collectivités croulent déjà sous les réglementations, les normes et les menaces de sanctions, se sentent-elles suffisamment accompagnées par l’État ?

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une table ronde avec les associations d’élus sur le thème de la cybersécurité et des collectivités territoriales.

Plusieurs raisons ont conduit à organiser cet échange spécifique avec les différents échelons de collectivités locales :
– La première raison est que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– Le deuxième motif est la vulnérabilité numérique de nos services publics territoriaux qui sont en première ligne au même titre que les hôpitaux, dont les attaques sont davantage médiatisées. Mais saviez-vous que selon l’Agence nationale de sécurité des systèmes d’information «(ANSSI), les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. C’est pourquoi le retour d’expérience de nos associations d’élus nous sera précieux pour apprécier le juste seuil et le juste niveau d’obligations à inscrire dans la loi ;
– Enfin, la troisième raison de cette table ronde est que certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques, je pense aux régions qui se sont engagées dans la création de CSIRT régionaux (Computer Security Incident Response Team) pour répondre et soutenir les entreprises de leur territoire pour faire face à des incidents de sécurité informatique. Leur rôle est diversement connu et reconnu.

Aussi le témoignage des représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l’ANSSI, la ministre et les entreprises expertes en cybersécurité qui ne partagent pas la même appréciation de leurs missions.

Nous vous remercions très sincèrement d’être venus à notre rencontre soit en visioconférence, M. Michel SAUVADE, vice-président du conseil départemental du Puy de Dôme, maire de Marsac-en-Livradois et qui représentera l’AMF et Départements de France, soit en présentiel :
– pour l’Association des régions de France, M. Jérôme TRÉ-HARDY, conseiller régional de Bretagne, (je me souviens que nous nous sommes rencontrés à Rennes au Pôle d’excellence cyber, avec mon collègue co-rapporteur budgétaire des crédits du programme 129 relatif à la cybersécurité) et Mme Constance NEBBULA, vice-présidente de la Région des Pays de la Loire chargée du numérique. Vous êtes les acteurs les plus au fait pour nous relater vos expériences respectives dans la création des CSIRT de vos régions. Vous êtes accompagnés de Mme Laure PRÉVOT, conseillère économie à Régions de France ;
– Pour Intercommunalités de France, nous recevons Mme Marlène LE DIEU DE VILLE, vice-présidente en charge du numérique d’Intercommunalités de France, vice-présidente déléguée à l’économie numérique, aux systèmes d’information et à la culture de la communauté de communes de Lacq-Orthez. Vous êtes accompagnées de Mme Montaine BLONSARD, Responsable des relations avec le Parlement d’Intercommunalités de France ;
– Enfin, pour la Métropole du Grand Paris, nous recevons à sa demande M. Geoffroy BOULARD, maire du 17e arrondissement, conseiller de Paris et vice-président de la Métropole du Grand Paris, accompagné de Mme Justine TERZI, chargée de mission Cyber-Métropole du Grand Paris et M. Eloy LAFAYE, chef de projet Innovation numérique.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte pour une durée de 10 minutes au maximum puis je donnerai la parole à chacun des rapporteurs, MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions./font>

– – – –

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA