Enfin ! La transposition en France de la directive européenne NIS (Network and information security) 2 vient de franchir l’étape du Sénat. Ce mercredi 12 mars, la Chambre haute a en effet bouclé son travail sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
« Ce texte est une réponse nécessaire et ambitieuse face à la menace croissante qui pèse sur notre nation », a salué Claire Chappaz, la ministre chargée de l’intelligence artificielle et du numérique.
Outre NIS 2, le texte doit inscrire dans le droit français deux autres directives :
- Celles sur la résilience des entités critiques (REC), qui d’actualiser le dispositif de sécurité des activités d’importance vitale mis en place depuis 2006.
- Celle sur la résilience numérique du secteur financier (Dora), qui doit permettre « un encadrement plus rigoureux du secteur financier ».
Périmètre ambitieux
Comme le rappelle le Sénat, l’examen du projet de loi a ainsi permis aux sénateurs revenir sur les délais d’application des nouvelles obligations ou encore de « modérer les effets de surtranspositions ». S’ils ont estimé que l’inclusion d’un grand nombre de collectivités et d’établissements d’enseignement supérieur dans le périmètre de NIS 2 était « ambitieux », elle est également considérée « nécessaire ».
Environ 1 500 collectivités sont concernées par ce texte. A leur appui, les sénateurs relevaient le coût élevé de quelques attaques informatiques déplorées ces dernières années. La facture s’était montée à 900 000 euros environ pour la métropole Aix-Marseille-Provence, attaquée en mars 2020. Et et à plus de 1,5 million d’euros pour la ville de Bondy, visée en novembre 2020.
Au total, la transposition de la directive NIS 2 va se traduire par de nouvelles obligations pour environ 15 000 organisations de 18 secteurs d’activité, de la santé à l’énergie en passant par la gestion des déchets. Classées comme « importantes » ou « essentielles », elles devront muscler leurs défenses, mettre en place des mesures de gestion des risques adaptées ou enfin déclarer leurs incidents de sécurité à l’Anssi.
Ne pas affaiblir la cryptographie
Si les débats au Sénat ont été l’occasion de revoir à la marge le texte, le sénateur Olivier Cadic a finalement réussi son pari. Son amendement visant à sanctuariser le chiffrement a en effet été adopté. Soit quelques jours après la controverse sur le vote, là aussi au Sénat, d’une disposition relevant de la porte dérobée dans la proposition de loi contre le narcotrafic.
« Votre amendement est trop large et aurait des effets de bords non désirés », avait plaidé en séance Claire Chappaz, qui avait en vain demandé le retrait de la disposition.
« Nous devons donner à nos services de renseignement les moyens d’être efficaces, mais pas au prix d’un affaiblissement général de la cryptographie », lui avait notamment répondu la sénatrice Corinne Narassiguin. Le projet de loi doit désormais être étudié par l’Assemblée nationale.