Député, j’ai été désigné pour être le rapporteur général du projet loi dit « Résilience ». ​⬇️ Quelques explications
➡️​ Alors que la directive NIS2 (directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union) est entrée en application depuis le mois d’octobre 2024, la France s’apprête à initier le processus de transposition de cette directive avec le projet de loi dit « Résilience », dont l’examen à l’Assemblée, après le Sénat en début d’année, est prévu pour l’été 2025. Sans date précise…
J’ai l’honneur d’en être le rapporteur général.
Avec un nombre d’entités couvertes qui devrait atteindre 10 à 15 000 entités, entreprises, administrations ou collectivités, rien qu’en France, NIS2 constitue un changement de paradigme pour notre niveau de résilience collective, mais aussi un effort de conformité supplémentaire pour les entreprises.
Il s’agit de penser la cybersécurité à l’échelle européenne, seul niveau pertinent face à menace protéiforme qui ne connait pas de frontière. L’objectif à présent est d’assurer une transposition fluide et efficace de la directive en droit français.
Pour ma part, je serai vigilant à ne verser ni dans la surtransposition, ni d’affaiblir l’ambition collective nécessaire.
🔹​ 1. Une occasion de renforcer notre résistance collective face aux menaces cyber, ce que l’on appelle la résilience.
La directive NIS2 va permettre une élévation de notre niveau global de protection face à une menace cyber en constante augmentation. Avec un nombre d’entités concernées multiplié par 10, l’enjeu est de faire de cette législation une réussite sur le plan opérationnel. Dans ce cadre, notre objectif collectif doit être d’identifier et d’accompagner tous les acteurs, qu’ilss soient des entreprises ou des collectivités territoriales. Pour susciter une telle mobilisation, la condition première est d’avoir une vision totalement claire du champ d’application de la directive, ce qui n’est en l’état pas encore totalement le cas.
Certaines collectivitĂ©s veulent s’en extraire. Certaines entreprises ne sont pas persuadĂ©es d’y ĂŞtre assujetties.Â
La menace ne choisit pas ses cibles en fonction de leur taille ou de leur statut.Â
Pour mĂ©moire, les attaques par rançongiciel ont augmentĂ© de 30 % entre 2022 et 2023. La cybermenace n’Ă©pargne plus aucun secteur de la vie Ă©conomique et sociale : 34 % de ces attaques visaient des TPE/PME, 24 % des collectivitĂ©s territoriales, 10 % des entreprises stratĂ©gique, 10 % des Ă©tablissements de santĂ© et 9 % des Ă©tablissements d’enseignement supĂ©rieur.
🔹​ 2. Un dispositif nécessairement européen
Les cybermenaces n’ont pas de frontière, il est dès lors essentiel que les Etats-membres de l’UE harmonisent au maximum leurs législations lors de cette transposition. Nombre d’acteurs du numérique ont des activités dans toute l’Europe : des écarts trop importants entre les législations et les procédures de chaque Etat-membre complexifieraient inévitablement la mise en application de ces nouvelles règles et affaiblirait notre résilience collective. Dans ce contexte, nous serons très vigilants contre toute tentative de surtransposition de la directive.
A l’heure d’un internet mondialisé, il serait ridicule et même dangereux d’avoir 27 règlementations nationales distinctes, au cœur de l’Europe.
🔹​ 3. L’ANSSI au centre du dispositif
Avec des compétences renforcées et un tel nombre d’entités sous sa supervision, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) devient en quelque sorte le « régulateur de la cybersécurité » en France. Je salue la démarche collaborative que l’ANSSI a initiée avec les parties prenantes.
Pour jouer pleinement ce rôle, l’ANSSI devra selon moi :
- disposer des moyens humains et budgĂ©taires suffisants,Â
- établir un cadre réglementaire clair en toutes circonstances
- et  se positionner dans un rôle de régulateur et laisser au secteur privé les tâches de remédiation qui peuvent l’être.
🔹​ 4. Un texte pour renforcer le marché français de la cybersécurité
La filière des acteurs de la cybersécurité est dynamique en France. Néanmoins, des interrogations demeurent sur le niveau d’exigence projeté qui pourrait, en l’état, créer une trop forte demande sur ce sujet qui ne pourrait pas forcément être absorbée par l’offre.
Par ailleurs, de nombreuses Entreprises de services du numérique concernées par les futures obligations s’inquiètent du coût de mise en place de mesures de cybersécurité liées à ce niveau d’exigence technique.
La sécurité est chère, mais moins que l’insécurité. Depuis quelques mois, les cyberattaques se multiplient en France. Les attaques informatiques se sont accélérées dès le début de l’année 2024, avec une pluie d’arnaques en ligne ou d’intrusions en tous genres. Une étude menée par Statista révèle que les cyberattaques devraient couter plus de 129 milliards de dollars à la France en 2024.
Parmi les plus grosses fuites de données de l’année, on trouve d’abord le hack de deux prestataires des soins de santé, Viamédis et Amerys, de deux opérateurs majeurs (Free et SFR), de plusieurs enseignes, à savoir Boulanger, Cultura, SFR, Truffaut ou encore Grosbill, et de plusieurs services du gouvernement, dont la Caisse d’Allocations familiales (CAF) et France Travail. Mais aussi des hôpitaux, des conseils départementaux, etc.
🔹​ 5. La nĂ©cessitĂ© d’un cadre clair et opĂ©rationnel pour les entreprises
Outre la directive NIS2, d’autres textes régissent également la cybersécurité en France et en Europe, comme la loi de programmation militaire 2024-2030 ou le futur Cyber Resilience Act, qui devrait avoir une ambition plus mesurée, suivant les dernières orientations de la Commission européenne.
Dans un contexte de multiplication des textes rĂ©glementaires dans l’espace numĂ©rique, il est indispensable que les pouvoirs publics assurent une bonne articulation entre tous ces dispositifs. Par exemple, chacun de ces textes prĂ©voient une obligation de notification d’incident ou de vulnĂ©rabilitĂ© applicable Ă plusieurs acteurs du numĂ©rique : il faut veiller Ă Â ne pas multiplier les guichets et s’assurer que ces diffĂ©rentes notifications fassent bien l’objet d’une procĂ©dure unique.Â
Nous devons garantir simplicité et prévisibilité pour les entreprises. C’est à cette condition que les différentes lois seront effectivement mises en œuvre. Je m’emploie avec le président de la Commission spéciale, et les rapporteurs thématiques, à auditionner le plus grand nombre d’acteurs dans les semaines qui viennent. Il s’agit de faire une loi d’adaptation de la règlementation européenne. Mais cela doit être surtout l’occasion de sensibiliser le plus grand nombre d’acteurs privés et publics à ces questions de résilience et de sécurité collective.