Adoption en commission spéciale du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Il y a quelques mois, j’indiquais dans un article que j’intégrais la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructure critiques et au renforcement de la cybersécurité.

Pour rappel : En 2024, l’ANSSI indique, dans son panorama de la cybermenace, avoir traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à 2023. Les attaques par rançongiciel ont augmenté de 30 % entre 2022 et 2023. La cybermenace n’épargne plus aucun secteur de la vie économique et sociale : 34 % de ces attaques visaient des TPE/PME, 24 % des collectivités territoriales, 10 % des entreprises stratégiques, 10 % des établissements de santé et 9 % des établissements d’enseignement supérieur.

Ce phénomène a conduit l’Union européenne à adopter, en 2022, trois directives, pour lesquelles le projet de loi relatif à résilience des infrastructures critiques et au renforcement de la cybersécurité prévoit la transposition de :

• La directive sur la résilience des entités critiques (REC) qui renforce, en fixant un standard européen commun, la préparation et la réponse aux risques qui pèsent sur les infrastructures considérées comme critiques par les pays européens dans onze secteurs d’activité : énergie, transports, secteur bancaire, santé, eau potable, denrées alimentaires, infrastructures numériques, administration publique, Espace…

• La directive dite « NIS 2 » du 14 décembre 2022 qui concerne des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Nis 2 s’appuie sur la directive NIS 1 de 2016, mais en élargit considérablement le champ. Le nombre d’entités régulée passent de 500 à près de 15000. Le nombre de secteurs couverts passent de 6 à 18 (ajout de la santé, la chimie, les services postaux, la recherche, etc.). Une distinction est instaurée entre Entités essentielles (EE) et Entités importantes (EI).

• La directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (DORA) qui encadre plus rigoureusement l’emploi des technologies numériques dans le secteur financier. La directive comporte une série de mesures techniques. Elle permet d’harmoniser le cadre de prévention, de détection et de compte rendu des incidents applicable aux entités financières. Elle crée des règles communes encadrant le recours par les entités financières à des prestataires de services numériques.

Malgré la démission récente du gouvernement, la commission spéciale a tout de même examiné, les 9 et 10 septembre, le projet de loi de transposition déjà adopté par le Sénat, ainsi que les plus de 500 amendements déposés par les députés. Parmi les modifications marquantes que nous avons apportées, figure notamment la désignation de cybermalveillance.gouv.fr comme pilote national de la prévention en matière de cybersécurité. Jérôme Notin, directeur de cybermalveillance.gouv.fr – qui était intervenue à ma réunion publique sur la cybersécurité – a salué cette évolution évoquant même « une nouvelle page » pour le dispositif.

Au total, plus de 200 amendements ont été adoptés sur ce texte très technique, renforçant globalement les exigences en matière de cybersécurité. J’ai moi-même fait adopter un amendement introduisant un critère de nécessité afin de mieux apprécier et objectiver la légalité des demandes d’accès formulées par l’ANSSI lors de contrôles d’entités, lorsqu’elles touchent directement au secret des affaires.

Le projet de loi doit désormais être examiné en séance sans qu’une date n’est encore été fixée en l’absence d’un gouvernement.