Suite à l’adoption par le Sénat du projet de loi « relatif à la Résilience des infrastructures critiques et au renforcement de la cybersécurité » ce 12 mars (compte-rendu), j’ai présenté les apports et les recommandations de la commission spéciale que je préside, avant le jeu de questions-réponses.

L’échange fut riche et constructif avec une soixantaine de participants sur les enjeux et les implications de la transposition des trois directives européennes (dites REC, NIS2 et DORA) en droit français.

J’ai ainsi rappelé que notre objectif n’est pas d’empêcher les cyber-attaques, mais d’être résilient, dans le cadre d’une loi faite avec les professionnels pour les professionnels.

VERBATIM de mon intervention

Mesdames, Messieurs,

Je tiens tout d’abord à remercier MM. Pierre Lellouche, Président, et Christian Sommade, Délégué général, du Haut comité français pour la résilience nationale de m’associer régulièrement à vos travaux. L’an dernier, j’avais pu m’exprimer à votre invitation dans les locaux de la Direction générale de la Gendarmerie nationale sur les questions de cybersécurité, de souveraineté du cloud et des ingérences numériques étrangères dont je suis depuis 8 ans le rapporteur budgétaire pour avis de la commission des affaires étrangères et de la défense du Sénat. Nous avions alors regretté l’absence d’un représentant du Secrétariat général de la défense et de la sécurité nationale !

Quoiqu’il en soit, je suis encore plus touché que cet événement annuel se déroule aujourd’hui au Sénat et que vous m’ayez proposé d’ouvrir le débat.

Le thème sur lequel vous avez sollicité mon intervention est le suivant : « la sécurité des activités d’importance vitale à la résilience des entités critiques, quel équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs ? ».

Ce sujet est d’actualité car je préside la commission spéciale sénatoriale sur le projet de loi relatif à la résilience des entité critiques et au renforcement de la cybersécurité. Ce projet de loi a été adopté par le Sénat la semaine dernière avec exactement 100 amendements adoptés donc 61 amendements adoptés en commission et 39 amendements en séance publique.

Ce projet de loi prévoit la transposition de 3 directives différentes a fait l’objet d’un :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Je reviendrai plus en détail sur leur contenu car il entre tout à fait dans le thème de votre question relative à l’acceptation de nouvelles normes, contraignantes et coûteuses, dont le gouvernement n’est pas en mesure d’en présenter précisément l’impact pour les entreprises et les collectivités territoriales.

Cela me permet donc d’aborder très concrètement la question de l’équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs. Ce sujet a été une préoccupation constante des travaux de la commission spéciale.

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système ! Ces dispositifs sont appelés backdoors – portes dérobées – et constitue des failles de vulnérabilités afin que nos autorités puissent exercer un contrôle sur les données échangées.

Des collègues LR se sont opposés en faisant valoir que le Sénat avait adopté une position inverse à l’article 8 ter lors de la proposition de loi Narcotrafic, suite à un amendement de leur groupe. J’ai rappelé que cette disposition n’existait pas dans le rapport de la commission d’enquête de lutte contre le Narcotrafic ; que l’article 8 Ter avait eu un avis défavorable de la commission des Lois du Sénat ; et qu’il avait été adopté par le Sénat dans un contexte particulier qui ne correspondait pas au sujet débattu.

Il avait été supprimé ensuite à l’unanimité de la commission spéciale de l’Assemblée nationale. Cette disposition n’existe donc plus.

Aussi, il paraissait important de remettre l’église au milieu du village à la faveur de ce texte destiné justement à élever le niveau de notre sécurité numérique.

Face à des arguments caricaturaux et parfois déplacés des LR, j’ai indiqué en conclusion pour justifier l’amendement, que je suis en politique pour défendre des idées de liberté, de confiance dans nos réseaux dans le numérique, et notre sécurité.

En adoptant à une large majorité mon amendement, les sénateurs ont rappelé que le Sénat est et reste la maison des libertés publiques !

Je leur en suis profondément reconnaissant.

L’amendement n°1 a été adopté par 181 voix contre 134, malgré la demande de retrait du gouvernement représenté par Clara Chappaz, ministre chargée de l’Intelligence artificielle et du Numérique

VERBATIM de mon intervention

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

En effet, certaines initiatives législatives et réglementaires récentes ont cherché à imposer à ces fournisseurs l’intégration de « portes dérobées » (backdoors), de « clés de déchiffrement maîtresses » ou autres mécanismes dont le but est de créer des failles exploitables par nos autorités, comme technique de surveillance !

Ces « backdoors » sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées, comme le démontre le cas Salt Typhoon où des cybercriminels chinois ont exploité des vulnérabilités imposées aux acteurs de la Tech US par le législateur américain !

En outre, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes.

Ce projet de loi prescrit une hausse drastique des normes de cybersécurité́.

Où serait la cohérence si on acceptait que la loi autorise de créer sciemment des failles de sécurité ?

Cela irait à l’encontre des principes de sécurité, reconnus au niveau international et imposés par la directive NIS2.

La loi que nous votons ce soir doit empêcher cette possibilité.

Nous devons respecter les principes fondateurs de la RGPD, protéger le droit à la vie privée et à la protection des données personnelles.

Le chiffrement garantit une confidentialité absolue des échanges et des transactions numériques.
Cet amendement a reçu un fort soutien de la part de l’éco-système cyber.
Il vise à inscrire dans la loi un principe clair de sécurité numérique.

La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.

Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.

Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.

Liste des amendements adoptés (par ordre de discussion) sur le site du Sénat

Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.

– – – – – – – – – –

VERBATIM de mon intervention

Mes chers collègues,

L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.

Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).

Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.

Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.

Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.

Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.

La mise en œuvre de la directive européenne dite Dora, relative à la résilience cyber du secteur financier, mobilise une grande diversité d’acteurs financiers : banques, assureurs, acteurs de paiement, entreprises d’investissement, émetteur de cryptoactifs…

Aussi, la commission spéciale Cybersécurité que je préside a donné la parole, ce 11 février, aux autorités de régulation financière (Autorité des marchés financiers, Autorité de contrôle prudentiel et de résolution)

Si le cadre proposé par Dora est perçu positivement car il joue en faveur de la confiance, il suscite aussi des inquiétudes légitimes, comme l’hébergement des données sensibles chez les opérateurs de cloud qui, mis à part OVH, sont extra-européens.

Nous en avons beaucoup parlé, c’est pourquoi Dora met l’accent sur la surveillance des fournisseurs tiers critiques, bénéficiaires de contrats d’externalisation de services.

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Mes chers collègues,
Mesdames, Messieurs,

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une première table ronde avec les autorités de régulation financière :
– L’Autorité des marchés financiers (AMF) ici représentée par M. Sébastien RASPILLER, secrétaire général, qui est accompagné de M. Philippe SOURLAS, secrétaire général adjoint en charge de la direction de la gestion d’actifs et de Mme Laure TERTRAIS, directrice de cabinet auprès de la présidente Mme Marie-Anne BARBAT-LAYANI ;
– L’Autorité de contrôle prudentiel et de résolution (ACPR), pour laquelle s’exprimera M. Frédéric HERVO, secrétaire général adjoint, qui est accompagné de Mme Véronique BENSAID-COHEN, conseillère parlementaire auprès du Gouverneur, de M. Alexandre GARCIA, expert en régulation prudentielle bancaire et politique de stabilité financière, et M. Gabriel PREGUIÇA, chargé de mission.

Je vous remercie d’avoir répondu à notre invitation car vous pourrez ainsi nous éclairer sur le troisième des trois volets de ce projet de loi, à savoir la transposition de la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Ce titre 3 du projet de loi entre dans le champ de compétence de notre collègue co-rapporteur Michel CANÉVET, par ailleurs membre de la commission des Finances du Sénat.

Nos auditions avaient jusque-là surtout porté sur les deux premiers titres du projet de loi, lesquels concernent pour le titre premier la transposition la directive sur la résilience des entités critiques, dite « REC » et pour le titre 2, la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Pour autant, ces sujets ne sont pas sans lien puisque certaines questions ont pu être soulevées lors de précédentes auditions sur les recoupements ou redondances pouvant exister entre ces trois directives. Mes collègues co-rapporteurs sur les titres 1 et 2, respectivement Hugues SAURY et Patrick CHAIZE pourront vous demander des précisions lors de la séquence des questions-réponses.

Ce 17 décembre, première audition de la commission spéciale, que je préside, en charge d’examiner le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont les rapporteurs sont mes collègues Patrick Chaize, Hugues Saury et Michel Canévet.

Dans le cadre d’une table ronde sur le thème « les entreprises et la cybersécurité », les membres de la commission spéciale ont recueilli les remarques émanant du Medef et de la CPME et posé leurs questions.

Voir l’intégralité de l’audition sur le site du Sénat.

Après mon propos introductif, je suis intervenu à deux reprises dans la discussion afin de prolonger des propos des intervenants sur le financement du réseau et sur les questions de responsabilité de l’État face à la cybercriminalité. Ces deux points vont particulièrement alimenter les réflexions de notre commission spéciale.

Mes chers collègues,
Mesdames, Messieurs,

C’est avec un grand plaisir que j’ouvre aujourd’hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Cette transposition devait intervenir avant le 17 octobre de cette année, mais dans le contexte actuel ce n’est pas la seule loi qui connaît du retard. Malgré tout, il y a une vraie attente des entreprises sur les nouveaux objectifs de cybersécurité et les nouvelles obligations qui pèseront sur les entreprises.

C’est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des PME (CPME) d’avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et l’impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations notamment au directeur général de l’ANSSI que nous entendons juste après vous. L’U2P et l’Afep m’ont fait savoir que leur position n’était pas encore arrêtée et qu’elles nous adresseraient ultérieurement leur contribution écrite.

Pour le Medef, nous accueillons :
– Mme Maxence Demerlé, directrice du numérique ;
– M. Maxime Foret, chargé de mission sénior, Pole Affaires publiques ;
– Et Mme Mathilde Briard, chargée de Mission Economie numérique.
Pour la CPME, nous accueillons :
– Mme France Charruyer, membre de la Commission numérique,
– M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales,
– M. Jérôme Normand, économiste,
– Et M. Adrien Dufour, responsable des affaires publiques.

Mesdames, Messieurs, avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte, puis je donnerai la parole à chacun des rapporteurs, MM. Patrick Chaize, Hugues Saury et Michel Canévet que nous attendons, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Avant de vous céder la parole, je vous informe que nous avons inauguré le 17Cyber ce matin et il a été annoncé que plus de 60% des entreprises ne sont pas conscientes d’être sujettes au risque numérique, aujourd’hui.

J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.

Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.

Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.

J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.

Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).

Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.

J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.

Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.

C’est la condition pour atteindre une résilience cyber réussie.