C'est aujourd'hui et demain 12 mars que le Sénat examine le projet de loi transposant les directives européennes NIS2, REC et DORA. Ce texte, adopté en commission spéciale le 4 mars dernier, étend l'obligation de cybersécurité à 15 000 entités et renforce leur résilience face aux cyberattaques qui ont augmenté de 30% entre 2022 et 2023.
On vous en parlait sur Clubic la veille de son entrée en vigueur. Le 15 octobre 2024, la ministre déléguée en charge de l'Intelligence artificielle et du numérique, Clara Chappaz, a déposé au Sénat un projet de loi ambitieux concernant la cybersécurité. Le texte, intitulé « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », transpose trois directives européennes adoptées en décembre 2022 : NIS2, REC et DORA. La commission spéciale constituée le 12 novembre 2024 a étudié et légèrement amendé le texte, pour l'adopter le 4 mars 2025.
Cette transposition répond à la hausse de la cybercriminalité en Europe. Les attaques par rançongiciel ont augmenté de 30% entre 2022 et 2023, touchant tous les secteurs : 34% concernaient des TPE/PME, 24% des collectivités territoriales, 10% des entreprises stratégiques, 10% des établissements de santé et 9% des établissements d'enseignement supérieur. Le Sénat examine donc ce projet aujourd'hui et demain avec l'ambition de protéger davantage les infrastructures critiques françaises.
L'élargissement du périmètre transforme radicalement l'approche de la cybersécurité en France
Le changement le plus notable de ce projet concerne l'élargissement massif du périmètre des entités soumises à une obligation de cybersécurisation. Là où la directive NIS1 se limitait à protéger environ 500 infrastructures critiques, NIS2 étend cette obligation à quelque 15 000 entités « essentielles » et « importantes ».
Le Gouvernement français va même plus loin que les exigences européennes. Il a choisi d'inclure dans cette liste près de 1 500 collectivités territoriales et instituts de recherche que la directive européenne n'imposait pas de protéger. Ainsi, l'ensemble des régions et départements, près de 1 000 communautés de communes et environ 300 communes de plus de 30 000 habitants seront concernés.
« NIS2 englobe un champ élargi visant 600 types d'entités différentes, contre 12 en 2016 », précise Jean-Michel Tavernier, Country Manager France d'Armis. Désormais, 18 secteurs sont concernés, répartis entre « critiques » et « hautement critiques », incluant l'énergie, les transports, la santé, les infrastructures numériques et l'administration publique.
La commission spéciale du Sénat a estimé ce choix ambitieux mais nécessaire. Cependant, elle a modifié le projet de loi pour clarifier les obligations des entités assujetties, éviter des différences de traitement injustifiées entre entreprises et modérer les effets de surtranspositions. Elle recommande également d'accompagner les collectivités territoriales dans cette démarche nouvelle, en tenant compte des problématiques de compétences et de financement.
La résilience remplace la simple protection pour mieux préparer les infrastructures aux attaques
Mais c'est quoi la transposition d'une directive européenne ? C'est le processus par lequel un État membre de l'Union européenne intègre une directive adoptée au niveau européen dans son droit national. Pour la France, il devenait urgent de statuer sur ces directives.
La protection des infrastructures devient une démarche globale de résilience. David Grout, Directeur des Technologies chez Mandiant - Google Cloud, souligne : « On est plutôt dans une phase de fond qui permet de remonter le niveau global de cybersécurité ». Il ne s'agit plus seulement de réagir aux incidents, mais de les prévenir.
NIS2 impose aux entreprises de mettre en place un arsenal complet de mesures. Thiébaut Meyer de Google Cloud les détaille: « Il faut d'abord être sûr de connaître sa cartographie, son inventaire, savoir ce qu'on protège. Ensuite, les protéger, vraiment, trouver des mesures pour construire de la confiance. Enfin, sur la partie de préparation à l'incident, il faut aussi se préparer pour "le jour où ça arrive" ».
La directive introduit une obligation de notification rapide en cas d'incident. « La directive impose aux organisations un délai de notification de 24 heures seulement pour signaler un incident aux autorités compétentes », explique pour sa part Carl Léonard, Responsable de la stratégie cybersécurité EMEA chez Proofpoint.
Pour garantir l'application de ces mesures, des sanctions dissuasives sont prévues. Les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial. Les autorités pourront même « imposer la suspension temporaire d'un service, écarter un dirigeant de ses fonctions et engager sa responsabilité pour manquement à son obligation d'assurer la sécurité des systèmes d'information », précise Carl Léonard.
Les politiques publiques évoluent pour mieux protéger les infrastructures numériques, mais la mise en œuvre prendra du temps. L'ANSSI a déjà annoncé laisser trois ans aux entités pour se conformer à ces nouvelles obligations. Thiébaut Meyer résume: « Il n'y aura pas de big bang, mais on va accélérer un petit peu sur les mesures concrètes ».
