Intervention de Jean-Michel Mis

Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission, monsieur le rapporteur, mes chers collègues, alors que le 10e Forum international de la cybersécurité, événement européen de référence réunissant tous les acteurs de la confiance numérique, vient de se dérouler à Lille, nous voilà amenés à débattre de mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne. Lors de son discours d'ouverture de ce forum, M. le ministre d'État, ministre de l'intérieur, a dressé un constat édifiant en rappelant que l'Europe dépense actuellement six à sept fois moins que les États-Unis en matière de cybersécurité. Il a ensuite annoncé des mesures nécessaires tout en appelant à la mobilisation de tous pour parvenir à une véritable conscience nationale des enjeux de la sécurité numérique. Ce défi, essentiel pour l'avenir, doit tous nous interpeller. Il y va de la sécurité de nos concitoyens comme de celle des opérateurs économiques essentiels et des fournisseurs de services numériques.

Face à ce constat, certains pourraient estimer que le présent projet de loi manque d'ambition. Je leur répondrai qu'il nous est soumis en vertu de notre obligation de transposer les textes européens. Il ne peut dès lors contredire de façon manifeste ni les dispositions ni l'objectif général de la directive qu'il a pour objet de transposer. Il ne prétend pas, à lui seul, régler l'ensemble des problèmes soulevés dans ce domaine. Ce texte est surtout – et c'est en cela qu'il me paraît essentiel – une première réponse à la nécessité d'harmoniser les dispositifs de sécurité avec nos voisins et partenaires européens, face aux menaces d'une criminalité sans limites et sans frontières. Monsieur le secrétaire d'État chargé du numérique, vous avez parfaitement résumé cette idée dans une interview récente : « l'Europe est dans une solidarité absolue. Nos entreprises n'ont jamais été autant interconnectées. Si tout un territoire est contaminé, y compris un pays qui n'aurait pas investi dans sa cybersécurité, il y a de grandes chances que ce pays soit aussi en affaire avec des milliers d'entreprises et PME françaises et qu'il les contamine aussi. Donc tout le monde a intérêt à ce que tout le monde aille bien ».

Ce projet de loi est de surcroît directement influencé par nos dispositions nationales. En effet, les directives transposées s'inspirent du rôle et des compétences de l'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, et de la réglementation issue de la loi de programmation militaire de 2013. La France, rappelons-le, a été le premier pays à passer par la réglementation pour créer un dispositif efficace et obligatoire de cybersécurité de ses infrastructures critiques : les opérateurs d'importance vitale. Aujourd'hui, l'Union européenne entend l'étendre à l'ensemble des services essentiels à la société : les opérateurs économiques essentiels, c'est-à-dire ceux dont un dysfonctionnement ou un arrêt causés par une cyberattaque mettent en cause la marche de la société et de l'économie ; les fournisseurs de services numériques, c'est-à-dire les places de marché en ligne, les moteurs de recherche et les acteurs du cloud.

Gardons à l'esprit que l'envolée des objets connectés implique l'augmentation du nombre de capteurs non sécurisés, ce qui multiplie les sources de vulnérabilité ! La menace croissante qui pèse sur les données pourrait fragiliser des systèmes de technologies de l'information considérés aujourd'hui comme fiables, les dommages causés aux infrastructures sensibles se traduisant ainsi par des dégâts physiques. Or plus d'une entreprise sur dix dans le monde déclare encore n'avoir engagé aucune démarche pour se doter d'un dispositif efficace et obligatoire de cybersécurité. À cet égard, les entreprises françaises semblent néanmoins plus avancées. Seulement 9 % d'entre elles n'ont pas encore entrepris de changements dans leurs process. Pour une entreprise, la question n'est plus de savoir si elle va être ou non confrontée au risque cyber ; elle l'est d'ores et déjà, comme le démontre la multiplication d'attaques de grande ampleur mais d'intensité moyenne. L'étude d'impact associée au projet de loi confirme cette réalité puisque, selon l'ANSSI, le coût des dommages directs peut, selon la taille de l'entreprise, représenter entre quelques millions et plusieurs dizaines de millions d'euros pour une seule cyberattaque réussie. Selon l'étude mondiale du cabinet d'audit et de conseil PwC, en France, sur une année, une entreprise repère 4 550 incidents de sécurité informatique.

Il nous faudra sans doute, dans les années à venir, nous interroger sur la question de l'assurance cyber. En effet, l'inaction des opérateurs devient désormais une faute de gestion : elle peut engager la responsabilité d'un dirigeant en cas d'incident cyber affectant significativement les résultats de son entreprise. Or, en France, et plus généralement en Europe, le marché de l'assurance cyber demeure embryonnaire, et il représente moins de 10 % du marché mondial.

Pour l'heure, il nous faut aussi nous consacrer à la protection de nos PME et, comme vous l'avez indiqué, monsieur le secrétaire d'État, l'année 2018 correspond à un plan d'accompagnement des PME et TPE vers la numérisation, avec l'aide des régions et de l'État, dans lequel figurera la question de la cybersécurité. Le texte qui nous est soumis y concourt. Si les opérateurs d'importance vitale et les fournisseurs de services numériques se protègent mieux, c'est toute notre société qui sera mieux protégée.

Ce texte traduit en outre notre volonté de renforcer le contrôle des armes à feu. La directive transposée en la matière, inspirée par la France à la suite des attentats de 2015, résulte d'une approche commune en matière de neutralisation des armes à feu. Elle vise à empêcher les criminels de les réactiver et de les utiliser. Elle appelle aussi à un réexamen des règles existantes afin d'améliorer le partage d'informations, la traçabilité et le marquage. Faut-il rappeler que, lors des attentats de janvier 2015, un terroriste a utilisé des fusils d'assaut acquis comme armes d'expansion acoustique puis reconditionnés ?