Intervention de Patrick Guyonneau

D'abord, une petite remarque sémantique, nous ne neutralisons pas les attaques, mais leurs effets.

Orange est partenaire premium du Cojop. Nous sommes l'opérateur chargé d'assurer la connectivité et la transmission du signal vidéo. Jamais un opérateur, dans l'histoire des Jeux, n'avait été chargé d'un tel périmètre – lors de la précédente édition, ils étaient quatre.

Nous avons prévu des mesures de sécurité et de résilience des réseaux pour faire face aux menaces cyber et aux actes de sabotage. Les réseaux des opérateurs rassemblés au sein de la Fédération française des télécoms (FFTélécoms) subissent chaque année plusieurs milliers d'actes de malveillance.

Les 120 sites olympiques, du quartier général du Cojop au Village des Médias en passant par les sites des épreuves et ceux des délégations, bénéficient tous d'adductions au réseau de télécommunication, dont au moins une est sécurisée par de nouvelles serrures et, dans quelques semaines, par des patrouilles d'équipes de sécurité privée et d'agents de la Préfecture de police de Paris, ainsi que par des vidéopatrouilles.

S'agissant des menaces cyber, l'Anssi, qui fait confiance à nos audits, a émis des préconisations sur les systèmes d'information spécifiques aux JOP, que nous appliquons. La coopération avec le Cojop et avec Atos, qui est le prestataire de sécurité du Comité international olympique (CIO), est constructive. Nous avons organisé des exercices de crise. Jusqu'à présent, tous ont été réussis. En outre, le CIO réalise des tests de chaque structure.

Par ailleurs, nous sommes fournisseur de l'État pour la téléphonie mobile, le réseau interministériel de l'État (RIE), la téléphonie fixe et l'intranet de gestion de crise. Nous fournissons certains systèmes sensibles ou critiques de l'État et des ministères, qui demanderont sans doute des prestations supplémentaires – plus tôt ils en demanderont, mieux nous pourrons en assurer la sécurité et la supervision. Je ne dis pas que tout ira bien ni que nous sommes pleinement confiants et sereins, mais nous tenons compte des pires scénarios et nous y travaillons.

La directive NIS 2 a été publiée à la fin de l'année 2022. Nous en avions anticipé plusieurs dispositions, notamment celles relatives à l'authentification multifacteurs, d'ores et déjà incluse dans les procédures de la plupart des opérateurs. La question est de savoir de combien de temps nous disposerons pour adapter nos systèmes, dont les technologies varient selon qu'il s'agit de réseau cuivre ou du réseau mobile 5G.

Nous serons très attentifs au délai de conformité. La directive sera transposée d'ici le mois d'octobre. Nous avons mené des consultations avec l'Anssi, sur la directive NIS, et avec le SGDSN, sur la directive REC. Nous élaborons actuellement des observations sur l'avant-projet de loi.

Le premier risque est la surtransposition, non seulement pour d'évidentes raisons de concurrence, mais aussi parce que la directive NIS prévoit deux catégories d'entités, importantes et essentielles. S'agissant des premières, le droit applicable sera celui du pays où se trouve le siège. Ainsi, certaines activités d'Orange en Pologne ou en Roumanie relèveront du droit français. L'Anssi étant l'une des agences les plus exigeantes en Europe, nous risquons d'y perdre nos marchés B2B. La cohérence à l'échelle européenne s'impose. S'il importe de fixer des exigences élevées, il faut aussi être attentif à ne pas s'aligner sur le moins-disant sécuritaire.

Le deuxième risque est la coexistence de multiples catégories – OIV et OSE à l'échelle française, entités essentielles (EE), entités importantes (EI) et entités critiques (EC) à l'échelle européenne. Nous saluons l'effort consenti par la France pour rassembler les dispositions dans une loi unique. Nous espérons qu'elle sera lisible, indiquant clairement les mesures applicables à telle et telle catégorie sans multiplier les renvois, faute de quoi nous seront perdus et le régulateur aussi.

Nous espérons aussi que le principe non bis in idem s'appliquera et que nous ne serons pas punis trois fois pour une même faute, au titre des directives NIS et REC puis au titre du règlement général sur la protection des données (RGPD), d'autant que les amendes peuvent atteindre des montants élevés. Je comprends que l'État se préoccupe d'éviter toute lacune en matière de sanctions, mais nous préférons travailler sur le mode de la coopération. L'avant-projet de loi comporte de nombreuses dispositions relatives à la commission des sanctions, et aucune, curieusement, relative aux sanctions applicables à l'État.

Concernant la fermeture du réseau cuivre, les réseaux point à point sont certes plus résilients que les technologies internet, mais nous ne pouvons pas revenir à l'âge de la draisienne et du vélo. Nous réfléchissons à des dispositifs de redondance permettant d'obtenir un degré de résilience satisfaisant. Par essence, internet n'aura jamais la solidité fondamentale du téléphone commuté.