Les députés vont se pencher dès cet automne sur un nouveau projet de loi crucial pour la sécurité numérique. Ce texte, qui adapte trois directives européennes au droit français, vise à mieux protéger les infrastructures essentielles et à renforcer leurs défenses face aux cyberattaques.
L’Assemblée nationale va examiner cet automne un projet de loi crucial sur la cybersécurité et la protection de nos infrastructures sensibles. Plus qu’une simple formalité administrative, il s’agit d’une étape importante pour mieux protéger nos installations stratégiques. Ce texte, qui a déjà reçu le feu vert du Sénat en mars, vise avant tout à intégrer dans le droit français trois directives venues de Bruxelles :
- La directive sur la résilience des entités critiques (dite REC)
- Celle assurant un haut niveau de cybersécurité commun (dite NIS 2)
- Une dernière sur la résilience critique des banques (dite DORA).
Lire aussi : Cybersécurité dans le Cloud : les cinq priorités des RSSI pour rester à la hauteur des menaces
Inquiétudes autour de la directive NIS 2
« Nous sommes dans un moment de bascule, qui nous encourage, voire nous oblige à redoubler d’efforts pour rester dans cette cyber-résilience de premier rang », explique le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Vincent Strubel, lors d’une audition à l’Assemblée, le 15 juillet dernier. « Le défi qui s’impose à nous, c’est de développer la cybersécurité à une très grande échelle, au-delà du cœur régalien, au-delà des très grandes entreprises qui sont bien protégées aujourd’hui. »
La directive NIS 2 suscite beaucoup d’inquiétudes dans sa mise en œuvre. En effet, elle étend considérablement le périmètre de la cybersécurité à de nouveaux acteurs et secteurs, face à une menace qui se généralise de plus en plus. On le voit bien aujourd’hui : les PME, les mairies, les hôpitaux… tous sont devenus des cibles privilégiées des pirates informatiques.
En France, ce changement va être considérable. On va passer d’environ 500 entités actuellement surveillées à près de 15 000, et le nombre de secteurs concernés va tripler, passant de 6 à 18. Qui sera concerné ? Un large éventail d’acteurs : les maillons de la chaîne d’approvisionnement, les services de l’État, quelque 1 500 collectivités locales (dont 300 villes de plus de 30 000 habitants), ainsi que bon nombre d’entreprises de taille moyenne et grande. Les secteurs touchés seront très divers, allant de la santé aux produits chimiques, en passant par l’industrie manufacturière, la recherche et même la Poste. À noter que toutes ces entités ne seront pas logées à la même enseigne : on distinguera les « entités essentielles » des « entités importantes », avec des obligations différentes.
