Cybersécurité : le projet de loi de "résilience" face à la "massification de la menace" ?

Actualité
Cybersécurité Pixabay
Cybersécurité (image d'illustration © Pixabay)
par Raphaël Marchal, le Dimanche 20 juillet 2025 à 10:35

Les députés vont examiner, à compter de cet automne, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Le texte transpose trois directives européennes afin de renforcer la lutte contre les cybermenaces.

Nouveau train de régulations pour l'écosystème cyber français. L'Assemblée nationale se penchera à compter de cet automne sur le projet de loi "relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité". Le texte, déjà adopté par le Sénat en mars dernier, entend principalement transposer trois directives européennes dans le droit français :

  • La directive sur la résilience des entités critiques (dite "REC")
  • Celle assurant un haut niveau de cybersécurité commun (dite "NIS 2")
  • Une dernière sur la résilience critique des banques (dite DORA).

"Nous sommes dans un moment de bascule, qui nous encourage, voire nous oblige à redoubler d'efforts pour rester dans cette cyber-résilience de premier rang", a commenté le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Vincent Strubel, lors d'une audition à l'Assemblée, le 15 juillet dernier. "Le défi qui s'impose à nous, c'est de développer la cybersécurité à une très grande échelle, au-delà du cœur régalien, au-delà des très grandes entreprises qui sont bien protégées aujourd'hui."

Une hausse des secteurs régulés

La transposition de la directive NIS 2 est celle qui pose le plus d'interrogations, voire d'appréhension. Elle élargit en effet les objectifs de cyberprotection à de nouveaux acteurs et secteurs, en raison de la "massification de la menace". PME, collectivités territoriales, hôpitaux, sont en effet désormais directement visés par des campagnes de cyberattaques.

En France, cette évolution est majeure, puisqu'on passerait de 500 à environ 15 000 entités régulées, et de 6 à 18 secteurs régulés. Parmi les nouvelles entités, figureront acteurs de la chaîne d’approvisionnement, administrations centrales, 1 500 collectivités locales dont 300 communes de plus de 30 000 habitants, moyennes et grandes entreprises... Et des secteurs aussi variés que la santé, la fabrication de produits chimiques, les industries manufacturières, la recherche ou encore les services postaux. Les entités ne seront pas toutes soumises à la même exigence, étant séparées entre "entités essentielles" et "entités importantes".

L'Anssi, qui assure la sécurité des réseaux de l’État et des opérateurs d’importance vitale, sera chargée de vérifier si les entités régulées remplissent leurs obligations, un rôle de régulateur que l'agence n'exerce pas à l'heure actuelle. Les entités régulées, si elles ne fournissent pas les informations demandées, ou si elles ne déclarent pas leurs incidents de sécurité, pourront être sanctionnées, avec une amende pouvant attendre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Ni les collectivités territoriales, ni l'Etat ou ses établissements ne seront concernés.

La France n'a pas à rougir de son positionnement dans le concert des Nations en matière de cybersécurité. Vincent Strubel, directeur général de l'Anssi

Au cours de l'examen du projet de loi au palais du Luxembourg, les sénateurs ont notamment étendu les prérogatives de l'Anssi. Ils ont également introduit une mesure répondant directement aux débats qui avaient lieu dans le même temps à l'Assemblée, dans le cadre du projet de loi luttant contre le nacrotrafic, en interdisant le fait de contraindre les messageries instantanées à installer des dispositifs de portes dérobées. A rebours de ce que le ministre de l'Intérieur, Bruno Retailleau, avait tenté de porter au Palais-Bourbon, sans succès. "Pas sûr que cet article supplémentaire apporte grand-chose", a toutefois estimé Vincent Strubel, jugeant que la problématique du chiffrement nécessitera probablement un texte dédié.

Un standard commun européen

En parallèle, le projet de loi transpose donc la directive REC, qui fixe un standard européen en matière de réponse aux risques qui pèsent sur les infrastructures considérées comme sensibles par les Etats européens, dans onze secteurs d'activité, incluant notamment l'énergie, les transports, le secteur bancaire ou la santé. Le texte crée notamment une nouvelle commission, rattachée à Matignon, qui pourra prononcer de lourdes sanctions en cas de manquements des opérateurs d'importance vitale, qui pourront, là aussi, écoper d'une amende pouvant aller jusqu'à 10 millions d'euros - ou 2 % du chiffre d'affaires.

Enfin, le texte répond à la directive DORA, qui encadre davantage l'emploi du numérique dans le secteur financier. Elle vise notamment à harmoniser les pratiques de prévention, de détection et les rapports d'incidents dans ce secteur.

Voir aussi
Logo de l'Agence nationale de la sécurité des systèmes d'information, dans les locaux de l'Agence. Droits réservés

Cybersécurité : l'Assemblée vote un élargissement des prérogatives de l'ANSSI

Vendredi 2 juin 2023