Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.
Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.
J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.
Je les remercie pour la qualité et la pertinence de leurs analyses.
Voir l’intégralité de l’audition sur le site du Sénat.
VERBATIM de mon intervention
INTRODUCTION
Mes chers collègues,
Mesdames, Messieurs,
Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.
Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.
Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.
Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.
Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.
Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.
Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer
CONCLUSION
Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.
Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?
Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?
Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.
Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.
Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.
Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.
En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.
Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.
C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.
On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.
Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.
(*) Computer Security Incident Response Team ou CSIRT