Comme nous l’avons évoqué lors de la discussion générale, les risques liés aux cyberattaques sont encore largement sous-estimés, aussi bien par les utilisateurs que par l’écosystème.
Ainsi, 51 % des citoyens européens ne se sentent pas suffisamment informés sur les risques liés aux cyberattaques et deux tiers des entreprises n’ont jamais évalué les risques financiers liés à ces attaques, selon une estimation de la Commission européenne.
La directive souligne pourtant que les informations relatives aux incidents s’avèrent de plus en plus précieuses pour le grand public et pour les entreprises, en particulier les petites et moyennes entreprises.
Bien que ces incidents soient de plus en plus médiatisés, la plupart d’entre eux se règlent dans la confidentialité, avec le concours de l’ANSSI et des centres d’alerte et de réaction aux attaques informatiques déjà mis en place.
La directive vise justement à renforcer la coopération de l’ensemble de ces acteurs au sein de l’Union européenne. À cette fin, elle prévoit que les OSE notifient les incidents à l’autorité compétente « sans retard injustifié », une formule peu courante en droit français.
Le rapporteur lui a donc préféré l’expression « sans délai après en avoir pris connaissance ».
Nous considérons qu’il serait préférable de mentionner simplement que ces notifications ont lieu sans délai, ce qui serait plus conforme à l’esprit de la directive, qui vise à contraindre les opérateurs de services essentiels à adapter leurs pratiques au risque accru de cyberattaques.
Il est évident que la sanction prévue à l’alinéa 2 de l’article 9 ne vise pas les dirigeants d’opérateurs aptes à prouver que l’incident significatif en cause était difficilement détectable.
Par ailleurs, pour des raisons commerciales ou stratégiques, certains opérateurs pourraient être tentés de sous-communiquer ces incidents à l’ANSSI afin de ne pas perdre d’utilisateurs si cette attaque était rendue publique.
C’est pourquoi nous préférons la formule « sans délai », qui ne laisse place à aucune ambiguïté. La sécurité des utilisateurs et de leurs données doit primer sur toute autre chose. Une bonne coopération serait en outre favorable à l’ensemble de l’écosystème.