En fin de séance : Michel Canévet, Patrick Chaize, Clara Chappaz, Olivier Cadic
Très satisfait de l’adoption du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 12 mars
Je tiens à remercier mes collègues au Sénat qui ont voté mon amendement en créant ainsi un principe clair de sécurité numérique (compte-rendu).
Je salue le travail exceptionnel des trois rapporteurs de la commission spéciale que j’ai présidée pour préparer ce texte : Michel Canévet, Hugues Saury, Patrick Chaize. Toujours à notre écoute, Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, aura été un heureux élément de continuité dans ce processus, ce qui est à souligner.
Je tiens à remercier tous les membres de cette commission pour leur confiance, leur participation aux travaux et leur contribution à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.
Le projet de loi a été modifié par la commission spéciale, puis en séance publique qui s’est achevée le 12 mars. Ainsi, la commission spéciale a adopté 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dites REC, NIS2 et DORA :
> inscrire dans la loi l’élaboration par le gouvernement d’une stratégie nationale de cybersécurité
> compléter et encadrer les définitions et délais d’application
> clarifier les obligations pesant sur les entités assujetties
> éviter des différences de traitement injustifiées entre les entreprises
> simplifier la vie des entreprises
> modérer les effets de surtranspositions.
Les travaux en séance publique ont permis de revenir sur des rédactions communes avec le gouvernement sur les questions de contrôle et de reste à charge des coûts des contrôles, certains désaccords subsistants principalement sur le titre III relatif à la transposition de la directive DORA.
Une mesure emblématique que j’ai proposée a été adoptée : empêcher toute mesure instaurant des backdoors ou des failles dans le chiffrement des messageries ; le Sénat reste la maison qui protège les libertés publiques (compte-rendu).
Enfin, la commission spéciale a formulé plusieurs recommandations :
> fournir un effort de simplification des mesures d’application réglementaires, en se gardant de toute surtransposition réglementaire
> accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement
> communiquer et faire œuvre de pédagogie, à l’échelle du pays, sur l’effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.
Je remercie mes collègues qui ont soutenu mon amendement n°1, durant les 30 minutes de discussion, lors de l’examen du projet de loi « relatif à la Résilience des infrastructures critiques et renforcement de la cybersécurité », ce 12 mars.
Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système ! Ces dispositifs sont appelés backdoors – portes dérobées – et constitue des failles de vulnérabilités afin que nos autorités puissent exercer un contrôle sur les données échangées.
Des collègues LR se sont opposés en faisant valoir que le Sénat avait adopté une position inverse à l’article 8 ter lors de la proposition de loi Narcotrafic, suite à un amendement de leur groupe. J’ai rappelé que cette disposition n’existait pas dans le rapport de la commission d’enquête de lutte contre le Narcotrafic ; que l’article 8 Ter avait eu un avis défavorable de la commission des Lois du Sénat ; et qu’il avait été adopté par le Sénat dans un contexte particulier qui ne correspondait pas au sujet débattu.
Il avait été supprimé ensuite à l’unanimité de la commission spéciale de l’Assemblée nationale. Cette disposition n’existe donc plus.
Aussi, il paraissait important de remettre l’église au milieu du village à la faveur de ce texte destiné justement à élever le niveau de notre sécurité numérique.
Face à des arguments caricaturaux et parfois déplacés des LR, j’ai indiqué en conclusion pour justifier l’amendement, que je suis en politique pour défendre des idées de liberté, de confiance dans nos réseaux dans le numérique, et notre sécurité.
En adoptant à une large majorité mon amendement, les sénateurs ont rappelé que le Sénat est et reste la maison des libertés publiques !
Je leur en suis profondément reconnaissant.
L’amendement n°1 a été adopté par 181 voix contre 134, malgré la demande de retrait du gouvernement représenté par Clara Chappaz, ministre chargée de l’Intelligence artificielle et du Numérique
VIDEO de l’intégralité des échanges sur l’amendement n°1 (32m)
Liste des intervenants, par ordre d’apparition : Olivier Cadic (UC) ; Patrick Chaize (LR), rapporteur ; Clara Chappaz, ministre ; Cédric Perrin (LR) ; Hugues Saury (LR) ; Thomas Dossus (GEST) ; Pierre Ouzoulias (CRCE-K) ; Jean-Raymond Hugonet (LR) ; Catherine Morin-Desailly (UC) ; Corinne Narassiguin (SER) ; Loïc Hervé (UC) ; Mathieu Darnaud (LR) ; Damien Michallet (LR) ; Akli Mellouli (GEST) ; Marie-Pierre de La Gontrie (SER) ; Agnès Canayer (LR) ; Olivier Cadic (UC).
VERBATIM de mon intervention
Cet amendement vise à éviter d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.
En effet, certaines initiatives législatives et réglementaires récentes ont cherché à imposer à ces fournisseurs l’intégration de « portes dérobées » (backdoors), de « clés de déchiffrement maîtresses » ou autres mécanismes dont le but est de créer des failles exploitables par nos autorités, comme technique de surveillance !
Ces « backdoors » sont des cadeaux faits aux acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées, comme le démontre le cas Salt Typhoon où des cybercriminels chinois ont exploité des vulnérabilités imposées aux acteurs de la Tech US par le législateur américain !
En outre, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes.
Ce projet de loi prescrit une hausse drastique des normes de cybersécurité́.
Où serait la cohérence si on acceptait que la loi autorise de créer sciemment des failles de sécurité ?
Cela irait à l’encontre des principes de sécurité, reconnus au niveau international et imposés par la directive NIS2.
La loi que nous votons ce soir doit empêcher cette possibilité.
Nous devons respecter les principes fondateurs de la RGPD, protéger le droit à la vie privée et à la protection des données personnelles.
Le chiffrement garantit une confidentialité absolue des échanges et des transactions numériques.
Cet amendement a reçu un fort soutien de la part de l’éco-système cyber.
Il vise à inscrire dans la loi un principe clair de sécurité numérique.
Comme je l’ai évoqué en discussion générale, votre avis sur le sujet, Madame la Ministre, sera très suivi.
Ce 11 mars, lors de la discussion générale du projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », je suis intervenu au nom du groupe Union centriste, après Clara Chappaz, ministre chargée de l’intelligence artificielle et du numérique et les trois rapporteurs de la commission spéciale : Michel Canévet, Hugues Saury, Patrick Chaize.
VERBATIM
Monsieur le Président / Madame la Présidente,
Madame la Ministre,
Messieurs les rapporteurs,
Mes chers collègues,
J’interviens à cet instant au titre de mon groupe de l’Union centriste mais vous vous en douterez ce temps de parole est également l’occasion de faire passer quelques messages qui me tiennent à cœur en qualité de président de cette commission spéciale.
Je tiens à remercier les membres pour leur confiance et leur participation, avec une attention spéciale envers Catherine Morin-Desailly, qui a présidé, il y a 2 ans, la commission spéciale « Sécuriser et réguler l’espace numérique », et m’a apporté son soutien et son expérience.
Je souscris en tous points aux constats et observations fait par les rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury qui ont fait évoluer le texte dans le bon sens et je vous remercie madame la ministre de l’avoir dit et d’appuyer ce point, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.
Je salue leur travail ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’éco-système.
Je veux d’ailleurs exprimer toute ma gratitude en particulier à l’ACN, l’Alliance pour la confiance numérique, au cybercercle, à la Cyber task force et à tant d’autres. Leur expertise a nourri nos réflexions.
Certains amendements ont été adoptés en commission.
D’autres sont déposés pour le débat en séance publique pour que le Gouvernement puisse éclaircir et s’engager sur plusieurs points d’attention que nous avons relevés.
J’y reviendrai plus en détail.
Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.
Les circonstances politiques que l’on sait auront conduit à surmonter une dissolution de l’Assemblée nationale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l’audition de Mme Clara Chappaz, ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.
Vous aurez été en tout état de cause, Madame la Ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.
Il y a dans le domaine de la cybersécurité un effort tout particulier à faire en matière de sensibilisation et de prise en compte de la gravité de risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’ANSSI depuis 2017.
En 2023, les cyberattaques ont coûté près de 90 Milliards d’euros à l’économie française. Le panorama de la cyber menace publié par l’ANSSI ce matin démontre que ces attaques ont encore progressé en 2024
Ce texte nous permet de porter un message de mobilisation. La commission spéciale y aura contribué par la large diffusion publique que j’ai souhaité apporter à nos auditions.
Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.
Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent. C’est un fait.
Vous avez dit Mme la Ministre ce n’est pas si vous êtes attaqués mais quand ? moi j’ai l’habitude de dire il y’a ceux qui ont été attaqué et ceux qui le sont déjà et qui ne le savent pas encore
L’objectif est d’être plus résilient et de pouvoir redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites :
> J’ai relevé un premier paradoxe. Bien que l’ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d’élus et quatre fédérations de collectivités territoriales – et en dépit d’une étude d’impact faisant plus de 900 pages –, l’ensemble des personnes entendues a déploré un manque d’information et de concertation notamment sur les dispositions réglementaires d’application du projet de loi ;
> Cela soulève un second paradoxe. De nombreux intervenants ont pointé l’absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » pouvant engendrer un risque d’une « sur-transposition réglementaire ».
Le projet de loi renvoie à 40 décrets en conseil d’État. De fait, ni les acteurs concernés, ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration.
J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur n’ait son mot à dire.
C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du gouvernement :
1 -veiller à la proportionnalité des obligations des entités assujetties ;
2 – Fournir un effort de simplification des mesures d’application
3- se garder de toute surtransposition réglementaire ;
4- accompagner les collectivités territoriales dans cette démarche nouvelle en tenant compte des problématiques de compétences et de financement.
A titre plus personnel et avec mon groupe, il nous semble important que ce projet de loi ne soit pas perçu que comme un catalogue inintelligible d’obligations et de sanct ions. Ce projet de loi doit au contraire porter une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.
Plus largement, et pour conclure sur la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne ou plutôt du risque de non-harmonisation qui va engendrer des distorsions de concurrence avec nos voisins européens.
Un exemple précis vaut mieux qu’un long discours comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin
Nos voisins belges ont déjà transposé la directive NIS 2 et nous ont dit qu’ils prenaient pour référence le respect de la norme ISO 27001 dites « Systèmes de management de la sécurité de l’information ». En d’autres termes, une entreprise qui respecte cette norme est considérée en Belgique comme remplissant les obligations de la directive.
Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires belges remplirait aussi ses obligations dans notre cadre national ? Non répond l’ANSSI !
C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union, vous nous annoncez qu’il va y avoir un label national cela promet.
Il y a clairement ici un point d’équilibre à trouver entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.
Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous Madame la Ministre pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.
Pour conclure mon propos, je voudrais vous parler de mon amendement, le N°1 sur ce projet de loi. Par cet amendement, je veux éviter la possibilité d’imposer aux fournisseurs de services de chiffrement, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.
Garantir la sécurité numérique est un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées « backdoors », peut poser de vrais problèmes.
Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité, face aux acteurs internationaux.
Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis sur le sujet, Madame la Ministre, sera très suivi. Je vous inviterai, mes chers collègues, à voter cet amendement.
Notre travail n’est pas terminé avec le vote de ce soir.
Pour être efficace, ce projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui le mettra en œuvre.
Le groupe Union centriste votera évidemment ce texte.
Le 4 mars, notre commission spéciale a adopté le texte du projet de loi issu de nos débats et enrichi de 61 amendements, dont 53 de la part de ses rapporteurs pour préciser les modalités de transposition des 3 directives, dite REC, NIS2 et DORA.
Trois jours plus tard, nous avons tenu une réunion de préparation avec Clara Chappaz ministre chargée de l’Intelligence Artificielle et du Numérique, pour discuter de ces amendements, ainsi que de la parution de notre rapport et sa version résumée.
L’examen public du texte est programmé le 11 mars.
Lire LE RAPPORT – Rapport n° 393 Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 4 mars 2025, de MM. Michel Canévet, Patrick Chaize et Hugues Saury au nom de la commission spéciale présidée par M. Olivier Cadic.
La semaine où l’Europe a décidé de devenir une puissance militaire autonome
Madame, Monsieur, chers élus, chers amis,
La rencontre entre les présidents Donald Trump et Volodymyr Zelensky à la Maison-Blanche ce 28 février a dégénéré en confrontation ouverte. Cette altercation publique a exacerbé les tensions internationales.
Tandis que M. Orban et d’autres partisans de M. Poutine célébraient les propos de Trump qui font passer l’agressé pour l’agresseur, les dirigeants des pays alliés de l’Amérique, de l’Europe au Canada, ont réagi comme un seul homme pour apporter leur soutien au président Zelensky.
Toute la semaine qui a suivi a abouti à un tournant historique pour la défense européenne des 27. L’Allemagne a rompu avec son dogme budgétaire. Les Européens ont fait preuve d’une unité remarquable pour se mettre d’accord, cette semaine, afin de rebâtir une puissance militaire autonome.
Lors de son discours de La Sorbonne en 2017, Emmanuel Macron proposait aux Européens de se fixer pour objectif de construire une “capacité d’action autonome de l’Europe, en complément de l’OTAN”. 8 ans plus tard, l’histoire lui donne raison.
Ce mercredi 5 mars, le Président de la République a déclaré dans son allocution : “La France ne suivra qu’un cap, celui de la paix et de la liberté…”
“L’Europe se fera dans les crises et elle sera la somme des solutions apportées à ces crises.” disait Jean Monnet. L’histoire lui a aussi donné raison.
Ainsi, comme je l’ai exprimé en conclusion de mon intervention à la tribune du Sénat : “Si l’Europe se dote d’une puissance militaire à la hauteur de sa puissance économique, alors cette crise sera surmontée comme toutes les précédentes”.
Fidèlement,
Olivier Cadic
Sommaire :
SITUATION EN UKRAINE ET SÉCURITÉ EN EUROPE . Débat avec le gouvernement : intervention au nom du groupe UC . Le guide “En cas de crise ou de guerre” du gouvernement suédois . Interview Public Sénat concernant l’allocution du Président Macron . Allocution du Président de la République
HOMMAGE . Disparition de Jean-Pierre Cantegrit . Chili : Dimitri Weiler nous a quittés
FRANÇAIS DE L’ÉTRANGER . Le CIAN rappelle que notre présence économique en Afrique est forte . Diplomatie économique : quand le savoir-faire français rend les villes du monde plus durables et intelligentes
EN CIRCONSCRIPTION
> ÉMIRATS ARABES UNIS – Dubaï / Abu Dhabi (20-21 fév. 2025)
> ÉTATS-UNIS – Atlanta (13-15 fév. 2025)
SÉNAT – CYBERSÉCURITÉ / IA . Commission Spéciale Cybersécurité – Table ronde avec Airbus, Orange et Thales . Commission Spéciale Cybersécurité – L’avis des autorités de régulation financière sur “DORA” . Commission Spéciale Cybersécurité – Les collectivités locales face à NIS2 . L’AMF confrontée au défi de l’IA
SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES . France-Algérie : comment sortir de la crise diplomatique ? . Ukraine – Délégation de la Rada . Serbie – Fête nationale
MÉDIAS . “Budget : François Bayrou échappe à la censure” & “Agriculture : un projet de loi pour sortir de la crise” (Public Sénat – 7 fév. 2025 – Vidéo 26’) . “Les politiques français célèbrent la liberté à Taiwan” (Taiwan News – 6 fév. 2025 . Ukraine : “En cas d’accord de paix, l’envoi d’une force d’interposition en Ukraine sera incontournable”, estime le sénateur Olivier Cadic (Public Sénat – 17 fév. 2025) . Rwanda – Tribune RDC (Libération – 26 fév. 2025) . “La Syrie à la croisée des chemins avec son environnement régional” (lettre UDI)
Ce 4 mars, la commission spéciale s’est à nouveau réunie pour travailler sur le projet de loi de loi n° 33 (2024-2025) relatif à la « Résilience des infrastructures critiques et au renforcement de la cybersécurité ».
La finalité de ce texte consiste à transposer en droit français les directives européennes dites NIS2, REC, et DORA (*) pour faire face à une menace devenue systémique. Lors de cette réunion, nous avons, dans un premier temps, entendu les rapports de Michel Canévet, Patrick Chaize et Hugues Saury, puis nous avons examiné 124 amendements.
Je me réjouis que les amendements déposés par nos trois rapporteurs, soit 53 au total, aient tous été adoptés par notre commission.
Nombre de ces amendements répondaient à la crainte, largement partagé par les acteurs que nous avons entendus, d’une « sous-transposition » des directives qui laisserait une place trop importante aux dispositions de nature réglementaire.
Rendez-vous désormais les 11 et 12 mars pour la discussion du projet de loi en séance publique au Sénat.
– – – – – – – – – –
VERBATIM de mon intervention
Mes chers collègues,
L’ordre du jour appelle l’examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Avant d’ouvrir la discussion, je voudrais, avec eux, vous remercier pour votre participation aux travaux de cette commission spéciale qui nous aura fait surmonter une dissolution de l’Assemblée nationale et une censure gouvernementale entre l’annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre et l’audition de la ministre, Mme Clara Chappaz – qui elle n’aura pas changé – , le 27 janvier dernier.
Au total, la commission aura organisé 7 réunions publiques entre le 17 décembre 2024 et le 11 février 2025 :
– deux auditions de responsables publics (M. Vincent Strubel, directeur général de l’ANSSI et Mme Clara Chappaz, ministre délégué à l’intelligence artificielle et au numérique) ;
– et 5 tables rondes avec les organisations professionnelles (MEDEF, CPME), des représentants des entreprises cyber (ACN, CyberCercle, CyberTaskForce, Clusif), les associations d’élus (association des maires de France, association des départements de France, association des régions de France, intercommunalités de France, Métropole du Grand Paris), les autorités de régulation financière (AMF et ACPR) et 3 grands acteurs de la cyberdéfense (Airbus, Orange et Thales).
Ces auditions ont toutes été diffusées sur le site et les réseaux sociaux du Sénat et ont fait plus de 8000 vues. En outre, ces auditions ont fait l’objet de nombreuses reprises par les professionnels du secteur. Cette séquence aura été notre contribution à mieux sensibiliser et informer le public sur l’effort de résilience et de lutte contre les attaques cyber.
Signe que ce texte mobilise le Sénat, je remercie également la commission des affaires européennes, Présidée par notre collègue Jean-François Rapin, pour la communication qu’il a fait le 13 février dernier sur les dispositions de transposition et d’adaptation prévues par ce projet de loi.
Ces observations ont été communiquée à l’ensemble des membres de notre commission spéciale.
Les rapporteurs ont également procédé à de nombreuses auditions et pourront présenter leurs principaux constats et orientations sur le texte.
Avant de leur céder la parole j’ai deux précisions à vous apporter pour le bon déroulement de la réunion :
– Je voudrais tout d’abord excuser notre collègue Patrick Chaize qui a été retenu en Guyane et qui m’a demandé de bien vouloir lire son intervention et présenter ses amendements de concert avec ses co-rapporteurs ;
– Ensuite je vous rappelle qu’aura lieu en séance à 16h30 la déclaration du Gouvernement, suivie d’un débat, en application de l’article 50-1 de la Constitution, portant sur la situation en Ukraine et la sécurité en Europe. Aussi, je vous propose de nous fixer comme objectif de terminer dans ce laps de temps notre débat et l’examen des 124 amendements déposés sur ce texte, dont 53 émanent de nos rapporteurs.
—
(*) Nous avons examiné un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA
La finance est l’un des secteurs de prédilection des attaques cyber, au point que la Banque de France considère le risque cyber comme le risque structurel le plus élevé.
La mise en œuvre de la directive européenne dite Dora, relative à la résilience cyber du secteur financier, mobilise une grande diversité d’acteurs financiers : banques, assureurs, acteurs de paiement, entreprises d’investissement, émetteur de cryptoactifs…
Aussi, la commission spéciale Cybersécurité que je préside a donné la parole, ce 11 février, aux autorités de régulation financière (Autorité des marchés financiers, Autorité de contrôle prudentiel et de résolution)
Si le cadre proposé par Dora est perçu positivement car il joue en faveur de la confiance, il suscite aussi des inquiétudes légitimes, comme l’hébergement des données sensibles chez les opérateurs de cloud qui, mis à part OVH, sont extra-européens.
Nous en avons beaucoup parlé, c’est pourquoi Dora met l’accent sur la surveillance des fournisseurs tiers critiques, bénéficiaires de contrats d’externalisation de services.
Voir la VIDEO de l’audition sur le site du site du Sénat
VERBATIM de mon intervention
Mes chers collègues,
Mesdames, Messieurs,
Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une première table ronde avec les autorités de régulation financière :
– L’Autorité des marchés financiers (AMF) ici représentée par M. Sébastien RASPILLER, secrétaire général, qui est accompagné de M. Philippe SOURLAS, secrétaire général adjoint en charge de la direction de la gestion d’actifs et de Mme Laure TERTRAIS, directrice de cabinet auprès de la présidente Mme Marie-Anne BARBAT-LAYANI ;
– L’Autorité de contrôle prudentiel et de résolution (ACPR), pour laquelle s’exprimera M. Frédéric HERVO, secrétaire général adjoint, qui est accompagné de Mme Véronique BENSAID-COHEN, conseillère parlementaire auprès du Gouverneur, de M. Alexandre GARCIA, expert en régulation prudentielle bancaire et politique de stabilité financière, et M. Gabriel PREGUIÇA, chargé de mission.
Je vous remercie d’avoir répondu à notre invitation car vous pourrez ainsi nous éclairer sur le troisième des trois volets de ce projet de loi, à savoir la transposition de la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Ce titre 3 du projet de loi entre dans le champ de compétence de notre collègue co-rapporteur Michel CANÉVET, par ailleurs membre de la commission des Finances du Sénat.
Nos auditions avaient jusque-là surtout porté sur les deux premiers titres du projet de loi, lesquels concernent pour le titre premier la transposition la directive sur la résilience des entités critiques, dite « REC » et pour le titre 2, la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Pour autant, ces sujets ne sont pas sans lien puisque certaines questions ont pu être soulevées lors de précédentes auditions sur les recoupements ou redondances pouvant exister entre ces trois directives. Mes collègues co-rapporteurs sur les titres 1 et 2, respectivement Hugues SAURY et Patrick CHAIZE pourront vous demander des précisions lors de la séquence des questions-réponses.
Pour ouvrir cette table ronde, je vous propose que chaque rapporteur pose ses questions, ce qui vous permettra d’intégrer une réponse dans votre déclaration.
Notre commission spéciale chargée de la transposition de trois directives européennes (*) que je préside a organisé, ce 4 février, une table ronde réunissant les associations d’élus locaux (Association des maires de France, Régions de France, Départements de France, Intercommunalités de France et Métropole du Grand Paris).
Selon l’ANSSI, les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. Les cyberattaques ont également des conséquences pour les usagers, comme la suspension du versement d’allocations.
Notre projet de loi de transposition de la directive NIS 2 vise à élever le niveau de cybersécurité des collectivités territoriales de plus de 30.000 habitants.
S’il y a une ferme volonté d’appréhender le sujet, les élus locaux ont exprimé diverses inquiétudes sur les conditions de leur mise en conformité avec la directive NIS 2.
En premier lieu, les solutions de sécurité seront-elles supportables financièrement et faisables techniquement, à commencer par le recrutement sur des métiers en tension ?
Alors que les collectivités croulent déjà sous les réglementations, les normes et les menaces de sanctions, se sentent-elles suffisamment accompagnées par l’État ?
Voir la VIDEO de l’audition sur le site du site du Sénat
VERBATIM de mon intervention
Notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité se poursuit aujourd’hui par une table ronde avec les associations d’élus sur le thème de la cybersécurité et des collectivités territoriales.
Plusieurs raisons ont conduit à organiser cet échange spécifique avec les différents échelons de collectivités locales :
– La première raison est que le projet de loi dont notre commission spéciale est saisie vise à élever le niveau de cybersécurité des collectivités de plus de 30 000 habitants dans le cadre de la transposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ;
– Le deuxième motif est la vulnérabilité numérique de nos services publics territoriaux qui sont en première ligne au même titre que les hôpitaux, dont les attaques sont davantage médiatisées. Mais saviez-vous que selon l’Agence nationale de sécurité des systèmes d’information «(ANSSI), les attaques réussies par rançongiciels sur des collectivités représente un quart (25%) de l’ensemble des attaques, contre 10% sur des établissements de santé. C’est pourquoi le retour d’expérience de nos associations d’élus nous sera précieux pour apprécier le juste seuil et le juste niveau d’obligations à inscrire dans la loi ;
– Enfin, la troisième raison de cette table ronde est que certaines collectivités territoriales sont elles-mêmes des actrices de la cybersécurité en proposant soit des actions de prévention, soit des dispositifs spécifiques, je pense aux régions qui se sont engagées dans la création de CSIRT régionaux (Computer Security Incident Response Team) pour répondre et soutenir les entreprises de leur territoire pour faire face à des incidents de sécurité informatique. Leur rôle est diversement connu et reconnu.
Aussi le témoignage des représentants des régions nous sera utile pour discerner les différentes approches proposées à leur sujet par l’ANSSI, la ministre et les entreprises expertes en cybersécurité qui ne partagent pas la même appréciation de leurs missions.
Nous vous remercions très sincèrement d’être venus à notre rencontre soit en visioconférence, M. Michel SAUVADE, vice-président du conseil départemental du Puy de Dôme, maire de Marsac-en-Livradois et qui représentera l’AMF et Départements de France, soit en présentiel :
– pour l’Association des régions de France, M. Jérôme TRÉ-HARDY, conseiller régional de Bretagne, (je me souviens que nous nous sommes rencontrés à Rennes au Pôle d’excellence cyber, avec mon collègue co-rapporteur budgétaire des crédits du programme 129 relatif à la cybersécurité) et Mme Constance NEBBULA, vice-présidente de la Région des Pays de la Loire chargée du numérique. Vous êtes les acteurs les plus au fait pour nous relater vos expériences respectives dans la création des CSIRT de vos régions. Vous êtes accompagnés de Mme Laure PRÉVOT, conseillère économie à Régions de France ;
– Pour Intercommunalités de France, nous recevons Mme Marlène LE DIEU DE VILLE, vice-présidente en charge du numérique d’Intercommunalités de France, vice-présidente déléguée à l’économie numérique, aux systèmes d’information et à la culture de la communauté de communes de Lacq-Orthez. Vous êtes accompagnées de Mme Montaine BLONSARD, Responsable des relations avec le Parlement d’Intercommunalités de France ;
– Enfin, pour la Métropole du Grand Paris, nous recevons à sa demande M. Geoffroy BOULARD, maire du 17e arrondissement, conseiller de Paris et vice-président de la Métropole du Grand Paris, accompagné de Mme Justine TERZI, chargée de mission Cyber-Métropole du Grand Paris et M. Eloy LAFAYE, chef de projet Innovation numérique.
Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.
Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte pour une durée de 10 minutes au maximum puis je donnerai la parole à chacun des rapporteurs, MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions./font>
– – – –
(*) Nous examinons un projet de loi qui vise la transposition de 3 directives européennes :
➢ la directive sur la résilience des entités critiques, dite REC
➢ la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite NIS2
➢ la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite DORA
Le projet de loi de finances 2025 a enfin été adopté.
La situation critique de nos finances publiques marquée par une dette importante a nécessité de faire preuve de pragmatisme pour accepter un budget qui ne satisfait en réalité personne.
L’absence de majorité claire à l’Assemblée nationale a reporté des décisions difficiles sur la commission mixte paritaire (CMP).
Mais malgré ses nombreuses imperfections, ce budget était essentiel pour la stabilité de la France. Il nous offre une base de travail pour construire la suite.
Il paraît impératif que chacun s’engage désormais à surmonter les postures politiques, et à contribuer à un effort collectif afin de trouver des solutions durables pour notre économie.
Fidèlement,
Olivier Cadic
Sommaire :
VOEUX 2025 . Vœux à la communauté française établie à l’étranger
FRANÇAIS DE L’ÉTRANGER . Premier ministre – Hôtel Matignon . Réunion des chefs de poste consulaire . PLF2025 (1/3) – Action Extérieure de l’État – Discussion générale . PLF2025 (2/3) – Action Extérieure de l’État – Restrictions budgétaires . PLF2025 (3/3) – Pass Éducation Langue française . ⭢ PLF2025 – Les parlementaires des Français de l’étranger contre le nouveau coup de rabot budgétaire infligé au Quai d’Orsay
SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES . Entretien avec les ambassadeurs de France dans cinq des pays du Golfe . Ukraine – Petro Poroshenko . Inde – 76ème Journée de la République . Pays du Golfe – Ambassadeur d’Oman
SÉNAT – CYBERSÉCURITÉ . Commission spéciale Cybersécurité – Audition des Experts Cyber . Commission spéciale Cybersécurité – Audition de Clara Chappaz . PLF2025 / P129 (1/3) – Cyber, Ingérences numériques… un budget 2025 sous contrainte . PLF2025 / P129 (2/3) – Transférer le budget de l’IHEDN au ministère des Armées . PLF2025 / P129 (3/3) – Déshabiller Pierre pour habiller Paul . Général Philippe Boutinaud – DCAF Genève
NARCOTRAFIC . PPL Narcotrafic – Plaidoyer pour développer la coopération internationale
MÉDIAS . “Trump à la Maison Blanche : comment les ultraconservateurs sont-ils arrivés au pouvoir ?” (Public Sénat – 18 janv. 2025 – Vidéo 35’) . “Narcotrafic : une loi pour gagner la guerre” (Public Sénat – 27 janv. 2025 – Vidéo 9’15)
Centre de développement des capacités cyber dans les Balkans occidentaux
Le 29 janvier, la Commission des Affaires étrangères et de la Défense a voté en faveur du projet de loi, présenté par ma collègue Sylvie Goy-Chavent, autorisant l’approbation de l’accord portant sur la création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).
L’accord vise à créer un Centre de développement des capacités cyber dans les Balkans occidentaux (Albanie, Bosnie-Herzégovine, Kosovo, Macédoine du Nord, Monténégro, Serbie) en lui octroyant le statut d’organisation internationale (C3BO). Le siège du centre est prévu au Monténégro, à Podgorica.
Cet accord signé par trois pays qualifiés de « fondateurs » a pour objet de renforcer la cyber-résilience des Balkans par des activités de formation et de sensibilisation. Les objectifs du C3BO sont de renforcer les capacités opérationnelles des services de police et de justice, la prévention des attaques cyber et la gestion des risques.
Le C3BO vise à former des experts, au sein des agences, administrations, forces de police et de sécurité régionales. Il permettra d’approfondir la coopération entre tous les acteurs régionaux et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.
En novembre 2022, nous avions accueilli une délégation de députés monténégrins (compte-rendu) suite à la cyberattaque majeure subie par le Monténégro à l’été 2022. 17 systèmes différents localisés dans 10 ministères avaient été corrompus et 3000 ordinateurs d’état avaient dû être réinstallés. L’ANSSI avait dépêché 15 agents à Podgorica pour la circonstance.
Je me réjouis que l’initiative dont nous avions parlé en novembre 2022, aie prospéré, et que notre pays soit en pointe pour animer ce centre cyber international.
Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.
Comme je l’ai indiqué en conclusion : une transposition intelligente doit être faite par les professionnels pour les professionnels.
J’ai invité ces représentants à nous faire parvenir leurs réflexions par écrit et leurs suggestions d’amendement dans le cadre d’un processus collaboratif, car ils seront en charge d’aider les entreprises à pouvoir répondre aux obligations de NIS2.
Je les remercie pour la qualité et la pertinence de leurs analyses.
Nous poursuivons ce matin notre cycle d’auditions publiques consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes :
> la directive sur la résilience des entités critiques, dite « REC »
> la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
> et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
Après avoir entendu en décembre dernier le Mouvement des entreprises de France (Medef), la Confédération des PME (CPME) et M. Vincent Strubel, directeur général de l’ANSSI, nous accueillons aujourd’hui des organisations professionnelles de la cybersécurité :
– l’Alliance pour la confiance numérique, ACN, représenté par son président, M. Daniel Le Coguic, ainsi que M. Yoan Kassianides, Mme Elsa Auriol et M. Farid Lahlou
– le Clusif qui est l’association de la sécurité du numérique en France, représenté par M. Benjamin Leroux
– le CyberCercle, représenté par MM. Christian Daviot, Stéphane Meynet et François Coupez
– et CyberTaskForce, représenté par Sébastien Garnault, M. Philippe Luc et Mme Anne Elise Jolicart.
Je vous remercie d’avoir répondu à notre invitation pour partager votre point de vue sur le projet de loi et l’impact de cette transposition pour les entreprises. Nous serons en particulier intéressés par les dispositions du texte qui vous posent problème et vos éventuelles propositions d’amendement.
Nous pourrons ainsi relayer vos préoccupations à la ministre chargée de l’Intelligence artificielle et du Numérique, Mme Clara Chappaz, que nous entendons lundi 27 janvier prochain.
Avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat, puis consultable en vidéo à la demande.
Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente ses positions sur le texte pour une durée de 10 minutes au maximum, puis je donnerai la parole à chacun des rapporteurs, MM. Michel Canévet pour la commission des Finances, Patrick Chaize pour la commission des Affaires économiques et Hugues Saury pour la commission des Affaires étrangères et de la Défense, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.
Nous sommes donc ensemble jusqu’à 11h et je vous propose de commencer par l’ordre alphabétique, mais avant toute chose, je voulais dire que vous représentez l’écosystème que vous m’apportez beaucoup en tant que rapporteur du programme 129. Jusqu’à présent on auditionnait surtout nos administrations, c’est votre regard qui représente les entreprises et l’écosystème qui nous a permis de travailler un peu différemment.
Vos propos sont importants, attendus et n’hésitez pas aussi à nous donner votre point de vue éventuel sur la question budgétaire, puisque qui dit NIS2 dit que l’ANSSI doit évoluer
CONCLUSION
Merci beaucoup pour toutes ces informations, je pense que je vais finir avec le premier élément qui avait été annoncé par M. Le Coguic : être ensemble, collaborer.
Je me demande… si nous avions tous été ensemble et si nous avions tous collaboré… si les CSIRT régionaux (*) existeraient aujourd’hui et si l’argent qui a été mis pour ces CSIRT aurait été dépensé ?
Pour ceux qui pensent que la solution c’est « plus de budget », je rappelle cette phrase : travaillons tous ensemble avant de commencer à dépenser l’argent. Posons-nous la question : quel est l’objectif à atteindre ?
Parce que c’est tellement pratique, c’est tellement confortable de se dire qu’en mettant plus d’argent on va régler le problème. Malheureusement, ce n’est pas le cas.
Chers collègues, je vous rappelle que nous entendrons lundi 27 janvier 2025 à 15 heures Mme Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique. Cet horaire coïncide avec le début de la discussion de la proposition de loi visant à lever les contraintes à l’exercice du métier d’agriculteur. J’espère qu’ils ne nous en voudront pas, mais c’était la seule date possible pour la ministre.
Nous aurons aussi, je vous l’annonce, le 4 février et cela viendra en complément de vos réponses, une table ronde avec les représentants d’organisations d’élus représentatifs : l’AMF, les régions, les départements de France.
Sous réserve de l’approbation de la Conférence des présidents, la semaine prochaine, le texte pourrait être discuté dans l’hémicycle le mardi 11 mars.
En conclusion, je l’avais dit, je souhaite une transposition de NIS2 intelligente. Pour être intelligente, elle doit être faite par les professionnels pour les professionnels.
Je vous invite à nous faire parvenir tous vos éléments par écrit et aussi vos suggestions d’amendement qui seront partagés entre tous les rapporteurs.
C’est peut-être quelque chose qui ne s’est jamais fait : chaque fois que vous nous enverrez des suggestions d’amendements, elles seront anonymisées et partagées pour vous permettre éventuellement de rebondir, afin qu’ils soient conçus de façon collective.
On ne peut pas, on ne peut plus travailler sur de tels sujets, sans consulter et sans associer ceux qui vont être dans l’application du texte. C’est une nouvelle démarche, transparente, parce que c’est vous qui serez en charge d’aider les entreprises à pouvoir répondre à NIS2. Je veux que cela soit un travail interactif dans cet esprit.
Je vous remercie. Votre apport était essentiel à cette préparation. Merci encore et merci à mes collègues.
(*) Computer Security Incident Response Team ou CSIRT
Je vous souhaite une belle année nouvelle, souriante de santé, environnée d’affection et propice à vos ambitions.
Fidèlement,
Olivier Cadic
Sommaire :
FRANÇAIS DE L’ÉTRANGER . Discours du Président Macron aux ambassadrices et ambassadeurs . La communauté française : atout maître de notre diplomatie, estime Jean-Noël Barrot
ACTUALITÉS . Liban – Joseph Aoun, élu président ! . États-Unis – Los Angeles
EN CIRCONSCRIPTION
> ARABIE SAOUDITE – Riyad (2-3 déc. 2024) : Visite d’État du Président de la République
> INDE – New-Delhi (27-29 nov. 2024)
> GRÈCE – Thessalonique (30 nov.-1 déc. 2024)
SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES . Pérou – Rencontre avec le Premier ministre
SÉNAT – CYBERSÉCURITÉ . Cybersécurité – Lancement officiel du 17Cyber ! . Bruxelles – Déplacement de la Commission spéciale Cybersécurité . Commission spéciale Cybersécurité : Auditions ANSSI, MEDEF & CPME . Conférence RésiFrance : une certaine idée de la cyber-résilience
MÉDIAS . “Le trafic de stupéfiants, un marché en plein essor ?” (TV5 Monde – 05 déc. 2024 – Vidéo) . “USA : Trump a-t-il déjà pris le pouvoir ?” (Public Sénat – 17 déc. 2024 – Vidéo 11’08)
La commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside et dont les rapporteurs sont mes collègues Michel Canévet,Patrick Chaize etHugues Saury, a auditionné, ce 17 décembre, Vincent Strubel, le directeur général de l’ANSSI, l’agence qui a va piloter la mise en œuvre de la directive NIS2.
J’ai conclu mon propos introductif par des félicitations à l’ANSSI pour le lancement officiel, le matin même, du 17Cyber, dispositif de secours en ligne pour toutes les victimes de cyberdélinquance (lire le billet). Vincent Strubel m’a ainsi retourné le compliment : « permettez-moi de vous remercier pour la constance avec lequelle vous avez soutenu ce dispositif 17Cyber ».
Ensuite, j’ai fait une parenthèse au cours de la discussion pour égrener quelques inquiétudes soulevées par le Medef et la CPME que nous avions auditionnés juste auparavant (coût des contrôles à la charge de l’entreprise, interdiction de gérer…)
Plus tard dans les débats, en me référant à notre déplacement en Belgique, où la directive NIS2 a déjà été transposée, j’ai interrogé le directeur général sur la norme Iso 27001 ; la capacité d’audit de son agence, ; l’application de la directive aux groupements de sociétés et, enfin, la politique de certification des produit et services qui doivent répondre aux besoins des 15.000 entités qui seront concernées à terme par NIS2. Je remercie M. Strubel de ses réponses claires et précises.
Vidéo de mes interventions (Vidéo 11’30)
VERBATIM – Introduction
Mes chers collègues,
Nous poursuivons nos travaux sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité par l’audition de M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI), que je remercie de venir nous présenter les dispositions de ce texte qui relève de son administration.
Votre venue était attendue car, comme vous le savez, l’audition de Mme Clara Chappaz, secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, qui devait ouvrir nos travaux le 9 décembre dernier a dû être reportée à une date ultérieure.
Avec les rapporteurs, nous nous sommes rendus la semaine dernière à Bruxelles à la rencontre de la Commission européenne et des autorités belges qui ont d’ores et déjà engagé cette transposition.
C’est donc à vous que revient la première prise de parole publique de l’administration française devant nos rapporteurs, MM. Michel Canévet qui nous suit distance, Patrick Chaize et Hugues Saury, et les membres de notre commission spéciale sur cette transposition : ce qu’elle apportera en termes de résilience et de cybersécurité ; et ce qu’elle impliquera pour les entreprises et collectivités dans le cadre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ».
Monsieur le directeur général, je rappelle que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
Avant de vous céder la parole, je voudrais vous féliciter pour le lancement officiel, ce matin, du 17Cyber qui était un dispositif que nous attendions tous. Cyber-malveillance devient maintenant 17Cyber. Peut-être nous en direz-vous deux mots dans le cas de cette audition.Vous avez la parole.
Les entreprises et la cybersécurité : 62% des entreprises n’ont pas encore conscience du risque numérique…
Ce 17 décembre, première audition de la commission spéciale, que je préside, en charge d’examiner le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont les rapporteurs sont mes collègues Patrick Chaize,Hugues Saury et Michel Canévet.
Dans le cadre d’une table ronde sur le thème « les entreprises et la cybersécurité », les membres de la commission spéciale ont recueilli les remarques émanant du Medef et de la CPME et posé leurs questions.
Après mon propos introductif, je suis intervenu à deux reprises dans la discussion afin de prolonger des propos des intervenants sur le financement du réseau et sur les questions de responsabilité de l’État face à la cybercriminalité. Ces deux points vont particulièrement alimenter les réflexions de notre commission spéciale.
Vidéo de mes interventions (Vidéo 5’50)
VERBATIM – Introduction
Mes chers collègues,
Mesdames, Messieurs,
C’est avec un grand plaisir que j’ouvre aujourd’hui le cycle des auditions qui seront consacrées au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Je rappelle que notre commission spéciale s’est constituée le 12 novembre dernier pour examiner ce texte qui vise la transposition de 3 directives différentes : o la directive sur la résilience des entités critiques, dite « REC » ; o la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 » ; o et la directive qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
Cette transposition devait intervenir avant le 17 octobre de cette année, mais dans le contexte actuel ce n’est pas la seule loi qui connaît du retard. Malgré tout, il y a une vraie attente des entreprises sur les nouveaux objectifs de cybersécurité et les nouvelles obligations qui pèseront sur les entreprises.
C’est pourquoi je remercie le Mouvement des entreprises de France (Medef) et la Confédération des PME (CPME) d’avoir répondu à notre invitation pour partager leur point de vue sur le projet de loi et l’impact de cette transposition ainsi que, le cas échéant, vos propositions. Nous pourrons ainsi relayer vos préoccupations notamment au directeur général de l’ANSSI que nous entendons juste après vous. L’U2P et l’Afep m’ont fait savoir que leur position n’était pas encore arrêtée et qu’elles nous adresseraient ultérieurement leur contribution écrite.
Pour le Medef, nous accueillons :
– Mme Maxence Demerlé, directrice du numérique ;
– M. Maxime Foret, chargé de mission sénior, Pole Affaires publiques ;
– Et Mme Mathilde Briard, chargée de Mission Economie numérique.
Pour la CPME, nous accueillons :
– Mme France Charruyer, membre de la Commission numérique,
– M. Lionel Vignaud, directeur des affaires économiques, juridiques et fiscales,
– M. Jérôme Normand, économiste,
– Et M. Adrien Dufour, responsable des affaires publiques.
Mesdames, Messieurs, avant de vous céder la parole, je rappelle à tous que cette audition fait l’objet d’une captation vidéo qui est retransmise sur le site internet du Sénat puis consultable en vidéo à la demande.
Je vous propose pour ouvrir cette table ronde que chaque organisation nous présente leurs positions sur le texte, puis je donnerai la parole à chacun des rapporteurs, MM. Patrick Chaize,Hugues Saury et Michel Canévet que nous attendons, puis à ceux de nos collègues qui le souhaitent pour poser leurs questions.
Avant de vous céder la parole, je vous informe que nous avons inauguré le 17Cyber ce matin et il a été annoncé que plus de 60% des entreprises ne sont pas conscientes d’être sujettes au risque numérique, aujourd’hui.
Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.
J’ai remplacé le secrétaire général de la Défense et de la Sécurité nationale (SGDSN), absent du fait de la démission du Premier ministre la veille.
Ayant dû passer à Thessalonique, 4 jours plus tôt pour suppléer l’absence du ministre des Transports, et participer à l’inauguration du métro, j’ai indiqué en souriant qu’il allait bientôt falloir m’appeler “The Spare”.
Je remercie les participants d’avoir apporté leurs chaleureux applaudissements en commentant qu’il fallait peut-être y voir la démonstration que le Sénat garantissait ainsi la résilience de nos institutions.
J’ai répondu à l’invitation de Hugo Fiora, délégué général de RésiFrance, qui visait à créer un espace de dialogue entre les décideurs publics et privés concernés par les enjeux de la résilience.
Intervenant après le général de corps d’armée Tony Mouchet, j’ai exposé ma vision concrète du sujet à travers mon expérience de parlementaire (1), puis j’ai présenté le programme de travail de la commission spéciale que je préside depuis le mois dernier, en charge de transposer trois directives européennes (2).
Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.
J’ai mis en garde contre une activité cyber de l’Etat qui serait seulement réactive ou défensive, et pourrait être interprétée comme de la passivité.
Il convient d’engager une forte sensibilisation des utilisateurs sur le risque numérique et de conclure que le hasard favorise les esprits les mieux préparés.
C’est la condition pour atteindre une résilience cyber réussie.
Ma collègue Vanina Paoli-Gagin, vice-présidente de la commission spéciale, a participé à la table ronde qui a suivi, intitulée “la résilience : une stratégie nationale”. +d’images
– – – – – – – – – – – – – – –
(1) Depuis 2018, rapporteur pour avis des crédits du programme 129sur la coordination du travail gouvernemental en matière de sécurité et de défense nationale. Cela recouvre la résilience de la Nation, la cybersécurité (ANSSI) et la lutte contre les menaces hybrides dont les manipulations de l’information (Viginum)
(2) 3 directives européennes :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission des Finances.
En montant dans l’avion pour accompagner le président de la République dans sa visite d’État au Royaume d’Arabie saoudite, nous ne savons pas si nous aurons toujours un gouvernement à notre retour.
Des parlementaires d’opinions opposées envisagent désormais de voter ensemble une motion de censure pour renverser le gouvernement.
Une victoire par chaos budgétaire en somme.
Ce serait alors un retour au budget 2024, qui aggraverait encore notre déficit budgétaire et nos difficultés.
À titre d’exemple, les 3,3 milliards de hausse pour notre défense prévus dans la loi de programmation militaire seraient reportés, alors même que la guerre menace à nos portes.
Le 20 janvier prochain, Donald Trump retrouvera son bureau à la Maison Blanche.
Pour affronter la bataille commerciale mondiale qui se profile, le chantre du “America First” se réjouirait de trouver face à lui, une Europe divisée et une France absente faute de gouvernement.
Renverser le gouvernement sans offrir de solution alternative relève du délire d’entrave.
Cela affaiblirait considérablement la France à l’international.
Difficile de comprendre ceux qui veulent nous entraîner sur ce chemin.
Fidèlement,
Olivier Cadic
Sommaire :
FRANÇAIS DE L’ÉTRANGER . PLF 2025 – Les indemnités de résidence à l’étranger demeureront non-imposables . Institut français (IF) – Conseil d’administration . MEAE – Budget 2025 – Statistiques des activités chronophages pour les consulats
SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES . Agence française de développement (budget 2025) . Taïwan – Visite officielle du Yuan législatif . Équateur – GIA – Entrepreneurs . Qatar – Ambassadeur . Sri Lanka – Ambassadrice . Nouvelle-Zélande – Vice Premier ministre . Inde – Ambassadeur . Canada / Taïwan – Motion sur la résolution 2758 de l’ONU adoptée à l’unanimité . Hong Kong – Déclaration de L’IPAC sur la condamnation de 45 militants pour la démocratie . Hong Kong – Appel à libérer Jimmy Lai par des parlementaires de 24 pays
SÉNAT – CYBERSÉCURITÉ . Résilience/Cybersécurité/NIS2 – Une commission spéciale pour transposer 3 directives européennes . Cyber – Matignon – Résilience/Cybersécurité . Cybersécurité et ingérences étrangères (SGDSN, ANSSI et VIGINUM) – Le dôme cyber a tenu en 2024 ! (Budget 2025) . Cyber – Gendarmerie – Cyber & IA (Budget 2025)
MÉDIAS . “Narcotrafic : La France en voie de mexicanisation ?” (Public Sénat – 04 nov. 2024 – Vidéo 12’50) . « Mexicanisation » ou « Marseillisation » ? (Le Temps – Suisse – 08 nov. 2024)
Participation à deux séquences, ce 19 novembre, ayant trait à mon activité dans le domaine cyber.
1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.
J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.
Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…
2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.
Notre objet était de fixer la répartition des articles entre les rapporteurs et les prochaines dates de réunions et d’auditions.
Très honoré d’assumer la présidence de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, suite à sa séance constitutive du 12 novembre.
Un groupe de travail préfiguratif avait été constitué au mois de juin dernier. Entretemps, la dissolution de l’Assemblée nationale, puis la constitution du nouveau gouvernement ont retardé le processus et ce n’est donc que le 15 octobre dernier que le projet de loi a été déposé sur le Bureau du Sénat en première lecture.
Ce projet de loi vise la transposition de 3 directives distinctes, dont la directive dite « NIS2 » qui a déjà soulevé bien des débats :
o la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC ». Celle-ci modifie le code de la défense ;
o la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 ». Celle-ci relève du champ de compétence des Affaires économiques mais aussi de la commission de la Défense sur certains articles ;
o la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ». Cette dernière relève davantage du domaine de la commission
des Finances.
Je souhaite que nous puissions entendre en premier lieu Mme Clara Chappaz, Secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, avec qui je me suis entretenu ces derniers jours.
Nos auditions seront programmées dans les semaines suivantes dans la perspective d’un examen en séance publique qui pourrait avoir lieu mi-février 2025.
La commission spéciale a constitué son Bureau au cours de sa séance constitutive du 12 novembre 2024 :
Le Président : . Olivier Cadic (UC – Français de l’étranger)
Les Rapporteurs : . Michel Canevet (UC – Finistère) . Patrick Chaize (LR – Ain) . Hugues Saury (LR – Loiret)
Les Vice-présidents : . Cédric Perrin (LR – Territoire de Belfort) . Christine Lavarde (LR – Hauts-de-Seine) . André Reichardt (LR – Bas-Rhin) . Hélène Conway-Mouret (SER – Français de l’étranger) . Audrey Linkenheld (SER – Nord) . Nadège Havet (RDPI – Finistère) . Vanina Paoli-Gagin (LIRT – Aube) . Michelle Gréaume (CRCE – Nord) . Akli Mellouli (GEST, Val de Marne) . Bernard Fialaire (RDSE – Rhône)
Au cours de l’audition du général Hubert Bonneau, directeur général de la Gendarmerie, ce 13 novembre, j’ai porté nos discussions sur l’activité cyber des services de gendarmerie, puis sur l’intérêt de recourir à l’intelligence artificielle, comme le démontre la police de la route au Brésil.
Dans le domaine cyber, le général nous a indiqué que 1000 enquêteurs travaillaient sous pseudonyme et que 500 cyber-réservistes complètent son dispositif. Il a insisté sur le rôle essentiel de prévention des gendarmes en la matière, qui vont au contact de toutes les populations, des établissements scolaires aux Ehpad, en passant par les petites mairies.
Au sujet de l’intelligence artificielle, le général Bonneau a mentionné une initiative (CAP IA) qui a pour vocation d’aider et soutenir le gendarme grâce à l’IA. Toutefois, « la vraie difficulté en la matière, c’est notre cadre réglementaire et législatif » auquel les gendarmes ne peuvent évidemment déroger.
Puisque j’ai évoqué le Brésil, le général a mis en avant notre « degré d’acceptabilité », en illustrant le fait que « vous êtes scannés des pieds à la tête quand vous arrivez à l’aéroport de Singapour ou de Dubaï. En France, ce n’est pas le cas ».
VERBATIM de mon intervention
Merci beaucoup pour votre présentation. Félicitations pour la Minute-cyber qui nous informe sur le progrès de vos opérations dans ce domaine et je veux citer l’opération Ghost pour laquelle vous nous avez informés avec cette task-force internationale au sein d’Europol qui a permis d’interpeler, le mois dernier, 50 personnes et saisir drogue, armes et des millions d’euros. Félicitations pour cette action.
Combien de sollicitations pour des attaques cyber enregistrez-vous ? Nous attendons la mise en place du « 17 cyber » pour centraliser justement les demandes des particuliers victimes en matière cyber. Avez-vous des statistiques à nous communiquer dans ce domaine ?
Mon deuxième sujet, qui va compléter certainement votre réponse précédente, est l’utilisation de l’intelligence artificielle. Au Brésil, la police de la route a une formidable efficacité parce qu’ils ont connecté l’intelligence artificielle au système de lecture automatique des plaques d’immatriculation. Cela leur permet d’anticiper, de détecter les véhicules automatiquement par ordinateur, de taguer certaines plaques d’immatriculation pour les placer orange/rouge en fonction des parcours suspects. Ce dispositif facilite les arrestations et la lutte contre le crime organisé au Brésil. Votre prédécesseur regrettait que cela faisait dix ans qu’on essaye d’avancer, je le cite, sur « la mise en commun des LAPI Douanes, Police, Gendarmerie pour pouvoir utiliser les données. Il se déclarait positif pour ce genre de solution. Est-ce que nous avons fait des progrès dans ce domaine pour améliorer notre efficacité et, sinon, comment pouvons-nous vous aider ?
Espionnage, hacking, tentative de recrutement, la Chine et la Russie sont les fers de lance d’une guerre hybride menée contre nos intérêts.
Cette vidéo d’une minute réalisée par Public Sénat témoigne de l’ampleur de la menace qui pèse sur les démocraties.
Si les élus sont une cible de choix comme le révèle le reportage, d’autres professions ne sont pas en reste : diplomates, hauts fonctionnaires, journalistes, chercheurs, entrepreneurs…
Ce remarquable travail de Public Sénat est susceptible de contribuer à une prise de conscience collective de cette situation, afin que fidèle à la devise des lumières, chacun aie le courage de se servir de sa propre intelligence pour résister au chant des sirènes et ne pas tomber dans les pièges des régimes autocratiques.
FRANÇAIS DE L’ÉTRANGER . PLF 2025 – Audition de Jean-Noël Barrot . Conférence Liban (1/2) – Situation géopolitique & soutien à la population . Conférence Liban (2/2) – Message de Sophie Primas à nos ressortissants . 41e Session de l’AFE – Ouverture / Intervention de Sophie Primas . 41e Session de l’AFE – Intervention du groupe Les Indépendants . L’ANEFE auditionnée par le Sénat et l’AFE . 41e Session de l’AFE – Pauline Carmona clôture les travaux . Une BD qui raconte la Francophonie !
EN CIRCONSCRIPTION
> DANEMARK – Copenhague (26-27 sept. 2024)
> ÉTATS-UNIS (1/3) – Los Angeles (4-6 oct. 2024)
> ÉTATS-UNIS (2/3) – San Diego (7-8 oct. 2024)
> ÉTATS-UNIS (3/3) – San Francisco (9-11 oct. 2024)
SÉNAT – COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉES . Taïwan – Réception de Tsai Ing-wen, ancienne présidente . Taïwan – A quand la visite d’un ministre français ?
SÉNAT – CYBERSÉCURITÉ . Cyber Task Force : “Comment réussir la transposition NIS2 ?” . Euro-Atlantic Resilience Forum 2024 – Il n’y a pas de canon pour détruire un mensonge . CyberSécurité – Le « 17 Cyber » sur la rampe de lancement
MÉDIAS . Olivier Cadic : “le Hezbollah entraîne les Libanais dans une guerre contre leur gré” (LePetitJournal.com – 29 oct. 2024) . “Russie, Chine : comment ils attaquent nos démocraties” (Public Sénat – 22 oct. 2024) . “CyberTaskForce : face aux cybermenaces pour la sécurité nationale, un projet de loi NIS 2 jugé brouillon” (The Epoch Times – 20 oct. 2024) . « Ingérences étrangères, des élus pris pour cibles » (Public Sénat – 19 oct. 2024) . Olivier Cadic : « Après la mort du chef du Hamas, il faut trouver une issue au conflit » (Public Sénat – 18 oct. 2024)
Ce 4 mars, la commission spéciale s’est à nouveau réunie pour travailler sur le projet de loi de loi n° 33 (2024-2025) relatif à la « Résilience des infrastructures critiques et au renforcement de la cybersécurité ».
Notre commission spéciale chargée de la transposition de trois directives européennes (*) que je préside a organisé, ce 4 février, une table ronde réunissant les associations d’élus locaux (Association des maires de France, Régions de France, Départements de France, Intercommunalités de France et Métropole du Grand Paris).
Centre de développement des capacités cyber dans les Balkans occidentaux 
Ce 23 janvier, avec mes collègues rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, nous avons entendu les représentants des organisations professionnelles de la cybersécurité :
Ce 5 décembre, j’ai eu le plaisir d’intervenir en keynote introductive, lors du colloque intitulé « la résilience dans tous ses états », au sein des locaux de Direction générale de la Gendarmerie nationale à Issy les Moulineaux.
Cet objectif s’incarne dans le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » qui devrait, sous toutes réserves, être discuté en séance, mi-février 2025.
