Je tiens à remercier mes collègues au Sénat qui ont voté mon amendement en créant ainsi un principe clair de sécurité numérique (compte-rendu).

Je salue le travail exceptionnel des trois rapporteurs de la commission spéciale que j’ai présidée pour préparer ce texte : Michel Canévet, Hugues Saury, Patrick Chaize. Toujours à notre écoute, Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, aura été un heureux élément de continuité dans ce processus, ce qui est à souligner.

Je tiens à remercier tous les membres de cette commission pour leur confiance, leur participation aux travaux et leur contribution à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Le projet de loi a été modifié par la commission spéciale, puis en séance publique qui s’est achevée le 12 mars. Ainsi, la commission spéciale a adopté 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dites REC, NIS2 et DORA :
> inscrire dans la loi l’élaboration par le gouvernement d’une stratégie nationale de cybersécurité
> compléter et encadrer les définitions et délais d’application
> clarifier les obligations pesant sur les entités assujetties
> éviter des différences de traitement injustifiées entre les entreprises
> simplifier la vie des entreprises
> modérer les effets de surtranspositions.

Les travaux en séance publique ont permis de revenir sur des rédactions communes avec le gouvernement sur les questions de contrôle et de reste à charge des coûts des contrôles, certains désaccords subsistants principalement sur le titre III relatif à la transposition de la directive DORA.

Une mesure emblématique que j’ai proposée a été adoptée : empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries ; le Sénat reste la maison qui protège les libertés publiques (compte-rendu).

Enfin, la commission spéciale a formulé plusieurs recommandations :
> fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.

Consultez Pourquoi ce texte ? Et Les apports du Sénat

Consultez l’Essentiel (PDF 8p) : la France transpose 3 directives européennes pour renforcer la résilience et la cybersécurité

Monsieur le Président / Madame la Présidente,
Madame la Ministre,
Messieurs les rapporteurs,
Mes chers collègues,

J’interviens à cet instant au titre de mon groupe de l’Union centriste mais vous vous en douterez ce temps de parole est également l’occasion de faire passer quelques messages qui me tiennent à cœur en qualité de président de cette commission spéciale.

Je tiens à remercier les membres pour leur confiance et leur participation, avec une attention spéciale envers Catherine Morin-Desailly, qui a présidé, il y a 2 ans, la commission spéciale « Sécuriser et réguler l’espace numérique », et m’a apporté son soutien et son expérience.

Je souscris en tous points aux constats et observations fait par les rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury qui ont fait évoluer le texte dans le bon sens et je vous remercie madame la ministre de l’avoir dit et d’appuyer ce point, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.

Je salue leur travail ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Je veux d’ailleurs exprimer toute ma gratitude en particulier à l’ACN, l’Alliance pour la confiance numérique, au cybercercle, à la Cyber task force et à tant d’autres. Leur expertise a nourri nos réflexions.

Certains amendements ont été adoptés en commission.
D’autres sont déposés pour le débat en séance publique pour que le Gouvernement puisse éclaircir et s’engager sur plusieurs points d’attention que nous avons relevés.
J’y reviendrai plus en détail.

Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.

Les circonstances politiques que l’on sait auront conduit à surmonter une dissolution de l’Assemblée nationale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l’audition de Mme Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.

Vous aurez été en tout état de cause, Madame la Ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.

Il y a dans le domaine de la cybersécurité un effort tout particulier à faire en matière de sensibilisation et de prise en compte de la gravité de risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’ANSSI depuis 2017.

En 2023, les cyberattaques ont coûté près de 90 Milliards d’euros à l’économie française. Le panorama de la cyber menace publié par l’ANSSI ce matin démontre que ces attaques ont encore progressé en 2024

Ce texte nous permet de porter un message de mobilisation. La commission spéciale y aura contribué par la large diffusion publique que j’ai souhaité apporter à nos auditions.
Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.

Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent. C’est un fait.

Vous avez dit Mme la Ministre ce n’est pas si vous êtes attaqués mais quand ? moi j’ai l’habitude de dire il y’a ceux qui ont été attaqué et ceux qui le sont déjà et qui ne le savent pas encore

L’objectif est d’être plus résilient et de pouvoir redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites :
> J’ai relevé un premier paradoxe. Bien que l’ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d’élus et quatre fédérations de collectivités territoriales – et en dépit d’une étude d’impact faisant plus de 900 pages –, l’ensemble des personnes entendues a déploré un manque d’information et de concertation notamment sur les dispositions réglementaires d’application du projet de loi ;

> Cela soulève un second paradoxe. De nombreux intervenants ont pointé l’absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » pouvant engendrer un risque d’une « sur-transposition réglementaire ».

Le projet de loi renvoie à 40 décrets en conseil d’État. De fait, ni les acteurs concernés, ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration.

J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur n’ait son mot à dire.

C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du gouvernement :
1 -veiller à la proportionnalité des obligations des entités assujetties ;
2 – Fournir un effort de simplification des mesures d’application
3- se garder de toute surtransposition réglementaire ;
4- accompagner les collectivités territoriales dans cette démarche nouvelle en tenant compte des problématiques de compétences et de financement.

A titre plus personnel et avec mon groupe, il nous semble important que ce projet de loi ne soit pas perçu que comme un catalogue inintelligible d’obligations et de sanct ions. Ce projet de loi doit au contraire porter une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.

Plus largement, et pour conclure sur la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne ou plutôt du risque de non-harmonisation qui va engendrer des distorsions de concurrence avec nos voisins européens.

Un exemple précis vaut mieux qu’un long discours comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin

Nos voisins belges ont déjà transposé la directive NIS 2 et nous ont dit qu’ils prenaient pour référence le respect de la norme ISO 27001 dites « Systèmes de management de la sécurité de l’information ». En d’autres termes, une entreprise qui respecte cette norme est considérée en Belgique comme remplissant les obligations de la directive.

Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires belges remplirait aussi ses obligations dans notre cadre national ? Non répond l’ANSSI !

C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union, vous nous annoncez qu’il va y avoir un label national cela promet.

Il y a clairement ici un point d’équilibre à trouver entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.

Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous Madame la Ministre pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.

Pour conclure mon propos, je voudrais vous parler de mon amendement, le N°1 sur ce projet de loi. Par cet amendement, je veux éviter la possibilité d’imposer aux fournisseurs de services de chiffrement, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

Garantir la sécurité numérique est un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées « backdoors », peut poser de vrais problèmes.

Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux.

Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis sur le sujet, Madame la Ministre, sera très suivi. Je vous inviterai, mes chers collègues, à voter cet amendement.

Notre travail n’est pas terminé avec le vote de ce soir.

Pour être efficace, ce projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui le mettra en œuvre.

Le groupe Union centriste votera évidemment ce texte.

Je vous remercie.

La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.

Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.

Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.

Liste des amendements adoptés (par ordre de discussion) sur le site du Sénat

Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.

– – – – – – – – – –

VERBATIM de mon intervention

Mes chers collègues,

L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.

Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).

Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.

Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.

Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.

Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.

La mise en œuvre de la directive européenne dite Dora, relative à la résilience cyber du secteur financier, mobilise une grande diversité d’acteurs financiers : banques, assureurs, acteurs de paiement, entreprises d’investissement, émetteur de cryptoactifs…

Aussi, la commission spéciale Cybersécurité que je préside a donné la parole, ce 11 février, aux autorités de régulation financière (Autorité des marchés financiers, Autorité de contrôle prudentiel et de résolution)

Si le cadre proposé par Dora est perçu positivement car il joue en faveur de la confiance, il suscite aussi des inquiétudes légitimes, comme l’hébergement des données sensibles chez les opérateurs de cloud qui, mis à part OVH, sont extra-européens.

Nous en avons beaucoup parlé, c’est pourquoi Dora met l’accent sur la surveillance des fournisseurs tiers critiques, bénéficiaires de contrats d’externalisation de services.

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Mes chers collègues,
Mesdames, Messieurs,

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une première table ronde avec les autorités de régulation financière :
– L’Autorité des marchés financiers (AMF) ici représentée par M. Sébastien RASPILLER, secrétaire général, qui est accompagné de M. Philippe SOURLAS, secrétaire général adjoint en charge de la direction de la gestion d’actifs et de Mme Laure TERTRAIS, directrice de cabinet auprès de la présidente Mme Marie-Anne BARBAT-LAYANI ;
– L’Autorité de contrôle prudentiel et de résolution (ACPR), pour laquelle s’exprimera M. Frédéric HERVO, secrétaire général adjoint, qui est accompagné de Mme Véronique BENSAID-COHEN, conseillère parlementaire auprès du Gouverneur, de M. Alexandre GARCIA, expert en régulation prudentielle bancaire et politique de stabilité financière, et M. Gabriel PREGUIÇA, chargé de mission.

Je vous remercie d’avoir répondu à notre invitation car vous pourrez ainsi nous éclairer sur le troisième des trois volets de ce projet de loi, à savoir la transposition de la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Ce titre 3 du projet de loi entre dans le champ de compétence de notre collègue co-rapporteur Michel CANÉVET, par ailleurs membre de la commission des Finances du Sénat.

Nos auditions avaient jusque-là surtout porté sur les deux premiers titres du projet de loi, lesquels concernent pour le titre premier la transposition la directive sur la résilience des entités critiques, dite « REC » et pour le titre 2, la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Pour autant, ces sujets ne sont pas sans lien puisque certaines questions ont pu être soulevées lors de précédentes auditions sur les recoupements ou redondances pouvant exister entre ces trois directives. Mes collègues co-rapporteurs sur les titres 1 et 2, respectivement Hugues SAURY et Patrick CHAIZE pourront vous demander des précisions lors de la séquence des questions-réponses.

Selon l’ANSSI, les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. Les cyberattaques ont également des conséquences pour les usagers, comme la suspension du versement d’allocations.

Notre projet de loi de transposition de la directive NIS 2 vise à élever le niveau de cybersécurité des collectivités territoriales de plus de 30.000 habitants.

S’il y a une ferme volonté d’appréhender le sujet, les élus locaux ont exprimé diverses inquiétudes sur les conditions de leur mise en conformité avec la directive NIS 2.

En premier lieu, les solutions de sécurité seront-elles supportables financièrement et faisables techniquement, à commencer par le recrutement sur des métiers en tension ?

Alors que les collectivités croulent déjà sous les réglementations, les normes et les menaces de sanctions, se sentent-elles suffisamment accompagnées par l’État ?

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une table ronde avec les associations d’élus sur le thème de la cybersécurité et des collectivités territoriales.

Plusieurs raisons ont conduit à organiser cet échange spécifique avec les différents échelons de collectivités locales :
– La première raison est que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– Le deuxième motif est la vulnérabilité numérique de nos services publics territoriaux qui sont en première ligne au même titre que les hôpitaux, dont les attaques sont davantage médiatisées. Mais saviez-vous que selon l’Agence nationale de sécurité des systèmes d’information «(ANSSI), les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. C’est pourquoi le retour d’expérience de nos associations d’élus nous sera précieux pour apprécier le juste seuil et le juste niveau d’obligations à inscrire dans la loi ;
– Enfin, la troisième raison de cette table ronde est que certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques, je pense aux régions qui se sont engagées dans la création de CSIRT régionaux (Computer Security Incident Response Team) pour répondre et soutenir les entreprises de leur territoire pour faire face à des incidents de sécurité informatique. Leur rôle est diversement connu et reconnu.

Aussi le témoignage des représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l’ANSSI, la ministre et les entreprises expertes en cybersécurité qui ne partagent pas la même appréciation de leurs missions.

Nous vous remercions très sincèrement d’être venus à notre rencontre soit en visioconférence, M. Michel SAUVADE, vice-président du conseil départemental du Puy de Dôme, maire de Marsac-en-Livradois et qui représentera l’AMF et Départements de France, soit en présentiel :
– pour l’Association des régions de France, M. Jérôme TRÉ-HARDY, conseiller régional de Bretagne, (je me souviens que nous nous sommes rencontrés à Rennes au Pôle d’excellence cyber, avec mon collègue co-rapporteur budgétaire des crédits du programme 129 relatif à la cybersécurité) et Mme Constance NEBBULA, vice-présidente de la Région des Pays de la Loire chargée du numérique. Vous êtes les acteurs les plus au fait pour nous relater vos expériences respectives dans la création des CSIRT de vos régions. Vous êtes accompagnés de Mme Laure PRÉVOT, conseillère économie à Régions de France ;
– Pour Intercommunalités de France, nous recevons Mme Marlène LE DIEU DE VILLE, vice-présidente en charge du numérique d’Intercommunalités de France, vice-présidente déléguée à l’économie numérique, aux systèmes d’information et à la culture de la communauté de communes de Lacq-Orthez. Vous êtes accompagnées de Mme Montaine BLONSARD, Responsable des relations avec le Parlement d’Intercommunalités de France ;
– Enfin, pour la Métropole du Grand Paris, nous recevons à sa demande M. Geoffroy BOULARD, maire du 17e arrondissement, conseiller de Paris et vice-président de la Métropole du Grand Paris, accompagné de Mme Justine TERZI, chargée de mission Cyber-Métropole du Grand Paris et M. Eloy LAFAYE, chef de projet Innovation numérique.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte pour une durée de 10 minutes au maximum puis je donnerai la parole à chacun des rapporteurs, MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions./font>

– – – –

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA