Intervention de Cédric O

Madame la présidente, madame la rapporteure, mesdames les sénatrices, messieurs les sénateurs, je suis heureux d’être une nouvelle fois devant vous pour la deuxième lecture de cette proposition de loi portant sur la mise en place d’une certification de cybersécurité des plateformes destinée au grand public.

Cette proposition de loi, déposée par le sénateur Lafon, que je salue, le 15 juillet 2020, a fait l’objet d’une première lecture par les deux chambres, qui l’ont amendé et enrichi afin de répondre aux défis qui justifient son existence. La situation actuelle nous le rappelle plus que jamais : nous le savons, la menace cyber est devenue de plus en plus prégnante.

À l’instar des évolutions numériques, dont nous devons nous réjouir, la cybercriminalité connaît malheureusement un essor sans précédent, les attaquants redoublant d’originalité pour détecter et exploiter nos vulnérabilités à des fins malveillantes. La menace cyber s’accroît, s’accentue et nous concerne tous, qu’il s’agisse des entreprises, des collectivités locales, des organismes publics comme des établissements de santé ou tout simplement des citoyens. Nous en avons eu de nombreux exemples ces derniers mois et années.

La dangerosité des risques se mesure à la sophistication que les cyberattaques peuvent revêtir. Je peux ici citer l’hameçonnage, le ransomware, les logiciels espions, les virus, les faux supports techniques, etc. Les attaques cyber prennent des formes diverses et se démarquent par une capacité de renouvellement infinie. Nous avons par exemple vu exploser ces derniers mois le nombre des tentatives d’arnaque au compte formation.

Cela dit, force est de constater que les choses évoluent et que ces risques sont mieux connus et mieux appréhendés. Depuis quelques années, un véritable chantier de pédagogie et d’information a été lancé, permettant à tous de prendre mieux conscience des méthodes utilisées par les cyberattaquants. Nous avons acquis avec le temps des réflexes d’hygiène numérique multiples, comme ne plus cliquer sur un lien envoyé par un expéditeur inconnu, ou encore faire des archives régulières de nos documents les plus importants.

J’en profite pour saluer ici les équipes de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui luttent quotidiennement contre ces menaces et qui font un travail de grande qualité. Je remercie également les équipes du dispositif national cybermalveillance.gouv.fr, qui ont accompagné ces dernières années des milliers de victimes – particuliers ou entreprises, quelle que soit la taille de celles-ci – dans leur gestion de cyberattaques.

La lutte contre les risques cyber appelle deux réponses : d’abord, une réponse systémique qui, comme pour le règlement général sur la protection des données (RGPD), doit être portée au niveau européen ; ensuite, et en parallèle, une réponse d’incitation au changement des usages et des comportements.

Je le disais, apporter une réponse systémique, c’est le sens des travaux qui sont en cours au niveau européen. Ces travaux visent à faire émerger des lignes fortes, solides et transnationales de nature à assurer au mieux notre souveraineté numérique.

Comme pour le RGPD, l’Europe, en tout cas sa partie démocratique, doit se montrer à la hauteur des enjeux et définir ses propres standards.

C’est pourquoi, face à ce panorama d’une menace cyber en pleine expansion, une adaptation de l’encadrement européen est apparue plus que nécessaire. Les institutions européennes sont donc en train de parachever la révision de la directive NIS