Intervention de Mounir Mahjoubi

Nous partageons le souci de mieux défendre nos concitoyens contre les attaques informatiques. Ceux-ci ont compris – ils en parlent de plus en plus – qu’il s’agit d’un sujet essentiel de leur vie.

À l’époque, le risque cyber était confiné à l’espace numérique : quand un dispositif était « hacké », c’était l’ordinateur qui tombait en panne. Aujourd’hui, les conséquences pour l’entreprise ou pour n’importe quelle structure sont réelles et physiques.

Désormais, une entreprise ne doit pas se contenter de protéger ses ordinateurs et ses réseaux, elle doit protéger aussi ses fournisseurs et ses clients et limiter l’impact que l’attaque aura sur notre économie. Le niveau de sécurité n’est plus le même. Le risque est potentiellement catastrophique.

Dès 2013, le législateur français a fixé des exigences en matière de sécurité informatique aux systèmes d’informations les plus critiques pour les opérateurs d’importance vitale, les OIV, avec une liste très restrictive.

L’objectif était avant tout de maintenir la capacité minimale de la société en cas de crise majeure, par la protection des systèmes d’information concernés. Les acteurs pour lesquels nous avions un niveau d’exigence très élevé étaient peu nombreux, et nous avions su définir un cadre d’exigences pour faire respecter ce niveau de sécurité.

Cette initiative a essaimé partout en Europe, et la France fait figure d’exemple. Cette discussion a conduit à élargir le périmètre des OIV à l’ensemble des services non seulement vitaux, mais même essentiels à la société. Cela a été tout l’objet des débats européens sur la définition des services essentiels à la société.

Cette occupation répond à la multiplication d’attaques de grande ampleur, mais d’intensité moyenne, qui sont capables de toucher durement notre société. Prenons l’exemple de l’attaque WannaCry : il s’agissait d’une attaque non de grande ampleur, mais moyenne, qui visait certes des organisations moyennes, mais en très grand nombre. Pris individuellement, l’impact était faible, mais la somme de ces impacts a eu un fort retentissement sur nos sociétés.

Ainsi, au Royaume-Uni, près d’une dizaine d’hôpitaux ont été touchés par l’attaque WannaCry. Ces établissements n’auraient pas été protégés dans le cadre des OIV. C’est la raison pour laquelle nous devons nous interroger sur les conséquences d’une telle attaque et être capables d’élargir ce périmètre.

Il s’est agi non pas d’une attaque ciblée, mais d’une attaque par reproduction. Cela signifie que de nombreuses cibles ont été touchées, sans que quiconque ait eu la volonté de cibler chacune d’entre elles. Ce type d’attaque est encore plus dangereux, car il signifie qu’il faut se protéger non pas d’un seul ennemi, mais d’un système. Il faut donc augmenter le niveau global de sécurité et de résilience des réseaux les plus essentiels. Telle est la philosophie du texte.

La transposition de la directive NIS nous offre la possibilité, l’espoir, de mieux nous protéger collectivement. Si les opérateurs de services essentiels, qui seront désignés par le Premier ministre, se protègent mieux, c’est globalement toute la France qui sera mieux protégée.

Les règles de sécurité qui seront imposées à ces opérateurs seront définies par l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI. Elles devront être réalistes, c’est-à-dire applicables à des coûts maîtrisables par ces organisations, mais accroître le niveau de sécurisation et de résilience global de notre société, pendant ou après une attaque. C’est à l’aune de ces critères que devra être évaluée cette loi dans quelques années.

Ces règles ont été définies à l’échelle européenne. Elles seront également applicables aux plus grands fournisseurs de services. C’est le deuxième volet de ce texte.

Les fournisseurs de services numériques, du fait de l’ampleur de leurs services, parce qu’ils comptent de très nombreux clients, ont une responsabilité particulière. Si l’un de ces fournisseurs de services est défaillant ou si sa sécurité est défaillante, ce sont des milliers de clients qui sont affectés. C’est pour cela que l’on distingue d’un côté les opérateurs, et, de l’autre, les fournisseurs de services, car ils sont les nœuds de la diffusion et de la sécurité de nos réseaux.

Monsieur le président de la commission, monsieur le rapporteur, le Gouvernement a déposé deux amendements, après de nombreux échanges. Il s’agit d’amendements rédactionnels, visant à clarifier une formulation. Nous avions fait une proposition, vous en aviez fait une autre. L’amendement que nous proposons est une fusion intelligente de ces deux propositions. Il s’agit de trouver le meilleur moyen de progresser sur la voie de la sécurité numérique.

L’augmentation de la sécurité numérique est un enjeu pour tous les Français. Plus globalement, elle est la condition essentielle de la confiance des Français dans la transformation numérique que nous sommes en train de vivre, dans ses volets à la fois économique et public. Il n’y aura pas de transformation numérique de l’État, des services publics et de l’économie, pas d’émergence de start-ups et de PME si les Français n’ont pas l’assurance que l’État a augmenté le niveau de sécurité.

Ce sujet, mesdames, messieurs les sénateurs, n’est pas seulement technique, il est également économique et sociétal. Peu de journalistes m’ont interrogé à ce sujet jusqu’à présent, mais je suis certain que, très bientôt, les gens poseront tous des questions sur ce projet de loi.