Toute ma gratitude à Martin Briens, ambassadeur de France en Italie pour son accueil au palais Farnese et à Fabrice Maïolino (à l’image), consul général de France à Rome, qui m’a accompagné tout au long de ce déplacement.

Diplomatie économique

CCEF – Réunion régionale Europe du sud

Deux jours de réflexion pour augmenter la visibilité des entreprises françaises en Italie.

Dans le majestueux cadre du Palais Farnèse qui accueille l’ambassade de France en Italie, j’ai suivi l’intervention volontariste de Martin Briens, ambassadeur de France. L’ambassadeur décrit l’Europe comme un moteur à explosion qui avance au gré des crises.

La France est le premier investisseur en Italie, 2 ou 3ème client ou fournisseur. Nos structures industrielles sont très complémentaires et lorsque nous observons nos performances respectives en commerce extérieur (excédent de 7 milliards d’euros pour l’Italie et déficit de 80 milliards pour la France), cela devrait nous inciter à rechercher toutes les opportunités de développer notre relation bilatérale.

Marcel Patrignani, président CCEF Italie a rappelé que le comité était présent sur tout le pays et que chaque district économique avait ses secteurs industriels de prédilection.
La section est organisée en trois groupes de travail : attractivité pour aider les entreprises italiennes à s’implanter en France, les accompagnements des VIE et la formation.

Accompagné ensuite de Stella Fau Clarke, présidente CCEF Europe et Emmanuel Montanié, délégué général des CCEF, les trois représentants ont détaillé le fonctionnement du réseau qui réunit 4900 CCEF dans 150 pays.

Merci à Cécile André pour avoir lancé cette invitation à Stockholm et à tous les organisateurs et participants qui ont partagé avec moi leurs regards sur l’évolution des affaires. +d’images

Cybersécurité

Mon intervention devant les CCEF

Très honoré d’avoir été invité par les conseillers du commerce extérieur de la France (CCEF) à m’exprimer, sur les enjeux de cybersécurité et de cyber-résilience, dans le cadre prestigieux du palais Farnese, à la faveur de leur rencontre régionale Europe du Sud.

J’ai évoqué :

1- l’arrivée du 17Cyber depuis le 17/12/24, et notre travail en cours pour permettre le dépôt de plainte en ligne depuis l’étranger, au travers de cette plate-forme.
2- l’action de Viginum pour permettre aux entreprises d’anticiper les actions susceptibles de les déstabiliser.
En matière de menace informationnelle, les entreprises et acteurs économiques peuvent être ciblés par les principaux modes opératoires suivants :
•⁠ ⁠Le raid numérique
•⁠ ⁠L’incitation à conduire des actions dans le champ physique
•⁠ ⁠L’usurpation d’identité d’entreprise
3 – Projet de loi Résilience & Cybersécurité pour transposer 3 directives européennes (NIS2, DORA, REC)
4 – L’Artificial Intelligence Act (AI Act) encadre l’utilisation et le développement de l’intelligence artificielle dans l’UE. L’Union européenne a créé le premier cadre juridique global au monde dédié à l’IA.

Merci aux organisateurs de m’avoir offert l’opportunité de partager les défis et nos progrès en matière de cyber. +d’images

Agence nationale pour la Cybersécurité (ACN)

Visite de l’Agence nationale pour la Cybersécurité (ACN), pour un entretien avec Massimo Marotti, directeur général pour la stratégie et la coopération internationale, qui avait participé à la Paris Cyber Week, l’an passé.

L’ACN est une jeune agence indépendante, qui relève du Conseil italien. Sa forme et ses missions sont semblables à celles de l’ANSSI, avec laquelle une coopération très étroite et modèle a été établie.

336 personnes collaborent au sein de l’ACN. Ils devraient être 500 fin 2025.

L’Italie fait partie des premiers pays européens à avoir mis en œuvre la directive NIS2. Le décret d’application date du 4 septembre 2024. 22 000 entreprises sont déjà enregistrées sur la plateforme des entreprises concernées par la loi.

Si la loi est destinée à élever le niveau de résilience des entreprises en cyber, Massimo s’interroge avec pertinence sur la signification du mot “résilience”. À partir du moment où “augmenter la résilience” est un objectif de la loi, il convient en effet de connaître les indicateurs qui nous permettent de mesurer nos progrès. +d’images

Communauté française

Réunion avec les élus

Le consulat général de France à Rome réunit la partie Centre et Sud de l’Italie et compte 16500 inscrits (Rome 10500 ; Florence 3500 et Naples 2500), tandis que la partie Nord, qui relève du consulat général de Milan, compte 18000 inscrits.

À l’invitation de Fabrice Maïolino, consul général de France à Rome, j’ai eu un entretien privilégié avec deux des cinq conseillers des Français de l’étranger de Rome qui ont pu se rendre disponibles.

Carole de Blesson est une élue qui s’est engagée en faveur de l’associatif au sein de Rome Accueil et qui organise des réunions sur les problèmes de la vie quotidienne.
Olivier Lebel, retraité très actif dans le soutien aux start-ups, est devenu conseiller des Français de l’étranger en février 2024. Il est également suppléant de Caroline Yadan, députée de la circonscription.

Les deux élus ont fait part de la vive préoccupation de nos compatriotes retraités qui se sont trouvés redressés de fortes sommes par le fisc italien. Un article du Figaro de février 2025 intitulé “L’Italie, le nouvel eldorado des exilés fiscaux français” est susceptible d’entraîner nos compatriotes dans de graves difficultés. Nos élus rappellent que l’Italie impose les revenus à des taux bien plus élevés que la France. Elle applique également des impôts sur le patrimoine immobilier et mobilier situés à l’étranger.

Pour éviter les déconvenues, le consulat général et les élus organisent régulièrement des conférences avec des experts comptables et fiscaux.

Un grand merci au consul général et à nos deux élus pour leur mobilisation.

Enseignement

Lycée international Chateaubriand

Constitué de trois sites, Strohl-Fern, Malpighi et Patrizi, l’établissement scolarise 1500 élèves de la petite section de maternelle jusqu’à la terminale.

En 2023, le lycée a célébré son 120e anniversaire. À cette occasion, une campagne de travaux d’une durée de 10 ans a été menée pour améliorer la qualité d’accueil et les infrastructures de l’établissement.

Accueilli en compagnie de Fabrice Maïolino, consul général de France, par le proviseur adjoint, Christophe Chades, j’ai découvert les aménagements réalisés depuis mon précédent déplacement.

Situé sur le site de la Villa Strohl-Fern, le bâtiment historique « Casone » a été entièrement rénové. Les nouvelles salles de classe sont plus spacieuses. Le bâtiment « Moresco » a également fait l’objet d’une restructuration complète.

La visite a été suivie de deux réunions dans la médiathèque, avec les représentants des enseignants puis des parents d’élèves.

Les effectifs en maternelle fléchissent, car les parents attendent plus de souplesse sur les horaires. Pour le reste, les effectifs sont de 23 à 29 élèves par classe en secondaire, et les listes d’attente se reconstituent.

Suite à l’adoption par le Sénat du projet de loi « relatif à la Résilience des infrastructures critiques et au renforcement de la cybersécurité » ce 12 mars (compte-rendu), j’ai présenté les apports et les recommandations de la commission spéciale que je préside, avant le jeu de questions-réponses.

L’échange fut riche et constructif avec une soixantaine de participants sur les enjeux et les implications de la transposition des trois directives européennes (dites REC, NIS2 et DORA) en droit français.

J’ai ainsi rappelé que notre objectif n’est pas d’empêcher les cyber-attaques, mais d’être résilient, dans le cadre d’une loi faite avec les professionnels pour les professionnels.

VERBATIM de mon intervention

Mesdames, Messieurs,

Je tiens tout d’abord à remercier MM. Pierre Lellouche, Président, et Christian Sommade, Délégué général, du Haut comité français pour la résilience nationale de m’associer régulièrement à vos travaux. L’an dernier, j’avais pu m’exprimer à votre invitation dans les locaux de la Direction générale de la Gendarmerie nationale sur les questions de cybersécurité, de souveraineté du cloud et des ingérences numériques étrangères dont je suis depuis 8 ans le rapporteur budgétaire pour avis de la commission des affaires étrangères et de la défense du Sénat. Nous avions alors regretté l’absence d’un représentant du Secrétariat général de la défense et de la sécurité nationale !

Quoiqu’il en soit, je suis encore plus touché que cet événement annuel se déroule aujourd’hui au Sénat et que vous m’ayez proposé d’ouvrir le débat.

Le thème sur lequel vous avez sollicité mon intervention est le suivant : « la sécurité des activités d’importance vitale à la résilience des entités critiques, quel équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs ? ».

Ce sujet est d’actualité car je préside la commission spéciale sénatoriale sur le projet de loi relatif à la résilience des entité critiques et au renforcement de la cybersécurité. Ce projet de loi a été adopté par le Sénat la semaine dernière avec exactement 100 amendements adoptés donc 61 amendements adoptés en commission et 39 amendements en séance publique.

Ce projet de loi prévoit la transposition de 3 directives différentes a fait l’objet d’un :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Je reviendrai plus en détail sur leur contenu car il entre tout à fait dans le thème de votre question relative à l’acceptation de nouvelles normes, contraignantes et coûteuses, dont le gouvernement n’est pas en mesure d’en présenter précisément l’impact pour les entreprises et les collectivités territoriales.

Cela me permet donc d’aborder très concrètement la question de l’équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs. Ce sujet a été une préoccupation constante des travaux de la commission spéciale.

J’ai été invité à ouvrir les travaux à ses côtés, en présence de Vincent Strubel, directeur général de l’ANSSI et de Michel Van Den Berghe, président du Campus Cyber.

Les enjeux cruciaux liés à la transposition en droit français des directives européennes NIS2, DORA et REC ont été rappelés. Le niveau d’exigence a été rehaussé au point qu’on parle de changement de paradigme. Heureusement, la mobilisation des professionnels et des élus locaux concernés par ce changement d’échelle est patente. L’objectif commun est de bâtir une cybersécurité efficace et durable, gage de la confiance dans notre écosystème !

En raison de l’intérêt transversal du projet de loi intéressant au moins trois commissions (défense, affaires économiques, finances), le Sénat a constitué une commission spéciale, en novembre 2024, que j’ai eu l’honneur de présider. Au cours de mon intervention, je me suis concentré sur trois points :

1 – Les apports du Sénat
Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
> Deux auditions de responsables publics, dont Clara Chappaz et Vincent Strubel.
> Cinq tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).
> Notre commission a apporté 61 amendements au texte initial.

2 – Une mesure emblématique adoptée, en séance : Empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries (compte-rendu).

Je tiens à remercier mes collègues au Sénat qui ont voté mon amendement en créant ainsi un principe clair de sécurité numérique (compte-rendu).

Je salue le travail exceptionnel des trois rapporteurs de la commission spéciale que j’ai présidée pour préparer ce texte : Michel Canévet, Hugues Saury, Patrick Chaize. Toujours à notre écoute, Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, aura été un heureux élément de continuité dans ce processus, ce qui est à souligner.

Je tiens à remercier tous les membres de cette commission pour leur confiance, leur participation aux travaux et leur contribution à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Le projet de loi a été modifié par la commission spéciale, puis en séance publique qui s’est achevée le 12 mars. Ainsi, la commission spéciale a adopté 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dites REC, NIS2 et DORA :
> inscrire dans la loi l’élaboration par le gouvernement d’une stratégie nationale de cybersécurité
> compléter et encadrer les définitions et délais d’application
> clarifier les obligations pesant sur les entités assujetties
> éviter des différences de traitement injustifiées entre les entreprises
> simplifier la vie des entreprises
> modérer les effets de surtranspositions.

Les travaux en séance publique ont permis de revenir sur des rédactions communes avec le gouvernement sur les questions de contrôle et de reste à charge des coûts des contrôles, certains désaccords subsistants principalement sur le titre III relatif à la transposition de la directive DORA.

Une mesure emblématique que j’ai proposée a été adoptée : empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries ; le Sénat reste la maison qui protège les libertés publiques (compte-rendu).

Enfin, la commission spéciale a formulé plusieurs recommandations :
> fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.

Consultez Pourquoi ce texte ? Et Les apports du Sénat

Consultez l’Essentiel (PDF 8p) : la France transpose 3 directives européennes pour renforcer la résilience et la cybersécurité

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système ! Ces dispositifs sont appelés backdoors – portes dérobées – et constitue des failles de vulnérabilités afin que nos autorités puissent exercer un contrôle sur les données échangées.

Des collègues LR se sont opposés en faisant valoir que le Sénat avait adopté une position inverse à l’article 8 ter lors de la proposition de loi Narcotrafic, suite à un amendement de leur groupe. J’ai rappelé que cette disposition n’existait pas dans le rapport de la commission d’enquête de lutte contre le Narcotrafic ; que l’article 8 Ter avait eu un avis défavorable de la commission des Lois du Sénat ; et qu’il avait été adopté par le Sénat dans un contexte particulier qui ne correspondait pas au sujet débattu.

Il avait été supprimé ensuite à l’unanimité de la commission spéciale de l’Assemblée nationale. Cette disposition n’existe donc plus.

Aussi, il paraissait important de remettre l’église au milieu du village à la faveur de ce texte destiné justement à élever le niveau de notre sécurité numérique.

Face à des arguments caricaturaux et parfois déplacés des LR, j’ai indiqué en conclusion pour justifier l’amendement, que je suis en politique pour défendre des idées de liberté, de confiance dans nos réseaux dans le numérique, et notre sécurité.

En adoptant à une large majorité mon amendement, les sénateurs ont rappelé que le Sénat est et reste la maison des libertés publiques !

Je leur en suis profondément reconnaissant.

L’amendement n°1 a été adopté par 181 voix contre 134, malgré la demande de retrait du gouvernement représenté par Clara Chappaz, ministre chargée de l’Intelligence artificielle et du Numérique

VERBATIM de mon intervention

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

En effet, certaines initiatives législatives et réglementaires récentes ont cherché à imposer à ces fournisseurs l’intégration de « portes dérobées » (backdoors), de « clés de déchiffrement maîtresses » ou autres mécanismes dont le but est de créer des failles exploitables par nos autorités, comme technique de surveillance !

Ces « backdoors » sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées, comme le démontre le cas Salt Typhoon où des cybercriminels chinois ont exploité des vulnérabilités imposées aux acteurs de la Tech US par le législateur américain !

En outre, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes.

Ce projet de loi prescrit une hausse drastique des normes de cybersécurité́.

Où serait la cohérence si on acceptait que la loi autorise de créer sciemment des failles de sécurité ?

Cela irait à l’encontre des principes de sécurité, reconnus au niveau international et imposés par la directive NIS2.

La loi que nous votons ce soir doit empêcher cette possibilité.

Nous devons respecter les principes fondateurs de la RGPD, protéger le droit à la vie privée et à la protection des données personnelles.

Le chiffrement garantit une confidentialité absolue des échanges et des transactions numériques.
Cet amendement a reçu un fort soutien de la part de l’éco-système cyber.
Il vise à inscrire dans la loi un principe clair de sécurité numérique.

Monsieur le Président / Madame la Présidente,
Madame la Ministre,
Messieurs les rapporteurs,
Mes chers collègues,

J’interviens à cet instant au titre de mon groupe de l’Union centriste mais vous vous en douterez ce temps de parole est également l’occasion de faire passer quelques messages qui me tiennent à cœur en qualité de président de cette commission spéciale.

Je tiens à remercier les membres pour leur confiance et leur participation, avec une attention spéciale envers Catherine Morin-Desailly, qui a présidé, il y a 2 ans, la commission spéciale « Sécuriser et réguler l’espace numérique », et m’a apporté son soutien et son expérience.

Je souscris en tous points aux constats et observations fait par les rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury qui ont fait évoluer le texte dans le bon sens et je vous remercie madame la ministre de l’avoir dit et d’appuyer ce point, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.

Je salue leur travail ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Je veux d’ailleurs exprimer toute ma gratitude en particulier à l’ACN, l’Alliance pour la confiance numérique, au cybercercle, à la Cyber task force et à tant d’autres. Leur expertise a nourri nos réflexions.

Certains amendements ont été adoptés en commission.
D’autres sont déposés pour le débat en séance publique pour que le Gouvernement puisse éclaircir et s’engager sur plusieurs points d’attention que nous avons relevés.
J’y reviendrai plus en détail.

Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.

Les circonstances politiques que l’on sait auront conduit à surmonter une dissolution de l’Assemblée nationale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l’audition de Mme Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.

Vous aurez été en tout état de cause, Madame la Ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.

Il y a dans le domaine de la cybersécurité un effort tout particulier à faire en matière de sensibilisation et de prise en compte de la gravité de risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’ANSSI depuis 2017.

En 2023, les cyberattaques ont coûté près de 90 Milliards d’euros à l’économie française. Le panorama de la cyber menace publié par l’ANSSI ce matin démontre que ces attaques ont encore progressé en 2024

Ce texte nous permet de porter un message de mobilisation. La commission spéciale y aura contribué par la large diffusion publique que j’ai souhaité apporter à nos auditions.
Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.

Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent. C’est un fait.

Vous avez dit Mme la Ministre ce n’est pas si vous êtes attaqués mais quand ? moi j’ai l’habitude de dire il y’a ceux qui ont été attaqué et ceux qui le sont déjà et qui ne le savent pas encore

L’objectif est d’être plus résilient et de pouvoir redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites :
> J’ai relevé un premier paradoxe. Bien que l’ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d’élus et quatre fédérations de collectivités territoriales – et en dépit d’une étude d’impact faisant plus de 900 pages –, l’ensemble des personnes entendues a déploré un manque d’information et de concertation notamment sur les dispositions réglementaires d’application du projet de loi ;

> Cela soulève un second paradoxe. De nombreux intervenants ont pointé l’absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » pouvant engendrer un risque d’une « sur-transposition réglementaire ».

Le projet de loi renvoie à 40 décrets en conseil d’État. De fait, ni les acteurs concernés, ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration.

J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur n’ait son mot à dire.

C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du gouvernement :
1 -veiller à la proportionnalité des obligations des entités assujetties ;
2 – Fournir un effort de simplification des mesures d’application
3- se garder de toute surtransposition réglementaire ;
4- accompagner les collectivités territoriales dans cette démarche nouvelle en tenant compte des problématiques de compétences et de financement.

A titre plus personnel et avec mon groupe, il nous semble important que ce projet de loi ne soit pas perçu que comme un catalogue inintelligible d’obligations et de sanct ions. Ce projet de loi doit au contraire porter une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.

Plus largement, et pour conclure sur la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne ou plutôt du risque de non-harmonisation qui va engendrer des distorsions de concurrence avec nos voisins européens.

Un exemple précis vaut mieux qu’un long discours comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin

Nos voisins belges ont déjà transposé la directive NIS 2 et nous ont dit qu’ils prenaient pour référence le respect de la norme ISO 27001 dites « Systèmes de management de la sécurité de l’information ». En d’autres termes, une entreprise qui respecte cette norme est considérée en Belgique comme remplissant les obligations de la directive.

Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires belges remplirait aussi ses obligations dans notre cadre national ? Non répond l’ANSSI !

C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union, vous nous annoncez qu’il va y avoir un label national cela promet.

Il y a clairement ici un point d’équilibre à trouver entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.

Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous Madame la Ministre pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.

Pour conclure mon propos, je voudrais vous parler de mon amendement, le N°1 sur ce projet de loi. Par cet amendement, je veux éviter la possibilité d’imposer aux fournisseurs de services de chiffrement, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

Garantir la sécurité numérique est un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées « backdoors », peut poser de vrais problèmes.

Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux.

Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis sur le sujet, Madame la Ministre, sera très suivi. Je vous inviterai, mes chers collègues, à voter cet amendement.

Notre travail n’est pas terminé avec le vote de ce soir.

Pour être efficace, ce projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui le mettra en œuvre.

Le groupe Union centriste votera évidemment ce texte.

Je vous remercie.

La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.

Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.

Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.

Liste des amendements adoptés (par ordre de discussion) sur le site du Sénat

Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.

– – – – – – – – – –

VERBATIM de mon intervention

Mes chers collègues,

L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.

Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).

Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.

Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.

Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.

Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.

Selon l’ANSSI, les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. Les cyberattaques ont également des conséquences pour les usagers, comme la suspension du versement d’allocations.

Notre projet de loi de transposition de la directive NIS 2 vise à élever le niveau de cybersécurité des collectivités territoriales de plus de 30.000 habitants.

S’il y a une ferme volonté d’appréhender le sujet, les élus locaux ont exprimé diverses inquiétudes sur les conditions de leur mise en conformité avec la directive NIS 2.

En premier lieu, les solutions de sécurité seront-elles supportables financièrement et faisables techniquement, à commencer par le recrutement sur des métiers en tension ?

Alors que les collectivités croulent déjà sous les réglementations, les normes et les menaces de sanctions, se sentent-elles suffisamment accompagnées par l’État ?

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une table ronde avec les associations d’élus sur le thème de la cybersécurité et des collectivités territoriales.

Plusieurs raisons ont conduit à organiser cet échange spécifique avec les différents échelons de collectivités locales :
– La première raison est que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– Le deuxième motif est la vulnérabilité numérique de nos services publics territoriaux qui sont en première ligne au même titre que les hôpitaux, dont les attaques sont davantage médiatisées. Mais saviez-vous que selon l’Agence nationale de sécurité des systèmes d’information «(ANSSI), les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. C’est pourquoi le retour d’expérience de nos associations d’élus nous sera précieux pour apprécier le juste seuil et le juste niveau d’obligations à inscrire dans la loi ;
– Enfin, la troisième raison de cette table ronde est que certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques, je pense aux régions qui se sont engagées dans la création de CSIRT régionaux (Computer Security Incident Response Team) pour répondre et soutenir les entreprises de leur territoire pour faire face à des incidents de sécurité informatique. Leur rôle est diversement connu et reconnu.

Aussi le témoignage des représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l’ANSSI, la ministre et les entreprises expertes en cybersécurité qui ne partagent pas la même appréciation de leurs missions.

Nous vous remercions très sincèrement d’être venus à notre rencontre soit en visioconférence, M. Michel SAUVADE, vice-président du conseil départemental du Puy de Dôme, maire de Marsac-en-Livradois et qui représentera l’AMF et Départements de France, soit en présentiel :
– pour l’Association des régions de France, M. Jérôme TRÉ-HARDY, conseiller régional de Bretagne, (je me souviens que nous nous sommes rencontrés à Rennes au Pôle d’excellence cyber, avec mon collègue co-rapporteur budgétaire des crédits du programme 129 relatif à la cybersécurité) et Mme Constance NEBBULA, vice-présidente de la Région des Pays de la Loire chargée du numérique. Vous êtes les acteurs les plus au fait pour nous relater vos expériences respectives dans la création des CSIRT de vos régions. Vous êtes accompagnés de Mme Laure PRÉVOT, conseillère économie à Régions de France ;
– Pour Intercommunalités de France, nous recevons Mme Marlène LE DIEU DE VILLE, vice-présidente en charge du numérique d’Intercommunalités de France, vice-présidente déléguée à l’économie numérique, aux systèmes d’information et à la culture de la communauté de communes de Lacq-Orthez. Vous êtes accompagnées de Mme Montaine BLONSARD, Responsable des relations avec le Parlement d’Intercommunalités de France ;
– Enfin, pour la Métropole du Grand Paris, nous recevons à sa demande M. Geoffroy BOULARD, maire du 17e arrondissement, conseiller de Paris et vice-président de la Métropole du Grand Paris, accompagné de Mme Justine TERZI, chargée de mission Cyber-Métropole du Grand Paris et M. Eloy LAFAYE, chef de projet Innovation numérique.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte pour une durée de 10 minutes au maximum puis je donnerai la parole à chacun des rapporteurs, MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions./font>

– – – –

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA