Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, présenté en conseil des ministres mardi 15 octobre, était attendu, mais provoque de la déception. Lors d’un rendez-vous CyberTaskForce organisé à Paris ce 16 octobre, experts cyber du secteur privé et élus politiques ont regretté la nature encore trop vague, inaboutie et inconsistante d’un texte qui touche directement aux enjeux de sécurité nationale. Pour l’amender, le secteur privé devrait avoir voix au chapitre.
Un rendez-vous CyberTaskForce tombé à point nommé. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, destiné notamment à transposer la directive européenne dite NIS2 visant à renforcer les dispositifs de lutte contre les nouvelles menaces numériques dans les secteurs d’activité clés, a été présenté en Conseil des ministres le 15 octobre.
La fréquence et l’impact des cyberattaques ayant augmenté et même évolué au rythme des innovations numériques des dernières années, les autorités veulent adapter la législation pour protéger entreprises et collectivités.
Prévenir des cyberattaques pouvant paralyser le pays
Cette directive NIS (pour Network and Information Systems), imaginée par la France conjointement avec l’Allemagne, a été adoptée au Parlement européen en 2016. Appliquée en Europe dès 2018, elle a pour objectif la mise en place de standards de sécurité homogènes à l’échelle européenne au sein des structures opérant dans des secteurs d’importance vitale ou stratégique, tels que l’énergie, l’alimentation ou encore les services financiers.
En 2016, environ 500 entreprises françaises issues de 12 secteurs d’activité avaient ainsi été désignées comme « opérateurs d’importance vitale » (OIV). L’État juge que la déstabilisation de ces sociétés mettrait en danger le fonctionnement du pays, ces opérateurs sont donc sommés de mettre en œuvre des plans de résilience pour assurer la continuité de leurs activités en cas de perturbation.
Mais NIS1 s’est rapidement révélé obsolète. Les cybercriminels, pour mener à bien leur besogne, contournent désormais les grandes entreprises et agences d’État qui ont renforcé significativement leur cyberdéfense, et s’en prennent désormais aux entités situées en amont et en aval de la chaîne de valeur, souvent plus à risque et non soumises aux obligations de la directive NIS. Place donc à NIS2. En ce sens, davantage de PME sont concernées par cette directive, qui couvre désormais 18 secteurs critiques, dont la santé, les transports, l’eau.
Adoptée en novembre 2022 à Bruxelles, celle-ci s’applique à l’échelle de l’Union européenne depuis le jeudi 17 octobre et s’étend désormais à 15.000 entités en France, 100.000 en Europe. Dans l’Hexagone, en raison de la dissolution de l’Assemblée nationale, le projet de loi de transposition n’a été présenté en Conseil des ministres que le 15 octobre. Reste à l’amender et à le faire voter par le Parlement, ce qui n’est pas gagné.
« Flou artistique »
Ce 16 octobre, l’humeur n’était pas au beau fixe lors du rendez-vous CyberTaskForce organisé par Sébastien Garnault, qui œuvre à favoriser le dialogue institutionnel et opérationnel entre acteurs publics et privés impactés par le cyber.
D’entrée de jeu, Constance Nebbula, vice-présidente du Conseil régional des Pays-de-la-Loire en charge du Numérique (LR), a donné le ton : « Il n’existe pas de gouvernance cyber en France. Nous faisons face à un problème de portage politique en matière de cybersécurité, avec des compétences partagées entre plusieurs ministères. Cela crée un flou artistique. J’en ai informé hier un collaborateur du Premier ministre, en lui faisant savoir que cette situation n’était plus possible : ce n’est pas une question de moyens, mais d’affichage politique ».
Et Philippe Luc, directeur général d’Anozrway, de lui emboiter le pas : « On constate qu’il n’y a effectivement rien concernant la gouvernance en matière de cybersécurité dans ce projet de loi. Si demain, l’un de mes clients est victime d’un incident de cybersécurité, il ne saura pas vers qui se tourner. Doit-il déposer plainte ? Contacter l’ANSSI ? Mettre un gyrophare ? »
Pour remédier à cette problématique, Olivier Cadic, sénateur représentant les Français établis hors de France, a rappelé qu’il milite depuis 2019 afin que soit enfin mis en place un numéro d’appel, un « 17 cyber », et déploré lui aussi un « problème de gouvernance » : « Napoléon disait qu’un mauvais général vaut mieux que deux bons. Nous, décideurs politiques, avons besoin d’un interlocuteur unique, à l’image de ce qui a été instauré aux États-Unis ».
Autre problème soulevé : le flou définitionnel du texte, aussi bien concernant la notion d’incident (« Est-on tous d’accord en Europe sur la définition d’incident ? » – Olivier Cadic), celle de vulnérabilité, ou encore de dirigeant (« Dans une collectivité, qui est le dirigeant : le Directeur Général des Services (DGS) ou le maire ? » – Constance Nebbula).
Inégalité de traitement entre secteur privé et public
Côté entreprises, l’inquiétude se porte sur les efforts financiers qui pourraient leur être demandés pour se mettre en conformité : « La législation devrait nous guider sur les moyens de nous protéger efficacement, sans que cela entraîne des coûts démesurés. Si la loi impose de réévaluer les coûts chaque année, avec des augmentations de 10 à 15 %, en ce qui concerne mes clients par exemple, ils n’auront pas les moyens de le faire », a alerté Philippe Luc.
Le chef d’entreprise s’est également étonné de constater que les sanctions prévues par le texte en cas de manquements à la loi ne s’appliqueraient qu’au secteur privé, sans toucher les administrations publiques. « Comment peut-on appliquer une loi s’il n’y a pas de sanctions en place ? Lorsqu’une loi est adoptée, elle doit s’appliquer de manière uniforme à tous », s’est donc indignée Constance Nebbula, précisant toutefois être d’accord pour que des sanctions soient envisagées pour les collectivités à condition que des moyens budgétaires soient débloqués aux fins de mise en conformité. Ce qui n’est pas le cas : le texte ne prévoyant aucune aide budgétaire spécifique, imposer des sanctions aux collectivités provoquerait alors un scandale légitime, a-t-elle mis en garde.
Mesure de rétorsion contre les cyberattaques étatiques : l’angle mort
Le texte ne répond pas non plus efficacement aux objectifs de sécurité nationale, a également relevé Olivier Cadic, puisqu’aucune sanction n’est prévue si le responsable d’une cyberattaque est un État étranger : « En cas de défaillance, une entreprise peut recevoir une amende. Mais qu’en est-il si un État nous attaque ? De quelle mesure de rétorsion le menaçons-nous réellement ? »
L’occasion pour le sénateur victime en 2021 d’une cyberattaque perpétrée par un groupe de hackers chinois de souligner que le facteur humain joue dans 80% des incidents de cyber sécurité : « Que faisons-nous avec les individus de nationalité chinoise ? Selon la loi chinoise, ils sont tenus de collaborer avec les services secrets de leur pays. En cas de refus, ils peuvent faire face à des mesures de rétorsion, par exemple contre leur famille en Chine. Il se peut que certaines entreprises emploient des binationaux qui se trouvent dans l’obligation de mettre sur écoute leur employeur. C’est un véritable enjeu si nous voulons aborder sérieusement la question de la cybersécurité. »
Malgré « les nombreuses équations à résoudre », Daniel Le Coguic, président de l’Alliance pour la confiance numérique (ACN), le syndicat professionnel qui représente les entreprises du secteur de la confiance numérique, a pour sa part voulu porter « un message d’opportunités » : « La mise en œuvre de cette loi est une opportunité pour la cybersécurité, mais aussi pour que la représentation nationale dialogue avec les citoyens, les collectivités locales et les entreprises du territoire sur les enjeux de la protection dans le numérique en général ». Et d’ajouter : L’ACN sera « très attentif à ce qu’il y ait un retour vers l’industrie » et transmettra « à la représentation nationale des propositions pour amender la transposition de la directive et guider les décrets vis-à-vis des objectifs généraux portés par cette loi ». « Il ne faut pas se louper sur NIS2. »
Garantir la transparence sur les décrets, enjeu central de NIS2
Auteur d’un rapport en 2021 sur la cybersécurité des entreprises, qui présentait une série de préconisations visant à rendre accessibles les dispositifs anti-cybercriminalité aux TPE et PME, le sénateur socialiste Rémi Cardon a souligné que les législateurs auront finalement « du temps à consacrer » à ce projet de loi, et que des concertations avec le milieu cyber et les potentielles victimes seraient effectuées pour le « calibrer » au mieux. Toutefois, il a rappelé que « beaucoup de mesures seront ultérieurement précisées par décrets ».
Aussi, « il est essentiel de clarifier la méthode de travail entre le législateur et le pouvoir réglementaire. Nous devons être informés des décrets potentiels qui suivront, ce qui nécessite une certaine transparence. Cela ne signifie pas que le législateur intervient dans le domaine réglementaire, mais qu’il doit avoir une vision claire de ce qui est à venir. En effet, la loi et son interprétation via les ajustements des décrets peuvent parfois changer la donne. C’est, à mon avis, le principal enjeu concernant la NIS2 ».
« Le Parlement s’est engagé à associer le secteur privé »
Pour Sébastien Garnault, fondateur du CyberTaskForce et du Paris Cyber Summit, le bilan de ces échanges est clair : « L’étude de NIS2 a commencé aujourd’hui ». « Il reste un travail considérable à réaliser, et le texte tel qu’il est actuellement n’est pas satisfaisant : trop centré sur l’État, trop de place laissée aux décrets », confie-t-il à Epoch Times.
Une préoccupation le tenaille : « Le nombre de députés qui comprennent de quoi ils parlent est trop limité. Quand le texte de loi va arriver devant les Assemblées, je crains que nous n’assistions au concours Lépine de l’amendement le plus absurde », s’inquiète-t-il.
Sébastien Garnault renvoie ici à l’idée défendue par le député Renaissance Mounir Belhamiti à l’époque de l’étude du projet de loi SREN (visant à sécuriser et à réguler l’espace numérique) : interdire les VPN. Le tollé suscité par cette proposition, qui avait suscité une levée de boucliers chez les défenseurs des libertés fondamentales, l’avait forcé à rétropédaler. Surtout, elle avait mis en lumière le manque de formation des parlementaires, selon des experts du numériques, laissant penser que les professionnels du secteur n’avaient pas été consultés.
Mais cette fois-ci, il pourrait en être autrement : « La grande réussite de ce rendez-vous CyberTaskForce, c’est que le Parlement s’est engagé à associer le secteur privé aux échanges autour du projet de loi ». Une perspective qui l’enthousiasme, et qu’il est déterminé à concrétiser : « L’élaboration de ce projet de loi ayant été réalisée au sein de l’administration sans consultation, j’attends des prochaines auditions qu’elles incluent un grand nombre des intervenants présents à ces échanges, et nous nous assurerons que cela soit le cas. »
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.
