Accueil      En circonscription      Sénat      Bilan de mandat      Revue de Presse          Parcours      Contact     
    

Semaine AFE – La cybersécurité au service des Français de l’étranger

C’est une triste évidence : plus nous dématérialisons nos services consulaires, plus nos compatriotes deviennent exposés à des risques croissants, comme l’usurpation d’identité pour ne citer qu’un exemple.

Avec Nadia Chaaya, présidente du groupe les Indépendants à l’AFE, nous avons fait de la sécurité une priorité pour les Français de l’étranger.

Thierry Consigny, très engagé en matière de cyber sécurité, a œuvré pour me permettre d’être auditionné à l’AFE, à la veille de la discussion au Sénat de la loi sur la cybersécurité et la résilience.

Ainsi, j’ai participé à deux auditions successives, ce 10 mars, à l’invitation de la commission de Sécurité et des Risques sanitaires de l’AFE, présidée par Catya Martin, afin d’échanger sur les cybermenaces, puis de discuter du dispositif 17Cyber accessible aux Français de l’étranger.

1. Audition Cybermenaces

Aux côtés de ma collègue Hélène Conway-Mouret, nous avons livré un panorama international des cybermenaces, ingérences étrangères et campagnes de désinformation, en présentant les travaux parlementaires en cours pour hausser le niveau de cybersécurité de nos citoyens et de nos organisations.

Cette rencontre m’a permis de mettre en garde les élus contre les cyber-attaques et la désinformation dont ils peuvent être l’objet en partageant :

  • les attaques dont les élus peuvent être victimes, à l’image de ce que nous avons pu observer l’an dernier avec l’attaque du groupe chinois APT31 ;
  • les manœuvres de désinformation détectées lors du Covid, la genèse de Viginum (service technique et opérationnel de la France chargé de la vigilance et de protection contre les ingérences numériques), créé en 2021;
  • les rapports produits par ce service pour dévoiler les manipulations de l’information par la Russie ou l’Azerbaïdjan
  • l’actualité brûlante, notamment au travers du projet de loi sur la cybersécurité et la résilience voté par le Sénat ce 12 mars, dont j’ai présidé la commission spéciale.

J’ai justifié mon opposition à l’idée d’imposer des « backdoors » (portes dérobées) à certains fournisseurs permettant aux services de sécurité français de surveiller les messageries cryptées (WhatsApp, Signal, Olvid). En effet, ces failles de vulnérabilité, volontaires introduites, ruineraient la confiance publique et seraient un cadeau en or pour les hackers (Lire).

Lire le compte-rendu de cette audition

(g à d) Pierre Leducq, VP de la commission ; Thierry Consigny ; Luc Dorso ; Geneviève Beraud-Suberville ; Jérôme Notin ; Nadia Chaaya ; Olivier Cadic

2. Audition 17 Cyber : vers un dépôt de plainte en ligne

Très heureux que la commission ait décidé de m’auditionner en compagnie de Jérôme Notin, directeur général du GIP ACYMA (1), groupement qui avait lancé en 2017 la plateforme Cybermalveillance.gouv.fr.

Jérôme est venu faire la démonstration du dispositif 17cyber.gouv.fr, lancé le 17 décembre 2024 et dont je le remercie de m’en attribuer la paternité dès qu’il en a l’occasion. Équivalent numérique du « 17 Police secours », le 17 Cyber est un dispositif d’assistance 24h/24 destiné à chaque citoyen, administration ou entreprise face aux actes de cyber-malveillance. J’ai porté cette initiative depuis 2019, à mon retour de Beer Sheva en Israël (compte-rendu), avant avant qu’elle ne soit reprise dans le programme de campagne du président Macron en janvier 2022 (2).

A ce jour, les victimes sont immédiatement conseillées et orientées, mais elles ne peuvent toujours pas déposer plainte en ligne, ce qui est d’autant plus problématique pour les Français résidant l’étranger.

Aussi, nous avons plaidé de concert avec Jérôme Notin pour que la commission de Sécurité et des Risques sanitaires rédige une proposition de résolution dans le but de permettre aux Français établis hors de France d’accéder au service de plainte en ligne sans restriction géographique (en adaptant le décret n°2024-478 du 27 mai 2024)

Par ailleurs, cette motion demande l’extension du champ infractionnel du dispositif (phishing, extorsion en ligne…) ; l’ajout d’un portail dédié sur les sites des consulats et ambassades redirigeant vers Cybermalveillance.gouv.fr et 17Cyber.fr ; la mise en place de campagnes de sensibilisation par le réseau diplomatique français ou encore une meilleure coordination des différents services de signalement.

Lire la résolution n°03.2025 de la commission de Sécurité et des Risques sanitaires (42e AFE)

Cette proposition de resolution a été adoptee à l’unanimité, le 14 mars 2025, par l’Assemblée des Français de l’étranger !

Nous nous sommes réjouis avec Jérôme Notin d’avoir été entendus et soutenus dans cette démarche par l’AFE. Ce travail collectif doit nous permettre d’avancer vers un nouveau progrès pour les Français de l’étranger au bénéfice de tous les Français.

Compte-rendu de l’audition 17 Cyber du 10 mars, rédigée par l’AFE

(1) Créé en 2017, le groupement d’intérêt public Actions contre la Cybermalveillance (GIP ACYMA) a trois grandes missions : assister les victimes d’actes de cybermalveillance / prévenir les risques et sensibiliser les populations sur la cybersécurité / observer et anticiper le risque numérique par la création d’un observatoire.
(2) Le 17 Cyber, guichet unique numérique, est le fruit d’une collaboration entre l’ANSSI, le ministère de l’Intérieur, la Police, la Gendarmerie et le ministère de la Justice.

Sénat – Intervention devant le Haut comité français pour la Résilience nationale – PJL Résilience & Cyber

Ce 18 mars, j’étais l’invité d’honneur du Haut comité français pour la Résilience nationale pour m’exprimer lors d’un petit-déjeuner débat sur le thème : « De la sécurité des activités d’importance vitale à la résilience des entités critiques », quel équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs ?”

Suite à l’adoption par le Sénat du projet de loi « relatif à la Résilience des infrastructures critiques et au renforcement de la cybersécurité » ce 12 mars (compte-rendu), j’ai présenté les apports et les recommandations de la commission spéciale que je préside, avant le jeu de questions-réponses.

L’échange fut riche et constructif avec une soixantaine de participants sur les enjeux et les implications de la transposition des trois directives européennes (dites REC, NIS2 et DORA) en droit français.

J’ai ainsi rappelé que notre objectif n’est pas d’empêcher les cyber-attaques, mais d’être résilient, dans le cadre d’une loi faite avec les professionnels pour les professionnels.

VERBATIM de mon intervention

Mesdames, Messieurs,

Je tiens tout d’abord à remercier MM. Pierre Lellouche, Président, et Christian Sommade, Délégué général, du Haut comité français pour la résilience nationale de m’associer régulièrement à vos travaux. L’an dernier, j’avais pu m’exprimer à votre invitation dans les locaux de la Direction générale de la Gendarmerie nationale sur les questions de cybersécurité, de souveraineté du cloud et des ingérences numériques étrangères dont je suis depuis 8 ans le rapporteur budgétaire pour avis de la commission des affaires étrangères et de la défense du Sénat. Nous avions alors regretté l’absence d’un représentant du Secrétariat général de la défense et de la sécurité nationale !

Quoiqu’il en soit, je suis encore plus touché que cet événement annuel se déroule aujourd’hui au Sénat et que vous m’ayez proposé d’ouvrir le débat.

Le thème sur lequel vous avez sollicité mon intervention est le suivant : « la sécurité des activités d’importance vitale à la résilience des entités critiques, quel équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs ? ».

Ce sujet est d’actualité car je préside la commission spéciale sénatoriale sur le projet de loi relatif à la résilience des entité critiques et au renforcement de la cybersécurité. Ce projet de loi a été adopté par le Sénat la semaine dernière avec exactement 100 amendements adoptés donc 61 amendements adoptés en commission et 39 amendements en séance publique.

Ce projet de loi prévoit la transposition de 3 directives différentes a fait l’objet d’un :
o la directive sur la résilience des entités critiques, dite « REC » ;
o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Je reviendrai plus en détail sur leur contenu car il entre tout à fait dans le thème de votre question relative à l’acceptation de nouvelles normes, contraignantes et coûteuses, dont le gouvernement n’est pas en mesure d’en présenter précisément l’impact pour les entreprises et les collectivités territoriales.

Cela me permet donc d’aborder très concrètement la question de l’équilibre entre le besoin de sécurité nationale et l’acceptation des normes par les acteurs. Ce sujet a été une préoccupation constante des travaux de la commission spéciale.

Le besoin de cybersécurité est indiscutable. Lire la suite

Avec Clara Chappaz pour le PJL Résilience & Cyber au Campus Cyber

Suite à l’adoption par le Sénat du projet de loi « relatif à la Résilience des infrastructures critiques et au renforcement de la cybersécurité » ce 12 mars (compte-rendu), Clara Chappaz, ministre déléguée en charge de l’Intelligence artificielle et du Numérique, a organisé un événement dédié au Campus Cyber de Puteaux, ce 13 mars.

J’ai été invité à ouvrir les travaux à ses côtés, en présence de Vincent Strubel, directeur général de l’ANSSI et de Michel Van Den Berghe, président du Campus Cyber.

Les enjeux cruciaux liés à la transposition en droit français des directives européennes NIS2, DORA et REC ont été rappelés. Le niveau d’exigence a été rehaussé au point qu’on parle de changement de paradigme. Heureusement, la mobilisation des professionnels et des élus locaux concernés par ce changement d’échelle est patente. L’objectif commun est de bâtir une cybersécurité efficace et durable, gage de la confiance dans notre écosystème !

En raison de l’intérêt transversal du projet de loi intéressant au moins trois commissions (défense, affaires économiques, finances), le Sénat a constitué une commission spéciale, en novembre 2024, que j’ai eu l’honneur de présider. Au cours de mon intervention, je me suis concentré sur trois points :

1 – Les apports du Sénat
Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
> Deux auditions de responsables publics, dont Clara Chappaz et Vincent Strubel.
> Cinq tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).
> Notre commission a apporté 61 amendements au texte initial.

2 – Une mesure emblématique adoptée, en séance : Empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries (compte-rendu).

3 – Les recommandations de notre commission spéciale
> Fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> Accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> Communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité. +d’images

Matinale du CyberCercle : point d’étape sur la transposition des trois directives européennes

Passionnante matinale du CyberCercle qui a montré, ce 8 mars, s’il en était besoin, l’implication des professionnels de la sécurité des systèmes d’information et de communication vis-à-vis du projet de loi visant à transposer trois directives européennes en droit français : NIS 2, DORA et REC.

Je remercie Bénédicte Pilliet, présidente du CyberCercle, d’avoir organisé ce point d’étape pour rendre compte du travail de la commission spéciale du Sénat que je préside. Avant l’examen du projet de loi en séance publique, notre commission a apporté 61 amendements au texte présenté initialement, après avoir mené de nombreuses consultations et auditions publiques auprès de l’ensemble des acteurs concernés : institutionnels, entreprises, collectivités, professionnels de la cybersécurité.

Tout au long de nos travaux, j’ai souhaité une démarche de concertation et d’écoute exemplaire, afin de proposer un texte pour les professionnels fait par les professionnels.

Le CyberCercle a évidemment été auditionné par notre commission, le 23 janvier dernier, par la voix de Christian Daviot, Stéphane Meynet et François Coupez.

Ceux-ci ont insisté en particulier sur trois axes à (ré)introduire dans le texte, dont deux qui relevaient à leur sens d’une sous-transposition de la directive NIS2 :
– la nécessité d’une stratégie nationale de cybersécurité (article 1 de la directive NIS 2)
– le partage d’informations entre acteurs (article 29 de la directive NIS2)
– et la réintroduction du rôle des ministères dans le processus d’application de la loi à venir.

Et d’une manière plus générale, comme le recommande notre commission spéciale dans son rapport, publié le 4 mars, il faudra « communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité. »

Lire LE RAPPORTRapport n° 393 Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 4 mars 2025, de MM. Michel Canévet, Patrick Chaize et Hugues Saury au nom de la commission spéciale présidée par M. Olivier Cadic.

Lire l’ESSENTIEL (PDF, 8 pages)

VIDEOS des auditions publiques de la commission spéciale sur le site du Sénat.

Sénat – Adoption du PJL Résilience & Cybersécurité

En fin de séance : Michel Canévet, Patrick Chaize, Clara Chappaz, Olivier Cadic

Très satisfait de l’adoption du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 12 mars

Je tiens à remercier mes collègues au Sénat qui ont voté mon amendement en créant ainsi un principe clair de sécurité numérique (compte-rendu).

Je salue le travail exceptionnel des trois rapporteurs de la commission spéciale que j’ai présidée pour préparer ce texte : Michel Canévet, Hugues Saury, Patrick Chaize. Toujours à notre écoute, Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, aura été un heureux élément de continuité dans ce processus, ce qui est à souligner.

Je tiens à remercier tous les membres de cette commission pour leur confiance, leur participation aux travaux et leur contribution à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Le projet de loi a été modifié par la commission spéciale, puis en séance publique qui s’est achevée le 12 mars. Ainsi, la commission spéciale a adopté 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dites REC, NIS2 et DORA :
> inscrire dans la loi l’élaboration par le gouvernement d’une stratégie nationale de cybersécurité
> compléter et encadrer les définitions et délais d’application
> clarifier les obligations pesant sur les entités assujetties
> éviter des différences de traitement injustifiées entre les entreprises
> simplifier la vie des entreprises
> modérer les effets de surtranspositions.

Les travaux en séance publique ont permis de revenir sur des rédactions communes avec le gouvernement sur les questions de contrôle et de reste à charge des coûts des contrôles, certains désaccords subsistants principalement sur le titre III relatif à la transposition de la directive DORA.

Une mesure emblématique que j’ai proposée a été adoptée : empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries ; le Sénat reste la maison qui protège les libertés publiques (compte-rendu).

Enfin, la commission spéciale a formulé plusieurs recommandations :
> fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.

Consultez Pourquoi ce texte ? Et Les apports du Sénat

Consultez l’Essentiel (PDF 8p) : la France transpose 3 directives européennes pour renforcer la résilience et la cybersécurité

Consultez le texte adopté par le Sénat relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Sénat – Adoption de mon amendement pour établir un principe clair de sécurité numérique – Vidéo 32m

Je remercie mes collègues qui ont soutenu mon amendement n°1, durant les 30 minutes de discussion, lors de l’examen du projet de loi « relatif à la Résilience des infrastructures critiques et renforcement de la cybersécurité », ce 12 mars.

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système ! Ces dispositifs sont appelés backdoors – portes dérobées – et constitue des failles de vulnérabilités afin que nos autorités puissent exercer un contrôle sur les données échangées.

Des collègues LR se sont opposés en faisant valoir que le Sénat avait adopté une position inverse à l’article 8 ter lors de la proposition de loi Narcotrafic, suite à un amendement de leur groupe. J’ai rappelé que cette disposition n’existait pas dans le rapport de la commission d’enquête de lutte contre le Narcotrafic ; que l’article 8 Ter avait eu un avis défavorable de la commission des Lois du Sénat ; et qu’il avait été adopté par le Sénat dans un contexte particulier qui ne correspondait pas au sujet débattu.

Il avait été supprimé ensuite à l’unanimité de la commission spéciale de l’Assemblée nationale. Cette disposition n’existe donc plus.

Aussi, il paraissait important de remettre l’église au milieu du village à la faveur de ce texte destiné justement à élever le niveau de notre sécurité numérique.

Face à des arguments caricaturaux et parfois déplacés des LR, j’ai indiqué en conclusion pour justifier l’amendement, que je suis en politique pour défendre des idées de liberté, de confiance dans nos réseaux dans le numérique, et notre sécurité.

En adoptant à une large majorité mon amendement, les sénateurs ont rappelé que le Sénat est et reste la maison des libertés publiques !

Je leur en suis profondément reconnaissant.

L’amendement n°1 a été adopté par 181 voix contre 134, malgré la demande de retrait du gouvernement représenté par Clara Chappaz, ministre chargée de l’Intelligence artificielle et du Numérique

VIDEO de l’intégralité des échanges sur l’amendement n°1 (32m)

Liste des intervenants, par ordre d’apparition : Olivier Cadic (UC) ; Patrick Chaize (LR), rapporteur ; Clara Chappaz, ministre ; Cédric Perrin (LR) ; Hugues Saury (LR) ; Thomas Dossus (GEST) ; Pierre Ouzoulias (CRCE-K) ; Jean-Raymond Hugonet (LR) ; Catherine Morin-Desailly (UC) ; Corinne Narassiguin (SER) ; Loïc Hervé (UC) ; Mathieu Darnaud (LR) ; Damien Michallet (LR) ; Akli Mellouli (GEST) ; Marie-Pierre de La Gontrie (SER) ; Agnès Canayer (LR) ; Olivier Cadic (UC).

VERBATIM de mon intervention

Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

En effet, certaines initiatives législatives et réglementaires récentes ont cherché à imposer à ces fournisseurs l’intégration de « portes dérobées » (backdoors), de « clés de déchiffrement maîtresses » ou autres mécanismes dont le but est de créer des failles exploitables par nos autorités, comme technique de surveillance !

Ces « backdoors » sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées, comme le démontre le cas Salt Typhoon où des cybercriminels chinois ont exploité des vulnérabilités imposées aux acteurs de la Tech US par le législateur américain !

En outre, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes.

Ce projet de loi prescrit une hausse drastique des normes de cybersécurité́.

Où serait la cohérence si on acceptait que la loi autorise de créer sciemment des failles de sécurité ?

Cela irait à l’encontre des principes de sécurité, reconnus au niveau international et imposés par la directive NIS2.

La loi que nous votons ce soir doit empêcher cette possibilité.

Nous devons respecter les principes fondateurs de la RGPD, protéger le droit à la vie privée et à la protection des données personnelles.

Le chiffrement garantit une confidentialité absolue des échanges et des transactions numériques.
Cet amendement a reçu un fort soutien de la part de l’éco-système cyber.
Il vise à inscrire dans la loi un principe clair de sécurité numérique.

Comme je l’ai évoqué en discussion générale, votre avis sur le sujet, Madame la Ministre, sera très suivi.

Sénat – PJL Résilience & Cybersécurité – DG – Vidéo 8m

Ce 11 mars, lors de la discussion générale du projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », je suis intervenu au nom du groupe Union centriste, après Clara Chappaz, ministre chargée de l’intelligence artificielle et du numérique et les trois rapporteurs de la commission spéciale : Michel Canévet, Hugues Saury, Patrick Chaize.

VERBATIM

Monsieur le Président / Madame la Présidente,
Madame la Ministre,
Messieurs les rapporteurs,
Mes chers collègues,

J’interviens à cet instant au titre de mon groupe de l’Union centriste mais vous vous en douterez ce temps de parole est également l’occasion de faire passer quelques messages qui me tiennent à cœur en qualité de président de cette commission spéciale.

Je tiens à remercier les membres pour leur confiance et leur participation, avec une attention spéciale envers Catherine Morin-Desailly, qui a présidé, il y a 2 ans, la commission spéciale « Sécuriser et réguler l’espace numérique », et m’a apporté son soutien et son expérience.

Je souscris en tous points aux constats et observations fait par les rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury qui ont fait évoluer le texte dans le bon sens et je vous remercie madame la ministre de l’avoir dit et d’appuyer ce point, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.

Je salue leur travail ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.

Je veux d’ailleurs exprimer toute ma gratitude en particulier à l’ACN, l’Alliance pour la confiance numérique, au cybercercle, à la Cyber task force et à tant d’autres. Leur expertise a nourri nos réflexions.

Certains amendements ont été adoptés en commission.
D’autres sont déposés pour le débat en séance publique pour que le Gouvernement puisse éclaircir et s’engager sur plusieurs points d’attention que nous avons relevés.
J’y reviendrai plus en détail.

Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.

Les circonstances politiques que l’on sait auront conduit à surmonter une dissolution de l’Assemblée nationale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l’audition de Mme Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.

Vous aurez été en tout état de cause, Madame la Ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.

Il y a dans le domaine de la cybersécurité un effort tout particulier à faire en matière de sensibilisation et de prise en compte de la gravité de risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’ANSSI depuis 2017.

En 2023, les cyberattaques ont coûté près de 90 Milliards d’euros à l’économie française. Le panorama de la cyber menace publié par l’ANSSI ce matin démontre que ces attaques ont encore progressé en 2024

Ce texte nous permet de porter un message de mobilisation. La commission spéciale y aura contribué par la large diffusion publique que j’ai souhaité apporter à nos auditions.
Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.

Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent. C’est un fait.

Vous avez dit Mme la Ministre ce n’est pas si vous êtes attaqués mais quand ? moi j’ai l’habitude de dire il y’a ceux qui ont été attaqué et ceux qui le sont déjà et qui ne le savent pas encore

L’objectif est d’être plus résilient et de pouvoir redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites :
> J’ai relevé un premier paradoxe. Bien que l’ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d’élus et quatre fédérations de collectivités territoriales – et en dépit d’une étude d’impact faisant plus de 900 pages –, l’ensemble des personnes entendues a déploré un manque d’information et de concertation notamment sur les dispositions réglementaires d’application du projet de loi ;

> Cela soulève un second paradoxe. De nombreux intervenants ont pointé l’absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » pouvant engendrer un risque d’une « sur-transposition réglementaire ».

Le projet de loi renvoie à 40 décrets en conseil d’État. De fait, ni les acteurs concernés, ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration.

J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur n’ait son mot à dire.

C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du gouvernement :
1 -veiller à la proportionnalité des obligations des entités assujetties ;
2 – Fournir un effort de simplification des mesures d’application
3- se garder de toute surtransposition réglementaire ;
4- accompagner les collectivités territoriales dans cette démarche nouvelle en tenant compte des problématiques de compétences et de financement.

A titre plus personnel et avec mon groupe, il nous semble important que ce projet de loi ne soit pas perçu que comme un catalogue inintelligible d’obligations et de sanct ions. Ce projet de loi doit au contraire porter une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.

Plus largement, et pour conclure sur la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne ou plutôt du risque de non-harmonisation qui va engendrer des distorsions de concurrence avec nos voisins européens.

Un exemple précis vaut mieux qu’un long discours comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin

Nos voisins belges ont déjà transposé la directive NIS 2 et nous ont dit qu’ils prenaient pour référence le respect de la norme ISO 27001 dites « Systèmes de management de la sécurité de l’information ». En d’autres termes, une entreprise qui respecte cette norme est considérée en Belgique comme remplissant les obligations de la directive.

Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires belges remplirait aussi ses obligations dans notre cadre national ? Non répond l’ANSSI !

C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union, vous nous annoncez qu’il va y avoir un label national cela promet.

Il y a clairement ici un point d’équilibre à trouver entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.

Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous Madame la Ministre pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.

Pour conclure mon propos, je voudrais vous parler de mon amendement, le N°1 sur ce projet de loi. Par cet amendement, je veux éviter la possibilité d’imposer aux fournisseurs de services de chiffrement, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

Garantir la sécurité numérique est un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées « backdoors », peut poser de vrais problèmes.

Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux.

Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis sur le sujet, Madame la Ministre, sera très suivi. Je vous inviterai, mes chers collègues, à voter cet amendement.

Notre travail n’est pas terminé avec le vote de ce soir.

Pour être efficace, ce projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui le mettra en œuvre.

Le groupe Union centriste votera évidemment ce texte.

Je vous remercie.

Voir l’intégralité de la discussion générale sur le site du Sénat

Commission Spéciale Cybersécurité – Visio avec Clara Chappaz

Le 4 mars, notre commission spéciale a adopté le texte du projet de loi issu de nos débats et enrichi de 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dite REC, NIS2 et DORA.

Trois jours plus tard, nous avons tenu une réunion de préparation avec Clara Chappaz ministre chargée de l’Intelligence Artificielle et du Numérique, pour discuter de ces amendements, ainsi que de la parution de notre rapport et sa version résumée.

L’examen public du texte est programmé le 11 mars.

Lire LE RAPPORTRapport n° 393 Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 4 mars 2025, de MM. Michel Canévet, Patrick Chaize et Hugues Saury au nom de la commission spéciale présidée par M. Olivier Cadic.

Lire l’ESSENTIEL (PDF, 8 pages)

VIDEOS des auditions publiques de la commission spéciale sur le site du Sénat.

Commission Spéciale Cybersécurité – Rapports & Examen des amendements

Ce 4 mars, la commission spéciale s’est à nouveau réunie pour travailler sur le projet de loi de loi n° 33 (2024-2025) relatif à la « Résilience des infrastructures critiques et au renforcement de la cybersécurité ».

La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.

Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.

Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.

Liste des amendements adoptés (par ordre de discussion) sur le site du Sénat

Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.

– – – – – – – – – –

VERBATIM de mon intervention

Mes chers collègues,

L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.

Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).

Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.

Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.

Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.

Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.

Avant de leur céder la parole j’ai deux précisions à vous apporter pour le bon déroulement de la réunion :
– Je voudrais tout d’abord excuser notre collègue Patrick Chaize qui a été retenu en Guyane et qui m’a demandé de bien vouloir lire son intervention et présenter ses amendements de concert avec ses co-rapporteurs ;
– Ensuite je vous rappelle qu’aura lieu en séance à 16h30 la déclaration du Gouvernement, suivie d’un débat, en application de l’article 50-1 de la Constitution, portant sur la situation en Ukraine et la sécurité en Europe. Aussi, je vous propose de nous fixer comme objectif de terminer dans ce laps de temps notre débat et l’examen des 124 amendements déposés sur ce texte, dont 53 émanent de nos rapporteurs.

(*) Nous avons examiné un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA

Commission Spéciale Cybersécurité – Table ronde avec Airbus, Orange et Thales

Ce 11 février, notre commission spéciale a réuni trois groupes mondiaux de la cyber défense, Airbus, Orange et Thales, pour une ultime table ronde de notre cycle d’auditions publiques.

Cela a conduit à situer le débat à l’échelle européenne, puisque ces organisations doivent appréhender la transposition de la directive NIS2 dans la quasi-totalité des États membres de l’Union à travers leurs filiales.

Ces groupes attendent évidemment une cohérence et une articulation entre les différentes réglementations nationales.

Le diable peut se cacher dans le détail des décrets d’application. Point qui est soulevé lors de toutes les auditions, car il est de nature à surtransposer ou à sous-transposer la directive.

Faudra-t-il remonter n’importe quel incident intervenu dans une filiale européenne vers le siège parisien, en vue d’une déclaration à l’ANSSI ?

Si les grands donneurs d’ordres sont rompus aux impératifs de la cybersécurité, j’ai rappelé que notre objectif était d’aider les entreprises à mieux se défendre, non leur compliquer la vie.

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Mes chers collègues,
Mesdames, Messieurs,

Nous poursuivons notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par une première table ronde réunissant des groupes du secteur de la cyberdéfense avec par ordre alphabétique des entreprises en question :
> Le groupe Airbus, représenté par M. Michaël BARTHELLEMY, Ho Cyber Risk and Assets Management d’Airbus et M. Olivier MASSERET, directeur des relations institutionnelles ;
>Le groupe Orange, représenté à la fois pour sa propre sécurité par M. Patrick GUYONNEAU, directeur de la sécurité du Groupe Orange, et pour la fourniture de services de cyberdéfense par M. Olivier BONNET DE PAILLERETS, général et ancien directeur adjoint de la DGSE, maintenant Executive Vice President Technology & Marketing de la filiale Orange Cyberdefense. Vous êtes accompagnés de M. Laurentino LAVEZZI, directeur des Affaires publiques ;
>Enfin, le groupe Thales pour lequel s’exprimera M. Alexis CAURETTE, vice-président stratégie cybersécurité, accompagné de Mme Isabelle CAPUTO, directrice des relations institutionnelles.

Je vous remercie d’avoir répondu à notre invitation pour nous éclairer sur la vision globale que vous pouvez avoir sur ce projet de loi qui vise la transposition de trois directives, à savoir :
– pour le titre premier la transposition la directive sur la résilience des entités critiques, dite « REC » ;
– pour le titre 2, la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– et pour le titre 3 la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Vous êtes tous, à votre niveau, directement concernés par ce projet de loi, comme vous l’étiez d’ailleurs par NIS1 puisque vous êtres des acteurs majeurs à la fois du secteur de la défense et du secteur civil.

Vous vous caractérisez également par une dimension européenne et internationale. Votre regard sur le marché européen et les risques de distorsion juridique de transposition dans les différents états membres de l’Union européenne nous sera utile.

Enfin, outre le souci de votre propre sécurité, vous fournissez des services de cybersécurité à vos clients (entreprises ou collectivités territoriales) par le biais de vos filiales (Airbus protect, Orange Cyberdéfense ou Thales Solutions de cyberdéfense). Là aussi, nous serons à l’écoute de vos points de vue sur le projet de loi, son impact et les éventuels problèmes ou propositions d’amendement.

Je propose à mon collègue rapporteur de poser ses questions dès à présent, ainsi vous pourrez intégrer éventuellement vos réponses ou compléter par rapport à votre présentation liminaire.

L’AMF confrontée au défi de l’IA – Vidéo Q/R 4’50

L’activité de Conseil en investissements financiers (CIF) est strictement réglementée en France. Le principal régulateur est l’Autorité des marchés financiers (AMF) qui délivre un agrément.

Pourtant les outils d’Intelligence artificielle répondent aux demandes de conseils…

Le 11 février, j’ai interpelé Sébastien Raspiller, secrétaire général de l’AMF sur ce problème. Rappelant que la protection de l’épargne était la première mission confiée à l’AMF par le législateur, celui-ci m’a répondu en conclusion que « ce sujet a été identifié, qu’il est vaste, on s’efforce de contribuer à notre échelle au sein de ce forum mondial pour essayer d’avoir des lignes directrices qui permettront, à la fin, d’apporter des réponses satisfaisantes en matière de protection de l’épargne ».

Commission Spéciale Cybersécurité – L’avis des autorités de régulation financière sur “DORA”

La finance est l’un des secteurs de prédilection des attaques cyber, au point que la Banque de France considère le risque cyber comme le risque structurel le plus élevé.

La mise en œuvre de la directive européenne dite Dora, relative à la résilience cyber du secteur financier, mobilise une grande diversité d’acteurs financiers : banques, assureurs, acteurs de paiement, entreprises d’investissement, émetteur de cryptoactifs…

Aussi, la commission spéciale Cybersécurité que je préside a donné la parole, ce 11 février, aux autorités de régulation financière (Autorité des marchés financiers, Autorité de contrôle prudentiel et de résolution)

Si le cadre proposé par Dora est perçu positivement car il joue en faveur de la confiance, il suscite aussi des inquiétudes légitimes, comme l’hébergement des données sensibles chez les opérateurs de cloud qui, mis à part OVH, sont extra-européens.

Nous en avons beaucoup parlé, c’est pourquoi Dora met l’accent sur la surveillance des fournisseurs tiers critiques, bénéficiaires de contrats d’externalisation de services.

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Mes chers collègues,
Mesdames, Messieurs,

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une première table ronde avec les autorités de régulation financière :
– L’Autorité des marchés financiers (AMF) ici représentée par M. Sébastien RASPILLER, secrétaire général, qui est accompagné de M. Philippe SOURLAS, secrétaire général adjoint en charge de la direction de la gestion d’actifs et de Mme Laure TERTRAIS, directrice de cabinet auprès de la présidente Mme Marie-Anne BARBAT-LAYANI ;
– L’Autorité de contrôle prudentiel et de résolution (ACPR), pour laquelle s’exprimera M. Frédéric HERVO, secrétaire général adjoint, qui est accompagné de Mme Véronique BENSAID-COHEN, conseillère parlementaire auprès du Gouverneur, de M. Alexandre GARCIA, expert en régulation prudentielle bancaire et politique de stabilité financière, et M. Gabriel PREGUIÇA, chargé de mission.

Je vous remercie d’avoir répondu à notre invitation car vous pourrez ainsi nous éclairer sur le troisième des trois volets de ce projet de loi, à savoir la transposition de la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Ce titre 3 du projet de loi entre dans le champ de compétence de notre collègue co-rapporteur Michel CANÉVET, par ailleurs membre de la commission des Finances du Sénat.

Nos auditions avaient jusque-là surtout porté sur les deux premiers titres du projet de loi, lesquels concernent pour le titre premier la transposition la directive sur la résilience des entités critiques, dite « REC » et pour le titre 2, la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Pour autant, ces sujets ne sont pas sans lien puisque certaines questions ont pu être soulevées lors de précédentes auditions sur les recoupements ou redondances pouvant exister entre ces trois directives. Mes collègues co-rapporteurs sur les titres 1 et 2, respectivement Hugues SAURY et Patrick CHAIZE pourront vous demander des précisions lors de la séquence des questions-réponses.

Pour ouvrir cette table ronde, je vous propose que chaque rapporteur pose ses questions, ce qui vous permettra d’intégrer une réponse dans votre déclaration.

Commission Spéciale Cybersécurité – Les collectivités locales face à NIS2

Notre commission spéciale chargée de la transposition de trois directives européennes (*) que je préside a organisé, ce 4 février, une table ronde réunissant les associations d’élus locaux (Association des maires de France, Régions de France, Départements de France, Intercommunalités de France et Métropole du Grand Paris).

Selon l’ANSSI, les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. Les cyberattaques ont également des conséquences pour les usagers, comme la suspension du versement d’allocations.

Notre projet de loi de transposition de la directive NIS 2 vise à élever le niveau de cybersécurité des collectivités territoriales de plus de 30.000 habitants.

S’il y a une ferme volonté d’appréhender le sujet, les élus locaux ont exprimé diverses inquiétudes sur les conditions de leur mise en conformité avec la directive NIS 2.

En premier lieu, les solutions de sécurité seront-elles supportables financièrement et faisables techniquement, à commencer par le recrutement sur des métiers en tension ?

Alors que les collectivités croulent déjà sous les réglementations, les normes et les menaces de sanctions, se sentent-elles suffisamment accompagnées par l’État ?

Voir la VIDEO de l’audition sur le site du site du Sénat

VERBATIM de mon intervention

Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une table ronde avec les associations d’élus sur le thème de la cybersécurité et des collectivités territoriales.

Plusieurs raisons ont conduit à organiser cet échange spécifique avec les différents échelons de collectivités locales :
– La première raison est que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– Le deuxième motif est la vulnérabilité numérique de nos services publics territoriaux qui sont en première ligne au même titre que les hôpitaux, dont les attaques sont davantage médiatisées. Mais saviez-vous que selon l’Agence nationale de sécurité des systèmes d’information «(ANSSI), les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. C’est pourquoi le retour d’expérience de nos associations d’élus nous sera précieux pour apprécier le juste seuil et le juste niveau d’obligations à inscrire dans la loi ;
– Enfin, la troisième raison de cette table ronde est que certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques, je pense aux régions qui se sont engagées dans la création de CSIRT régionaux (Computer Security Incident Response Team) pour répondre et soutenir les entreprises de leur territoire pour faire face à des incidents de sécurité informatique. Leur rôle est diversement connu et reconnu.

Aussi le témoignage des représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l’ANSSI, la ministre et les entreprises expertes en cybersécurité qui ne partagent pas la même appréciation de leurs missions.

Nous vous remercions très sincèrement d’être venus à notre rencontre soit en visioconférence, M. Michel SAUVADE, vice-président du conseil départemental du Puy de Dôme, maire de Marsac-en-Livradois et qui représentera l’AMF et Départements de France, soit en présentiel :
– pour l’Association des régions de France, M. Jérôme TRÉ-HARDY, conseiller régional de Bretagne, (je me souviens que nous nous sommes rencontrés à Rennes au Pôle d’excellence cyber, avec mon collègue co-rapporteur budgétaire des crédits du programme 129 relatif à la cybersécurité) et Mme Constance NEBBULA, vice-présidente de la Région des Pays de la Loire chargée du numérique. Vous êtes les acteurs les plus au fait pour nous relater vos expériences respectives dans la création des CSIRT de vos régions. Vous êtes accompagnés de Mme Laure PRÉVOT, conseillère économie à Régions de France ;
– Pour Intercommunalités de France, nous recevons Mme Marlène LE DIEU DE VILLE, vice-présidente en charge du numérique d’Intercommunalités de France, vice-présidente déléguée à l’économie numérique, aux systèmes d’information et à la culture de la communauté de communes de Lacq-Orthez. Vous êtes accompagnées de Mme Montaine BLONSARD, Responsable des relations avec le Parlement d’Intercommunalités de France ;
– Enfin, pour la Métropole du Grand Paris, nous recevons à sa demande M. Geoffroy BOULARD, maire du 17e arrondissement, conseiller de Paris et vice-président de la Métropole du Grand Paris, accompagné de Mme Justine TERZI, chargée de mission Cyber-Métropole du Grand Paris et M. Eloy LAFAYE, chef de projet Innovation numérique.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte pour une durée de 10 minutes au maximum puis je donnerai la parole à chacun des rapporteurs, MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions./font>

– – – –

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA

Cyber – Création du C3BO

Centre de développement des capacités cyber dans les Balkans occidentaux

Le 29 janvier, la Commission des Affaires étrangères et de la Défense a voté en faveur du projet de loi, présenté par ma collègue Sylvie Goy-Chavent, autorisant l’approbation de l’accord portant sur la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).

L’accord vise à créer un Centre de développement des capacités cyber dans les Balkans occidentaux (Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie) en lui octroyant le statut d’organisation internationale (C3BO). Le siège du centre est prévu au Monténégro, à Podgorica.

Cet accord signé par trois pays qualifiés de « fondateurs » a pour objet de renforcer la cyber-résilience des Balkans par des activités de formation et de sensibilisation. Les objectifs du C3BO sont de renforcer les capacités opérationnelles des services de police et de justice, la prévention des attaques cyber et la gestion des risques.

Le C3BO vise à former des experts, au sein des agences, administrations, forces de police et de sécurité régionales. Il permettra d’approfondir la coopération entre tous les acteurs régionaux et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.

En novembre 2022, nous avions accueilli une délégation de députés monténégrins (compte-rendu) suite à la cyberattaque majeure subie par le Monténégro à l’été 2022. 17 systèmes différents localisés dans 10 ministères avaient été corrompus et 3000 ordinateurs d’état avaient dû être réinstallés. L’ANSSI avait dépêché 15 agents à Podgorica pour la circonstance.

Je me réjouis que l’initiative dont nous avions parlé en novembre 2022, aie prospéré, et que notre pays soit en pointe pour animer ce centre cyber international.

Commission Spéciale Cybersécurité – Audition de Clara Chappaz – Q/R Vidéo 6’50

Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, est venue répondre aux questions de la commission spéciale que je préside (*).

La menace cyber a fortement évolué ces dernières années, nous a rappelé la ministre, car « cette menace historiquement stratégique est désormais devenue systémique ».

Une prise de conscience collective est nécessaire, puisque ces attaques concernent désormais « l’ensemble du tissu économique et social ». Notre système financier est tout aussi exposé à la menace : « plus de la moitié des banques ayant été victimes d’une attaque réussie en 2024 », illustre la ministre. Justement la transposition de la directive dite Dora analyse le risque spécifique qui pèse sur ce secteur.

Afin de moderniser notre cadre réglementaire pour une meilleure prévention des risques, il apparaît crucial à notre commission d’adopter une approche proportionnée, en évitant les surtranspositions du droit européen et en harmonisant les obligations de sécurité. C’est pourquoi le dialogue avec les professionnels est au cœur de notre préoccupation.

Avec mes deux collègues rapporteurs présents, Michel Cavenet et Patrick Chaize, nous avons relayé les inquiétudes des entreprises et des experts en cybersécurité, auprès de Clara Chappaz.

Parmi les points de friction, la commission a noté le risque de “sous-transpositions” ou de “sur-transpositions” qui se traduirait par un recours à la voie réglementaires pour entrer dans le détail de divers dispositifs prévus par les directives. Dès lors, le décret va prendre le pas sur la loi pour préciser une quarantaine de mécanismes, comme la définition d’incidents ou les délais relatifs à la procédure de notification d’incidents (pourtant clairement définis par la directive européenne) qui ne figurent pas dans le projet de loi.

Autre originalité du texte de loi : l’inégalité de traitement entre organismes publics et privés concernant les sanctions encourues en cas de non mise en conformité des systèmes d’information. Seules les entreprises seront financièrement pénalisées.

Voir l’intégralité de l’audition sur le site du Sénat

Verbatim de mon introduction

Verbatim de mes questions

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite « REC »
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA »

PLF2025 / P129 (3/3) – Déshabiller Pierre pour habiller Paul (Vidéo 2’05)

L’amendement présenté par le président de la commission des Affaires étrangères et de la Défense demandait un transfert de 2 millions d’euros vers le programme 129 en faveur du SGDSN pour soutenir Viginum et la montée en charge de l’Anssi. Pourtant le SGDSN avait défendu son budget devant la commission sans réclamer d’argent supplémentaire.

Pour y parvenir, le sénateur a pris des crédits au programme 308 « Protection des droits et libertés » qui regroupe les crédits de sept autorités administratives indépendantes, d’une autorité publique indépendante, l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), du Comité consultatif national d’éthique (CCNE) et de la Commission nationale consultative des droits de l’homme (CNCDH).

Même si comme mes collègues, je considère la cyberguerre comme une priorité, il ne m’apparaît pas pertinent de “déshabiller Pierre pour habiller Paul”.

Je me suis donc opposé à cet amendement qui a été voté par le Sénat. Si la CMP ne revient pas en arrière sur ce vote, le gouvernement devra choisir quel organisme fera les frais de cette décision.

Résumé de mon intervention :
Lors de nos auditions, avec Mickaël Vallet, nous avons demandé au SGDSN si les crédits alloués lui permettraient de fonctionner, y compris d’accompagner NIS2 : il n’a pas dit qu’il avait besoin de plus d’argent, mais qu’il pourrait faire avec ce budget.
Protéger la France en matière de cybersécurité requiert tout un écosystème, pas seulement de l’argent public. Le public et le privé doivent fonctionner ensemble. Quel pays est le modèle en la matière ? Taïwan, où l’écosystème intervient avec le soutien de l’État. Nous devons repenser notre fonctionnement. Ne créons pas une ligne Maginot imaginaire pour contrer les attaques cyber ; nous ne réglerons pas le problème avec 2 millions d’euros supplémentaires. Rappelons qu’une commission spéciale sur la cybersécurité travaille sur ces questions.

L’amendement a été adopté.

PLF2025 / P129 (2/3) – Transférer le budget de l’IHEDN au ministère des Armées (Vidéo 2’05)

Compte tenu de l’évolution de nos finances publiques, le gouvernement a proposé de porter la réduction des crédits de la mission de 26 à 41 millions d’euros.

Afin de préserver le SGDSN qui représente 45% des crédits,  Patrick Mignola, ministre délégué chargé des relations avec le Parlement, a proposé le transfert du budget de l’IHEDN (Institut des Hautes études sur la Défense nationale) de 7 millions d’euros vers le ministère des Armées à budget constant.

Une initiative acceptée par Sébastien Lecornu, ministre des Armées qui permet de protéger les moyens l’Anssi et de Viginum, d’autant que le Sénat a maintenu le budget des Armées.

J’ai soutenu cet amendement. En effet, lors de mon échange à Matignon avec le cabinet du précédent premier ministre, j’avais  évoqué la trajectoire du financement de l’IHEDN. Nous avions convenu que cela devrait conduire le Premier ministre à s’interroger si ce financement ne relevait pas plutôt de la mission défense, pour mieux s’assurer que la fonction stratégique d’influence de l’IHEDN s’inscrit bien dans les priorités de la revue nationale stratégique de 2022.

J’avais également évoqué cette option avec le ministre Patrick Mignola. Je suis ravi que cette vision ait prospéré au niveau gouvernemental.

Malheureusement, cela n’a pas été compris par mes collègues qui ont rejeté l’amendement.

J’espère que la CMP sera favorable à cette évolution.

Résumé de mon intervention :
C’est un amendement difficile. Co-rapporteur de ce budget depuis huit ans, j’auditionne l’Anssi régulièrement, mais je n’achète pas l’idée que c’est parce qu’on mettra plus d’argent qu’on sera forcément mieux défendus. L’Anssi et Viginum ont prouvé qu’ils avaient la capacité de répondre aux attaques.
Dans une entreprise, lorsque le chiffre d’affaires baisse, on fait des choix. Avec le cabinet du précédent Premier ministre, nous avions envisagé d’intégrer le budget de l’IHEDN à celui des Armées, à la mission Défense. Nécessité fait loi.
Je remercie le ministre des Armées de l’avoir accepté, ce qui permet d’amortir la baisse de crédits pour qu’elle n’impacte pas plus l’Anssi et Viginum.
Si nous ne prenons pas en compte notre situation budgétaire, nous irons vers de plus grandes menaces encore.

L’amendement du gouvernement n’a pas été adopté.

PLF2025 / P129 (1/3) – Cyber, Ingérences numériques… un budget 2025 sous contrainte (Vidéo 3’05)

Ce budget 2025 « nécessite un effort inédit de maitrise de la dépense publique », nous a averti Patrick Mignola, ministre délégué chargé des relations avec le Parlement.

Le budget 2025 du Programme 129, pour l’action n°2 « Coordination de la sécurité et de la défense » dédiée plus particulièrement à la cybersécurité, à la lutte contre les ingérences numériques étrangères et à l’appui aux services de renseignement, se caractérise par une baisse de 13 M euros des crédits (-3%) et une progression à la marge des effectifs.

Dans un contexte de contrainte budgétaire, rapporteur de ce programme depuis 8 ans, j’ai défendu les ajustements proposés par le SGDSN, car ils m’ont paru nécessaires et pertinents.

Comme je l’ai dit devant mes collègues, qui souhaitaient rehausser ce budget, je n’ai pas souhaité entrer dans une logique de ponction de crédits sur un programme pour en abonder un autre, car il s’agit de la responsabilité du gouvernement avant tout.

C’est principalement pour ces motifs que la commission des affaires étrangères et de la défense a émis un avis défavorable à l’adoption des crédits de la mission « Direction de l’action du Gouvernement ».

Avant de présenter les chiffres du budget, je suis revenu sur les motifs de satisfaction de l’année 2024 concernant la lutte contre les attaques cyber et les ingérences numériques étrangères, dont il faut féliciter les services concernés et l’écosystème.

> Lire aussi le rapport “L’Essentiel : Cybersécurité, ingérences numériques et sécurité nationale : un budget 2025 sous contrainte”. Lire

VERBATIM de mon intervention

Monsieur le Président
Monsieur le Ministre
Mes chers collègues,

Il me revient depuis maintenant 8 ans de vous présenter le budget du programme 129 « Coordination du travail gouvernemental » dédié plus particulièrement à la cybersécurité, à la lutte contre les ingérences numériques étrangères et à l’appui aux services de renseignement.

Cyberattaques, guerre informationnelle, opérations de déstabilisation des outre-mer, tensions causées par les conflits en Ukraine et au Moyen-Orient, sont reliées à trois sources principales : la Chine, la Russie et l’écosystème cybercriminel.

En dépit de l’augmentation des menaces de tous ordres, le dôme cyber français a tenu en 2024. Je veux donc saluer l’action de l’ANSSI, de Viginum et, évidemment, de tout l’écosystème qui les entourait. Ils ont préparé et protégé avec succès les grands rendez-vous de l’année 2024 : les élections européennes puis législatives et bien sûr les Jeux olympiques et paralympiques de Paris 2024.

Outre l’Agence nationale de sécurité des systèmes d’information et Viginum, qui agit aujourd’hui comme une force de réaction rapide pour contrer la désinformation venant de puissances étrangères, je veux également saluer le lancement en décembre 2024 de la plateforme de signalement 17 Cyber, que nous appelions de nos vœux depuis 6 ans. C’est un outil majeur destiné à l’ensemble des Français, les particuliers comme les entreprises.

Maintenant qu’en est-il pour 2025 ?

Avec 425 millions d’€ au lieu de 438 millions d’€, les crédits de paiement de l’action n°2 « Coordination de la sécurité et de la défense » subiront en 2025 une baisse de 3 % par rapport à 2024.

Les services du SGDSN (principalement l’ANSSI et Viginum) vont devoir fonctionner avec 8 millions d’€ en moins.

On relève aussi une réduction de 4 millions d’€ des fonds spéciaux et 1 M€ des moyens du Groupement interministériel de contrôle (GIC) qui met en œuvre des techniques de renseignement pour les services.

Quant à l’IHEDN, la subvention à ce centre de formation baisse de 3%, soit 300 K euros.

Pour les effectifs, le plafond d’emplois passe de 1 283 équivalents temps plein travaillé en 2024 à 1 300 pour 2025.

Ce budget se caractérise donc par une baisse modeste des crédits et une progression à la marge des effectifs.

C’est principalement pour ces motifs que la commission a émis un avis défavorable à l’adoption des crédits de la mission « Direction de l’action du Gouvernement ». Néanmoins, j’estime que dans un contexte de contrainte budgétaire, les ajustements proposés par le SGDSN sont nécessaires et pertinents.

A titre personnel, je n’ai pas souhaité entrer dans une logique de transfert de crédits, car il s’agit d’une responsabilité du Gouvernement avant tout.

Nous aurons l’occasion d’en débattre lors de l’examen des amendements, puisque certains plaident pour une hausse des crédits, tandis que le gouvernement propose par un nouvel amendement, une baisse de 40 M€ des crédits du programme 129.

Les résultats et la motivation des équipes que nous avons rencontrées avec mon collègue Mickaël Vallet permettent de penser que la France dispose d’une capacité de premier niveau pour s’adapter et relever les défis.

Que ces services soient pleinement assurés de notre soutien et de notre vigilance sur l’exécution budgétaire de l’exercice 2025 pour qu’ils puissent assurer leur mission.

Je vous remercie.

 

Commission Spéciale Cybersécurité – Audition des Experts Cyber

Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.

J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.

Je les remercie pour la qualité et la pertinence de leurs analyses.

Voir l’intégralité de l’audition sur le site du Sénat.

VERBATIM de mon intervention

INTRODUCTION

Mes chers collègues,
Mesdames, Messieurs,

Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.

Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.

Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.

Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.

Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.

Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.

Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer

CONCLUSION

Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.

Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?

Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?

Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.

Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.

Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.

Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.

En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.

Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.

C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.

On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.

Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.

(*) Computer Security Incident Response Team ou CSIRT

Belgique – Bruxelles (10 déc. 2024) – Déplacement Commission Spéciale Cybersécurité

(à l’image) Entouré de Michel Canévet et de Patrick Chaize, rapporteurs de la la commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside.

Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
Clément Dugravot, administrateur à la commission des Affaires économiques
Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
Thomas Plomteux, Head of IT Prudential Supervision
Liesbeth Denturck, conseillère juridique
Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

Nous avons salué l’approche pragmatique du CCB et remercié nos interlocuteurs pour leur partage d’information. +d’images