Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Belgique – Bruxelles (10 déc. 2024) – Déplacement Commission Spéciale Cybersécurité

(à l’image) Entouré de Michel Canévet et de Patrick Chaize, rapporteurs de la la commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside.

Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
Clément Dugravot, administrateur à la commission des Affaires économiques
Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
Thomas Plomteux, Head of IT Prudential Supervision
Liesbeth Denturck, conseillère juridique
Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

Nous avons salué l’approche pragmatique du CCB et remercié nos interlocuteurs pour leur partage d’information. +d’images

Conférence RésiFrance : une certaine idée de la cyber-résilience

Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.

J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.

Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.

Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.

J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.

Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).

Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.

J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.

Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.

C’est la condition pour atteindre une résilience cyber réussie.

Ma collègue Vanina Paoli-Gagin, vice-présidente de la commission spéciale, a participé à la table ronde qui a suivi, intitulée “la résilience : une stratégie nationale”. +d’images

– – – – – – – – – – – – – – –

(1) Depuis 2018, rapporteur pour avis des crédits du programme 129 sur la coordination du travail gouvernemental en matière de sécurité et de défense nationale. Cela recouvre la résilience de la Nation, la cybersécurité (ANSSI) et la lutte contre les menaces hybrides dont les manipulations de l’information (Viginum)

(2) 3 directives européennes :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission des Finances.

Résilience/Cybersécurité/NIS2 – Une commission spéciale pour transposer 3 directives européennes

Très honoré d’assumer la présidence de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, suite à sa séance constitutive du 12 novembre.

Un groupe de travail préfiguratif avait été constitué au mois de juin dernier. Entretemps, la dissolution de l’Assemblée nationale, puis la constitution du nouveau gouvernement ont retardé le processus et ce n’est donc que le 15 octobre dernier que le projet de loi a été déposé sur le Bureau du Sénat en première lecture.

Ce projet de loi vise la transposition de 3 directives distinctes, dont la directive dite « NIS2 » qui a déjà soulevé bien des débats :

o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense ;

o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;

o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission
des Finances.

Je souhaite que nous puissions entendre en premier lieu Mme Clara Chappaz, Secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, avec qui je me suis entretenu ces derniers jours.

Nos auditions seront programmées dans les semaines suivantes dans la perspective d’un examen en séance publique qui pourrait avoir lieu mi-février 2025.

La commission spéciale a constitué son Bureau au cours de sa séance constitutive du 12 novembre 2024 :

Le Président :
. Olivier Cadic (UC – Français de l’étranger)

Les Rapporteurs :
. Michel Canevet (UC – Finistère)
. Patrick Chaize (LR – Ain)
. Hugues Saury (LR – Loiret)

Les Vice-présidents :
. Cédric Perrin (LR – Territoire de Belfort)
. Christine Lavarde (LR – Hauts-de-Seine)
. André Reichardt (LR – Bas-Rhin)
. Hélène Conway-Mouret (SER – Français de l’étranger)
. Audrey Linkenheld (SER – Nord)
. Nadège Havet (RDPI – Finistère)
. Vanina Paoli-Gagin (LIRT – Aube)
. Michelle Gréaume (CRCE – Nord)
. Akli Mellouli (GEST, Val de Marne)
. Bernard Fialaire (RDSE – Rhône)

Les Secrétaires :
. Etienne Blanc (LR – Rhône)
. Rémi Cardon (SER – Somme)
. Catherine Morin-Desailly (UC – Seine-Maritime)