Un chapitre important du projet de LPM est consacré à la sécurité des systèmes d'information. Protéiforme, la menace cyber évolue sans cesse et augmente, en France comme dans le reste du monde. Les agresseurs ne sont plus seulement des hackers isolés mais des acteurs industriels capables de cibler des secteurs d'activité entiers ou des groupes désireux de s'attaquer au fonctionnement des institutions.
Dans son Panorama de la cybermenace 2022, l'Agence nationale de la sécurité des systèmes d'information (Anssi) révèle que 831 attaques ont été perpétrées l'an dernier. Elle montre que les attaques de rançongiciels contre les opérateurs régulés publics ou privés ont diminué et que la menace cyber s'est déplacée vers des entités moins bien protégées, telles que les collectivités territoriales, les hôpitaux et les PME.
L'externalisation croissante des services informatiques auprès d'entreprises de services numériques accroît le risque d'attaque : quinze de ces entreprises ont été touchées en 2020, soit plus du double par rapport à l'année précédente. Pour une plus grande efficacité, les cyberattaquants ciblent principalement les sous-traitants et les fournisseurs, dont le niveau de sécurité est moins élevé que celui des opérateurs stratégiques ; ils accèdent, ce faisant, à des informations de valeur.
L'OCDE, l'Organisation de coopération et de développement économiques, estime à plus de 100 milliards de dollars le préjudice financier mondial. En outre, ces attaques perturbent la continuité du service public et, lorsqu'elles concernent les hôpitaux par exemple, elles compromettent la confidentialité des données personnelles des patients.
C'est dans ce contexte que s'inscrit le projet de LPM ; son chapitre V prend acte de l'évolution de cette menace. Les articles 32, 33 et 34 créent de nouveaux dispositifs tandis que l'article 35 prolonge des dispositions introduites par la précédente LPM.
L'article 32 autorise l'Anssi à prescrire des mesures graduelles – blocage, suspension – sur les noms de domaine lorsque leur exploitation, à l'insu de leur titulaire, constitue une menace susceptible de porter atteinte à la sécurité nationale.
L'article 33 prévoit que les agents de l'Anssi peuvent être destinataires des données techniques non identifiantes enregistrées sur les serveurs des fournisseurs de système de résolution de noms de domaine, aux seules fins de détecter et de caractériser des attaques informatiques.
L'article 34 renforce les exigences de transparence qui s'appliquent aux éditeurs de logiciel : ces derniers doivent notifier à l'Anssi et aux utilisateurs toute vulnérabilité significative ou tout incident informatique grave.
Enfin, pour renforcer les capacités de détection des cyberattaques et l'information des victimes, l'article 35 permet en particulier à l'Anssi, en cas de menace grave sur les systèmes d'information des autorités publiques et des opérateurs stratégiques, de mettre en œuvre des dispositifs de recueil de données. Ce même article oblige les opérateurs de communications électroniques stratégiques à mettre en place des systèmes de détection des attaques informatiques.
La commission des lois a examiné quatre-vingt-onze amendements et adopté quarante-six d'entre eux, déposés par tous les groupes qui en avaient présenté. Le texte, sans qu'il ait perdu de son utilité opérationnelle, me paraît aujourd'hui plus clair et plus équilibré. Respecter les libertés fondamentales, tout en préservant la sécurité de la nation et en défendant les intérêts des entreprises françaises, a été notre seul guide. Il est évidemment plus difficile de trouver un équilibre entre ces trois objectifs que de défendre une position tranchée sur un seul d'entre eux.
Je vous invite à voter largement en faveur de ces quatre articles, essentiels pour la protection des intérêts nationaux, tels qu'ils ont été adoptés par la commission des lois.