Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, est venue répondre aux questions de la commission spéciale que je préside (*).

La menace cyber a fortement évolué ces dernières années, nous a rappelé la ministre, car « cette menace historiquement stratégique est désormais devenue systémique ».

Une prise de conscience collective est nécessaire, puisque ces attaques concernent désormais « l’ensemble du tissu économique et social ». Notre système financier est tout aussi exposé à la menace : « plus de la moitié des banques ayant été victimes d’une attaque réussie en 2024 », illustre la ministre. Justement la transposition de la directive dite Dora analyse le risque spécifique qui pèse sur ce secteur.

Afin de moderniser notre cadre réglementaire pour une meilleure prévention des risques, il apparaît crucial à notre commission d’adopter une approche proportionnée, en évitant les surtranspositions du droit européen et en harmonisant les obligations de sécurité. C’est pourquoi le dialogue avec les professionnels est au cœur de notre préoccupation.

Avec mes deux collègues rapporteurs présents, Michel Cavenet et Patrick Chaize, nous avons relayé les inquiétudes des entreprises et des experts en cybersécurité, auprès de Clara Chappaz.

Parmi les points de friction, la commission a noté le risque de “sous-transpositions” ou de “sur-transpositions” qui se traduirait par un recours à la voie réglementaires pour entrer dans le détail de divers dispositifs prévus par les directives. Dès lors, le décret va prendre le pas sur la loi pour préciser une quarantaine de mécanismes, comme la définition d’incidents ou les délais relatifs à la procédure de notification d’incidents (pourtant clairement définis par la directive européenne) qui ne figurent pas dans le projet de loi.

Autre originalité du texte de loi : l’inégalité de traitement entre organismes publics et privés concernant les sanctions encourues en cas de non mise en conformité des systèmes d’information. Seules les entreprises seront financièrement pénalisées.

Voir l’intégralité de l’audition sur le site du Sénat

Verbatim de mon introduction

Verbatim de mes questions

(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite « REC »
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA »