Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
– Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
– Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
– Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
– Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
– Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
– Clément Dugravot, administrateur à la commission des Affaires économiques
– Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
– Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
– Thomas Plomteux, Head of IT Prudential Supervision
– Liesbeth Denturck, conseillère juridique
– Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
– Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

1️⃣ Tout d’abord, un échange à Matignon avec François Cornut-Gentille, chef du pôle Défense au cabinet du Premier ministre, en présence de Thierry Perardel, conseiller technique défense.

J’ai remercié François Cornut-Gentille de m’offrir, pour la première fois depuis 2017, l’opportunité de partager mon expérience de 7 années, en qualité de co-rapporteur pour avis du programme 129 “Coordination du travail gouvernemental”.

Nous avons évoqué le budget du SGDSN, l’évolution de l’ANSSI et les défis imposés par les conséquences de la transposition de la directive NIS2, la création réussie de Viginum, l’impérative nécessité de lancer le “17 cyber” et de renforcer le GIP ACYMA, les retards du filtre anti-arnaque, l’IHEDN…

2️⃣ première réunion de travail avec Patrick Chaize et Hugues Saury, rapporteurs de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ce 19 novembre.

M. Cauchard a d’abord rappelé que l’Érythrée est l’un des plus jeunes États du monde et qui dispose d’une très longue côte (1150 km ) sur la mer Rouge, qui fait l’objet actuellement de tensions alimentées par la recrudescence des attaques de navires conduites par les rebelles Houthis du Yémen, tensions dans lesquelles l’Erythrée s’efforce de ne pas être impliquée.

L’ambassadeur a fait observer que la culture politique du pays était fortement marquée par une idéologie hostile au monde occidental. Les élites érythréennes entretiennent une grande méfiance envers l’ONU, à laquelle il est reproché d’avoir intégré l’Érythrée à l’Éthiopie au lendemain de la Seconde Guerre mondiale, puis son manque de soutien pendant la longue guerre d’indépendance ou encore les sanctions prises à l’encontre du pays à la suite de son appui aux Shebab de Somalie (sanctions aujourd’hui levées).

L’Érythrée fait partie des rares pays a avoir voté contre la résolution de l’Assemblée générale de l’ONU condamnant l’agression russe en Ukraine.

La France n’échappe pas à la défiance manifestée par les autorités envers le monde occidental. Il y a une dizaine de ressortissants français en Érythrée, alors qu’en France, la diaspora érythréenne est composée de près de 11000 personnes. Sur le plan économique, TotalÉnergies est la seule entreprise française pleinement active dans le pays, avec environ 35 stations essence.

J’ai participé à cette rencontre en compagnie de mon collègue Jean-Baptiste Lemoyne, et Abdourahman Yassin, représentant officiel du Somaliland en France.

Le ministre a expliqué les points du mémorandum d’entente entre l’Éthiopie et le Somaliland signé début janvier 2024. Grâce à la base portuaire de Berbera, l’Éthiopie, pays enclavé, pourra bénéficier d’un accès à l’océan. En échange, l’Éthiopie a reconnu le Somaliland.