Les députés vont se pencher dès cet automne sur un nouveau projet de loi crucial pour la sécurité numérique. Ce texte, qui adapte trois directives européennes au droit français, vise à mieux protéger les infrastructures essentielles et à renforcer leurs défenses face aux cyberattaques.
L’Assemblée nationale s’apprête à étudier à l’automne un texte décisif sur la cybersécurité et la protection de nos infrastructures critiques. Ce n’est pas qu’une simple case à cocher : c’est une vraie avancée pour renforcer la sécurité de nos installations les plus sensibles. Le projet, déjà validé par les sénateurs en mars dernier, doit notamment transposer en droit français trois directives européennes adoptées à Bruxelles : REC, NIS 2 et DORA.
L’Agence nationale de la sécurité des systèmes d’information (Anssi), qui veille actuellement à la cybersécurité de l’État et des opérateurs vitaux, va endosser un nouveau rôle de contrôleur. Elle devra s’assurer que les entreprises concernées respectent bien leurs obligations en matière de sécurité informatique. C’est une première pour l’agence, qui n’avait pas cette mission de régulation jusqu’à présent. Les entreprises qui ne joueraient pas le jeu, notamment en cachant des incidents ou en refusant de communiquer les informations demandées, s’exposent à de lourdes sanctions : jusqu’à 10 millions d’euros d’amende, ou 2% de leur chiffre d’affaires mondial. À noter que l’État, ses établissements et les collectivités locales ne sont pas concernés par ces nouvelles règles.
Lire aussi Cybersécurité : les services achats sous tension face à un manque de coordination et d’expertise
La question des messageries sécurisées
Lors des débats au Sénat, les parlementaires ont significativement renforcé les pouvoirs de l’Anssi. Un point particulièrement marquant a été leur positionnement sur la question des messageries sécurisées, en pleine discussion parallèle à l’Assemblée nationale sur la loi anti-drogue. Les sénateurs ont clairement rejeté l’idée d’imposer des « backdoors » aux applications de messagerie, une position diamétralement opposée à celle défendue, sans succès, par le ministre de l’Intérieur Bruno Retailleau à l’Assemblée. Vincent Strubel, directeur général de l’ANSSI, s’est montré plutôt sceptique sur cette disposition. Il suggère plutôt qu’un texte spécifique sur le chiffrement serait probablement plus adapté.
En parallèle, le projet de loi intègre la directive européenne REC dans le droit français. Cette directive établit un cadre commun pour protéger les infrastructures critiques dans onze secteurs clés, comme l’énergie, les transports, la banque ou la santé. Pour faire respecter ces nouvelles règles, une commission spéciale sera créée sous l’autorité du Premier ministre. Elle pourra infliger des sanctions conséquentes aux opérateurs d’importance vitale qui ne respecteraient pas leurs obligations : jusqu’à 10 millions d’euros d’amende, ou 2 % de leur chiffre d’affaires.
Enfin, ce projet de loi est conforme à la réglementation DORA, qui impose un cadre plus strict à l’utilisation des outils numériques dans la finance. Cette directive cherche avant tout à mettre en place des standards communs pour prévenir et détecter les incidents, ainsi que pour uniformiser leur signalement dans le secteur financier.
