Le 29 janvier, la Commission des Affaires étrangères et de la Défense a voté en faveur du projet de loi, présenté par ma collègue Sylvie Goy-Chavent, autorisant l’approbation de l’accord portant sur la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).

L’accord vise à créer un Centre de développement des capacités cyber dans les Balkans occidentaux (Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie) en lui octroyant le statut d’organisation internationale (C3BO). Le siège du centre est prévu au Monténégro, à Podgorica.

Cet accord signé par trois pays qualifiés de « fondateurs » a pour objet de renforcer la cyber-résilience des Balkans par des activités de formation et de sensibilisation. Les objectifs du C3BO sont de renforcer les capacités opérationnelles des services de police et de justice, la prévention des attaques cyber et la gestion des risques.

Le C3BO vise à former des experts, au sein des agences, administrations, forces de police et de sécurité régionales. Il permettra d’approfondir la coopération entre tous les acteurs régionaux et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.

En novembre 2022, nous avions accueilli une délégation de députés monténégrins (compte-rendu) suite à la cyberattaque majeure subie par le Monténégro à l’été 2022. 17 systèmes différents localisés dans 10 ministères avaient été corrompus et 3000 ordinateurs d’état avaient dû être réinstallés. L’ANSSI avait dépêché 15 agents à Podgorica pour la circonstance.

La menace cyber a fortement évolué ces dernières années, nous a rappelé la ministre, car « cette menace historiquement stratégique est désormais devenue systémique ».

Une prise de conscience collective est nécessaire, puisque ces attaques concernent désormais « l’ensemble du tissu économique et social ». Notre système financier est tout aussi exposé à la menace : « plus de la moitié des banques ayant été victimes d’une attaque réussie en 2024 », illustre la ministre. Justement la transposition de la directive dite Dora analyse le risque spécifique qui pèse sur ce secteur.

Afin de moderniser notre cadre réglementaire pour une meilleure prévention des risques, il apparaît crucial à notre commission d’adopter une approche proportionnée, en évitant les surtranspositions du droit européen et en harmonisant les obligations de sécurité. C’est pourquoi le dialogue avec les professionnels est au cœur de notre préoccupation.

Avec mes deux collègues rapporteurs présents, Michel Cavenet et Patrick Chaize, nous avons relayé les inquiétudes des entreprises et des experts en cybersécurité, auprès de Clara Chappaz.

Parmi les points de friction, la commission a noté le risque de “sous-transpositions” ou de “sur-transpositions” qui se traduirait par un recours à la voie réglementaires pour entrer dans le détail de divers dispositifs prévus par les directives. Dès lors, le décret va prendre le pas sur la loi pour préciser une quarantaine de mécanismes, comme la définition d’incidents ou les délais relatifs à la procédure de notification d’incidents (pourtant clairement définis par la directive européenne) qui ne figurent pas dans le projet de loi.

Verbatim de mon introduction

Pour y parvenir, le sénateur a pris des crédits au programme 308 « Protection des droits et libertés » qui regroupe les crédits de sept autorités administratives indépendantes, d’une autorité publique indépendante, l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), du Comité consultatif national d’éthique (CCNE) et de la Commission nationale consultative des droits de l’homme (CNCDH).

Même si comme mes collègues, je considère la cyberguerre comme une priorité, il ne m’apparaît pas pertinent de “déshabiller Pierre pour habiller Paul”.

Je me suis donc opposé à cet amendement qui a été voté par le Sénat. Si la CMP ne revient pas en arrière sur ce vote, le gouvernement devra choisir quel organisme fera les frais de cette décision.

Résumé de mon intervention :
Lors de nos auditions, avec Mickaël Vallet, nous avons demandé au SGDSN si les crédits alloués lui permettraient de fonctionner, y compris d’accompagner NIS2 : il n’a pas dit qu’il avait besoin de plus d’argent, mais qu’il pourrait faire avec ce budget.
Protéger la France en matière de cybersécurité requiert tout un écosystème, pas seulement de l’argent public. Le public et le privé doivent fonctionner ensemble. Quel pays est le modèle en la matière ? Taïwan, où l’écosystème intervient avec le soutien de l’État. Nous devons repenser notre fonctionnement. Ne créons pas une ligne Maginot imaginaire pour contrer les attaques cyber ; nous ne réglerons pas le problème avec 2 millions d’euros supplémentaires. Rappelons qu’une commission spéciale sur la cybersécurité travaille sur ces questions.

Afin de préserver le SGDSN qui représente 45% des crédits,  Patrick Mignola, ministre délégué chargé des relations avec le Parlement, a proposé le transfert du budget de l’IHEDN (Institut des Hautes études sur la Défense nationale) de 7 millions d’euros vers le ministère des Armées à budget constant.

Une initiative acceptée par Sébastien Lecornu, ministre des Armées qui permet de protéger les moyens l’Anssi et de Viginum, d’autant que le Sénat a maintenu le budget des Armées.

J’ai soutenu cet amendement. En effet, lors de mon échange à Matignon avec le cabinet du précédent premier ministre, j’avais  évoqué la trajectoire du financement de l’IHEDN. Nous avions convenu que cela devrait conduire le Premier ministre à s’interroger si ce financement ne relevait pas plutôt de la mission défense, pour mieux s’assurer que la fonction stratégique d’influence de l’IHEDN s’inscrit bien dans les priorités de la revue nationale stratégique de 2022.

J’avais également évoqué cette option avec le ministre Patrick Mignola. Je suis ravi que cette vision ait prospéré au niveau gouvernemental.

Malheureusement, cela n’a pas été compris par mes collègues qui ont rejeté l’amendement.

J’espère que la CMP sera favorable à cette évolution.

Résumé de mon intervention :
C’est un amendement difficile. Co-rapporteur de ce budget depuis huit ans, j’auditionne l’Anssi régulièrement, mais je n’achète pas l’idée que c’est parce qu’on mettra plus d’argent qu’on sera forcément mieux défendus. L’Anssi et Viginum ont prouvé qu’ils avaient la capacité de répondre aux attaques.
Dans une entreprise, lorsque le chiffre d’affaires baisse, on fait des choix. Avec le cabinet du précédent Premier ministre, nous avions envisagé d’intégrer le budget de l’IHEDN à celui des Armées, à la mission Défense. Nécessité fait loi.
Je remercie le ministre des Armées de l’avoir accepté, ce qui permet d’amortir la baisse de crédits pour qu’elle n’impacte pas plus l’Anssi et Viginum.
Si nous ne prenons pas en compte notre situation budgétaire, nous irons vers de plus grandes menaces encore.

Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.

J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.

Je les remercie pour la qualité et la pertinence de leurs analyses.

INTRODUCTION

Mes chers collègues,
Mesdames, Messieurs,

Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.

Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.

Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer

CONCLUSION

Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.

Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?

Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?

Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.

Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.

Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.

Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.

En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.

Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.

C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.

On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.

Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.

Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
– Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
– Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
– Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
– Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
– Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
– Clément Dugravot, administrateur à la commission des Affaires économiques
– Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
– Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
– Thomas Plomteux, Head of IT Prudential Supervision
– Liesbeth Denturck, conseillère juridique
– Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
– Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet, Patrick Chaize et Hugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.

Voir l’intégralité de l’audition sur le site du Sénat.

J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».

Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)

Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.

Mes chers collègues,

Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.

Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.

Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.

C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».

Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.

Ce 17 décembre, première audition de la commission spéciale, que je préside, en charge d’examiner le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont les rapporteurs sont mes collègues Patrick Chaize, Hugues Saury et Michel Canévet.

Dans le cadre d’une table ronde sur le thème « les entreprises et la cybersécurité », les membres de la commission spéciale ont recueilli les remarques émanant du Medef et de la CPME et posé leurs questions.

Voir l’intégralité de l’audition sur le site du Sénat.

Après mon propos introductif, je suis intervenu à deux reprises dans la discussion afin de prolonger des propos des intervenants sur le financement du réseau et sur les questions de responsabilité de l’État face à la cybercriminalité. Ces deux points vont particulièrement alimenter les réflexions de notre commission spéciale.

Mes chers collègues,
Mesdames, Messieurs,

C’est avec un grand plaisir que j’ouvre aujourd’hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Cette transposition devait intervenir avant le 17 octobre de cette année, mais dans le contexte actuel ce n’est pas la seule loi qui connaît du retard. Malgré tout, il y a une vraie attente des entreprises sur les nouveaux objectifs de cybersécurité et les nouvelles obligations qui pèseront sur les entreprises.

C’est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des PME (CPME) d’avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et l’impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations notamment au directeur général de l’ANSSI que nous entendons juste après vous. L’U2P et l’Afep m’ont fait savoir que leur position n’était pas encore arrêtée et qu’elles nous adresseraient ultérieurement leur contribution écrite.

Pour le Medef, nous accueillons :
– Mme Maxence Demerlé, directrice du numérique ;
– M. Maxime Foret, chargé de mission sénior, Pole Affaires publiques ;
– Et Mme Mathilde Briard, chargée de Mission Economie numérique.
Pour la CPME, nous accueillons :
– Mme France Charruyer, membre de la Commission numérique,
– M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales,
– M. Jérôme Normand, économiste,
– Et M. Adrien Dufour, responsable des affaires publiques.

Mesdames, Messieurs, avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte, puis je donnerai la parole à chacun des rapporteurs, MM. Patrick Chaize, Hugues Saury et Michel Canévet que nous attendons, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Avant de vous céder la parole, je vous informe que nous avons inauguré le 17Cyber ce matin et il a été annoncé que plus de 60% des entreprises ne sont pas conscientes d’être sujettes au risque numérique, aujourd’hui.

J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.

Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.

Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.

J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.

Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).

Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.

J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.

Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.

C’est la condition pour atteindre une résilience cyber réussie.

J’ai partagé cette fierté avec (à l’image, g. à d. ) Jérôme Notin, directeur général de Cybermalveillance.gouv.fr (GYP ACYMA) ; le préfet Louis Laugier, directeur général de la Police nationale ; Vincent Strubel, directeur général de l’ANSSI et le général de division Marc Boget, directeur de la stratégie digitale et technologique de la Gendarmerie Nationale.

Comme on compose le 17 en cas d’urgence, le site 17Cyber doit devenir le nouveau réflexe d’assistance en ligne pour toutes les victimes de cyberdélinquance.

En effet, le dispositif 17Cyber est destiné à toutes les victimes d’infractions numériques : particuliers, entreprises, collectivités. Rappelons que 9 Français sur 10 ont déjà été confrontés à une situation de malveillance informatique, notamment à l’hameçonnage (70%).

Disponible 24h/24 et 7j/7, ce guichet unique permet aux victimes de comprendre rapidement, en répondant à quelques questions, à quel type de menace ils sont confrontés et ainsi, recevoir des conseils personnalisés et une assistance technique de la part de l’un des 1200 prestataires référencés ou labellisé par Cybermalveillance.gouv.fr.

Si le diagnostic confirme la gravité de l’atteinte, les victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer des conseils de première urgence et engager les démarches de judiciarisation.

Je suis heureux de l’aboutissement de ce concept que j’ai cherché à mettre en place depuis janvier 2019, avant qu’il ne soit repris à son compte par le président de la République, début 2022.

Le ministère de l’Intérieur s’est chargé de piloter ce projet en s’appuyant sur Cybermalveillance.gouv.fr, dirigé par Jérôme Notin, pour le volet opérationnel. En effet, créé en 2017 par l’ANSSI, Cybermalveillance.gouv.fr dispose d’une solide expertise dans l’assistance en ligne, puisqu’il a déjà assisté plus de 1,3 million de victimes.

Un chiffre fait frémir : 62% des entreprises ne sont pas conscientes du risque cyber.

J’invite chacun à partager l’information face à la menace numérique croissante.

Pour ce faire, le ministère et Cybermalveillance.gouv.fr mettent à disposition, en complément du site 17cyber.gouv.fr, un module 17Cyber facilement intégrable sur tout site Internet.

Le module 17Cyber est disponible ICI

Ce 20 novembre, j’ai eu le plaisir d’assister aux cérémonies annuelles des Franco-British Business Awards de la Chambre de commerce franco-britannique, présidée par Fabienne Viala, en présence de Hélène Duchêne, ambassadrice de France au Royaume-Uni, et de plus de 220 chefs d’entreprise et invités.

Lors de son discours d’ouverture, la présidente a rappelé que cette cérémonie se tenait l’année des 120 ans de l’Entente cordiale, les 80 ans du Jour J, et les 30 ans de l’ouverture du tunnel sous la Manche !

La chambre compte 355 membres. La cérémonie a célébré les réalisations exceptionnelles de cinq entreprises, reconnues pour leurs efforts en matière de soutien communautaire, d’innovation, d’action climatique et de renforcement des relations franco-britanniques.

La soirée a salué les accomplissements des entreprises qui conduisent à un changement positif des deux côtés de la Manche.

. Les gagnants pour 2024 étaient Sodexo, qui a remporté deux prix : People & Community et Avenir durable.
. Le prix de l’innovation et la technologie a été remporté par Bouygues UK, celui de la petite entreprise a consacré Ethicronics.
. Enfin le prix de l’Entente Cordiale a été décerné à Djaayz.

Félicitations à tous les gagnants et aux sponsors qui ont contribué au succès de cette soirée : Safran ; Veolia ; Dassault Systèmes ; BNP ; Bouygues UK ; EDHEC et International SOS.

Point d’orgue de la soirée, l’annonce par Fabienne Viala (Bouygues UK) de sa décision de passer le témoin de la présidence. Le duo composé de Peter Alphandery et Pascal Boris, deux anciens présidents de la Chambre, a prononcé un discours très émouvant pour saluer l’action inestimable de Fabienne au service de la chambre.

Chapeau bas ! +d’images

Prix Entente Cordiale – Djaayz

Djaayz, le choix de la détente cordiale

Co-fondé par Raphael Aflalo et Cathy Guetta, Djaayz est une plate-forme qui révolutionne l’industrie de la réservation de DJ, en connectant les organisateurs d’événements avec un large réseau de DJ. Souvent appelé le “Airbnb des DJ”, il simplifie le processus de réservation de talents pour des événements de toutes tailles.

Djaayz a remporté le prix Entente Cordiale pour son rôle dans la promotion des échanges culturels franco-britanniques. En élargissant son réseau de DJ en France et au Royaume-Uni, il a créé de nouvelles opportunités pour les talents de se produire dans les deux pays, renforçant les liens entre eux grâce à la musique.

Le prix Entente Cordiale, parrainé par Bouygues UK, EDHEC et International SOS, a célébré le meilleur de la Grande-Bretagne et le meilleur de la France.

Ce prix « Grand Prix » a honoré les intérêts et les valeurs communes qui unissent la communauté franco-britannique.

Très honoré d’avoir eu le privilège de participer au jury qui a départagé trois candidats de très hauts niveaux qui pouvaient légitimement revendiquer chacun cette reconnaissance. J’ai eu le bonheur de pouvoir féliciter chaleureusement Raphael Aflalo et son équipe.

L’histoire retiendra que le prix spécial pour les 120 ans de l’Entente Cordiale de la chambre de commerce Franco-britannique a été attribué à une start-up qui incarne avant tout une forme de détente cordiale. +d’images

Cybersécurité

Cercle d’outre-Manche

Le Cercle d’outre-Manche est un think-tank, créé en 2004 par Pascal Boris et Arnaud Vaissié (International SOS et Pdt CCIFI). Il a pour objectif de faire du benchmarking entre la France et le Royaume-Uni, en mettant en avant les meilleures pratiques des deux pays.

Pascal Boris et Philippe Chalon, secrétaire général, m’ont invité, ce 22 novembre, au Royal Automobile Club, pour faire une conférence sur la guerre hybride menée contre les démocraties.

Dans un contexte géopolitique marqué par l’exacerbation des tensions internationales et le rapport de force, les campagnes de manipulation de l’information sont devenues un instrument de déstabilisation.

J’ai encouragé les participants à découvrir le guide de la sensibilisation à la menace informationnelle publié par VIGINUM, le service technique et opérationnel de l’État français chargé de la vigilance et de la protection contre les ingérences numériques étrangères.

En matière de menace informationnelle, les entreprises et acteurs économiques peuvent être ciblés par les principaux modes opératoires suivants :
1~ Le raid numérique ;
2~ L’incitation à conduire des actions dans le champ physique ;
3~ L’usurpation d’identité ;

La menace informationnelle peut poser, pour les acteurs économiques ciblés, un risque réputationnel, économique et sécuritaire.

Très heureux d’avoir retrouvé des personnalités, membres du cercle, que j’ai souvent croisées au Royaume-Uni, qui m’ont parfois accompagné ou soutenu durant toutes ces années, et d’en découvrir de nouvelles.

Dans le prolongement du propos introductif de Philippe, les mots prononcés par chaque participant pour rappeler le contact personnel noué avec moi durant ces 28 années passées au Royaume-Uni, m’ont souvent ému.

Le Cercle d’outre-Manche n’a rien perdu de sa fraîcheur et de sa hauteur, depuis que je le suis.

J’ai été très honoré d’avoir eu l’opportunité de cet échange et j’exprime à Pascal et Philippe ma profonde gratitude pour l’invitation, et ma reconnaissance aux participants pour leurs multiples marques d’intérêt. +d’images

Culture

Institut français (IFRU)

“27th South Ken Kids Festival” organisé par l’Institut français, sous le patronage de Sir Quentin Blake, qui promeut le meilleur de la littérature pour enfants des deux côtés de la Manche.

Du 18 au 24 novembre 2024, l’édition de cette année a accueilli les écrivains et les illustrateurs pour une célébration de la littérature pour enfants.

Avec un solide programme de sensibilisation, le South Ken Kids Festival encourage chaque participant à être créatif et à explorer l’art du dessin et de l’illustration.

Les invités participent à un grand éventail d’activités éducatives organisées avec des écoles du Grand Londres – et à des événements publics organisés à l’Institut français, des ateliers, des conférences, des dessins animés et de la narration, aux films, aux concerts et aux dédicaces de livres.

J’ai assisté à la conférence du 22 novembre consacrée à l’histoire des bandes dessinées et des romans graphiques, animée par les célèbres auteurs et illustrateurs de bandes dessinées Posy Simmonds, Jean-Luc Fromental et Joëlle Jolivet.

Félicitations à Anissia Morel, directrice de l’IFRU et toute l’équipe pour cet événement.

Très heureux d’avoir pu échanger avec Catherine Guiat, directrice de l’IF Écosse, et Sophie Defrance, directrice à la British Library pour les ouvrages en français qui contribuent au quotidien à promouvoir le français au Royaume-Uni. +d’images

Coopération

Eurostar – Reconnaissance faciale

J’ai utilisé pour la première fois le dispositif “SmartCheck” pour prendre l’Eurostar à la gare de Londres St Pancras.

Ce dispositif biométrique utilise la reconnaissance faciale pour vérifier l’identité des voyageurs et les associer à leurs billets et passeports, préalablement enregistrés avec leur téléphone, éliminant ainsi le besoin de tickets papier et réduisant les contrôles manuels.

Une voie dédiée permet de passer les contrôles rapidement et sans contact. Ce processus simplifie également la vérification des passeports, côté britannique.

Cependant, un passage par les contrôles des frontières françaises reste requis.

J’ai demandé à la Police de l’air et des frontières (PAF), pourquoi leur contrôle persistait puisque toutes les données étaient saisies, et qu’il suffisait de s’interconnecter pour avoir toutes les données à l’avance ?

1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.

J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.

Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…

2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.

Un groupe de travail préfiguratif avait été constitué au mois de juin dernier. Entretemps, la dissolution de l’Assemblée nationale, puis la constitution du nouveau gouvernement ont retardé le processus et ce n’est donc que le 15 octobre dernier que le projet de loi a été déposé sur le Bureau du Sénat en première lecture.

Ce projet de loi vise la transposition de 3 directives distinctes, dont la directive dite « NIS2 » qui a déjà soulevé bien des débats :

o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense ;

o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;

o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission
des Finances.

Je souhaite que nous puissions entendre en premier lieu Mme Clara Chappaz, Secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, avec qui je me suis entretenu ces derniers jours.

Nos auditions seront programmées dans les semaines suivantes dans la perspective d’un examen en séance publique qui pourrait avoir lieu mi-février 2025.

La commission spéciale a constitué son Bureau au cours de sa séance constitutive du 12 novembre 2024 :

Le Président :
. Olivier Cadic (UC – Français de l’étranger)

Les Rapporteurs :
. Michel Canevet (UC – Finistère)
. Patrick Chaize (LR – Ain)
. Hugues Saury (LR – Loiret)

Les Vice-présidents :
. Cédric Perrin (LR – Territoire de Belfort)
. Christine Lavarde (LR – Hauts-de-Seine)
. André Reichardt (LR – Bas-Rhin)
. Hélène Conway-Mouret (SER – Français de l’étranger)
. Audrey Linkenheld (SER – Nord)
. Nadège Havet (RDPI – Finistère)
. Vanina Paoli-Gagin (LIRT – Aube)
. Michelle Gréaume (CRCE – Nord)
. Akli Mellouli (GEST, Val de Marne)
. Bernard Fialaire (RDSE – Rhône)

Dans le domaine cyber, le général nous a indiqué que 1000 enquêteurs travaillaient sous pseudonyme et que 500 cyber-réservistes complètent son dispositif. Il a insisté sur le rôle essentiel de prévention des gendarmes en la matière, qui vont au contact de toutes les populations, des établissements scolaires aux Ehpad, en passant par les petites mairies.

Au sujet de l’intelligence artificielle, le général Bonneau a mentionné une initiative (CAP IA) qui a pour vocation d’aider et soutenir le gendarme grâce à l’IA. Toutefois, « la vraie difficulté en la matière, c’est notre cadre réglementaire et législatif » auquel les gendarmes ne peuvent évidemment déroger.

Merci beaucoup pour votre présentation. Félicitations pour la Minute-cyber qui nous informe sur le progrès de vos opérations dans ce domaine et je veux citer l’opération Ghost pour laquelle vous nous avez informés avec cette task-force internationale au sein d’Europol qui a permis d’interpeler, le mois dernier, 50 personnes et saisir drogue, armes et des millions d’euros. Félicitations pour cette action.

Combien de sollicitations pour des attaques cyber enregistrez-vous ? Nous attendons la mise en place du « 17 cyber » pour centraliser justement les demandes des particuliers victimes en matière cyber. Avez-vous des statistiques à nous communiquer dans ce domaine ?

Ces services étaient représentés par MM. Stéphane Bouillon, secrétaire général du SGDSN, Vincent Strubel, directeur général de l’ANSSI et Marc-Antoine Brillant, chef du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), lors de leur audition budgétaire annuelle devant notre commission des Affaires étrangères et de la Défense, le 6 novembre dernier.

Face aux contraintes budgétaires, j’ai interrogé nos responsables sur deux points majeurs :

Sur le Name & Shame :
Stéphane Bouillon (SGDSN) a distingué deux types de réponse : soit l’attribution, lorsqu’on est sûr que tel ou tel état est en cause, soit l’imputation, lorsque l’attaque utilise des « modes d’action habituels des services chinois, russes ou autres ». Quoi qu’il en soit, les dossiers remontent au sommet de l’État, car nommer l’agresseur demeure du ressort de l’autorité politique « dans un système où il y a le jeu des relations internationales ».
Pour sa part, Vincent Strubel (ANSSI) estime que dénoncer publiquement une manipulation de l’information est une réponse très naturelle pour rétablir la vérité, mais que dans le domaine cyber, le Name and Shame « n’est pas forcément très dissuasif ». En revanche, il met en avant la pratique du partage de l’information, associée à celle du « démantèlement d’infrastructures techniques de l’attaquant ». Une pratique « qui se développe de plus en plus, en lien avec nos principaux alliés ».

Je tiens tout d’abord à m’associer aux propos du président pour saluer votre action et celle de vos services au cours de cette année 2024. Vous avez relevé le défi des Jeux olympiques dans un contexte géopolitique extrêmement tendu, rendu encore plus compliqué en politique intérieure par la succession des élections européennes et législatives.

Je veux donc saluer l’action de l’ANSSI, de Viginum et, évidemment, de tout l’écosystème qui vous entourait, ceux qui étaient en première ligne et qui ont répondu aux menaces cyber et informationnelles.

On pourrait dire que le dôme cyber a tenu.

Je disais l’an dernier qu’il n’y aurait pas de médaille d’argent en cas de défaillance de nos systèmes d’information ou de déstabilisation du bon déroulement des opérations électorales. Il n’en a rien été malgré des attaques bien réelles, vous l’avez rappelé. Il faut s’en féliciter et, comme vous M. Strubel, c’est effectivement une médaille d’or pour vos services et toutes vos équipes. Il est important de leur manifester toute notre reconnaissance d’avoir gagné cette bataille.

En qualité de sénateur de Français de l’étranger, je veux en profiter, comme Hélène, de vous exprimer notre gratitude pour le vote internet pour les Français de l’étranger qui a été très performant et qui montre aujourd’hui qu’il est devenu incontournable à l’étranger pour avoir une élection réussie.

Ce satisfecit ne doit pas nous empêcher de penser l’avenir. Ce budget pour 2025 ne répond manifestement pas aux besoins exprimés antérieurement par vos services :
– L’Anssi escomptait une croissance de ces effectifs et de son budget afin d’assumer les missions supplémentaires qui lui seront confiées après l’examen à venir du projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Au lieu de réguler l’activité d’environ 500 entités, cette agence devra changer d’échelle pour en gérer environ 15 000 ;
– Dans le même ordre d’idée, Viginum devait poursuivre sa croissance pour atteindre 65 ETP en 2025. Ce ne sera pas le cas et ses effectifs resteront identiques.

Ces deux cas de figure posent la question des priorités et des ajustements que vous devrez assumer. Cela pose également la question du périmètre des missions de l’ANSSI. Est-ce que l’agence pourra continuer à mener de front ses activités de régulateur, mais aussi d’acteur et parfois de prestataire de sécurité ?
On pourrait parler pour 2025, mais on ne peut pas regarder 2025 sans se projeter dans la suite et c’est ce qui est important.

J’ai une deuxième question sur la procédure. Lorsqu’on a discuté sur les attaquants, on avait dit que s’il y avait un podium, le premier pays des attaquants ce serait la Chine, ensuite la Russie et, en troisième position, l’Iran. Viginum agit aujourd’hui comme une force de réaction rapide pour contrer la désinformation et, on l’a vu, avec efficacité pour anticiper. Vous avez dénoncé, vous avez fait du “Name and Shame”, comme on dit en bon français. Effectivement, il faut nommer qui nous attaque, mais cela n’est pas toujours le cas. J’aimerais donc savoir quelle est la procédure qui détermine le fait que nous allons pouvoir nommer l’attaquant, puisqu’on voit bien que certaines attaques nous arrivent d’un certain endroit, mais elles ne sont pas dénoncées.